根據Verizon報告,大多數數據洩露是由於損害憑據,特別是在電子郵件伺服器上。社會工程、憑據釣魚和暴力攻擊是一些惡意行為者用來竊取憑據的方法之一。
為了提高Office登錄的安全性,並幫助防止數據洩露,Microsoft推出了現代認證方法。這種方法要求在連接到在線Office 365資源時進行額外的使用者認證和授權。
由於其顯著的好處,自2017年以來創建的所有Office 365租戶都默認啟用了現代認證。這是Office 365應用程式和服務中唯一可用的登錄方法。但是,在混合本地-雲Office部署中,您需要手動為舊的Office客戶端版本啟用現代認證,並在可能的情況下禁用基本認證。
本博客簡要概述了混合Office部署的基本認證和現代認證方法,並提供了在Office 365中啟用現代認證的步驟。
現代認證 vs. 基本認證
直到 2022 年底基本身份驗證被廢止之前,微軟將為 Exchange 和 Skype for Business 的混合部署提供兩種身份驗證方式:基本身份驗證和現代身份驗證。請注意,僅使用現代身份驗證和 Microsoft 在線登錄助手可以連接到 SharePoint 在線。
這兩種身份驗證方法在保護能力方面存在廣泛差異。即使基本身份驗證將在今年晚些時候被廢止,了解這兩個選項之間的差異仍然很重要。
什麼是基本身份驗證?
基本身份驗證是使用僅有用戶名和密碼連接到 Office 365 應用程序的過程。當您在電子郵件客戶端中輸入用戶名和密碼時,這些信息會被傳送到 Exchange 在線進行驗證和身份驗證,然後連接您到雲服務。
這是一種過時的方法,無法提供足夠的保護來防範憑證威脅。基本身份驗證的主要漏洞之一是應用程序在設備上存儲用戶憑證,這為試圖竊取密碼的黑客創造了更多機會。此外,許多微軟的身份和訪問管理功能,如條件訪問和多因素身份驗證(MFA),在此 Office 365 遺留身份驗證中不可用。
什麼是現代身份驗證?
現代身份驗證是一種結合不同的身份驗證和授權方法來訪問微軟 Office 雲資源的方式。現代身份驗證基於 Active Directory Authentication Library(ADAL)和 OAuth 2.0。
- Active Directory Authentication Library是一個用於應用程序通過安全令牌訪問安全資源的身份驗證工具。使用 ADAL,用戶還可以獲得單一登錄(SSO),以無縫方式訪問其可用的 Office 365 資源。
- OAuth 2.0是一種授權協議,允許用戶使用訪問令牌通過客戶端應用程序訪問資源。此框架涉及訪問委派,因此用戶憑據不與資源服務器共享。
現代身份驗證框架為從客戶端應用程序登錄其 Microsoft 365 資源的用戶添加了一層額外的安全性。此外,該框架允許激活多因素身份驗證(MFA)並使用條件訪問策略。
如何在 Office 365 中啟用現代身份驗證
對於於 2017 年 8 月之前創建的 Microsoft 租戶,有不同的方法可以啟用 Office 365 中的現代身份驗證:
使用 Microsoft 365 管理中心
通過管理中心啟用 Office 365 中的現代身份驗證:
- 登錄Microsoft 365 管理中心。
在左側導航窗格中展開 設置 ,然後點擊組織設置 。 - 在左側導覽窗格中,展開設定,然後點擊組織設定。
- 在服務下,選擇現代驗證。
- 選中為Windows的Outlook 2013及更高版本啟用現代驗證(推薦)複選框。
- 點擊保存。
使用Exchange Online PowerShell
按照以下步驟使用Exchange Online PowerShell啟用現代驗證:
- 連接到Exchange Online PowerShell。
- 為Outlook 2013或更高版本的客戶端運行以下命令:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true - 使用以下命令驗證更改是否成功以及現代驗證是否已啟用:
Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
需要注意的是,這不會阻止您使用基本驗證方法。但是,您可以通過運行以下命令強制在Outlook 2013或更高版本中使用O365傳統驗證:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false
禁用Office 365基本驗證
啟用Office 365中的現代驗證後,您現在可以禁用基本驗證協議。但是,您需要確保沒有任何用戶從中受益。按照以下步驟檢查是否有人在使用基本驗證:
- 開啟您的Microsoft Azure帳戶。
- 存取Azure Active Directory。
- 在左側導覽窗格中選擇Sign-in logs。
- 將Date range更改為Last 7 days或更長。
- 點擊Add filters。
- 選擇Client app然後點擊Apply。
- 點擊新建立的過濾器Client app。
- 在Legacy Authentication Clients下勾選所有方塊。
- 點擊Apply。
此列表包括所有具有相應用戶和應用程序的登錄事件。在您禁用基本驗證之前,您可以將所有這些應用程序遷移到現代驗證協議,因此您不會失去它們。
要禁用O365舊版驗證:
- 存取Microsoft 365 admin center。
- 在左側導覽窗格中,展開Settings並點擊Org settings。
- 在Services下選擇Modern authentication。
- 取消選擇Allow access to basic authentication protocols下的所有方塊。
- 點擊Save。
Outlook Modern Authentication。
雖然最新的Outlook版本預設支持現代驗證,但在舊版客戶端中添加此功能需要手動配置。不同版本的Outlook在啟用現代驗證方面有不同的要求:
- Outlook 2010或更早版本:現代驗證不支持,您需要升級Outlook才能享受此功能。
- Outlook 2013:現代驗證可用,但預設未開啟,啟用後應強制Outlook使用它。
- Outlook 2016或更高版本 + Outlook 365:現代驗證可用且預設已啟用。
下表總結了每個版本的要求:
| Outlook版本 | 現代驗證 | EnableADAL登錄鍵 | 強制現代驗證 |
| Outlook 2010 | 不支持 | 不可用 | 不可用 |
| Outlook 2013 | 支持 | 需要 | 需要 |
| Outlook 2016 | 支持 | 不需要 | 不需要 |
| Outlook 2019 | 支持 | 不需要 | 不需要 |
| Outlook 365 | 支持 | 不需要 | 不需要 |
Outlook 2013中的現代驗證
如前所述,Outlook 2013支持現代驗證,但預設使用基本驗證。您可以手動啟用現代驗證。
若要執行此操作,您需要在Windows註冊表中添加以下鍵:
| 註冊表鍵 | 類型 | 值 |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL | REG_DWORD | 1 |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version | REG_DWORD | 1 |
設置這些鍵後,Microsoft建議您再添加一個註冊表鍵,以強制Outlook 2013使用現代驗證,以免其回退到基本驗證。您應該使用的鍵是:
| 註冊表鍵 | 類型 | 值 |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Outlook 2016或更高版本的現代驗證
雖然Outlook 2016中默認啟用了現代驗證,但建議您使用以下註冊表鍵強制使用現代驗證:
| 註冊表鍵 | 類型 | 值 |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Skype for Business的現代驗證
由於對於2017年8月1日之前創建的所有Microsoft租戶,現代驗證默認是關閉的,您需要手動將其打開。就像在Outlook中一樣,您可以使用以下註冊表鍵在Skype for Business中啟用現代驗證:
| 登錄金鑰 | 類型 | 值 |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
結論
微軟正在逐步淘汰O365的舊身份驗證,因為一組簡單的憑證已無法保證所需的安全保護。幸運的是,還有其他安全措施可用,建議在Office 365中啟用現代身份驗證。一旦啟用,您可以啟用多因素身份驗證(MFA),定義權限並限制用戶對特定應用程序的訪問。
儘管如此,使用第三方全面備份解決方案可以確保對Office 365環境進行最佳保護。像NAKIVO Backup & Replication這樣的完整數據保護解決方案包含您在組織中保護Microsoft 365數據所需的所有工具。
Source:
https://www.nakivo.com/blog/enable-modern-authentication-office-365/