Xác thực hiện đại được bật theo mặc định cho tất cả người thuê Microsoft 365 / Azure mới. Giao thức xác thực này an toàn hơn Xác thực cơ bản kế thừa . Microsoft có kế hoạch chặn hoàn toàn việc sử dụng Xác thực Cơ bản cho tất cả các máy khách Microsoft 365 kể từ ngày 1 tháng 10 năm 2021. Trong bài viết này, chúng ta sẽ xem xét cách bật hoặc tắt Xác thực Hiện đại và Cơ bản trong Microsoft 365.
Xác thực hiện đại so với Xác thực cơ bản
Microsoft hiện hỗ trợ các loại xác thực sau cho Office 365 (Microsoft 365):
- Xác thực Cơ bản - loại xác thực này quen thuộc với tất cả người dùng Windows. Xác thực cơ bản được thực hiện thông qua một cửa sổ Bảo mật Windows đơn giản nhắc nhập thông tin xác thực (tên người dùng và mật khẩu) và nhắc bạn lưu mật khẩu của mình vào Trình quản lý thông tin đăng nhập Windows. Loại xác thực này không hỗ trợ MFA (Xác thực đa yếu tố) và không mạnh mẽ để chống lại các cuộc tấn công bạo lực. Các ứng dụng lưu trữ và sử dụng rõ ràng tên người dùng và mật khẩu để xác thực.
- Xác thực Hiện đại dựa trên giao thức ADAL (Active Directory Authentication Library) và OAuth 2.0. Các ứng dụng không lưu trữ hoặc sử dụng thông tin đăng nhập của người dùng và xác thực dựa trên mã thông báo có giới hạn thời gian. Auth hiện đại hỗ trợ các yếu tố xác thực bổ sung bao gồm MFA. Cửa sổ nhập tên người dùng và mật khẩu khi thực hiện xác thực hiện đại trông như thế này. Nó sẽ xuất hiện khi kết nối với các dịch vụ Microsoft 365 hoặc kết nối với Azure (bao gồm cả các kết nối PowerShell).
Xác thực cơ bản Đăng nhập Đăng nhập Azure AD
Trước khi bật xác thực hiện đại và tắt xác thực cơ bản, hãy kiểm tra xem người dùng và ứng dụng Microsoft 365 của bạn sử dụng giao thức xác thực nào.
- Mở Cổng Azure;
- Đi tới Azure Active Directory -> Nhật ký đăng nhập ;
- Chọn phạm vi ngày 1 tháng trước ;
- Thêm bộ lọc theo trường Ứng dụng khách ;
- Chọn tất cả Khách hàng Xác thực Kế thừa cho bộ lọc này.
Điều này sẽ cho phép bạn tìm người dùng và ứng dụng vẫn đang sử dụng Xác thực cơ bản. Bạn cần di chuyển các ứng dụng được tìm thấy sang giao thức Modern Auth. Trong trường hợp của tôi, hầu hết các sự kiện được liên kết với ứng dụng email gốc trên điện thoại thông minh, chúng cần được chuyển sang ứng dụng MS Outlook.
Microsoft tự động vô hiệu hóa Xác thực Cơ bản cho người thuê khi nó không được sử dụng.
Làm cách nào để Bật Xác thực Hiện đại cho Người thuê Microsoft 365?
Bạn có thể bật Xác thực Hiện đại thông qua Trung tâm Quản trị Microsoft 365.
- Mở cổng quản trị M365 https://admin.microsoft.com;
- Đi tới Cài đặt -> Cài đặt tổ chức -> Xác thực hiện đại
- Bật tùy chọn Bật xác thực hiện đại cho Outlook 2013 cho Windows trở lên ;
- Lưu các thay đổi.
Như chúng tôi đã đề cập, đối với người thuê Office 365 / Azure mới, Xác thực cơ bản bị tắt theo mặc định cho tất cả các ứng dụng. Trong trường hợp này, một cảnh báo sẽ được hiển thị trong phần này:
Your organization has security defaults enabled, which means modern authentication to Exchange Online is required, and basic authentication connections are blocked. You must turn off security defaults in the Azure portal before you can change any settings here.
Bạn có thể bật hỗ trợ Xác thực cơ bản cho người thuê từ cổng Azure (Azure Active Directory -> Thuộc tính -> Quản lý mặc định bảo mật -> Bật mặc định bảo mật =Không).
Lưu ý một số tùy chọn trong Cho phép truy cập vào các giao thức xác thực cơ bản . Dưới đây là các ứng dụng khác nhau mà bạn có thể bật Xác thực Cơ bản.
- Ứng dụng khách Outlook
- Exchange ActiveSync (EAS)
- Tự động phát hiện
- IMAP4
- POP3
- SMTP được xác thực (ví dụ về xác thực SMTP từ telnet)
- Exchange Online PowerShell - (Xác thực cơ bản không được hỗ trợ cho Mô-đun EXOv2 PowerShell hiện đại)
Tắt Xác thực cơ bản cho tất cả các ứng dụng và giao thức chắc chắn không cần đến nó.
Nếu bạn đã định cấu hình các chính sách xác thực trong đối tượng thuê Office 365 của mình, bạn có thể hiển thị các cài đặt và giao thức hiện tại được phép sử dụng Xác thực Cơ bản. Sử dụng lệnh PowerShell sau:
Get-AuthenticationPolicy
Trong trường hợp của chúng tôi, chúng tôi chỉ có một chính sách và BasicAuth bị tắt cho tất cả các ứng dụng.
AllowBasicAuthActiveSync : False AllowBasicAuthAutodiscover : False AllowBasicAuthImap : False AllowBasicAuthMapi : False AllowBasicAuthOfflineAddressBook : False AllowBasicAuthOutlookService : False AllowBasicAuthPop : False AllowBasicAuthReportingWebServices : False AllowBasicAuthRest : False AllowBasicAuthRpc : False AllowBasicAuthSmtp : False AllowBasicAuthWebServices : False AllowBasicAuthPowershell : False
Vì mục đích bảo mật, bạn có thể tạo một chính sách riêng với các quyền Cơ bản khác nhau cho các giao thức cụ thể và gán chính sách đó cho người dùng sử dụng ứng dụng kế thừa. Trong ví dụ này, chúng tôi sẽ cho phép người dùng kết nối với Exchange Online thông qua phiên PowerShell từ xa với xác thực cơ bản:
Set-AuthenticationPolicy -Identity "BasicAuth_Allow_PoSh" -AllowBasicAuthPowershell:$true
Set-User -Identity k.muller -AuthenticationPolicy "BasicAuth_Allow_PoSh"
Và chính sách mặc định sẽ chặn giao thức xác thực kế thừa:
New-AuthenticationPolicy -Name "BasicAuth_Block"
Set-OrganizationConfig -DefaultAuthenticationPolicy BasicAuth_Block
Ngoài ra, hãy lưu ý rằng có một OAuth2ClientProfileEnabled khác trong cài đặt tổ chức, tùy chọn này xác định xem Modern Auth có được bật cho người thuê hay không:
Get-OrganizationConfig | ft OAuth*
Nếu OAuth2ClientProfileEnabled = False
, điều đó có nghĩa là xác thực hiện đại bị vô hiệu hóa.
Xác thực hiện đại trong Outlook 365/2019/2016/2013/2010
Vui lòng lưu ý các chi tiết cụ thể về hỗ trợ xác thực hiện đại trong các phiên bản Outlook khác nhau:
- Outlook 2010 trở về trước - không hỗ trợ Modern Auth. Nếu Basic Auth bị tắt trong cài đặt đối tượng thuê, các phiên bản Outlook này sẽ không thể kết nối với hộp thư Exchange Online trên Microsoft 365;
- Outlook 2013 - để hỗ trợ OAuth, bạn cần đặt hai tham số đăng ký trong khóa HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Office \ 15.0 \ Common \ Identity (
EnableADAL = 1
vàVersion = 1
; - Outlook 365, 2019, 2016 - xác thực hiện đại được hỗ trợ theo mặc định. Để luôn sử dụng Modern Auth trước tiên, hãy đặt
AlwaysUseMSOAuthForAutoDiscover = 1
dưới khóa reg HKEY_CURRENT_USER \ Software \ Microsoft \ Exchange (nếu tùy chọn này không được bật, Outlook có thể liên tục nhắc nhập mật khẩu để kết nối);
Bạn có thể xác minh rằng máy khách Outlook đang sử dụng Xác thực Hiện đại để kết nối với hộp thư Office 365. Giữ Ctrl
và nhấp vào biểu tượng Outlook trong khay. Đảm bảo rằng Vòng bi * được chỉ định trong Authn
trong Trạng thái Kết nối Outlook. Điều này có nghĩa là Outlook đang sử dụng xác thực hiện đại.