AUTENTICAÇÃO BÁSICA NO OFFICE 365 PARTE II

Na postagem anterior busquei explicar um pouco sobre o que venha a ser a autenticação básica e a autenticação moderna.

Nesta postagem vamos explorar um pouco mais os aspectos de monitoramento para podermos descobrir quem está usando a autenticação básica o que pode ser feito para desabilitar e quais as consequências.

Temos muito assunto pela frente! #TamuJunto

Como Monitorar a Autenticação Básica

Se você tiver dúvidas sobre a autenticação básica te convido a voltar na postagem anterior que falo sobre o seu funcionamento.

Nesta postagem vamos identificar os usuários e aplicações que fazem uso da autenticação básica no ambiente do Microsoft 365, lembrando que em Outubro esses usuários serão afetados pela desativação da autenticação básica.

Acessando o Portal do Azure Active Directory

Navegue até o endereço https://aad.portal.azure.com, logue com suas credencias administrativas, lá você terá uma visão geral com os dados de entradas no Azure-AD, falhas, acessos com sucesso, serviços e todos os locais para todos os clientes, conforme vemos abaixo:

Na imagem acima você consegue ver todos os logons no Azure AD com falha ou sucesso para restringir as informações apenas para autenticação básica execute o seguinte procedimento:

1 – Cliquem em Adicionar Filtros

2 – Escolha Aplicativo Cliente

3 – Clique em aplicar

No quadro seguinte selecione todas as opções menos Browser e Mobile Apps e Desktop Clients

Você vai ver uma visão geral de todas as tentativas de autenticação básicas no ambiente.

Ao selecionar uma entrada, ela mostrará detalhes adicionais, incluindo o aplicativo cliente, o nome de usuário e o agente do usuário (que identifica o aplicativo cliente), conforme mostrado na captura de tela a seguir (clique para ampliar):

Para visualizar todas as tentativas de autenticação com falha basta adicionar um filtro (Status\falha) e você vai ver apenas as tentativas com erro.

Essas tentativas podem ser ataques de força bruta em seu tenant.

Essa é uma maneira fácil de identificar clientes móveis que usam o ActiveSync como protocolo e, portanto, estão usando autenticação básica.

Para visualizar a lista de usuários que ainda fazem uso da autenticação básica Altere o filtro do aplicativo cliente para apenas Exchange ActiveSync e remova o status | Falha

Ele mostrará uma lista de usuários móveis que usam autenticação básica, conforme mostrado na captura de tela

Portanto, usando as opções de filtragem na página de entrada no portal do Azure AD, você pode identificar quais clientes ainda estão usando a autenticação básica ao acessar os serviços do Office 365 (e, portanto, quais clientes são afetados quando a autenticação básica é interrompida).

Como desativar a autenticação básica

Para desativar a autenticação básica você pode criar uma política de autenticação e aplicar essa política aos usuários, com isso eles não podem mais usar a autenticação básica para fazer logon em qualquer serviço do Microsoft 365.

Criando uma política

Para criar uma Política de Autenticação, use o seguinte comando no Exchange Online PowerShell:

New-AuthenticationPolicy -Name “Bloquear Autenticacao Basica”

Adicionando usuário na politica

Set-User -Identity chesley.silva@chesley.com.br -AuthenticationPolicy “Bloquear autenticação básica”

Normalmente essa configuração vai levar até 24 horas para que a politica passe a fazer efeito, no entanto, podemos usar o comando abaixo para que as configurações passem a valer em aproximadamente 30 minutos.

Set-User -Identity chesley.rocha@chesley.com.br -AuthenticationPolicy “Bloquear autenticação básica”  -STSRefreshTokensValidFrom  $([System.DateTime]::UtcNow)

Removendo usuários da Politica

Basta aplicar o $null, da seguinte forma:

Set-User -Identity chesley.silva@chesley.com.br -AuthenticationPolicy $Null

Adicione alguns usuários na política e teste, teste todos os cenários possíveis use em seu teste usuários com dispositivos android, iOS, Microsoft, o que for! Mas teste!

Resumo

Bom pessoal, encerro aqui essa serie curta mas extremamente importante de duas postagens sobre autenticação básica e moderna, foquei bastante no que pode acontecer quando a Microsoft encerrar o suporte a autenticação básica e espero sinceramente que você já tenha configurado seu ambiente antes disso.

Recomendo que você crie uma lista própria de aplicativos que serão afetados em seu ambiente e busque uma solução plausível.

Tenham certeza que o outlook 2010 não vai mais conectar no ambiente de nuvem, os clientes móveis nativos que não suportam oAuth2 (comum em aplicativos de e-mail Android, mas também em iPhones mais antigos) também param de funcionar.

Do ponto de vista de segurança cibernética todos vamos nos beneficar dessa mudança, mas, por enquanto eu sugiro que você crie uma lista de aplicativos e serviços que usam a autenticação básica e comece a testar com uma política de autenticação que bloqueie a autenticação básica e assim comece a mapear as soluções para o seu ambiente.

Referencias

Autenticação básica e Exchange Online – Atualização de fevereiro de 2020 – https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-auth-and-exchange-online-february-2020-update/ba-p/1191282
Desabilitar autenticação básica no Exchange Online – https://docs.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/disable-basic-authentication-in-exchange-online
Visão geral da plataforma de identidade da Microsoft (v2.0) – https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-overview
Habilitar a autenticação moderna no Exchange Online – https://docs.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/enable-or-disable-modern-authentication-in-exchange-online
Noções básicas de autenticação – https://docs.microsoft.com/nl-nl/azure/active-directory/develop/authentication-scenarios
Mala de correio do Azure AD: descobrindo e bloqueando a autenticação herdada – https://techcommunity.microsoft.com/t5/azure-active-directory-identity/azure-ad-mailbag-discovering-and-blocking-legacy-authentication/ba-p/ 369725
Como funciona a autenticação moderna para aplicativos cliente do Office 2013 e Office 2016 – https://docs.microsoft.com/en-us/office365/enterprise/modern-auth-for-office-2013-and-2016
Evolução da plataforma de identidade da Microsoft – https://docs.microsoft.com/en-us/azure/active-directory/develop/about-microsoft-identity-platform
Como: Bloquear a autenticação herdada para o Azure AD com acesso condicional – https://docs.microsoft.com/nl-nl/azure/active-directory/conditional-access/block-legacy-authentication

6 comentários sobre “AUTENTICAÇÃO BÁSICA NO OFFICE 365 PARTE II”

Pingback: Como habilitar entrada sem senha(passwordless) com o Microsoft Autenticator – Blog do Chesley
Pingback: Autenticação moderna nos dispositivos Apple com Exchange Online – Blog do Chesley
andersonmd disse:

julho 27, 2022 às 9:22 am

Show, valeu por compartilhar.
Essa mudança está preocupante.

CurtirCurtir

Responder
1. chesleysilva disse:
  
  julho 30, 2022 às 4:03 pm
  
  Anderson, boa tarde! Obrigado pelo comentário, se precisar de algo me chama pelo Linkdien que te ajudo no que puder! Abraços!
  
  CurtirCurtir
  
  Responder
andersonmd disse:

julho 27, 2022 às 9:23 am

Muito bom, valeu por compartilhar.
Está preocupante essa mudança.

CurtirCurtir

Responder
valeriosantos disse:

setembro 5, 2022 às 11:29 am

Olá, quero parabeniza-lo pelo conteúdo, tenha certeza que me ajudou muito.
Tenho uma dúvida ao desativar a autenticação básica desta forma criando uma política em Outubro quando mudar para autenticação moderna não terei que fazer nenhuma outra configuração para elas? Visto que algumas protocolos legados não irão mais funcionar.
Ou terei que configurar outra coisa para essas que foram inseridas na política?
Obrigado!

CurtirCurtir

Responder

Blog do Chesley

Sempre uma novidade!