Legacy authentication SHALL be blocked.
Защо това е важно
Протоколите за наследено удостоверяване като POP3, IMAP, SMTP и базовото удостоверяване заобикалят съвременните контроли за сигурност като многофакторното удостоверяване (MFA) и условния достъп. Ако атакуващ компрометира идентификационни данни за приложение, използващо наследено удостоверяване, той може да получи достъп до пощенски кутии и други ресурси без допълнителна проверка. Блокирането на наследеното удостоверяване е критична стъпка в предотвратяването на атаки, базирани на идентификационни данни, и прилагането на политиките за сигурност на идентичността във вашата организация.
Какво проверява Aether365
Тази проверка установява дали наследеното удостоверяване е блокирано за вашия Azure AD (Entra ID) клиент. Тя се появява в таблото Aether365 под раздела entra-id checks.
Как да коригирате
- Влезте в Azure Portal (portal.azure.com) и навигирайте до Azure Active Directory > Security > Conditional Access.
- Създайте нова политика за условен достъп, наречена “Block Legacy Authentication.”
- Под Assignments > Users and groups изберете “All users”, за да приложите политиката за целия клиент.
- Под Cloud apps or actions изберете “All cloud apps.”
- Под Conditions > Client apps маркирайте “Exchange ActiveSync clients” и “Other clients” (които включват наследени протоколи).
- Под Access controls > Grant изберете “Block access.”
- Задайте Enable policy на “On” и запазете политиката.
- По желание, активирайте настройката “Block legacy authentication” в Azure AD > User settings > Manage settings for legacy authentication.
Съответствие
- CIS Framework: CISA.MS.AAD.1.1
- CISA Maturity: 1
- EIDSCA: EIDSCA.AAD.1.1
- Microsoft 365 Secure Score: Not specified
Свързани ресурси
- Block legacy authentication to Azure AD with Conditional Access
- How to block legacy authentication in Azure AD