Legacy Authentication kontrolliert abschalten - Vorwort
In einer Azure AD Umgebung ist Legacy Authentication die Achillesferse der Security.
Während moderne Clients Conditional Access Policies und Multifaktor-Authentifizierung berücksichtigen, reißt der Einsatz von alte Clients und damit verbundenen Protokollen wie SMTP, IMAP oder Exchange ActiveSync eine gern übersehene Lücke in diese Absicherung.
Da diese Protokolle nicht mit Conditional Access kompatibel sind, “umgehen” Sie, wenn nicht anders definiert, die dort hinterlegten Regeln. Das ist keine Sicherheitslücke bei Microsoft, sondern eine Designentscheidung und die Auswirkungen auf die eigene Umgebung sollte man daher genau kennen.
Das Vorgehen in sechs Schritten
Diese Blogserie stellt einen Handlungsleitfaden für das Abschalten der Legacy Authentication dar und gibt dabei praxiserprobte Tipps.
- Vorwort
- Modern Authentication aktivieren
- Voraussetzungen schaffen
- Einblicke gewinnen
- Die ersten 90%
- Die nächsten 9%
- Abschaltung
Anforderungen an die Umgebung
Die hier aufgelisteten Voraussetzungen sind für die Zielerreichung erforderlich.
Azure Active Directory Premium P1
Für eine Stufenweise Abschaltung von Legacy Authentication ist Contitional Access das Mittel der Wahl. Eine Abschaltung ist natürlich auch ohne Conditional Access möglich, jedoch nicht so granular steuerbar.
Conditional Access ist in der Azure Active Directory Premium P1 Lizenz enthalten und somit im Standard nicht in jedem Tenant verfügbar.
Azure Subscription
Eine Azure Subscription wird für die langfristige Speicherung und bequemere Auswertung der Anmeldelogs in einem Log Analytics Workspace benötigt. Daher sollte schon jetzt eine Subscription anlegt werden oder du verschaffst dir Berechtigungen auf eine vorhandene Subscription.
Los geht’s
Mit diesem Vorwissen geht es jetzt direkt in die Umsetzung. Schritt 1 bis 3 haben keine direkten Auswirkungen für die Endnutzer.
Schritt 2: Modern Authentication aktivieren