利用旧身份验证工作簿的登录
你有没有想过如何确定在租户中关闭旧身份验证是否安全? 利用旧身份验证工作簿的登录可帮助你回答此问题。
本文概述了使用旧式身份验证登录工作簿。
先决条件
若要将 Azure 工作簿用于 Microsoft Entra ID,需要:
- 使用 Premium P1 许可证的 Microsoft Entra 租户
- 一个 Log Analytics 工作区和对该工作区的访问权限
- Azure Monitor 和 Microsoft Entra ID 的相应角色
Log Analytics 工作区
必须先创建 Log Analytics 工作区,然后才能使用 Microsoft Entra 工作簿。 有多个因素决定对 Log Analytics 工作区的访问。 需要为工作区和发送数据的资源提供适当的角色。
有关详细信息,请参阅管理对 Log Analytics 工作区的访问权限。
Azure Monitor 角色
Azure Monitor 提供两个内置角色,用于查看监视数据和编辑监视设置。 Azure 基于角色的访问控制 (RBAC) 还提供两个授予类似访问权限的 Log Analytics 内置角色。
视图:
- 监视查阅者
- Log Analytics 读者
查看和修改设置:
- 监视参与者
- Log Analytics 参与者
Microsoft Entra 角色
只读访问权限允许查看工作簿内的 Microsoft Entra ID 日志数据、从 Log Analytics 查询数据或在 Microsoft Entra 管理中心读取日志。 更新访问权限增加了创建和编辑诊断设置的功能,以便将 Microsoft Entra 数据发送到 Log Analytics 工作区。
“读取”:
- 报告读者
- 安全读取者
- 全局读取者
更新:
- 安全管理员
有关 Microsoft Entra 内置角色的详细信息,请参阅 Microsoft Entra 内置角色。
有关 Log Analytics RBAC 角色的详细信息,请参阅 Azure 内置角色。
说明
Microsoft Entra ID 支持多个最广泛使用的身份验证和授权协议,包括旧身份验证。 旧身份验证是指基本身份验证,它曾经是一种广泛使用的行业标准方法,用于通过客户端将用户名和密码信息传递给标识提供者。
通常或仅使用旧式身份验证的应用程序示例包括:
Microsoft Office 2013 或更早版本。
使用带 POP、IMAP 和 SMTP AUTH 等邮件协议的旧身份验证的应用程序。
单因素身份验证(例如,用户名和密码)无法为当今的计算环境提供所需的保护级别。 使用密码也不安全,因为它们很容易被猜到,我们并不擅长选择好密码。
遗憾的是,旧身份验证:
不支持多重身份验证 (MFA) 或其他强身份验证方法。
使你的组织无法转向无密码身份验证。
若要改善 Microsoft Entra 租户的安全性和用户体验,应禁用旧版身份验证。 但是,你的租户中的重要用户体验可能取决于旧身份验证。 在关闭旧身份验证之前,你可能想要查找这些情况,以便将它们迁移到更安全的身份验证。
使用旧式身份验证登录工作簿可让你在自己的环境中查看所有旧式身份验证登录。 在关闭旧式身份验证之前,此工作簿可帮助你查找关键工作流并将其迁移到更安全的身份验证方法。
如何访问工作簿
使用适当的角色组合登录到 Microsoft Entra 管理中心。
浏览到“标识”>“监视和运行状况”>“工作簿”。
在使用情况部分选择使用旧式身份验证登录工作簿。
工作簿的各个部分
利用此工作簿,可以区分交互和非交互式登录。此工作簿重点显示在整个租户中使用的旧身份验证协议。
数据收集包括三个步骤:
选择旧身份验证协议,然后选择一个应用程序以按访问该应用程序的用户进行筛选。
选择一个用户,查看他们对所选应用的所有旧身份验证登录。
查看用户的所有旧身份验证登录,了解旧身份验证的使用方式。
筛选器
此工作簿支持多个筛选器:
时间范围(最多 90 天)
用户主体名称
应用程序
登录状态(成功或失败)
最佳实践
有关在环境中阻止旧版身份验证的指南,请参阅使用条件访问阻止向 Microsoft Entra ID 进行旧身份验证.
许多曾经依赖旧身份验证的电子邮件协议现在支持更安全的新式身份验证方法。 如果你在此工作簿中看到旧电子邮件身份验证协议,请考虑迁移到电子邮件的新式身份验证。 有关详细信息,请参阅弃用 Exchange Online 中的基本身份验证。
根据客户端配置,某些客户端可以同时使用旧式身份验证或新式身份验证。 如果你在 Microsoft Entra 日志中看到客户端的“新式移动/桌面客户端”或“浏览器”,则它正在使用新式身份验证。 如果它具有特定的客户端或协议名称 (如“Exchange ActiveSync”),则它使用旧式身份验证连接到 Microsoft Entra ID。 条件访问中的客户端类型和 Microsoft Entra 管理中心的 Microsoft Entra 报告页区分了新式身份验证客户端和旧式身份验证客户端,并且此工作簿中仅捕获旧式身份验证。
有关 Microsoft Entra 工作簿的详细信息,请参阅如何使用 Microsoft Entra 工作簿。