Accessi tramite la cartella di lavoro di autenticazione legacy

Si è mai chiesto come è possibile determinare se è sicuro disabilitare l'autenticazione legacy nel tenant? Gli accessi che usano la cartella di lavoro di autenticazione legacy consentono di rispondere a questa domanda.

Questo articolo offre una panoramica della cartella di lavoro degli Accessi usando l'autenticazione legacy.

Prerequisiti

Per usare le cartelle di lavoro di Azure per Microsoft Entra ID, è necessario:

  • Un tenant di Microsoft Entra con una licenza Premium P1
  • Un'area di lavoro Log Analytics e accesso a tale area di lavoro
  • Ruoli appropriati per Monitoraggio di Azure e Microsoft Entra ID

Area di lavoro Log Analytics

È necessario creare un'area di lavoro Log Analytics prima di usare cartelle di lavoro di Microsoft Entra. Diversi fattori determinano l'accesso alle aree di lavoro Log Analytics. Sono necessari i ruoli appropriati per l'area di lavoro e le risorse che inviano i dati.

Per altre informazioni, vedere Gestire l'accesso a un'area di lavoro Log Analytics.

Ruoli di Monitoraggio di Azure

Monitoraggio di Azure offre due ruoli predefiniti per la visualizzazione dei dati di monitoraggio e la modifica delle impostazioni di monitoraggio. Il controllo degli accessi in base al ruolo di Azure offre anche due ruoli predefiniti di Log Analytics che concedono un accesso simile.

  • Visualizza:

    • Lettore di monitoraggio
    • Lettore di Log Analytics
  • Visualizzare e modificare le impostazioni:

    • Collaboratore al monitoraggio
    • Collaboratore di Log Analytics

Ruoli di Microsoft Entra

L'accesso in sola lettura consente di visualizzare i dati di log di Microsoft Entra ID all'interno di una cartella di lavoro, eseguire query sui dati da Log Analytics o leggere i log nell'Interfaccia di amministrazione di Microsoft Entra. L'accesso agli aggiornamenti consente di creare e modificare le impostazioni di diagnostica per inviare i dati di Microsoft Entra a un'area di lavoro Log Analytics.

  • Read:

    • Amministratore che legge i report
    • Ruolo con autorizzazioni di lettura per la sicurezza
    • Ruolo con autorizzazioni di lettura globali
  • Aggiornamento:

    • Amministratore della sicurezza

Per altre informazioni sui ruoli predefiniti di Microsoft Entra, vedere Ruoli predefiniti di Microsoft Entra.

Per altre informazioni sui ruoli di Controllo degli accessi in base al ruolo di Log Analytics, vedere Ruoli predefiniti di Azure.

Descrizione

Screenshot dell'anteprima della cartella di lavoro.

Microsoft Entra ID supporta diversi dei protocolli di autenticazione e autorizzazione più ampiamente usati. L'autenticazione legacy si riferisce all'autenticazione di base, che in passato era un metodo standard di settore ampiamente usato per passare informazioni su nome utente e password tramite un client a un provider di identità.

Esempi di applicazioni che usano solitamente o solamente l'autenticazione legacy sono:

  • Microsoft Office 2013 o precedente.

  • App che usano l'autenticazione legacy con protocolli di posta elettronica come POP, IMAP e SMTP AUTH.

L'autenticazione a singolo fattore (ad esempio, nome utente e password) non fornisce il livello di protezione richiesto per gli ambienti di elaborazione odierni. Le password non sono sicure perché sono facili da indovinare e le persone non sanno scegliere password efficaci.

Sfortunatamente, l'autenticazione legacy:

  • Non supporta l'autenticazione a più fattori (MFA) o altri metodi di autenticazione avanzata.

  • Rende impossibile per l'organizzazione passare all'autenticazione senza password.

Per migliorare la sicurezza del tenant e dell'esperienza degli utenti di Microsoft Entra, è consigliabile disabilitare l'autenticazione legacy. Tuttavia, le esperienze utente di rilievo nel tenant potrebbero dipendere dall'autenticazione legacy. Prima di arrestare l'autenticazione legacy, è possibile trovare questi casi in modo da poterli migrare a un'autenticazione più sicura.

La cartella di lavoro degli Accessi che usano l'autenticazione legacy consentono di visualizzare tutti gli accessi di autenticazione legacy nell'ambiente. Questa cartella di lavoro consente di trovare ed eseguire la migrazione di flussi di lavoro critici a metodi di autenticazione più sicuri prima di arrestare l'autenticazione legacy.

Come accedere alla cartella di lavoro

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra utilizzando la combinazione di ruoli appropriata.

  2. Andare a Identità>Monitoraggio e integrità>Cartelle di lavoro.

  3. Seleziona la cartella di lavoro Accessi che usano l'autenticazione legacy nella sezione Utilizzo.

Sezioni della cartella di lavoro

Con questa cartella di lavoro è possibile distinguere tra accessi interattivi e non interattivi. Questa cartella di lavoro evidenzia i protocolli di autenticazione legacy usati in tutto il tenant.

La raccolta di dati è costituita da tre passaggi:

  1. Selezionare un protocollo di autenticazione legacy e quindi selezionare un'applicazione per filtrare in base agli utenti che accedono a tale applicazione.

  2. Selezionare un utente per visualizzare tutti gli accessi di autenticazione legacy all'app selezionata.

  3. Visualizzare tutti gli accessi di autenticazione legacy per l'utente per comprendere come viene usata l'autenticazione legacy.

Filtri

Questa cartella di lavoro supporta più filtri:

  • Intervallo di tempo (fino a 90 giorni)

  • Nome dell'entità utente

  • Applicazione

  • Stato dell'accesso (esito positivo o negativo)

Opzioni filtro

Procedure consigliate

  • Per materiale sussidiario sul blocco dell'autenticazione legacy nell'ambiente in uso, vedere Bloccare l'autenticazione legacy a Microsoft Entra ID con l'accesso condizionale.

  • Molti protocolli di posta elettronica che in passato si basavano sull'autenticazione legacy ora supportano metodi di autenticazione moderni più sicuri. Se in questa cartella di lavoro sono presenti protocolli di autenticazione di posta elettronica legacy, è consigliabile eseguire la migrazione all'autenticazione moderna per la posta elettronica. Per altre informazioni, vedere Deprecazione dell'autenticazione di base in Exchange Online.

  • Alcuni client possono usare sia l'autenticazione legacy che l'autenticazione moderna a seconda della configurazione del client. Se nei log di Microsoft Entra viene visualizzato "client mobile/desktop moderno" o "browser" per un client, significa che sta utilizzando l'autenticazione moderna. Se ha un nome client o protocollo specifico, ad esempio “Exchange ActiveSync”, usa l'autenticazione legacy per connettersi a Microsoft Entra ID. I tipi di client nell'accesso condizionale e la pagina di creazione report di Microsoft Entra nell'Interfaccia di amministrazione di Microsoft Entra demarcano i client di autenticazione moderni e i client di autenticazione legacy per l'utente e solo l'autenticazione legacy viene acquisita in questa cartella di lavoro.

  • Per altre informazioni sulla protezione dell'identità, vedere Informazioni sulla protezione dell'identità.

  • Per altre informazioni sulle cartelle di lavoro di Microsoft Entra, vedere Come usare le cartelle di lavoro di Microsoft Entra.