使用舊版驗證活頁簿登入

  • 發行項

您是否曾想過如何判斷將租用戶中的舊版驗證關閉是否安全? 使用舊版驗證活頁簿登入可協助您回答此問題。

本文提供 使用舊版驗證登入 (活頁簿) 的概觀。

必要條件

若要使用適用於 Microsoft Entra ID 的 Azure 活頁簿,您需要:

  • 具有 Premium P1 授權的 Microsoft Entra 租用戶
  • Log Analytics 工作區 對該工作區的存取權
  • 適用於 Azure 監視器 Microsoft Entra ID 的適當角色

Log Analytics 工作區

您必須「先」建立 Log Analytics 工作區,才能使用 Microsoft Entra 活頁簿。 有數個因素決定對 Log Analytics 工作區的存取。 您需要工作區的正確角色 ,以及 傳送資料的資源。

如需詳細資訊,請參閱管理 Log Analytics 工作區的存取權

Azure 監視器角色

Azure 監視器提供 兩個內建角色 檢視監視資料和編輯監視設定。 Azure 角色型存取控制 (RBAC) 也提供兩個授與類似存取權的 Log Analytics 內建角色。

  • 檢視

    • 監視讀取器
    • Log Analytics 讀者

  • 檢視和修改設定

    • 監視參與者
    • Log Analytics 參與者

Microsoft Entra 角色

唯讀存取權可讓您檢視活頁簿內的 Microsoft Entra ID 記錄資料、從 Log Analytics 查詢資料,或在 Microsoft Entra 系統管理中心讀取記錄。 更新存取權可新增建立和編輯診斷設定,以便將 Microsoft Entra 資料傳送至 Log Analytics 工作區。

  • 讀取

    • 報告讀取者
    • 安全性讀取者
    • 全域讀取者

  • 更新:

    • 安全性系統管理員

如需 Microsoft Entra 內建角色的詳細資訊,請參閱 Microsoft Entra 內建角色

如需 Log Analytics RBAC 角色的詳細資訊,請參閱 Azure 內建角色

描述

活頁簿縮圖的螢幕擷取畫面。

Microsoft Entra ID 支援數種最廣泛使用的驗證和授權通訊協定,包括舊版驗證。 舊版驗證指的是基本驗證,這是一種廣泛使用的業界標準方法,透過用戶端將使用者名稱和密碼資訊傳遞至識別提供者。

通常或僅使用舊式驗證的應用程式範例如下:

  • Microsoft Office 2013 或更舊版本。

  • 搭配 POP、IMAP 和 SMTP AUTH 等郵件通訊協定使用舊式驗證的應用程式。

單一要素驗證 (例如使用者名稱和密碼) 不提供現今運算環境所需的保護層級。 密碼效果不佳,因為它們很容易猜測,人類很不擅長選擇好密碼。

可惜的是舊版驗證:

  • 不支援多重要素驗證 (MFA) 或其他增強式驗證方法。

  • 讓您的組織無法改成無密碼驗證。

若要改善您的 Microsoft Entra 租用戶和使用者體驗的安全性,您應該停用舊版驗證。 然而,租使用者中的重要使用者體驗可能取決於舊版驗證。 關閉舊版驗證之前,您可能會想要尋找這些案例,以便將其移轉至更安全的驗證。

使用舊版驗證登入 (活頁簿) 可讓您查看環境中的所有舊版驗證登入。 此活頁簿可協助您在關閉舊版驗證之前,尋找並移轉至更安全的驗證方法。

如何存取活頁簿

  1. 使用適當的角色組合,登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [監視和健康狀況] > [活頁簿]

  3. [使用方式] 區段選取 使用舊版驗證登入 (活頁簿)。

活頁簿區段

使用此活頁簿,您可以區分互動式和非互動式登入。此活頁簿會醒目提示租用戶中所使用的舊版驗證通訊協定。

資料收集有三個步驟:

  1. 選一個舊版驗證通訊協定,然後選取要依使用者存取該應用程式的應用程式進行篩選。

  2. 選一個使用者查看所選應用程式的所有舊版驗證登入。

  3. 檢視使用者的所有舊版驗證登入來了解如何使用舊版驗證。

篩選

此活頁簿支援多個篩選:

  • 時間範圍 (最多 90 天)

  • 使用者主體名稱

  • 申請

  • 登入的狀態 (成功或失敗)

篩選選項

最佳作法

  • 如需封鎖環境中舊版驗證的指引,請參閱 使用條件式存取封鎖向 Microsoft Entra ID 進行舊版驗證

  • 許多過去依賴舊版驗證的電子郵件通訊協定,現在都支援更安全的新式驗證方法。 如果您在此活頁簿中看到舊版電子郵件驗證通訊協定,請考慮改為移轉至電子郵件新式驗證。 如需詳細資訊,請參閱在 Exchange Online 中淘汰基本驗證

  • 根據用戶端組態,某些用戶端可以同時使用舊版驗證或新式驗證。 如果您在 Microsoft Entra 記錄中看到使用者端的「新式行動/桌面用戶端」或「瀏覽器」,則會使用新式驗證。 如果它有特定的用戶端或通訊協定名稱,例如「Exchange ActiveSync」,則會使用舊版驗證連線到 Microsoft Entra ID。 條件式存取中的用戶端類型,以及 Microsoft Entra 系統管理中心的 Microsoft Entra 報告頁面會為您劃定新式驗證用戶端和舊版驗證用戶端,而且只會在此活頁簿中擷取舊版驗證。

  • 若要深入了解身分識別保護,請參閱什麼是身分識別保護

  • 如需 Microsoft Entra 活頁簿的詳細資訊,請參閱 如何使用 Microsoft Entra 活頁簿