レガシー認証をブロックする理由
- IDとパスワードによる認証のみで、多要素認証ができないため。
- MSがあと数年以内にレガシー認証によるアクセスを禁止しようとしているから。
- ちなみにレガシー認証の例としては、POP、SMTP、IMAPなど。メールプロトコルだけではなく、従来の Microsoft Office アプリからの認証にもレガシー認証がある。
- なお、ほとんど(9割以上)の攻撃がレガシー認証によるもので、レガシー認証を禁止することでよりセキュアな運用が可能。
- なお、条件付きアクセスによる判断は、第 1 段階認証が完了した後で適用される。DoS攻撃を防ぐものではないが、結果的に防げる(ってことでいい?)。
レガシー認証をブロックする方法
- セキュリティの既定値群がONになっていれば、レガシー認証はすでにブロックされている。 2019 年 10 月 22 日以降に作成されたテナントの場合は、標準でONになっている。
- Azure AD 条件付きアクセスでレガシー認証をブロックする設定にする。この場合、Azure AD Premium 1 以上のライセンスが人数分必要。
設定方法
- セキュリティの既定値群をオフにして、条件付アクセスを利用できるようにする。
- 条件付きアクセスでレガシー認証をブロックする。
テスト方法
コマンドで接続
だいぶ省略しているけど、TELNETでのPOP3アクセスと似た感じでPOP3でアクセスする。 ただ、O365は、995ポートで接続するため、接続用のクライアントをopensslのものにする必要がある。 レガシー認証がブロックされていれば、ログインが失敗する。
$ openssl s_client -connect outlook.office365.com:995 -crlf USER foobar@example.onmicrosoft.com PASS yourpassowrd LIST QUIT