O365の条件付アクセスで、レガシー認証ブロック

レガシー認証をブロックする理由

  • IDとパスワードによる認証のみで、多要素認証ができないため。
  • MSがあと数年以内にレガシー認証によるアクセスを禁止しようとしているから。
  • ちなみにレガシー認証の例としては、POP、SMTPIMAPなど。メールプロトコルだけではなく、従来の Microsoft Office アプリからの認証にもレガシー認証がある。
  • なお、ほとんど(9割以上)の攻撃がレガシー認証によるもので、レガシー認証を禁止することでよりセキュアな運用が可能。
  • なお、条件付きアクセスによる判断は、第 1 段階認証が完了した後で適用される。DoS攻撃を防ぐものではないが、結果的に防げる(ってことでいい?)。

レガシー認証をブロックする方法

  • セキュリティの既定値群がONになっていれば、レガシー認証はすでにブロックされている。 2019 年 10 月 22 日以降に作成されたテナントの場合は、標準でONになっている。

docs.microsoft.com

  • Azure AD 条件付きアクセスでレガシー認証をブロックする設定にする。この場合、Azure AD Premium 1 以上のライセンスが人数分必要。

設定方法

  • セキュリティの既定値群をオフにして、条件付アクセスを利用できるようにする。
  • 条件付きアクセスでレガシー認証をブロックする。

docs.microsoft.com

テスト方法

コマンドで接続

だいぶ省略しているけど、TELNETでのPOP3アクセスと似た感じでPOP3でアクセスする。 ただ、O365は、995ポートで接続するため、接続用のクライアントをopensslのものにする必要がある。 レガシー認証がブロックされていれば、ログインが失敗する。

$ openssl s_client -connect outlook.office365.com:995 -crlf
USER foobar@example.onmicrosoft.com
PASS yourpassowrd
LIST
QUIT

リモート接続アナライザー

testconnectivity.microsoft.com