Continuare a tenere abilitati protocolli di autenticazione legacy sul vostro tenant di Microsoft 365 non è decisamente una buona pratica; nonostante ciò, procedere con la disabilitazione dei protocolli legacy non è un’operazione semplice e diventa abbastanza complicato a livello di gestione. Nonostante la vostra ottima conoscenza del parco client, una modifica di questo tipo vi può esporre a potenziali rischi di mancanza di erogazione del servizio agli utenti.
Su Exchange Online questa procedura è molto semplice, prima di fare qualsiasi modifica vi sarà possibile fare un check e ottenere le informazioni di potenziali client che potrebbero avere eventuali problemi in mancanza di protocolli legacy.
Parleremo dunque del processo di identificazione dei client che utilizzano ancora protocolli di autenticazione legacy, in seguito procederemo con la disabilitazione di questi protocolli su Exchange Online.
Revisione sign-in legacy su Exchange Online
Prima di disabilitare i protocolli di autenticazione legacy per Exchange Online, è fondamentale assicurarsi che nessuno dei vostri client possa potenzialmente riscontrare disservizio in seguito alla modifica. Per assicurarsi di ciò, è possibile eseguire un’analisi dei log di Sign-In utilizzando la feature dedicata di Azure Active Directory.
Vediamo assieme come effettuare questo tipo di analisi sul portale di AAD:
Figura 1 – Monitoring Sign-ins AAD
In questa sezione vedete tutti i tentativi di sign-in su Azure AD, inclusi i sign-in a tutti i servizi di Microsoft 365 da tutti i vostri client. Per prima cosa ci dobbiamo assicurare che le informazioni visualizzate siano corrette e ben chiare, ci assicureremo di ciò aggiustando le colonne visualizzate. Nello specifico la colonna che ci interessa in questo caso è “Client App” .
Figura 2 – Colonna Client App
In seguito utilizzeremo Add Filters per aggiungere filtri basati sul tipo di Client App che ci interessa. Il filtro Client App ci permetterà di ridurre la lista visualizzata, in modo da invidivuare solo i client che ci interessano, client che stanno utilizzando protocolli legacy per collegarsi con Exchange Online. Per fare questo espandate il filtro e selezionate tutti i protocolli presenti all’interno della lista “Legacy Authentication Clients”.
Figura 3 – Filter Client App “Legacy Authentication Clients”
La lista potenzialmente ci può far vedere sia sign-in “successful” che “unsuccessful”, per I nostril scopi di indagine andremo a vedere solo ciò che ha come risultato di sign-in “successful”.
Figura 4 – Successful Sign-ins
Come vedete in questo caso abbiamo trovato un sign-in con status “success”, utilizzando come Client App l’autodiscover.
Figura 5 – Legacy Client App
Disabilitazione Protocolli Legacy solo per alcuni servizi di Exchange Online
Dopo aver individuato, tramite lo strumento presente in AAD appena descritto, quali protocolli legacy sono ancora utilizzati e da chi, possiamo procedere con la disabilitazione selettiva dei protocolli di autenticazine legacy.
So che vi aspettate di aprire la powershell ed iniziare a caricare moduli con tanto di CMDLET calde da lanciare, ma invece no in questo caso lo faremo semplicemente dall’Admin Center di Microsoft 365.
Per procedere andate su Settings>Org settings> e scegliete Modern Authentication dalla lista di servizi che vedrete. Nella pagina della Modern Authentication disabiliteremo I protocolli legacy non più in uso:
Figura 6 – Disabilitazione Protocolli Legacy
Disabilitazione dei protocolli legacy per tutti i servizi di Exchange Online
Utilizzando le informazioni di sign-in presenti su Azure Active Directory (AAD), piano piano potrete fare l’upgrade o la riconfigurazione dei client che utilizzando protocolli legacy, facendo in modo che questi utilizzino la Modern Authentication. Dopo aver terminato queste operazioni potrete procedere con la disabilitazione di tutti I protocolli legacy contemporaneamente.
Figura 7 – Disabilitazione di tutti protocolli legacy
CONCLUSIONI
Disabilitare la legacy authentication su Exchange Online non rappresenta sicuramente il vostro fortino di sicurezza su Microsoft 365 – è solo il primo passo che vi permetterà di mettere un mattoncino nella costruzione del vostro fortino Questo primo mattoncino può aiutarvi a mantenere il vostro ambiente più sicuro da attacchi particolari come ad esempio “Password Spray”.
Stay Tuned on Technical365!!