Vzhledem k tomu, že informací ohledně ukončení podpory Microsoft vydal relativně dost, pro lepší přehled zde uvádíme seznam milníků, které se týkají ukončení tohoto typu ověřování:
-
Říjen 2019 – u nových tenantů je defaultně zapnuté Security Defaults, které blokují všechny zastaralé ověřovací protokoly.
-
13. říjen 2020 – první termín pro odstavení protokolů Basic Authetication (odloženo).
-
Říjen 2020 – Microsoft začíná vypínat Basic Authentication tenantům, které je aktivně nevyužívají.
-
Druhá polovina roku 2021 – druhý termín pro odstavení protokolů Basic Authentication. Nakonec Microsoft termín odložil s tím, že bude blokovat pouze nevyužívané protokoly v daném tenantu. Informaci o blokaci dostal zákazník 30 dní dopředu ve svém Admin portálu.
-
Říjen 2022 – finální vypnutí všech Basic Authentication protokolů pro Exchange Online.
Proč vlastně Microsoft tento způsob autentizace vypíná?
Důvod je víceméně jednoznačný – kvůli zvýšení zabezpečení platformy. Basic Authentication v praxi funguje jednoduše tak, že aplikace odešle uživatelské jméno a heslo s každým požadavkem, a právě tyto přihlašovací údaje jsou také často uloženy přímo v zařízení.
Basic Authentication bývá obvykle povolený na většině služeb i serverech a je jednoduchý na konfiguraci, proto je hojně využíván. To je samozřejmě příjemné až do chvíle, než útočník získá tyto informace a může je využít k přístupům na zdroje, ke kterým má uživatel s těmito právy přístup.
Modern Authentication je postavený na OAuth 2.0, které nenechává na zařízení žádné údaje o uživatelském jménu a heslu, a vydává takzvané tokeny, které určují kdo, kam a na jak dlouho přístup dostane. Právě Modern Authentication umožňuje relativně jednoduše implementovat další vrstvy zabezpečení, jako například MFA nebo Passwordless.
Představte si Modern Authentication jako kartu, kterou dostanete v hotelu. S ní dostanete přístup do bazénu, fitness centra, restaurace a přestane fungovat v den odjezdu. Nikam jinam vás karta nepustí, pouze tam, kde je nakonfigurována.
Které protokoly v rámci Exchange Online přestanou od října 2022 fungovat?
-
POP3
-
IMAP4
-
Remote PowerShell
-
Exchange Web Services
-
Office Address Book
-
MAPI
-
RPC
-
ActiveSync
-
SMTP Auth
Které e-mailové aplikace budou nadále podporovány?
-
Outlook 2013 a novější (Outlook verze 2013 vyžaduje úpravu registrů)
-
Outlook 2016 for Mac a novější
-
Outlook pro iOS a Android
-
Mail pro iOS 11.3.1 a novější
Jak poznat, jestli vaše aplikace využívá Basic nebo Modern ověření?
Úplně nejjednodušší je rozlišení ověřovacího okna při zadávání uživatelského jména a hesla.
Basic Authentication
Modern Authentication
Pokud v rámci vaší organizace potřebujete znát do detailu využití těchto protokolů, přihlaste se do Azure Active Directory, zvolte Sign-in Logs a použijte filter na Client Apps, kde vyberete všechny „Legacy Authentication Clients“.
Do vypnutí Basic Authentication zbývá přibližně půl roku, a pokud využíváte právě Exchange Online, je na čase věnovat začít analyzovat vaše prostředí a identifikovat aplikace/služby, které tento způsob ověřování využívají.