V polovině roku 2020 Microsoft vyzval své klienty, aby se začali připravovat na přechod na tzv. moderní způsob ověřování a postupně ukončili používání tzv. Basic Authentication (základní ověření), které se dlouhodobě nejeví jako bezpečné a je již technologicky zastaralé. Ačkoliv se to nezdá, tak první zmínky o nutnosti posilovat zabezpečení se objevily již před 3 lety.
Co nás (vás) tedy čeká, a nemine. Od 1. října začne Microsoft náhodně vybírat tenanty a postupně zakáže přístup k základnímu ověřování pro MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) a Remote PowerShell. Microsoft vždy 7 dní předem odešle zprávu do Centra zpráv a v den změny zašle oznámení z panelu stavu služeb pro každý tenant.
Microsoft nebude deaktivovat ani měnit žádná nastavení pro SMTP AUTH.
Pokud jste k předchozím upozorněním přistupovali odpovědně a odebrali včas svoji závislost na Basic Authentication (základním ověření), nebude tato změna mít žádný vliv na váš tenant ani uživatele. Pokud nemáte vyřešeno (nebo si nejste jisti), zkontrolujte v Centru zpráv nejnovější údaje obsažené v měsíčních zprávách o využití, které zasílá Microsoft měsíčně od října 2021. Údaje za srpen 2022 budou odeslány během prvních dnů měsíce září.
Co když na tuto změnu nejste připraveni?
Microsoft si uvědomuje, že bohužel stále existuje mnoho zákazníků, kteří nejsou na tuto změnu připraveni. Navzdory mnoha příspěvkům na blogu, příspěvkům v Centru zpráv, přerušením služeb a pokrytí prostřednictvím tweetů, videí, konferenčních prezentací a dalších, někteří zákazníci stále netuší, že tato změna přichází. Existuje také mnoho zákazníků, kteří o nadcházející změně vědí, ale bohužel se zatím nepřipravili a nepodnikli potřebné kroky, aby se vyhnuli výpadku.
Cílem těchto aktivit a změn je ochrana vašich data a účtů před rostoucím počtem útoků, se kterými se setkáváme a které využívají právě základní ověření.
Chápeme však, že e-mail je pro mnoho našich zákazníků kritickou službou a vypnutí základního ověřování pro mnoho z nich může mít potenciálně velký dopad.
Jednorázové opětovné povolení
I když po 1. říjnu 2022 Microsoft vypne Basic Authentication (základní ověřování), všichni zákazníci budou moci pomocí samoobslužné diagnostiky znovu aktivovat základní ověřování pro všechny protokoly, které potřebují, jednou pro každý protokol. Podrobnosti o tomto procesu jsou uvedeny níže.
Jakmile je tato diagnostika spuštěna, základní ověření bude pro tyto protokoly znovu povoleno. Vybrané protokoly zůstanou povoleny pro použití základního ověření do konce prosince 2022. Během prvního týdne kalendářního roku 2023 budou tyto protokoly trvale zakázány pro použití základního ověření a poté již nebude možné základní ověření používat.
Jak předejít narušení chodu služeb
Pokud již víte, že potřebujete více času a chcete se vyhnout narušení deaktivace Basic Authentication, můžete diagnostiku spustit během měsíce září. Až přijde říjen, základní pro protokoly, které určíte, Microsoft nezakáže. Zakáže Basic Authentication pro všechny protokoly, které nejsou odhlášeny, ale budete je moci znovu povolit (do konce roku) podle následujících kroků, pokud se později rozhodnete, že je také potřebujete.
Diagnostic Options / Možnosti diagnostiky
Tisíce zákazníků již využily samoobslužnou diagnostiku, o které se hovořilo v dřívějších příspěvcích na blogu (zde a zde), aby znovu povolili základní ověření pro protokol, který byl vypnut, nebo požádali, aby tyto protokoly nebyly zahrnuty do programu rozšíření proaktivní ochrany. Znovu je použita stejná diagnostika, ale pracovní postup se trochu mění.
1. září Microsoft archivoval všechny předchozí žádosti o opětovné povolení a odhlášení. Pokud jste se dříve odhlásili nebo znovu povolili základní pro některý protokol, budete muset během měsíce září postupovat podle níže uvedených kroků, abyste uvedli, že chcete i po 1. říjnu nechat povoleno Basic Authentication pro některé protokoly.
Chcete-li vyvolat samoobslužnou diagnostiku, můžete přejít přímo do základní diagnostiky svépomoci jednoduchým kliknutím na tlačítko Pomoc a Podpora (pokud jste globálním správcem tenantu, zobrazí se diagnostika v centru pro správu Microsoft 365). Zde můžete zadat frázi „Diag: Enable Basic Auth in EXO„:
Odhlášení
Během měsíce září 2022 bude diagnostika nabízet pouze možnost odhlášení. Odesláním „žádosti o odhlášení“ během září sdělujete, že si nepřejete, aby byla během října provedena deaktivace Basic Authentication. Uvědomte si prosím, že v lednu 2023 dojde k trvalému zakázání Basic Authentication ve všech tenantech, bez ohledu na jejich stav odhlášení.
Diagnostika zobrazí verzi dialogu níže a můžete jej opakovaně spustit pro více protokolů. Pokud již byly některé protokoly deaktivovány, může to vypadat trochu jinak. Všimněte si také, že protokoly nejsou odstraněny ze seznamu, když se odhlásíte, ale buďte si jisti (pokud se neobjeví chyba), že požadavek váš bude zaznamenán.
Opětovné povolení Basic Authentication pro protokoly
Během měsíce září 2022 nelze diagnostiku použít k opětovnému povolení Basic Authentication (je pouze v režimu opt-out). Pokud požadujete, aby byl některý z protokolů znovu povolen pro základní ověření během měsíce září, otevřete si prosím tiket podpory u společnosti Microsoft. Poznámka – základní ověření pro ověření SMTP můžete znovu povolit sami a postupujte podle osvědčených postupů; viz tento článek.
Od 1. října 2022vám diagnostika umožní znovu povolit základní ověření pouze pro protokol, pro který bylo zakázáno.
Pokud jste se během září neodhlásili a Microsoft deaktivoval základní protokol, o kterém si později uvědomíte, že jej potřebujete, můžete jej použít k opětovné aktivaci.
Do hodiny (obvykle mnohem dříve) poté, co spustíte diagnostiku a požádáte o znovu povolení, začne základní ověření znovu fungovat.
Připomínáme, že opětovným povolením Basic Authentication ponecháte své uživatele a data zranitelnými vůči bezpečnostním rizikům. Bohužel máme zákazníky, kteří každý den čelí útokům, jenž jsou založeny právě na ověřování.
Od 1. ledna 2023 již nebude k dispozici samoobslužná diagnostika a základní ověření bude brzy poté pro všechny protokoly zakázáno.
Shrnutí časových plánů a akcí
Podívejte se prosím na následující vývojový diagram, který vám pomůže ilustrovat změny a akce, které možná budete muset provést:
Zablokujte si základní ověřování sami
Pokud znovu povolíte základní ověření, protože potřebujete nějaký čas navíc a poté, co vyřešíte problémy, již nadále nebudete základní ověření potřebovat, můžete jej zablokovat sami a nemusíte čekat, až se tak stane automaticky v lednu 2023. Nejrychlejší a nejúčinnější způsob, jak toho dosáhnout, je používat zásady ověřování, které blokují základní autentizační připojení při prvním kontaktu se službou Exchange Online.
Stačí se přihlásit do centra pro správu Microsoft 365, přejít na Nastavení, Nastavení organizace, Moderní ověřování a zrušením zaškrtnutí políček zablokovat základní ověření pro všechny protokoly, které již nepotřebujete (po lednu 2023 budou tato políčka nefunkční).
Web Service Endpoint
Pro ty z vás, kteří používají Reporting Web Service REST k získání přístupu k protokolům, sledování zpráv a dalším, vězte, že tato služba bude mít i nadále povoleno základní ověření až do 31. prosince 2022 pro všechny zákazníky, bez možnosti odhlášení nebo opětovného povolení.
EOP/SCC PowerShell
Základní ověřování zůstane aktivní do 31. prosince 2022. Zákazníci musí přejít na ověřování založené na certifikátech. Postupujte podle pokynů zde: Autentizace pouze pro aplikaci.
Exchange Online PowerShell
Základní ověřování pro Exchange Online PowerShell se bude řídit pokyny k odhlášení a opětovnému povolení a časovými harmonogramy uvedenými výše. Upozorňujeme, že po lednu 2023 přestane modul Exchange v1 bez MFA trvale fungovat, protože nepodporuje moderní ověřování. Další informace najdete v části Vysvětlení různých verzí modulů Exchange Online PowerShell a základního ověření.
Jedna další důležitá informace související s ověřováním
Do Microsoft 365 bude přidána nová funkce pomáhající zákazníkům vyhnout se rizikům, která představuje základní ověřování. Tato nová funkce mění výchozí chování aplikací Office tak, aby blokovaly výzvy k přihlášení pomocí základního ověřování. Pokud se po této změně uživatelé pokusí otevřít soubory Office na serverech, které používají pouze základní ověřování, neuvidí žádné výzvy k přihlášení k základnímu ověření. Místo toho se jim zobrazí zpráva, že soubor byl zablokován, protože používá metodu přihlášení, která může být nezabezpečená.
Více o této nové funkci si můžete přečíst zde: Základní autentizační výzvy k přihlášení jsou ve výchozím nastavení v Microsoft 365 Apps blokovány.
Souhrn
Toto úsilí trvalo od počáteční komunikace až do současnosti tři roky a ani to nestačilo na to, aby se o této změně dozvěděli všichni zákazníci a podnikli všechny potřebné kroky. Změny v IT mohou být těžké a pandemie změnila priority mnoha z nás, ale všichni chceme to stejné: lepší zabezpečení pro své uživatele a data.
Zákazníci Microsoftu (a samozřejmě i naši zákazníci) jsou pro nás důležití a nechceme, aby čelili kybernetickým hrozbám. Doufáme, že tyto poslední možnosti prodloužení umožní zbývajícím zákazníkům používajícím základní ověření, aby se ho konečně zbavili.
Na konci roku 2022 společně dosáhneme tohoto cíle – zlepšit bezpečnost.