禁用旧版身份验证可提升Microsoft 365安全性。首先通过Microsoft 365 Defender启用阻止策略,再使用PowerShell禁用MAPI等协议,最后配置Azure AD条件访问策略拒绝旧版客户端连接。
如果您在管理 Microsoft 365 环境时发现存在安全风险,可能是由于旧版身份验证协议仍在启用状态。这些协议不支持多因素认证(MFA),容易成为攻击入口。以下是禁用旧版身份验证的具体操作步骤。
本文运行环境:Dell XPS 13,Windows 11
一、通过Microsoft 365 Defender门户禁用旧版身份验证
Microsoft 365 Defender 提供了集中式安全设置管理功能,可通过策略直接阻止旧版身份验证尝试。
1、登录到 https://security.microsoft.com 使用全局管理员账户。
2、导航至“策略”下的“条件访问”,选择“旧版身份验证”策略。
3、将策略状态设置为“启用”,并选择“阻止”作为操作方式。
4、在“用户和组”中指定需要应用此策略的账户范围。
5、保存策略更改并等待几分钟使其生效。
二、使用PowerShell命令批量配置注册表策略
对于本地客户端仍尝试使用旧版身份验证的情况,可通过组策略对象(GPO)或 PowerShell 配置注册表项来禁止相关应用行为。
1、打开 PowerShell 并以管理员权限运行。
2、执行以下命令安装 ExchangeOnlineManagement 模块:Install-Module -Name ExchangeOnlineManagement。
3、连接到 Exchange Online:Connect-ExchangeOnline -UserPrincipalName admin@contoso.com。
4、运行命令 Get-CASMailbox | Where-Object {$_.MapiEnabled -eq $true} 查找启用 MAPI 的邮箱。
5、对每个结果执行 Set-CASMailbox -Identity "user@contoso.com" -MapiEnabled $false 禁用对应协议。
三、配置Azure Active Directory条件访问策略
通过 Azure AD 条件访问,可以基于身份验证类型创建精细控制规则,明确阻止来自非现代身份验证客户端的请求。
1、登录 Azure 门户并进入“Azure Active Directory”服务。
2、选择“安全”下的“条件访问”,点击“新建策略”。
3、为策略命名,例如“阻止旧版身份验证”。
4、在“用户和组”中添加目标用户集合。
5、在“云应用或操作”中选择所需 Microsoft 365 应用程序。
6、在“条件”部分展开“客户端应用”,勾选“Exchange ActiveSync”、“其他客户端”等旧版通道。
7、在“访问控制”中选择“拒绝”,然后启用策略并保存。
