Microsoft 365 / Office 365 にアクセスする方法の1つに「レガシー認証(基本認証)」があります。
このアクセス方法は「条件付きアクセス」や「多要素認証」というセキュリティ機能が効かないため、とても危険なアクセス方法で、サイバー攻撃でよく使用されます。
そのため、レガシー認証を用いた接続を完全にブロックすることをお勧めしています。

レガシー認証基本情報

レガシー認証とは POP や IMAP、SMTP を用いた認証方法です。
旧メールアプリなどで主流であったことから「レガシー」という言葉が利用されているのだと思います。

この認証方法は「条件付きアクセス」や「多要素認証」というセキュリティ機能が効かず、IDとパスワードが分かれば Microsoft 365 へサインインできてしまうため、パスワードスプレー攻撃やブルートフォース攻撃の対象となっています。

レガシー認証ブロックの手順

レガシー認証のブロックは様々な機能で実現できますが、最も一般的な方法は「条件付きアクセス」による完全ブロックです。

  1. Azure Active Directoryにサインイン
    Azureポータル(https://portal.azure.com/)等にサインインし、[Azure Active Directory] を選択します。
  1. 条件付きアクセスの設定画面に遷移
    [セキュリティ]-[条件付きアクセス]-[新しいポリシー]を選択します。
  1. 名前の入力
    ポリシーが一目でわかるように名前を入力します。(例:レガシー認証ブロック など)
  1. ユーザーとグループを設定
    レガシー認証をブロックさせたいユーザーやグループを選択します。

【注意】
全ユーザーを対象とするのが推奨ですが、レガシー認証を使用しているユーザーとアプリケーションがないか確認し、必要に応じて対象外としてください。
使用状況の確認はポリシーの有効化にて「レポート専用」を選択してください。
【参考】
対象と対象外に同じユーザーがいる場合、対象外が適用されます。

  1. クラウドアプリまたは操作を設定
    クラウドアプリから「すべてのクラウドアプリ」を選択します。
  1. 条件を設定
    条件から「クライアントアプリ」を選択します。
    構成を「はい」にして、以下の3つにチェックを付けます。
    ・モバイルアプリとデスクトップクライアント
    ・Exchange Active Sync クライアント
    ・他のクライアント

【注意】
クライアントアプリ(プレビュー)以外の条件項目を設定すると、ブロックができない可能性があります。

  1. 許可を設定
    許可から「アクセスのブロック」を選択します。

【注意】
「アクセスのブロック」以外の方法ではアクセス制御できません。

  1. ポリシーの有効化
    ポリシーの有効化を「オン」にして「作成」をクリックします。

【参考】
レポート専用を選択すると、実際のアクセスブロックはされません。アクセスブロックの対象となるアクセスをログで確認することができます。

レガシー認証は2022年10月に完全廃止されます

レガシー認証を用いたアクセスの殆どが2022年10月に廃止され、一切の接続ができなくなります。
その準備の意味でも、レガシー認証をブロックしていくことをお勧めします。

セキュリティのご相談承ります

レガシー認証のブロックを始めとした、セキュリティに関する相談ができるサービスをご提供しております。課題をお持ちのお客様やセキュリティ診断に興味のあるお客様は、お気軽にご相談ください。

セキュリティデスク サービス
お問い合わせ