Xác thực cơ bản so với xác thực hiện đại và cách kích hoạt tính năng này trong Office 365
Theo một báo cáo của Báo cáo của Verizon, phần lớn các vụ rò rỉ dữ liệu xảy ra do thông tin đăng nhập bị đánh cắp, đặc biệt là trên các máy chủ email. Kỹ thuật xã hội, lừa đảo thông tin đăng nhập và các cuộc tấn công brute force là một số phương pháp được các đối tượng xấu sử dụng để đánh cắp thông tin đăng nhập.
Để nâng cao bảo mật cho việc đăng nhập Office và giúp ngăn chặn các vụ vi phạm dữ liệu, Microsoft đã giới thiệu phương thức xác thực hiện đại. Phương thức này yêu cầu xác thực và ủy quyền bổ sung từ người dùng khi kết nối với các tài nguyên Office 365 trực tuyến.
Do những lợi ích đáng kể của nó, xác thực hiện đại đã được kích hoạt mặc định trên tất cả các tenant Office 365 được tạo kể từ năm 2017. Đây là phương thức đăng nhập duy nhất có sẵn cho các ứng dụng và dịch vụ Office 365. Tuy nhiên, trong các triển khai Office kết hợp giữa môi trường tại chỗ và đám mây, bạn cần kích hoạt xác thực hiện đại thủ công cho các phiên bản khách hàng Office cũ và vô hiệu hóa xác thực cơ bản khi có thể.
Bài viết này cung cấp một cái nhìn tổng quan ngắn gọn về các phương thức xác thực cơ bản và hiện đại cho các triển khai Office kết hợp, đồng thời hướng dẫn các bước để kích hoạt xác thực hiện đại trong Office 365.
Xác thực hiện đại so với xác thực cơ bản
Cho đến khi xác thực cơ bản bị loại bỏ dự kiến vào cuối năm 2022, Microsoft sẽ cung cấp hai loại xác thực cho các triển khai kết hợp của Exchange và Skype for Business: xác thực cơ bản và xác thực hiện đại. Lưu ý rằng khi kết nối với SharePoint Online bằng ứng dụng khách, chỉ có xác thực hiện đại và Trợ lý đăng nhập trực tuyến của Microsoft là có sẵn.
Hai phương thức xác thực này có sự khác biệt lớn về khả năng bảo mật. Mặc dù xác thực cơ bản sẽ bị ngừng hỗ trợ vào cuối năm nay, nhưng điều quan trọng là phải hiểu rõ sự khác biệt giữa hai tùy chọn này.
Xác thực cơ bản là gì?
Xác thực cơ bản là quá trình kết nối với các ứng dụng Office 365 chỉ bằng tên người dùng và mật khẩu. Khi bạn nhập tên người dùng và mật khẩu vào trình khách email, thông tin này sẽ được truyền đến Exchange Online để xác minh và xác thực trước khi kết nối bạn với dịch vụ đám mây.
Đây là phương pháp lỗi thời không còn có thể cung cấp mức độ bảo vệ đủ trước các mối đe dọa liên quan đến thông tin đăng nhập. Một trong những lỗ hổng chính của xác thực cơ bản là các ứng dụng lưu trữ thông tin đăng nhập của người dùng trên thiết bị, tạo ra nhiều cơ hội hơn cho hacker cố gắng đánh cắp mật khẩu. Hơn nữa, nhiều tính năng quản lý danh tính và truy cập của Microsoft, như Truy cập Có Điều kiện (Conditional Access) và xác thực đa yếu tố (MFA), không khả dụng với phương thức xác thực cũ này của Office 365.
Xác thực hiện đại là gì?
Xác thực hiện đại là sự kết hợp của các phương thức xác thực và ủy quyền khác nhau để truy cập các tài nguyên đám mây của Microsoft Office. Xác thực hiện đại dựa trên Thư viện Xác thực Active Directory (ADAL) và OAuth 2.0.
Active Directory Authentication Librarylà công cụ xác thực cho các ứng dụng truy cập tài nguyên được bảo vệ thông qua token bảo mật. Với ADAL, người dùng cũng được hỗ trợ đăng nhập một lần (SSO) để truy cập liền mạch vào các tài nguyên Office 365 có sẵn cho họ.OAuth 2.0là giao thức ủy quyền cho phép người dùng truy cập tài nguyên thông qua ứng dụng khách bằng token truy cập. Khung này liên quan đến việc ủy quyền truy cập và do đó, thông tin đăng nhập của người dùng không được chia sẻ với máy chủ tài nguyên.
Khung xác thực hiện đại bổ sung một lớp bảo mật bổ sung cho người dùng đăng nhập vào các tài nguyên Microsoft 365 của họ từ các ứng dụng khách. Ngoài ra, khung này cho phép kích hoạt xác thực đa yếu tố (MFA) và sử dụng các chính sách Truy cập có điều kiện.
Cách bật xác thực hiện đại trong Office 365
Đối với các tài khoản Microsoft được tạo trước tháng 8 năm 2017, có các phương pháp khác nhau để bật xác thực hiện đại trong Office 365:
Sử dụng Trung tâm quản trị Microsoft 365
Để bật xác thực hiện đại trong Office 365 thông qua Trung tâm quản trị:
- Đăng nhập vào Trung tâm quản trị Microsoft 365.
- Trong thanh điều hướng bên trái, mở rộng
Settingsvà sau đó nhấp vàoOrg settings. - Trong phần
Services, chọnModern authentication. - Chọn hộp kiểm
Turn on modern authentication for Outlook 2013 for Windows and later (recommended). - Nhấp vào
Save.
Sử dụng Exchange Online PowerShell
Thực hiện các bước sau để bật xác thực hiện đại bằng Exchange Online PowerShell:
- Kết nối với Exchange Online PowerShell.
- Chạy lệnh sau cho các khách hàng Outlook 2013 trở lên:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true - Xác minh rằng thay đổi đã thành công và xác thực hiện đại đã được bật bằng lệnh này:
Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
Lưu ý rằng điều này không ngăn bạn sử dụng phương thức xác thực cơ bản. Tuy nhiên, bạn có thể buộc sử dụng xác thực O365 cũ trong Outlook 2013 trở lên bằng cách chạy lệnh:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false
Vô hiệu hóa xác thực cơ bản Office 365
Sau khi bật xác thực hiện đại trong Office 365, bạn có thể vô hiệu hóa các giao thức xác thực cơ bản. Tuy nhiên, bạn cần đảm bảo rằng không có người dùng nào còn sử dụng phương thức này. Thực hiện các bước sau để kiểm tra xem có ai đang sử dụng xác thực cơ bản không:
- Mở tài khoản Microsoft Azure của bạn.
- Truy cập
Azure Active Directory.
- Chọn
Sign-in logstrong thanh điều hướng bên trái. - Thay đổi
Date rangethànhLast 7 dayshoặc cao hơn. - Nhấp vào
Add filters. - Chọn
Client apprồi nhấp vàoApply.
- Nhấp vào bộ lọc mới tạo
Client app. - Đánh dấu vào tất cả các ô dưới
Legacy Authentication Clients - Nhấp vào
Apply.
Danh sách này bao gồm tất cả các sự kiện đăng nhập cùng với người dùng và ứng dụng tương ứng. Trước khi vô hiệu hóa xác thực cơ bản, bạn có thể di chuyển tất cả các ứng dụng này sang các giao thức xác thực hiện đại để không bị mất chúng.
Để vô hiệu hóa xác thực cũ của O365:
- Truy cập trang Trung tâm quản trị Microsoft 365.
- Trong ngăn điều hướng bên trái, mở rộng mục
Settingsvà nhấp vàoOrg settings. - Chọn
Modern authenticationtrong phầnServices. - Bỏ chọn tất cả các ô chọn trong phần
Allow access to basic authentication protocols. - Nhấp vào
Save.
Xác thực hiện đại trong Outlook
Mặc dù các phiên bản Outlook mới nhất hỗ trợ xác thực hiện đại theo mặc định, việc thêm tính năng này vào các phiên bản cũ hơn yêu cầu cấu hình thủ công. Các phiên bản Outlook khác nhau có các yêu cầu khác nhau khi kích hoạt xác thực hiện đại:
Outlook 2010 or earlier:Xác thực hiện đại không được hỗ trợ và bạn cần nâng cấp Outlook để tận dụng tính năng này.Outlook 2013:Xác thực hiện đại có sẵn nhưng không được bật theo mặc định, và bạn nên buộc Outlook sử dụng nó sau khi đã kích hoạt.Outlook 2016 or later + Outlook 365:Xác thực hiện đại có sẵn và được bật theo mặc định.
Bảng dưới đây tóm tắt các yêu cầu của từng phiên bản:
| Phiên bản Outlook | Xác thực hiện đại | Khóa đăng ký EnableADAL | Buộc sử dụng xác thực hiện đại |
| Outlook 2010 | Không được hỗ trợ | Không có sẵn | Không có sẵn |
| Outlook 2013 | Được hỗ trợ | Bắt buộc | Bắt buộc |
| Outlook 2016 | Được hỗ trợ | Không bắt buộc | Không bắt buộc |
| Outlook 2019 | Được hỗ trợ | Không bắt buộc | Không bắt buộc |
| Outlook 365 | Được hỗ trợ | Không bắt buộc | Không bắt buộc |
Xác thực hiện đại trong Outlook 2013
Như đã đề cập trước đó, Outlook 2013 hỗ trợ xác thực hiện đại nhưng mặc định sử dụng xác thực cơ bản. Bạn có thể bật xác thực hiện đại theo cách thủ công.
Để làm điều này, bạn cần thêm các khóa sau vào sổ đăng ký Windows:
| Khóa đăng ký | Loại | Giá trị |
| HKCUSOFTWAREMicrosoftOffice15.0CommonIdentityEnableADAL | REG_DWORD | 1 |
| HKCUSOFTWAREMicrosoftOffice15.0CommonIdentityVersion | REG_DWORD | 1 |
Sau khi thiết lập các khóa này, Microsoft khuyến nghị bạn thêm một khóa đăng ký nữa để buộc Outlook 2013 sử dụng xác thực hiện đại, nhằm tránh việc nó quay trở lại xác thực cơ bản. Khóa bạn nên sử dụng là:
| Khóa đăng ký | Loại | Giá trị |
| HKEY_CURRENT_USERSoftwareMicrosoftExchangeAlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Xác thực hiện đại trong Outlook 2016 trở lên
Mặc dù xác thực hiện đại được bật theo mặc định trong Outlook 2016, nhưng bạn nên buộc sử dụng xác thực hiện đại bằng khóa đăng ký dưới đây:
| Khóa đăng ký | Loại | Giá trị |
| HKEY_CURRENT_USERSoftwareMicrosoftExchangeAlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Xác thực hiện đại trong Skype for Business
Vì xác thực hiện đại bị tắt theo mặc định cho tất cả các tenant Microsoft được tạo trước ngày 1 tháng 8 năm 2017, bạn cần bật nó thủ công. Giống như trong Outlook, bạn có thể bật xác thực hiện đại trong Skype for Business bằng các khóa đăng ký sau:
| Khóa đăng ký | Loại | Giá trị |
| HKEY_CURRENT_USERSoftwarePoliciesMicrosoftOffice15.0Lync AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
| HKEY_CURRENT_USERSoftwarePoliciesMicrosoftOffice16.0Lync AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
Kết luận
Microsoft đang dần loại bỏ phương thức xác thực cũ của O365 vì một bộ thông tin đăng nhập đơn giản không còn đảm bảo được mức độ bảo mật cần thiết. May mắn thay, các biện pháp bảo mật khác vẫn có sẵn, và việc bật xác thực hiện đại trong Office 365 được khuyến nghị. Sau khi bật tính năng này, bạn có thể kích hoạt xác thực đa yếu tố (MFA), thiết lập quyền truy cập và hạn chế quyền truy cập vào các ứng dụng cụ thể cho người dùng.
Tuy nhiên, việc sử dụng một giải pháp sao lưu toàn diện của bên thứ ba sẽ đảm bảo mức độ bảo vệ tối ưu cho môi trường Office 365. Một giải pháp bảo vệ dữ liệu toàn diện như NAKIVO Backup & Replication bao gồm tất cả các công cụ cần thiết để bảo vệ dữ liệu Microsoft 365 trong tổ chức của bạn.
