En förändring kommer ske med Exchange Online - fungerar alla era system efter det?
Microsoft 365 har blivit en del av mångas vardag. Med skalbara tjänster för allt från e-post, kalenderfunktioner, dokumentlagring och säkerhetsfunktioner så har mycket av vår vardag idag flyttat in i Microsoft Teams, OneDrive, SharePoint och inte minst, i Exchange Online där vi har vår e-post, kalendrar och kontakter.
Lika självklart som det idag är att ansluta till mailen från datorn är det för de flesta att ansluta från mobilen för att hitta det där telefonnumret eller svara på ett mail på promenaden eller på bussen. Tekniken bakom systemen förändras ständigt och i takt med att säkerhetshoten i världen förändras så behöver också säkerheten i de bakomliggande systemen ständigt förfinas. Precis just det är vad vi nu står inför - nerstängningen av en samling gamla inloggningsvägar till förmån för nyare, säkrare sätt att logga in till plattformarna.
I den här bloggen går jag igenom vad som händer och vad ni, eller du, behöver göra för att säkerställa att allt från fakturautskicken till mailen i era medarbetares mobiler ska fortsätta att fungera. Jag ger också lite av en bakgrund till varför förändringen sker just nu.
Så häng med...
Ett förändrat säkerhetslandskap
Resan mot molnet har aldrig gått fortare. Alla - goda som onda - har tillgång till obegränsad kapacitet och det är i praktiken bara fantasin som sätter gränserna. Dessvärre gäller det även de som vill oss illa, de som vill stjäla och kapitalisera på de investeringar som du och jag gjort i it-infrastruktur men kanske framförallt intellektuellt kapital; det som gör att just du, med er verksamhet, har något unikt.
I Microsoft 365 har det under många år funnits möjligheten att logga in mot sin maillåda med en mängd olika så kallade protokoll - POP3, IMAP, EWS, MAPI och på senare år också det vi samlar under namnet "Modern Authentication". Termen "modern" syftar till att det är inloggningsteknik som kan ställas in att kräva något mer än bara användarnamn och lösenord. Eller kanske till och med slopa lösenordet helt och hållet, det vi kallar för "passwordless". Modern Authentication har funnits ett tag och många organisationer använder det idag, men det innebär inte att de gamla metoderna för att logga in automatiskt har tagits bort. Tvärtom finns de kvar i de allra flesta Microsoft 365-miljöer idag, trots att de inte har stöd för vare sig multifaktorsautentisering eller lösenordsfri inloggning.
Detta innebär en stor risk för de organisationer som väljer att ha det kvar - de blir lätta offer för en angripare som väljer att rikta en attack mot just dessa gamla protokoll för att ta över ett konto och sedan tillskansa sig olika typer av resurser - ibland rena pengar.
Vad händer med Exchange online då?
Microsoft har annonserat ett antal gånger på sin Exchange-blog att man skulle påbörja en nerstängning av dessa gamla protokoll. Den absolut främsta anledningen var, och är, att höja säkerheten i Microsoft 365 generellt, just eftersom Basic eller Legacy Authentication-metoderna inte har stöd för den moderna säkerhet som krävs idag. I bloggposten så kommunicerade man dock i september 2021 att nu, nu var det dags att faktiskt stänga ner dessa protokoll en gång för alla och nu fanns också en tydlig tidsplan för hur detta skulle ske.
Tidsplanen innebär i korthet:
- Från "början av 2022" och fram till 30/9 2022 så kommer man köra "stresstester" av alla miljöer (tenants) genom att stänga av Basic authentication under 12-48 timmar. Under denna tid kan en administratör gå in och begära att få det aktiverat igen om behovet skulle uppstå.
- Absolut senast den 1/10 2022 kommer alla tenants ha Basic Auth avstängt
Men var används Basic Authentication hos oss?
Basic Authentication är ett samlingsnamn för en rad olika protokoll och system. I mitt arbete med kunder har jag stött på många olika typer av applikationer och implementationer där man definitivt inte hade kunnat gissat att det fanns en autentiseringsmekanism som använde, just det, Basic Auth, men som var väldigt kritisk för organisationens "core business".
Några konkreta frågor att ställa sig kan vara:
- Har våra anställda e-post i mobiltelefonerna?
- Har vi några system som hämtar in e-postmeddelanden till sig - allt från ärendehanteringssystem till fakturaprocesshanteringssystem?
- Använder vi bokningsplattor utanför våra konferensrum?
- Har vi någon övervakning av våra system som skickar mail via Microsoft 365?
- Har vi några kopiatorer som skickar scannade dokument som mail?
- Har vi några installationer av Officeprogrammen som är äldre än Office 2013 kvar?
Ja, vi använder det helt säkert, vad gör jag nu?
Oavsett om du kunde svara ja på en eller flera av frågorna ovan så är sannolikheten ganska så stor att ni använder någon form av Basic Authentication i er verksamhet, förmodligen utan att veta om det. Vi vet så mycket som att det kommer att stängas av och därför är det hög tid att hitta ett alternativ. För att veta vad som behöver hanteras så behöver ni inventera. Lämpligast med hjälp av någon form av tekniskt hjälpmedel som verkligen kan visa hur allt hänger ihop. Azure Active Directory har bra inloggningsloggar som i sig kan vara en guide i att se vilka konton som loggar in med Basic Authentication, men Microsoft ger oss än bättre hjälp.
Basic Authentication Monthly Usage Report
För att få en första överblick över hur illa det är i just er organisation rekommenderar jag styra kosan mot Microsoft 365 Message Center. Här finns information om precis allt som har att göra med er tenant och bland annat finns en månatlig rapport över hur mycket som Basic Authentication används i just din miljö den senaste månaden. Det ger dig ett startvärde att utgå ifrån, med siffror och värden för att veta hur man planerar nästa steg.
Kan vi inte bara stänga av det?
Basic Authentication används idag på fler ställen än vad du kanske tänkt på. Över tid så har såväl du som läser det här kanske satt upp olika system, men även andra i din organisation kan ha satt upp system som är helt beroende av att Basic Authentication finns där och fungerar, annars stannar systemet. Hårt.
Det finns naturligtvis olika "skolor" i hur man kan ta sig an en sådan här typ av utmaning men, min rekommendation är att ta reda på fakta först och sedan börja stänga av där det är säkert. Det finns många olika sätt att utföra rapporteringen, men genom att visualisera hur din nerstängning hade slagit, så blir det mycket lättare att planera sina insatser och proaktivt stänga ner konton där Basic Authentication inte används, samtidigt som man strukturerat hanterar konton där det fortsatt används för att få över dem till modernare alternativ.
Hur kan Atea hjälpa till?
Atea har jobbat med många kunder för att hjälpa till på resan över till en modern och säker miljö i såväl Microsoft 365 som Azure AD generellt. Vi har kunnat sätta en metodik som både ger dig som kund en bra överblick över var ni står idag och ger er konkreta verktyg för att veta hur du snabbt kan säkra miljön och er fortsatta produktion.
Basic authentication försvinner - men vi finns här för att hjälpa till!
Hör av dig om du vill ha hjälp, vi finns här för dig.
Maila på basicauth(at)atea.se så hör vi av oss!
