Alternate ActiveSync を使用する古い Apple 電子メール クライアントは、最新の認証用にアップグレードする必要があります。

Alternate ActiveSync を使用する古い Apple 電子メール クライアントは、最新の認証用にアップグレードする必要があります。

継続的な脅威の下線は、Exchangeオンラインから基本認証を削除する必要があります

今では、マイクロソフトが削除する認識 2022 年 10 月の多くの電子メール接続プロトコルの基本認証 Exchange オンラインの実行に関わるすべての人の心に沈むべきです。これは、メールボックスに接続するために最新の認証を使用するように電子メールクライアントをアップグレードする必要がある大きなプロジェクトです。DEV-0343 などの Office 365 テナントに対するパスワード スプレー攻撃を使用するグループの継続的な活動 (レポート M10月11日クロソフト脅威インテリジェンスセンター) は、Exchange ActiveSync などのプロトコルで基本認証がサポートされている場合に、アカウントに対して存在する実際の脅威に下線を引きます。レポートはまた、次の点を指摘しています。多要素認証 (MFA) が有効になっている Office 365 アカウントは、パスワード スプレーに対して復元力があります。."

アップルの iOS メール クライアントと最新の認証

iOS 用 Apple の電子メール クライアントは、Exchange サーバーと Exchange オンラインの両方で一般的な電子メール クライアントです。iPhoneユーザーであるにもかかわらず、私はOutlookモバイルを好みます。Exchange Online の場合は、次のような機能をサポートしているので、より優れたメール クライアントです。 委任されたアクセス、感度ラベル、および 共有メールボックス.

Apple メール クライアントは EAS を使用して Exchange に接続し、EAS は 2022 年 10 月以降は基本認証をサポートしないプロトコルの 1 つです。実検 アップルのドキュメントでは、Apple が iOS 14 および iPadOS 14 を実行しているデバイスをアップグレードして、最新の認証を自動的に使用するように手配したことが分かります (図 1)。

オンラインでの iOS での OAuth サポートに関する Apple のドキュメント
図 1: Exchange オンラインの iOS での OAuth サポートに関する Apple のドキュメント

良いことは、Apple がメール クライアントが Exchange Online に接続するために最新の認証を使用できることを確認する作業を行ったことです。ドキュメントに記載されている情報の一部が正しくないことを知るまで、すべてが晴れているように見えます(Appleは通知されており、コンテンツを更新中であると思われます。一言で言えば、正しい位置は、Exchangeのアカウントが以前にiOSまたはiPadOS電子メールクライアントで作成された場合です アップルはOAuthのサポートを追加しました (iOS 12)、接続は基本認証を使用します。基本認証は、その時点で可能な唯一の接続であったため、これは論理的です。

最新の認証に移行するには、ユーザーはメール アプリ構成から Exchange アカウントを削除し、Exchange をメール アプリに再度追加する必要があります。iOS 12 以上で実行されているメール アプリが Exchange アカウントを追加すると、最新の認証が使用可能であることを検出し、それを使用します。この操作ではメール アプリの構成が維持され、最新バージョンの iOS にアップグレードするだけでは不十分です。同様に、新しい iOS デバイスを購入し、古いデバイスの iCloud バックアップからそのデバイスの設定を復元する場合、復元ではメール アプリの構成が保持されます。

Azure AD サインイン ログと EAS

一部の組織 Azure AD の条件付きアクセス ポリシーを使用して基本認証をブロックする Microsoft では、一部のテナントで接続プロトコルの基本認証を既にブロックしています。どちらかのシナリオが当てはまる場合、EAS 接続を使用するクライアントは最新の認証を使用する必要があるため、心配する必要はありません。

ただし、現在、EAS の基本認証を組織で許可している場合は、2022 年 10 月に Microsoft がスイッチを切り替える前に、EAS を使用して Apple デバイスを特定して、何らかのアクションが必要かどうかを理解することをお勧めします。誰も彼らが自分のメールボックスに到達できないことを突然発見した、問題のあるユーザーからの呼び出しの束を処理したいとは思いません。

問題のある接続を特定する方法の 1 つは、Azure AD サインイン ログをフィルター処理して、Exchange ActiveSync を使用して行われた接続のレコードを検索することです (図 2)。

従来の Exchange ActiveSync 接続を見つけるための Azure AD サインイン ログのフィルター処理
図 2: 従来の Exchange ActiveSync 接続を見つけるための Azure AD サインイン ログのフィルター処理

サインイン データは 30 日前にさかのぼりますが、ユーザーが最新の認証を有効にするために、IOS メール アプリを削除して読み取る Exchange を使用する必要性を証明する上で非常に役立ちます。たとえば、次の手順に従うと、アカウントがサインインしたときに EAS 接続が変更されます。

  • 従来の EAS 接続を使用して表示されるユーザーを見つけます。
  • iOS メール アプリから Exchange Online メールボックスを削除し (IOS 12 以降を使用)、メールボックスを読み取るをメール アプリに移動します。
  • 30 分ほど待ってから、サインイン データを確認します。iOS メール アプリが最新の認証を使用するようになりましたので、アカウントの新しいレガシ EAS 接続は存在しないはずです。

デバイスパートナーシップと登録デバイス

サインイン ログは、EAS (または他のレガシ プロトコル) を使用して接続するユーザーに関する情報を提供します。Exchange に問い込み、接続に使用される iOS デバイスの特性を調べ、データを拡張できます。基本的なモバイル デバイスサインイン データを実行できるようにするには、EAS (または他のレガシ プロトコル) を使用して接続するユーザーを指定します。基本的なモバイル デバイス管理を実行できるように、Exchange はメールボックスへの接続に使用されるモバイル デバイスを登録します。PowerShell は、iOS デバイスの使用状況を理解するために、Exchange に認識されているデバイスに関するデータを抽出できます。このデータは、使用されるデバイスの種類、オペレーティングシステム、および最初に同期されたデバイスの詳細を示します。最後は重要な情報です。

最初の手順は、デバイスパートナーシップを持つメールボックスを探します。ユーザーが EAS を使用してメールボックスをモバイル デバイスに接続すると、デバイス パートナーシップ (メールボックスとモバイル デバイス間のリンク) が作成されます。デバイスパートナーシップを使用してメールボックスを見つけることができます。 取得 CAS メールボックス コマンドレット。

Exchange Online は、古いデバイス パートナーシップの詳細をクリーンアップしないので、フィルタ処理される残骸がいくつかある可能性があります。2015 年 10 月に初めて Exchange と同期した iPhone 6s モデルに戻るデバイス パートナーシップを持つメールボックスを見つけました。

Outlook モバイルの現在のイテレーションでは、デバイスのパートナーシップを使用していません。ただし、Outlook モバイルは、Outlook モバイルが共有メールボックスに接続するときのエントリを含む、メールボックスで使用されるモバイル デバイスを登録します。

影響を受ける Apple デバイスを見つける

PowerShell を使用してモバイル デバイスの使用状況に関する情報を取得する基本的な方法は次のとおりです。

  • 検査するメールボックスのセットを見つけます。
  • 各メールボックスに、登録済みのモバイル デバイスがあるかどうかを確認します。
  • 各モバイル デバイスについて、デバイスと Exchange とのやり取りの統計情報 (前回の同期の状態など) を取得します。

このコードは、ジョブを実行します。次のメールボックスを検索します。 取得 CAS メールボックス デバイスパートナーシップを持つデバイスのみを返します。使用する場合 ゲットエキソメールボックスでは、デバイスパートナーシップの有無にかかわらず、メールボックスを処理します。抽出されたデータには、アップルとAndroidの両方のデバイスが含まれています。後でフィルターを適用して、調査に値する iOS クライアント用のアイテムを絞り込みますが、レポートやその他の目的で完全なデータ セットを利用できるようにすることは良いことです。

# Extract Exchange Online mobile device information
$Report = [System.Collections.Generic.List[Object]]::new() 
Write-Host "Finding mailboxes with EAS device partnerships..."
[array]$Mbx = Get-CASMailbox -Filter "HasActiveSyncDevicePartnership -eq '$true'" | Get-ExoMailbox
# to check all mailboxes use
# [array]$Mbx = Get-ExoMailbox -RecipientTypeDetails UserMailbox -ResultSize Unlimited
If ($Mbx.Count -eq 0) { Write-Host "No mailboxes with EAS partnerships found - exiting" ; break }
ForEach ($M in $Mbx) {
   Write-Host "Processing devices for" $M.DisplayName
   [array]$Devices = Get-MobileDevice -Mailbox $M.UserPrincipalName
   If ($Devices.Count -gt 0) { 
    ForEach ($Device in $Devices) {
     If ($Device.DeviceType -ne "TestActiveSyncConnectivity") { 
      $DeviceStats = Get-MobileDeviceStatistics -Identity $Device.Guid.toString()
      $DaysSince = "N/A" # Compute number of days since last successful synchonization
      If ([string]::IsNullOrWhiteSpace($DeviceStats.LastSuccessSync) -eq $False) {
         $DaysSince = (New-TimeSpan $DeviceStats.LastSuccessSync).Days }
      $ReportLine = [PSCustomObject]@{
         Mailbox        = $M.UserPrincipalName
         Name           = $M.DisplayName
         "Device Name"  = $Device.FriendlyName
         "Device OS"    = $Device.DeviceOS
         "Device Type"  = $Device.DeviceType
         "Device Model" = $DeviceStats.DeviceModel
         "Device UA"    = $DeviceStats.DeviceUserAgent
         "Device ID"    = $DeviceStats.DeviceId
         "Client"       = $DeviceStats.ClientType
         "Version"      = $Device.ClientVersion
         "First Sync"   = $Device.FirstSyncTime
         "Last Sync"    = $DeviceStats.LastSuccessSync 
         "Days Since"   = $DaysSince }
     $Report.Add($ReportLine) } # End if
    } # End Foreach Devices
   } # End if
} # End Foreach Mailbox

セットを絞り込むには、EAS クライアントに対してログに記録されたレコードを探します。また、ユーザーが置き換えた古いデバイスのレコードが古いデバイスの場合があるため、しばらく同期していないデバイスは無視することをお勧めします。たとえば、"iOS" のようなデバイスオペレーティング システムで同期が 60 日以内の EAS クライアントを実行しているデバイスに対するフィルタ照合は、iOS デバイスのレコードセットを生成します。

# Filter for iOS devices
[array]$EASDevices = $Report | ? {$_.Client -eq "EAS" -and $_."Days Since" -le 60 -and $_."Device OS" -like "*iOS*"}

その後、データを CSV ファイルにエクスポートしたり、 アウトグリッドビュー 調査する必要があるデバイスの数を理解します (図 3)。

Exchange アクティブシンクを使用して iOS デバイスに焦点を当てる
図 3: Exchange ActiveSync を使用して iOS デバイスに焦点を当てる

アップル発売 iOS 12 からお客様へ 2018 年 9 月 17 日.その日以前に Exchange Online と最初に同期されたデバイスは、基本認証を使用します (レポートの[最初の同期]フィールドを参照)。ユーザーが iOS 12 以降を実行している iOS デバイスを構成した場合は、最新の認証を使用する必要があります。任意のマイクロソフト 365 アカウント 多要素認証用に構成 は、最新の認証を使用します。

アップルのiOSアカウントアプリ

Apple デバイスで最新の認証を使用するには、iOS アカウントという名前の Azure AD サービス プリンシパル (エンタープライズ アプリ) が必要です。Apple は、サービス プリンシパルを使用して、アカウント情報を取得し、Microsoft Graph API を使用して EAS を使用してユーザーのメールボックスにアクセスする同意を得ます (図 4)。iOS デバイスが初めて認証に OAuth を使用しようとすると、プロセスは Azure AD にサービス プリンシパルを作成し、データへのアクセスに使用されるアクセス許可の同意を求めます。組織がユーザーにアプリへのアクセス許可の付与を許可することを許可しない限り (本当に悪い考え)、管理者は同意を与える必要があります。管理者の同意は、組織内のすべてのユーザーを対象とします。

Exchange アクティブシンク アクセスを有効にするために Azure AD に登録された Apple のサービス プリンシパル
図 4: Exch を有効にするために Azure AD に登録された Apple のサービス プリンシパルアンジュ アクティブシンク アクセス

PowerShell を使用してアプリの存在を確認することもできます。図 3 に示すように、アプリ名は “iOS アカウント" です。他のテナントでは、アプリ名が「Apple インターネット アカウント」であることを知っています。2 つの名前が使用される理由についてはわかりませんが、どちらの場合も同じアプリケーション識別子を探すことで両方を確認できます。

Get-AzureADServicePrincipal -All $True | ? {$_.AppId -eq "f8d98a96-0999-43f5-8af3-69971c7bb423" }
ObjectId                             AppId                                DisplayName
--------                             -----                                -----------
666b66b2-daae-482c-b844-857a7977c327 f8d98a96-0999-43f5-8af3-69971c7bb423 iOS Accounts

現代認証への道のり

Exchange Online メールボックスを使用した Apple デバイスの使用状況の報告は、更新するアカウントの決定的なセットではなく、調査の開始点です。Azure AD データの分析と、最初に Exchange Online と同期された iOS デバイスに関する情報を組み合わせると、確認用のアカウントの一覧が作成されます。

モバイルデバイスを扱うことは、基本認証とその固有の攻撃に対する弱点を排除するための道のりの1つに過ぎません。現代の認証の勇敢な新しい世界のために基本認証を使用して、モバイル デバイスを準備するための作業を開始するいくつかのデータを持つことは素晴らしいことです。iOSだけではないことを覚えておいてください。EAS を使用するすべての電子メール クライアントを調べて、最新の認証を使用できることを確認する必要があります。


Microsoft 365 エコシステムの変化する世界に対応するには、 IT 担当者向け Office 365 電子書籍。毎月の更新は、加入者が新しい開発について学ぶことを意味します。


未分類

Posted by admin