zum Inhalt springen
Kontakt

Abschaltung der Basis-Authentifizierung in Microsoft Exchange Online

Mirjam Rohrer
Exchange_1200x600

Am 1. Oktober 2022 ist es soweit: Die Basis-Authentifizierung (Basic Auth) in Microsoft Exchange Online wird abgeschaltet.

Viele unserer Kundinnen und Kunden haben sich bereits darauf vorbereitet und ihre Clients sowie Anwendungen von Basic auf Modern Authentication umgestellt. Dennoch gibt es einige, die diesen Schritt noch nicht vollzogen haben. Deswegen zeigen wir in diesem Artikel, welche Konsequenzen damit verbunden sind.

Warum umsteigen?

Einer der wichtigsten Gründe ist die Sicherheit: Basic Auth steht bei vielen Cyberangriffen immer noch im Fokus und ist mitunter die häufigste Art, wie Identitäten kompromittiert werden. Baisc Auth ist eine veraltete Technologie zum Authentifizieren eines Benutzers. Einer der grossen Nachteile ist das Basic Auth keinen zweiten Faktor zur Anmeldung unterstützt. Solange diese Möglichkeit zur Authentifizierung nicht abgeschaltet ist, können Angreifer nur mit Benutzername und Passwort auf E-Mails der Benutzer zugreifen, auch wenn MFA aktiviert wurde.
Microsoft hat nach eigenen Angaben Basic Auth bereits in mehreren Millionen von Tenants abgeschaltet, sofern diese Basic Auth zum Zeitpunkt der Abschaltung nicht verwendet hatten.

Was sind die Vorteile von Modern Authentication?

  • Es wird lokal auf dem Client nicht mehr das Passwort, sondern nur ein Token gespeichert. Dieser Token lässt sich zentral als ungültig markieren.
  • Multi-Faktor-Authentifizierung (MFA) ist mit Modern Authentication möglich.

Ab wann wird Basic Auth abgeschaltet?

Ab dem 1. Oktober 2022 wird Microsoft damit beginnen, Basic Auth abzuschalten. Dieser Prozess wird voraussichtlich bis Ende Jahr andauern. Welche Tenants zu welchem Zeitpunkt davon betroffen sind, lässt sich nicht voraussagen, da Microsoft diese nach dem Zufallsprinzip auswählt.

Welche Applikationen sind davon betroffen?

Basic Authentication wird für folgende Protokolle abgeschaltet: MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) und Remote PowerShell. Sämtliche Applikationen, welche die aufgeführten Protokolle verwenden, sind davon betroffen. Dies sind zum Beispiel folgende:

  • Applikationen, welche Rechnungen automatisch verarbeiten und diese PDF-Dateien in einem E-Mail via POP oder IMAP abholen
  • Outlook unterstützt Modern Authentication ab Version 2013. Weitere Details finden Sie unter Modern Auth

Beim Apple Update iOS 15.6 ist die automatische Migration enthalten. Damit dies reibungslos funktioniert, müssen zusätzlich Anpassungen im Microsoft 365 Tenant vorgenommen werden. Weitere Details finde Sie unter Exchange Online Apple iOS. Informationen zu den verschiedenen Apple Betriebssystemen finden Sie bei Apple unter Apple Betriebssysteme.

So erfahren Sie, ob Sie noch Basic Auth verwenden

Am besten schauen Sie in die Azure Active Directory Anmeldeprotokolle (Sign-in logs) und filtern diese nach Client Apps. Überprüfen Sie anschliessend die Kästchen für die betroffenen Protokolle unter «Legacy Authentication Clients». So kann identifiziert werden, ob Basic Auth noch verwendet wird und durch welchen Benutzer sowie welche Client App. Diese Daten können mit der «Azure AD free»-Lizenz für die letzten 7 Tage und mit einer «Azure AD P1»-Lizenz oder höher für die letzten 30 Tage abgefragt werden. Die Prüfung muss für interaktive und nicht interaktive Anmeldungen erfolgen.

Hat der Tenant sehr viele Benutzer, die noch Basic Auth verwenden, so kann die oben gezeigte Übersicht unübersichtlich sein. In diesem Fall können Sie die Anmeldeprotokolle an einen Log Analytics Workspace in Azure senden und die Daten in einem interaktiven Dashboard (Sign-ins using Legacy Authentication) anzeigen lassen. In einem solchen Log Analytics Workspace können die Daten länger als 30 Tage aufbewahrt werden. Auch hier muss die Prüfung für interaktiv und nicht interaktiv erfolgen.

Was passiert, wenn nicht auf Modern Auth umgestellt wurde?

Jeder Client, der noch Basic Auth verwendet, wird keine Verbindung herstellen können. Die Anwendung wird dann einen «HTTP 401 Unauthorized»-Fehler ausgeben.

Weitere Informationen: