Deaktivieren der Standardauthentifizierung in Exchange OnlineDisable Basic authentication in Exchange Online

Die Standardauthentifizierung in Exchange Online verwendet einen Benutzernamen und ein Kennwort für Clientzugriffs Anforderungen.Basic authentication in Exchange Online uses a username and a password for client access requests. Das Blockieren der Standardauthentifizierung kann zum Schutz Ihrer Exchange Online Organisation vor Brute-Force-oder Pass Wort Sprüh Angriffen beitragen.Blocking Basic authentication can help protect your Exchange Online organization from brute force or password spray attacks. Wenn Sie die Standardauthentifizierung für Benutzer in Exchange Online deaktivieren, müssen Ihre e-Mail-Clients und Apps die moderne Authentifizierung unterstützen.When you disable Basic authentication for users in Exchange Online, their email clients and apps must support modern authentication. Diese Clients sind:Those clients are:

Wenn Ihre Organisation keine vorversions-e-Mail-Clients hat, können Sie Authentifizierungsrichtlinien in Exchange Online verwenden, um grundlegende Authentifizierungsanforderungen zu deaktivieren, wodurch alle Clientzugriffs Anforderungen für die Verwendung der modernen Authentifizierung erzwungen werden.If your organization has no legacy email clients, you can use authentication policies in Exchange Online to disable Basic authentication requests, which forces all client access requests to use modern authentication. Weitere Informationen zur modernen Authentifizierung finden Sie unter verwenden Office 365 modernen Authentifizierung mit Office-Clients.For more information about modern authentication, see Using Office 365 modern authentication with Office clients.

In diesem Thema wird erläutert, wie die Standardauthentifizierung in Exchange Online und die entsprechenden Verfahren für Authentifizierungsrichtlinien verwendet und blockiert werden.This topic explains how Basic authentication is used and blocked in Exchange Online, and the corresponding procedures for authentication policies.

Funktionsweise der Standardauthentifizierung in Exchange OnlineHow Basic authentication works in Exchange Online

Die Standardauthentifizierung wird auch als Proxyauthentifizierung bezeichnet, da der e-Mail-Client den Benutzernamen und das Kennwort an Exchange Online überträgt und die Anmeldeinformationen an einen autorisierenden Identitätsanbieter weiterleitet oder Exchange Online __ im Namen des e-Mail-Clients oder der app.Basic authentication is also known as proxy authentication because the email client transmits the username and password to Exchange Online, and Exchange Online forwards or proxies the credentials to an authoritative identity provider (IdP) on behalf of the email client or app. Die IDP hängt von dem Authentifizierungsmodell Ihrer Organisation ab:The IdP depends your organization's authentication model:

  • Cloud-Authentifizierung: die IDP ist Azure Active Directory.Cloud authentication: The IdP is Azure Active Directory.

  • Verbundauthentifizierung: bei der IDP handelt es sich um eine lokale Lösung wie Active Directory Verbunddienste (AD FS).Federated authentication: The IdP is an on-premises solution like Active Directory Federation Services (AD FS).

Diese Authentifizierungsmodelle werden in den folgenden Abschnitten beschrieben.These authentication models are described in the following sections.

Cloud-AuthentifizierungCloud authentication

Die Schritte zur Cloud-Authentifizierung werden im folgenden Diagramm beschrieben:The steps in cloud authentication are described in the following diagram:

Grundlegende Schritte für die Cloud-basierte Authentifizierung und die Blockierung der Standardauthentifizierung.

  1. Der e-Mail-Client sendet den Benutzernamen und das Kennwort an Exchange Online.The email client sends the username and password to Exchange Online.

    Hinweis: Wenn die Standardauthentifizierung blockiert ist, wird Sie in diesem Schritt blockiert.Note: When Basic authentication is blocked, it's blocked at this step.

  2. Exchange Online sendet den Benutzernamen und das Kennwort an Azure Active Directory.Exchange Online sends the username and password to Azure Active Directory.

  3. Azure Active Directory gibt ein Benutzerticket für Exchange Online zurück, und der Benutzer wird authentifiziert.Azure Active Directory returns a user ticket to Exchange Online and the user is authenticated.

VerbundauthentifizierungFederated authentication

Die Schritte bei der Verbundauthentifizierung werden im folgenden Diagramm beschrieben:The steps in federated authentication are described in the following diagram:

Grundlegende Schritte für die Verbundauthentifizierung und die Blockierung der Standardauthentifizierung

  1. Der e-Mail-Client sendet den Benutzernamen und das Kennwort an Exchange Online.The email client sends the username and password to Exchange Online.

    Hinweis: Wenn die Standardauthentifizierung blockiert ist, wird Sie in diesem Schritt blockiert.Note: When Basic authentication is blocked, it's blocked at this step.

  2. Exchange Online sendet den Benutzernamen und das Kennwort an die lokale IDP.Exchange Online sends the username and password to the on-premises IdP.

  3. Exchange Online erhält ein SAML-Token (Security Assertion Markup Language) von der lokalen IDP.Exchange Online receives a Security Assertion Markup Language (SAML) token from the on-premises IdP.

  4. Exchange Online sendet das SAML-Token an Azure Active Directory.Exchange Online sends the SAML token to Azure Active Directory.

  5. Azure Active Directory gibt ein Benutzerticket für Exchange Online zurück, und der Benutzer wird authentifiziert.Azure Active Directory returns a user ticket to Exchange Online and the user is authenticated.

So wird die Standardauthentifizierung in Exchange Online blockiertHow Basic authentication is blocked in Exchange Online

Sie blockieren die Standardauthentifizierung in Exchange Online durch Erstellen und Zuweisen von Authentifizierungsrichtlinien zu einzelnen Benutzern.You block Basic authentication in Exchange Online by creating and assigning authentication policies to individual users. Die Richtlinien definieren die Clientprotokolle, bei denen die Standardauthentifizierung blockiert wird, und das Zuweisen der Richtlinie zu einem oder mehreren Benutzern blockiert deren grundlegende Authentifizierungsanforderungen für die angegebenen Protokolle.The policies define the client protocols where Basic authentication is blocked, and assigning the policy to one or more users blocks their Basic authentication requests for the specified protocols.

Wenn er blockiert ist, wird die Standardauthentifizierung in Exchange Online beim ersten Schritt vor der Authentifizierung (Schritt 1 in den vorherigen Diagrammen) blockiert, bevor die Anforderung Azure Active Directory oder die lokale IDP erreicht.When it's blocked, Basic authentication in Exchange Online is blocked at the first pre-authentication step (Step 1 in the previous diagrams) before the request reaches Azure Active Directory or the on-premises IdP. Der Vorteil dieses Ansatzes ist, dass Brute-Force-oder Pass Wort Sprüh Angriffe die IDP nicht erreichen (was möglicherweise Kontosperrungen aufgrund falscher Anmeldeversuche auslösen könnte).The benefit of this approach is brute force or password spray attacks won't reach the IdP (which might trigger account lock-outs due to incorrect login attempts).

Da Authentifizierungsrichtlinien auf Benutzerebene ausgeführt werden, können Exchange Online nur grundlegende Authentifizierungsanforderungen für Benutzer blockieren, die in der Cloud-Organisation vorhanden sind.Because authentication policies operate at the user level, Exchange Online can only block Basic authentication requests for users that exist in the cloud organization. Wenn ein Benutzer für die Verbundauthentifizierung nicht in Exchange Online vorhanden ist, werden der Benutzername und das Kennwort an die lokale IDP weitergeleitet.For federated authentication, if a user doesn't exist in Exchange Online, the username and password are forwarded to the on-premises IdP. Sehen Sie sich beispielsweise das folgende Szenario an:For example, consider the following scenario:

  1. Eine Organisation verfügt über die Verbunddomäne contoso.com und verwendet lokale AD FS für die Authentifizierung.An organization has the federated domain contoso.com and uses on-premises AD FS for authentication.

  2. Der Benutzer Ian@contoso.com ist in der lokalen Organisation vorhanden, jedoch nicht in Office 365 (es gibt kein Benutzerkonto in Azure Active Directory und kein Recipient-Objekt in der Exchange Online globalen Adressliste).The user ian@contoso.com exists in the on-premises organization, but not in Office 365 (there's no user account in Azure Active Directory and no recipient object in the Exchange Online global address list).

  3. Ein e-Mail-Client sendet eine Anmeldeanforderung an Exchange Online mit dem Benutzernamen Ian@contoso.com.An email client sends a login request to Exchange Online with the username ian@contoso.com. Eine Authentifizierungsrichtlinie kann nicht auf den Benutzer angewendet werden, und die Authentifizierungsanforderung für Ian@contoso.com wird an das lokale AD FS gesendet.An authentication policy can't be applied to the user, and the authentication request for ian@contoso.com is sent to the on-premises AD FS.

  4. Das lokale AD FS kann die Authentifizierungsanforderung für Ian@contoso.com entweder annehmen oder ablehnen.The on-premises AD FS can either accept or reject the authentication request for ian@contoso.com. Wenn die Anforderung akzeptiert wird, wird ein SAML-Token an Exchange Online zurückgegeben.If the request is accepted, a SAML token is returned to Exchange Online. Solange der unveränderliche Wert des SAML-Tokens einem Benutzer in Azure Active Directory entspricht, gibt Azure AD ein Benutzerticket für Exchange Online aus (der unveränderliche Wert wird während des Azure-Active Directory Connect-Setups festgelegt).As long as the SAML token's ImmutableId value matches a user in Azure Active Directory, Azure AD will issue a user ticket to Exchange Online (the ImmutableId value is set during Azure Active Directory Connect setup).

In diesem Szenario, wenn contoso.com einen lokalen AD FS-Server für die Authentifizierung verwendet, erhält der lokale AD FS-Server weiterhin Authentifizierungsanforderungen für nicht vorhandene Benutzernamen von Exchange Online während eines Kenn Wort Sprüh Angriffs.In this scenario, if contoso.com uses on-premises AD FS server for authentication, the on-premises AD FS server will still receive authentication requests for non-existent usernames from Exchange Online during a password spray attack.

Authentifizierungsrichtlinien Verfahren in Exchange OnlineAuthentication policy procedures in Exchange Online

Sie verwalten alle Aspekte von Authentifizierungsrichtlinien in Exchange Online PowerShell.You manage all aspects of authentication policies in Exchange Online PowerShell. Die Protokolle und Dienste in Exchange Online, für die Sie die Standardauthentifizierung blockieren können, werden in der folgenden Tabelle beschrieben.The protocols and services in Exchange Online that you can block Basic authentication for are described in the following table.

Protokoll oder DienstProtocol or service BeschreibungDescription ParameternameParameter name
Exchange Active Sync (EAS)Exchange Active Sync (EAS) Wird von einigen e-Mail-Clients auf mobilen Geräten verwendet.Used by some email clients on mobile devices. AllowBasicAuthActiveSyncAllowBasicAuthActiveSync
AutoErmittlungAutodiscover Wird von Outlook-und EAS-Clients zum Suchen und verbinden mit Postfächern in Exchange OnlineUsed by Outlook and EAS clients to find and connect to mailboxes in Exchange Online AllowBasicAuthAutodiscoverAllowBasicAuthAutodiscover
IMAP4IMAP4 Wird von IMAP-e-Mail-Clients verwendet.Used by IMAP email clients. AllowBasicAuthImapAllowBasicAuthImap
MAPI über HTTP (MAPI/http)MAPI over HTTP (MAPI/HTTP) Wird von Outlook 2013 und höher verwendet.Used by Outlook 2013 and later. AllowBasicAuthMapiAllowBasicAuthMapi
Offline Address Book (OAB)Offline Address Book (OAB) Eine Kopie der Adresslisten Sammlungen, die von Outlook heruntergeladen und verwendet werden.A copy of address list collections that are downloaded and used by Outlook. AllowBasicAuthOfflineAddressBookAllowBasicAuthOfflineAddressBook
Outlook-DienstOutlook Service Wird von der Mail-und Kalender-APP für Windows 10 verwendet.Used by the Mail and Calendar app for Windows 10. AllowBasicAuthOutlookServiceAllowBasicAuthOutlookService
POP3POP3 Wird von Pop-e-Mail-Clients verwendet.Used by POP email clients. AllowBasicAuthPopAllowBasicAuthPop
Berichts WebdiensteReporting Web Services Dient zum Abrufen von Berichtsdaten in Exchange Online.Used to retrieve report data in Exchange Online. AllowBasicAuthReportingWebServicesAllowBasicAuthReportingWebServices
Outlook Anywhere (RPC über HTTP)Outlook Anywhere (RPC over HTTP) Wird von Outlook 2016 und früher verwendet.Used by Outlook 2016 and earlier. AllowBasicAuthRpcAllowBasicAuthRpc
Authentifiziertes SMTPAuthenticated SMTP Wird von Pop-und IMAP-Clients zum Senden von e-Mail-Nachrichten verwendet.Used by POP and IMAP client's to send email messages. AllowBasicAuthSmtpAllowBasicAuthSmtp
Exchange-Webdienste (Exchange Web Services, EWS)Exchange Web Services (EWS) Eine Programmierschnittstelle, die von Outlook-, Outlook für Mac-und Drittanbieter-Apps verwendet wird.A programming interface that's used by Outlook, Outlook for Mac, and third-party apps. AllowBasicAuthWebServicesAllowBasicAuthWebServices
PowerShellPowerShell Wird verwendet, um mit Remote-PowerShell eine Verbindung mit Exchange Online herzustellen.Used to connect to Exchange Online with remote PowerShell. Wenn Sie die Standardauthentifizierung für Exchange Online PowerShell blockieren, müssen Sie das Exchange Online PowerShell-Modul verwenden, um eine Verbindung herzustellen.If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect. Anweisungen finden Sie unter Verbinden mit Exchange Online PowerShell per mehrstufiger Authentifizierung.For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication. AllowBasicAuthPowerShellAllowBasicAuthPowerShell

Wenn Sie die Standardauthentifizierung für einen Benutzer blockieren, wird in der Regel empfohlen, die Standardauthentifizierung für alle Protokolle zu blockieren.Typically, when you block Basic authentication for a user, we recommend that you block Basic authentication for all protocols. Sie können jedoch die *AllowBasicAuth* * -Parameter (Switches) für die Cmdlets New-AuthenticationPolicy und Sets-AuthenticationPolicy verwenden, um die Standardauthentifizierung für bestimmte Protokolle selektiv zuzulassen oder zu blockieren.However, you can use the AllowBasicAuth* parameters (switches) on the New-AuthenticationPolicy and Set-AuthenticationPolicy cmdlets to selectively allow or block Basic authentication for specific protocols.

Für e-Mail-Clients und apps, die keine moderne Authentifizierung unterstützen, müssen Sie die Standardauthentifizierung für die Protokolle und Dienste zulassen, die Sie benötigen.For email clients and apps that don't support modern authentication, you need to allow Basic authentication for the protocols and services that they require. Diese Protokolle und Dienste werden in der folgenden Tabelle beschrieben:These protocols and services are described in the following table:

ClientClient Protokolle und DiensteProtocols and services
Ältere EWS-ClientsOlder EWS clients • AutoErmittlung• Autodiscover
• EWS• EWS
Ältere ActiveSync-ClientsOlder ActiveSync clients • AutoErmittlung• Autodiscover
• ActiveSync• ActiveSync
Pop-ClientsPOP clients • POP3• POP3
• Authentifiziertes SMTP• Authenticated SMTP
IMAP-ClientsIMAP clients • IMAP4• IMAP4
• Authentifiziertes SMTP• Authenticated SMTP

Hinweis

Durch das Blockieren der Standardauthentifizierung werden App-Kennwörter in Exchange Online blockiert.Blocking Basic authentication will block app passwords in Exchange Online. Weitere Informationen zu app-Kennwörtern finden Sie unter Erstellen eines App-Kennworts für Office 365.For more information about app passwords, see Create an app password for Office 365.

Was sollten Sie wissen, bevor Sie beginnen?What do you need to know before you begin?

Erstellen und Anwenden von AuthentifizierungsrichtlinienCreate and apply authentication policies

Die Schritte zum Erstellen und Anwenden von Authentifizierungsrichtlinien zum Blockieren der Standardauthentifizierung in Exchange Online lauten wie folgt:The steps to create and apply authentication policies to block Basic authentication in Exchange Online are:

  1. Erstellen Sie die Authentifizierungsrichtlinie.Create the authentication policy.

  2. Weisen Sie die Authentifizierungsrichtlinie Benutzern zu.Assign the authentication policy to users.

  3. Warten Sie 24 Stunden, bis die Richtlinie auf Benutzer angewendet wird, oder erzwingen Sie die sofortige Anwendung der Richtlinie.Wait 24 hours for the policy to be applied to users, or force the policy to be immediately applied.

Diese Schritte werden in den folgenden Abschnitten beschrieben.These steps are described in the following sections.

Schritt 1: Erstellen der AuthentifizierungsrichtlinieStep 1: Create the authentication policy

Verwenden Sie die folgende Syntax, um eine Richtlinie zu erstellen, die die Standardauthentifizierung für alle verfügbaren Clientprotokolle in Exchange Online (die empfohlene Konfiguration) blockiert:To create a policy that blocks Basic authentication for all available client protocols in Exchange Online (the recommended configuration), use the following syntax:

New-AuthenticationPolicy -Name "<Descriptive Name>"

In diesem Beispiel wird eine Authentifizierungsrichtlinie mit dem Namen Block Basic Auth erstellt.This example creates an authentication policy named Block Basic Auth.

New-AuthenticationPolicy -Name "Block Basic Auth"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-AuthenticationPolicy.For detailed syntax and parameter information, see New-AuthenticationPolicy.

Hinweise:Notes:

  • Sie können den Namen der Richtlinie nicht mehr ändern, nachdem Sie Sie erstellt haben (der Parameter Name ist im Cmdlet setAuthenticationPolicy nicht verfügbar). ****You can't change the name of the policy after you create it (the Name parameter isn't available on the Set-AuthenticationPolicy cmdlet).

  • Informationen zum Aktivieren der Standardauthentifizierung für bestimmte Protokolle in der Richtlinie finden Sie im Abschnitt Ändern von Authentifizierungsrichtlinien weiter unten in diesem Thema.To enable Basic authentication for specific protocols in the policy, see the Modify authentication policies section later in this topic. Die gleichen Protokolleinstellungen sind für die Cmdlets New-AuthenticationPolicy und setAuthenticationPolicy verfügbar, und die Schritte zum Aktivieren der Standardauthentifizierung für bestimmte Protokolle sind für beide Cmdlets identisch.The same protocol settings are available on the New-AuthenticationPolicy and Set-AuthenticationPolicy cmdlets, and the steps to enable Basic authentication for specific protocols are the same for both cmdlets.

Schritt 2: Zuweisen der Authentifizierungsrichtlinie zu BenutzernStep 2: Assign the authentication policy to users

Die Methoden, die Sie verwenden können, um Benutzern Authentifizierungsrichtlinien zuzuweisen, werden in diesem Abschnitt beschrieben:The methods that you can use to assign authentication policies to users are described in this section:

  • Einzelne Benutzerkonten: Verwenden Sie die folgende Syntax:Individual user accounts: Use the following syntax:

    Set-User -Identity <UserIdentity> -AuthenticationPolicy <PolicyIdentity>
    

    In diesem Beispiel wird die Richtlinie mit dem Namen Block Basic Auth dem Benutzerkonto Laura@contoso.com zugewiesen.This example assigns the policy named Block Basic Auth to the user account laura@contoso.com.

    Set-User -Identity laura@contoso.com -AuthenticationPolicy "Block Basic Auth"
    
  • Filtern von Benutzerkonten nach Attributen: für diese Methode ist es erforderlich, dass die Benutzerkonten alle ein eindeutiges filterbares Attribut (beispielsweise Titel oder Abteilung) gemeinsam verwenden, mit dem Sie die Benutzer identifizieren können.Filter user accounts by attributes: This method requires that the user accounts all share a unique filterable attribute (for example, Title or Department) that you can use to identify the users. Die Syntax verwendet die folgenden Befehle (zwei zur Identifizierung der Benutzerkonten und die andere, um die Richtlinie auf diese Benutzer anzuwenden):The syntax uses the following commands (two to identify the user accounts, and the other to apply the policy to those users):

    $<VariableName1> = Get-User -ResultSize unlimited -Filter <Filter>
    $<VariableName2> = $<VariableName1>.MicrosoftOnlineServicesID
    $<VariableName2> | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    

    In diesem Beispiel wird die Richtlinie Block Basic Auth allen Benutzerkonten zugewiesen, deren Title -Attribut den Wert "Sales Associate" enthält.This example assigns the policy named Block Basic Auth to all user accounts whose Title attribute contains the value "Sales Associate".

    $SalesUsers = Get-User -ResultSize unlimited -Filter {(RecipientType -eq 'UserMailbox') -and (Title -like '*Sales Associate*')}
    $Sales = $SalesUsers.MicrosoftOnlineServicesID
    $Sales | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    
  • Verwenden einer Liste bestimmter Benutzerkonten: für diese Methode ist eine Textdatei erforderlich, um die Benutzerkonten zu identifizieren.Use a list of specific user accounts: This method requires a text file to identify the user accounts. Werte, die keine Leerzeichen enthalten (beispielsweise das Office 365 Arbeits-oder Schulkonto), funktionieren am besten.Values that don't contain spaces (for example, the Office 365 work or school account) work best. Die Textdatei muss ein Benutzerkonto in jeder Zeile wie die folgende enthalten:The text file must contain one user account on each line like this:

    akol@contoso.com

    tjohnston@contoso.com

    kakers@contoso.com

    Die Syntax verwendet die folgenden beiden Befehle (eine zum Identifizieren der Benutzerkonten und die andere zum Anwenden der Richtlinie auf diese Benutzer):The syntax uses the following two commands (one to identify the user accounts, and the other to apply the policy to those users):

    $<VariableName> = Get-Content "<text file>"
    $<VariableName> | foreach {Set-User -Identity $_ -AuthenticationPolicy <PolicyIdentity>}
    

    In diesem Beispiel wird die Richtlinie mit dem Namen Block Basic Auth den in der Datei C:\My angegebenen Benutzerkonten zugewiesen Documents\BlockBasicAuth.txt.This example assigns the policy named Block Basic Auth to the user accounts specified in the file C:\My Documents\BlockBasicAuth.txt.

    $BBA = Get-Content "C:\My Documents\BlockBasicAuth.txt"
    $BBA | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    
  • Lokale Active Directory Benutzerkonten filtern, die mit Exchange Online synchronisiert werden: Ausführliche Informationen finden Sie in diesem Thema im Abschnitt " lokal Active Directory Benutzerkonten filtern, die mit Exchange Online synchronisiert sind .Filter on-premises Active Directory user accounts that are synchronized to Exchange Online: For details, see the Filter on-premises Active Directory user accounts that are synchronized to Exchange Online section in this topic.

Hinweis

Um die Richtlinienzuweisung von Benutzern zu entfernen, verwenden Sie $null den Wert für den Parameter AuthenticationPolicy für das Cmdlet " Gruppe-Benutzer ".To remove the policy assignment from users, use the value $null for the AuthenticationPolicy parameter on the Set-User cmdlet.

Schritt 3: (optional) wenden Sie die Authentifizierungsrichtlinie sofort auf Benutzer an.Step 3: (Optional) Immediately apply the authentication policy to users

Wenn Sie die Authentifizierungsrichtlinien Zuweisung für Benutzer erstellen oder ändern oder die Richtlinie aktualisieren, werden die Änderungen standardmäßig innerhalb von 24 Stunden wirksam.By default, when you create or change the authentication policy assignment on users or update the policy, the changes take effect within 24 hours. Wenn die Richtlinie innerhalb von 30 Minuten wirksam werden soll, verwenden Sie die folgende Syntax:If you want the policy to take effect within 30 minutes, use the following syntax:

Set-User -Identity <UserIdentity> -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)

In diesem Beispiel wird die Authentifizierungsrichtlinie sofort auf den Benutzer Laura@contoso.com angewendet.This example immediately applies the authentication policy to the user laura@contoso.com.

Set-User -Identity laura@contoso.com -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)

In diesem Beispiel wird die Authentifizierungsrichtlinie sofort auf mehrere Benutzer angewendet, die zuvor durch filterbare Attribute oder eine Textdatei identifiziert wurden.This example immediately applies the authentication policy to multiple users that were previously identified by filterable attributes or a text file. Dieses Beispiel funktioniert, wenn Sie sich immer noch in derselben PowerShell-Sitzung befinden und die Variablen, die Sie zum Identifizieren der Benutzer verwendet haben, nicht geändert haben (Sie haben den gleichen Variablennamen nicht später für einen anderen Zweck verwendet).This example works if you're still in the same PowerShell session and you haven't changed the variables you used to identify the users (you didn't use the same variable name afterwards for some other purpose). Zum Beispiel:For example:

$Sales | foreach {Set-User -Identity $_ -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)}

oderor

$BBA | foreach {Set-User -Identity $_ -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)}

Anzeigen von AuthentifizierungsrichtlinienView authentication policies

Um eine Zusammenfassungsliste der Namen aller vorhandenen Authentifizierungsrichtlinien anzuzeigen, führen Sie den folgenden Befehl aus:To view a summary list of the names of all existing authentication policies, run the following command:

Get-AuthenticationPolicy | Format-Table Name -Auto

Verwenden Sie die folgende Syntax, um detaillierte Informationen zu einer bestimmten Authentifizierungsrichtlinie anzuzeigen:To view detailed information about a specific authentication policy, use this syntax:

Get-AuthenticationPolicy -Identity <PolicyIdentity>

In diesem Beispiel werden detaillierte Informationen zur Richtlinie mit dem Namen Block Basic Auth zurückgegeben.This example returns detailed information about the policy named Block Basic Auth.

Get-AuthenticationPolicy -Identity "Block Basic Auth"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-AuthenticationPolicy.For detailed syntax and parameter information, see Get-AuthenticationPolicy.

Ändern von AuthentifizierungsrichtlinienModify authentication policies

Standardmäßig wird bei der Erstellung einer neuen Authentifizierungsrichtlinie ohne Angabe von Protokollen die Standardauthentifizierung für alle Clientprotokolle in Exchange Online blockiert.By default, when you create a new authentication policy without specifying any protocols, Basic authentication is blocked for all client protocols in Exchange Online. Das heißt, der Standardwert der *AllowBasicAuth* * -Parameter (Switches) gilt False für alle Protokolle.In other words, the default value of the AllowBasicAuth* parameters (switches) is False for all protocols.

  • Um die Standardauthentifizierung für ein bestimmtes Protokoll zu aktivieren, das deaktiviert ist, geben Sie den Schalter ohne Wert an.To enable Basic authentication for a specific protocol that's disabled, specify the switch without a value.

  • Um die Standardauthentifizierung für ein bestimmtes Protokoll zu deaktivieren, das aktiviert ist, können Sie nur :$falseden Wert verwenden.To disable Basic authentication for a specific protocol that's enabled, you can only use the value :$false.

Sie können das Cmdlet Get-AuthenticationPolicy verwenden, um den aktuellen Status der *AllowBasicAuth* * -Switches in der Richtlinie anzuzeigen.You can use the Get-AuthenticationPolicy cmdlet to see the current status of the AllowBasicAuth* switches in the policy.

In diesem Beispiel wird die Standardauthentifizierung für das POP3-Protokoll aktiviert und die Standardauthentifizierung für das IMAP4-Protokoll in der vorhandenen Authentifizierungsrichtlinie mit dem Namen Block Basic Auth deaktiviert.This example enables basic authentication for the POP3 protocol and disables basic authentication for the IMAP4 protocol in the existing authentication policy named Block Basic Auth.

Set-AuthenticationPolicy -Identity "Block Basic Auth" -AllowBasicAuthPop -AllowBasicAuthImap:$false

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Sets-AuthenticationPolicy.For detailed syntax and parameter information, see Set-AuthenticationPolicy.

Konfigurieren der Standard AuthentifizierungsrichtlinieConfigure the default authentication policy

Die Standard Authentifizierungsrichtlinie wird allen Benutzern zugewiesen, denen noch keine bestimmte Richtlinie zugewiesen ist.The default authentication policy is assigned to all users who don't already have a specific policy assigned to them. Beachten Sie, dass die den Benutzern zugewiesenen Authentifizierungsrichtlinien Vorrang vor der Standardrichtlinie haben.Note that the authentication policies assigned to users take precedence to the default policy. Verwenden Sie die folgende Syntax, um die Standard Authentifizierungsrichtlinie für die Organisation zu konfigurieren:To configure the default authentication policy for the organization, use this syntax:

Set-OrganizationConfig -DefaultAuthenticationPolicy <PolicyIdentity>

In diesem Beispiel wird die Authentifizierungsrichtlinie mit dem Namen Block Basic Auth als Standardrichtlinie konfiguriert.This example configures the authentication policy named Block Basic Auth as the default policy.

Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Basic Auth"

Hinweis

Verwenden Sie den Wert $null für den Parameter DefaultAuthenticationPolicy , um die standardmäßige Authentifizierungsrichtlinien Bezeichnung zu entfernen.To remove the default authentication policy designation, use the value $null for the DefaultAuthenticationPolicy parameter.

Entfernen von AuthentifizierungsrichtlinienRemove authentication policies

Verwenden Sie die folgende Syntax, um eine vorhandene Authentifizierungsrichtlinie zu entfernen:To remove an existing authentication policy, use this syntax:

Remove-AuthenticationPolicy -Identity <PolicyIdentity>

In diesem Beispiel wird die Richtlinie "Test auth Policy" entfernt.This example removes the policy named Test Auth Policy.

Remove-AuthenticationPolicy -Identity "Test Auth Policy"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-AuthenticationPolicy.For detailed syntax and parameter information, see Remove-AuthenticationPolicy.

Woher wissen Sie, dass Sie die Standardauthentifizierung in Exchange Online erfolgreich deaktiviert haben?How do you know that you've successfully disabled Basic authentication in Exchange Online?

So stellen Sie sicher, dass die Authentifizierungsrichtlinie auf Benutzer angewendet wurde:To confirm that the authentication policy was applied to users:

  1. Führen Sie den folgenden Befehl aus, um den DN-Wert (Distinguished Name) der Authentifizierungsrichtlinie zu finden:Run the following command to find the distinguished name (DN) value of the authentication policy:

    Get-AuthenticationPolicy | Format-List Name,DistinguishedName
    
  2. Verwenden Sie den DN-Wert der Authentifizierungsrichtlinie im folgenden Befehl:Use the DN value of the authentication policy in the following command:

    Get-User -Filter {AuthenticationPolicy -eq '<AuthPolicyDN>'}
    

    Zum Beispiel:For example:

    Get-User -Filter {AuthenticationPolicy -eq 'CN=Block Basic Auth,CN=Auth Policies,CN=Configuration,CN=contoso.onmicrosoft.com,CN=ConfigurationUnits,DC=NAMPR11B009,DC=PROD,DC=OUTLOOK,DC=COM'}
    

Wenn eine Authentifizierungsrichtlinie grundlegende Authentifizierungsanforderungen eines bestimmten Benutzers für ein bestimmtes Protokoll in Exchange Online blockiert, lautet 401 Unauthorizeddie Antwort.When an authentication policy blocks Basic authentication requests from a specific user for a specific protocol in Exchange Online, the response is 401 Unauthorized. Keine zusätzlichen Informationen werden an den Client zurückgegeben, um zu vermeiden, dass zusätzliche Informationen über den blockierten Benutzer verloren gehen.No additional information is returned to the client to avoid leaking any additional information about the blocked user. Ein Beispiel für die Antwort sieht wie folgt aus:An example of the response looks like this:

HTTP/1.1 401 Unauthorized
Server: Microsoft-IIS/10.0
request-id: 413ee498-f337-4b0d-8ad5-50d900eb1f72
X-CalculatedBETarget: DM5PR2101MB0886.namprd21.prod.outlook.com
X-BackEndHttpStatus: 401
Set-Cookie: MapiRouting=#################################################; path=/mapi/; secure; HttpOnly
X-ServerApplication: Exchange/15.20.0485.000
X-RequestId: {3146D993-9082-4D57-99ED-9E7D5EA4FA56}:8
X-ClientInfo: {B0DD130A-CDBF-4CFA-8041-3D73B4318010}:59
X-RequestType: Bind
X-DiagInfo: DM5PR2101MB0886
X-BEServer: DM5PR2101MB0886
X-Powered-By: ASP.NET
X-FEServer: MA1PR0101CA0031
WWW-Authenticate: Basic Realm="",Basic Realm=""
Date: Wed, 31 Jan 2018 05:15:08 GMT
Content-Length: 0

Lokale Active Directory Benutzerkonten filtern, die mit Exchange Online synchronisiert werdenFilter on-premises Active Directory user accounts that are synchronized to Exchange Online

Diese Methode verwendet ein bestimmtes Attribut als Filter für lokale Active Directory Gruppenmitglieder, die mit Exchange Online synchronisiert werden.This method uses one specific attribute as a filter for on-premises Active Directory group members that will be synchronized with Exchange Online. Mit dieser Methode können Sie Legacy Protokolle für bestimmte Gruppen deaktivieren, ohne dass sich dies auf die gesamte Organisation auswirkt.This method allows you to disable legacy protocols for specific groups without affecting the entire organization.

In diesem Beispiel verwenden wir das Department -Attribut, da es sich um eine allgemeine Attribute handelt, die Benutzer basierend auf Ihrer Abteilung und ihrer Rolle identifizieren.Throughout this example, we'll use the Department attribute, because it's a common attributes that identifies users based on their department and role. Um alle Active Directory erweiterten Benutzereigenschaften anzuzeigen, wechseln Sie zu Active Directory: default und erweiterte Eigenschaften Get-User.To see all Active Directory user extended properties, go to Active Directory: Get-ADUser Default and Extended Properties.

Schritt 1: Suchen der Active Directory Benutzer und setSet der Active Directory BenutzerattributeStep 1: Find the Active Directory users and setSet the Active Directory user attributes

Abrufen der Mitglieder einer Active Directory GruppeGet the members of an Active Directory group

Für diese Schritte ist das Active Directory Modul für Windows PowerShell erforderlich.These steps require the Active Directory module for Windows PowerShell. Um dieses Modul auf Ihrem PC zu installieren, müssen Sie die Remote Server-Verwaltungs Toolsherunterladen und installieren.To install this module on your PC, you need to download and install the Remote Server Administration Tools (RSAT).

Führen Sie den folgenden Befehl in Active Directory PowerShell aus, um alle Gruppen in Active Directory zurückzugeben:Run the following command in Active Directory PowerShell to return all groups in Active Directory:

Get-ADGroup -Filter * | select -Property Name

Nachdem Sie die Liste der Gruppen abgerufen haben, können Sie Abfragen, welche Benutzer zu diesen Gruppen gehören, und eine Liste erstellen, die auf einem ihrer Attribute basiert.After you get the list of groups, you can query which users belong to those groups and create a list based on any of their attributes. Es wird empfohlen, **** das objectGUID-Attribut zu verwenden, da der Wert für jeden Benutzer eindeutig ist.We recommend using the objectGuid attribute because the value is unique for each user.

Get-ADGroupMember -Identity "<GroupName>" | select -Property objectGuid

In diesem Beispiel wird **** der Wert des objectGUID-Attributs für die Mitglieder der Gruppe "Developers" zurückgegeben.This example returns the objectGuid attribute value for the members of the group named Developers.

Get-ADGroupMember -Identity "Developers" | select -Property objectGuid

Festlegen des filterbaren Benutzer AttributsSet the filterable user attribute

Nachdem Sie die Active Directory Gruppe identifiziert haben, die die Benutzer enthält, müssen Sie den Attributwert festlegen, der mit Exchange Online synchronisiert wird, um Benutzer zu filtern (und die Standardauthentifizierung für diese schließlich zu deaktivieren).After you identify the Active Directory group that contains the users, you need to set the attribute value that will be synchronized with Exchange Online to filter users (and ultimately disable Basic authentication for them).

Verwenden Sie die folgende Syntax in Active Directory PowerShell, um den Attributwert für die Mitglieder der Gruppe zu konfigurieren, die Sie im vorherigen Schritt identifiziert haben.Use the following syntax in Active Directory PowerShell to configure the attribute value for the members of the group that you identified in the previous step. Der erste Befehl identifiziert die Gruppenmitglieder basierend auf Ihrem objectGUID -Attributwert.The first command identifies the group members based on their objectGuid attribute value. Der zweite Befehl weist den Gruppenmitgliedern den Wert des Department -Attributs zu.The second command assigns the Department attribute value to the group members.

$variable1 = Get-ADGroupMember -Identity "<GroupName>" | select -ExpandProperty "objectGUID"; Foreach ($user in $variable1) {Set-ADUser -Identity $user.ToString() -Add@{Department="<DepartmentName>"}}

In diesem Beispiel wird das Department -Attribut auf den Wert "Developer" für Benutzer festgelegt, die der Gruppe "Developers" angehören.This example sets the Department attribute to the value "Developer" for users that belong to the group named "Developers".

$variable1 = Get-ADGroupMember -Identity "Developers" | select -ExpandProperty "objectGUID"; Foreach ($user in $variable1) {Set-ADUser -Identity $user.ToString() -Add@{Department="Developer"}}

Verwenden Sie die folgende Syntax in Active Directory PowerShell, um zu überprüfen, ob das Attribut auf die Benutzerkonten angewendet wurde (jetzt oder in der Vergangenheit):Use the following syntax in Active Directory PowerShell to verify the attribute was applied to the user accounts (now or in the past):

Get-ADUser -Filter {(Department -eq '<DepartmentName>')} -Properties Department

In diesem Beispiel werden alle Benutzerkonten mit dem Wert "Developer" für das Department -Attribut zurückgegeben.This example returns all user accounts with the value "Developer" for the Department attribute.

Get-ADUser -Filter {(Department -eq 'Developer')} -Properties Department

Schritt 2: Deaktivieren der Legacy Authentifizierung in Exchange OnlineStep 2: Disable legacy authentication in Exchange Online

Hinweis

Die Attributwerte für lokale Benutzer werden mit Exchange Online nur für Benutzer synchronisiert, die über eine gültige Exchange Online Lizenz verfügen.The attribute values for on-premises users are synchronized to Exchange Online only for users that have a valid Exchange Online license. Weitere Informationen finden Sie unter Zuweisen von Lizenzen zu Benutzern in Office 365 für Unternehmen.For more information, see Assign licenses to users in Office 365 for business.

Die Exchange Online PowerShell-Syntax verwendet die folgenden Befehle (zwei zur Identifizierung der Benutzerkonten und die andere, um die Richtlinie auf diese Benutzer anzuwenden):The Exchange Online PowerShell syntax uses the following commands (two to identify the user accounts, and the other to apply the policy to those users):

$<VariableName1> = Get-User -ResultSize unlimited -Filter <Filter>
$<VariableName2> = $<VariableName1>.MicrosoftOnlineServicesID
$<VariableName2> | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}

In diesem Beispiel wird die Richtlinie Block Basic Auth allen synchronisierten Benutzerkonten zugewiesen, deren Department -Attribut den Wert "Developer" enthält.This example assigns the policy named Block Basic Auth to all synchronized user accounts whose Department attribute contains the value "Developer".

$developerUsers = Get-User -ResultSize unlimited -Filter {(RecipientType -eq 'UserMailbox') -and (department -like '*developer*')}
$developers = $developerUsers.MicrosoftOnlineServicesID
$developers | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}

Wenn Sie eine Verbindung mit Exchange Online PowerShell in einer Active Directory PowerShell-Sitzung herstellen, können Sie die folgende Syntax verwenden, um die Richtlinie auf alle Mitglieder einer Active Directory Gruppe anzuwenden.If you connect to Exchange Online PowerShell in an Active Directory PowerShell session, you can use the following syntax to apply the policy to all members of an Active Directory group.

In diesem Beispiel wird eine neue Authentifizierungsrichtlinie mit dem Namen "Marketing Policy" erstellt, mit der die Standardauthentifizierung für Mitglieder der Active Directory Gruppe "Marketing Department" für ActiveSync-, POP3-, authentifizierte SMTP-und IMAP4-Clients deaktiviert wird.This example creates a new authentication policy named Marketing Policy that disables Basic authentication for members of the Active Directory group named Marketing Department for ActiveSync, POP3, authenticated SMTP, and IMAP4 clients.

Hinweis

Eine bekannte Einschränkung in Active Directory PowerShell verhindert, dass das Get-AdGroupMember- Cmdlet mehr als 5000 Ergebnisse zurückgibt.A known limitation in Active Directory PowerShell prevents the Get-AdGroupMember cmdlet from returning more than 5000 results. Das folgende Beispiel funktioniert daher nur für Active Directory Gruppen mit weniger als 5000-Mitgliedern.Therefore, the following example only works for Active Directory groups that have less than 5000 members.

New-AuthenticationPolicy -Name "Marketing Policy" -AllowBasicAuthActiveSync $false -AllowBasicAuthPop $false -AllowBasicAuthSmtp $false -AllowBasicAuthImap $false
$users = Get-ADGroupMember "Marketing Department"
foreach ($user in $users) {Set-User -Identity $user.SamAccountName -AuthenticationPolicy "Marketing Policy"}