Deaktivieren der Standardauthentifizierung in Exchange OnlineDisable Basic authentication in Exchange Online

Standardauthentifizierung in Exchange Online verwendet einen Benutzernamen und ein Kennwort für Access-Clientanforderungen. Blockieren von Standardauthentifizierung hilft bei Ihrer Exchange Online-Organisation brute-Force- oder Kennwort Sprühende Angriffen zu schützen. Wenn Sie die Standardauthentifizierung für Benutzer in Exchange Online deaktivieren, müssen ihre e-Mail-Clients und apps modernen Authentifizierung unterstützt. Diese Clients sind:Basic authentication in Exchange Online uses a username and a password for client access requests. Blocking Basic authentication can help protect your Exchange Online organization from brute force or password spray attacks. When you disable Basic authentication for users in Exchange Online, their email clients and apps must support modern authentication. Those clients are:

Wenn Ihre Organisation keine legacy-e-Mail-Clients verfügt, können Sie Authentifizierungsrichtlinien für die in Exchange Online Standardauthentifizierung Anforderungen, deaktivieren die erzwingt, dass alle Access-Clientanforderungen, moderne Authentifizierung zu verwenden. Weitere Informationen zur modernen Authentifizierung finden Sie unter Verwenden von Office 365 modernen Authentifizierung mit Office-Clients.If your organization has no legacy email clients, you can use authentication policies in Exchange Online to disable Basic authentication requests, which forces all client access requests to use modern authentication. For more information about modern authentication, see Using Office 365 modern authentication with Office clients.

In diesem Thema wird erläutert, wie die Standardauthentifizierung verwendet wird und in Exchange Online und die entsprechenden Verfahren zur Authentifizierungsrichtlinien blockiert.This topic explains how Basic authentication is used and blocked in Exchange Online, and the corresponding procedures for authentication policies.

Funktionsweise der Standardauthentifizierung in Exchange OnlineHow Basic authentication works in Exchange Online

Die Standardauthentifizierung ist auch bekannt als Proxy-Authentifizierung , da der e-Mail-Client den Benutzernamen und das Kennwort zu Exchange Online und Exchange Online Weiterleitungen oder Proxys die Anmeldeinformationen an einen autorisierenden Identitätsanbieter (IdP überträgt) im Namen der e-Mail-Client oder die app. Die IdP hängt von Ihrer Organisation Authentifizierungsmodell:Basic authentication is also known as proxy authentication because the email client transmits the username and password to Exchange Online, and Exchange Online forwards or proxies the credentials to an authoritative identity provider (IdP) on behalf of the email client or app. The IdP depends your organization's authentication model:

  • Cloud-Authentifizierung: die IdP Azure Active Directory ist.Cloud authentication: The IdP is Azure Active Directory.

  • Federated Authentifizierung: die IdP ist eine lokale Lösung wie Active Directory-Verbunddienste (AD FS).Federated authentication: The IdP is an on-premises solution like Active Directory Federation Services (AD FS).

In den folgenden Abschnitten werden diese Authentifizierungsmodelle beschrieben.These authentication models are described in the following sections.

Cloud-AuthentifizierungCloud authentication

In der folgenden Abbildung werden die Schritte in der Cloud-Authentifizierung beschrieben:The steps in cloud authentication are described in the following diagram:

Grundlegenden Schritte für die Cloud-basierte Authentifizierung und Standardauthentifizierung, in dem ausgeschlossen wird.

  1. Der e-Mail-Client sendet den Benutzernamen und das Kennwort zu Exchange Online.The email client sends the username and password to Exchange Online.

    Hinweis: Wenn die Standardauthentifizierung gesperrt ist, an dieser Stelle blockiert.Note: When Basic authentication is blocked, it's blocked at this step.

  2. Exchange Online sendet Benutzername und Kennwort, zu Azure Active Directory.Exchange Online sends the username and password to Azure Active Directory.

  3. Azure Active Directory gibt ein Benutzerticket zu Exchange Online und der Benutzer authentifiziert.Azure Active Directory returns a user ticket to Exchange Online and the user is authenticated.

VerbundauthentifizierungFederated authentication

In der folgenden Abbildung werden die Schritte in Verbundauthentifizierung beschrieben:The steps in federated authentication are described in the following diagram:

Grundlegenden Schritte für Verbundauthentifizierung und dabei Standardauthentifizierung ausgeschlossen wird

  1. Der e-Mail-Client sendet den Benutzernamen und das Kennwort zu Exchange Online.The email client sends the username and password to Exchange Online.

    Hinweis: Wenn die Standardauthentifizierung gesperrt ist, an dieser Stelle blockiert.Note: When Basic authentication is blocked, it's blocked at this step.

  2. Exchange Online sendet Benutzername und Kennwort, an die lokalen IdP.Exchange Online sends the username and password to the on-premises IdP.

  3. Exchange Online empfängt ein Token Security Assertion Markup Language (SAML) von der lokalen IdP.Exchange Online receives a Security Assertion Markup Language (SAML) token from the on-premises IdP.

  4. Exchange Online sendet das SAML-Token an Azure Active Directory.Exchange Online sends the SAML token to Azure Active Directory.

  5. Azure Active Directory gibt ein Benutzerticket zu Exchange Online und der Benutzer authentifiziert.Azure Active Directory returns a user ticket to Exchange Online and the user is authenticated.

Wie die Standardauthentifizierung in Exchange Online blockiert wirdHow Basic authentication is blocked in Exchange Online

Blockieren Sie Standardauthentifizierung in Exchange Online durch Erstellen und Zuweisen von Authentifizierungsrichtlinien für die für einzelne Benutzer. Die Richtlinien definieren der Clientprotokolle wobei Standardauthentifizierung wird blockiert und Zuweisen der Richtlinie auf einen oder mehrere Benutzer ihre Standardauthentifizierung Anforderungen für die angegebenen Protokolle blockiert.You block Basic authentication in Exchange Online by creating and assigning authentication policies to individual users. The policies define the client protocols where Basic authentication is blocked, and assigning the policy to one or more users blocks their Basic authentication requests for the specified protocols.

Blockiert, wird der erste Schritt (Schritt 1 im vorherigen Diagramm) Vorauthentifizierung vor der Anforderung erreicht Azure Active Directory oder die lokale IdP Standardauthentifizierung in Exchange Online blockiert. Die Vorteile dieses Ansatzes ist brute-Force- oder Kennwort Sprühende Angriffen die IdP (das Konto Sperre aufgrund von falschen Anmeldeversuche auslösen kann) nicht erreichen kann.When it's blocked, Basic authentication in Exchange Online is blocked at the first pre-authentication step (Step 1 in the previous diagrams) before the request reaches Azure Active Directory or the on-premises IdP. The benefit of this approach is brute force or password spray attacks won't reach the IdP (which might trigger account lock-outs due to incorrect login attempts).

Da Authentifizierungsrichtlinien für die auf Benutzerebene verwendet werden, können Exchange Online nur Standardauthentifizierung Anfragen für Benutzer zu blockieren, die in der Cloud-Organisation vorhanden sind. Für Verbundauthentifizierung Wenn ein Benutzer nicht im Exchange Online, vorhanden werden den Benutzernamen und das Kennwort an die lokalen IdP weitergeleitet. Betrachten Sie beispielsweise die folgenden Szenarios:Because authentication policies operate at the user level, Exchange Online can only block Basic authentication requests for users that exist in the cloud organization. For federated authentication, if a user doesn't exist in Exchange Online, the username and password are forwarded to the on-premises IdP. For example, consider the following scenario:

  1. Eine Organisation hat die verbunddomäne "contoso.com" und Verwendungsmöglichkeiten der lokale AD FS für die Authentifizierung.An organization has the federated domain contoso.com and uses on-premises AD FS for authentication.

  2. Die Benutzer ian@contoso.com vorhanden ist, in der lokalen Organisation verwenden, jedoch nicht in Office 365 (es ist kein Benutzerkonto in Azure Active Directory und keine Empfängerobjekt in der Exchange Online globale Adressliste).The user ian@contoso.com exists in the on-premises organization, but not in Office 365 (there's no user account in Azure Active Directory and no recipient object in the Exchange Online global address list).

  3. Ein e-Mail-Client sendet eine Anforderung für die Anmeldung zu Exchange Online mit dem Benutzernamen ian@contoso.com. Eine Authentifizierungsrichtlinie nicht für den Benutzer angewendet werden, und die Authentifizierungsanforderung für ian@contoso.com wird gesendet, auf dem lokalen AD FS.An email client sends a login request to Exchange Online with the username ian@contoso.com. An authentication policy can't be applied to the user, and the authentication request for ian@contoso.com is sent to the on-premises AD FS.

  4. Lokale AD FS annehmen oder Ablehnen der Authentifizierungsanforderung für ian@contoso.com können. Wenn die Anforderung akzeptiert wird, wird ein SAML-Token zu Exchange Online zurückgegeben. Solange das SAML-Token ImmutableId Wert einen Benutzer in Azure Active Directory übereinstimmt, wird Azure AD ein Benutzerticket zu Exchange Online ausstellen, die (der Wert ImmutableId wird während des Setups Azure Active Directory verbinden festgelegt).The on-premises AD FS can either accept or reject the authentication request for ian@contoso.com. If the request is accepted, a SAML token is returned to Exchange Online. As long as the SAML token's ImmutableId value matches a user in Azure Active Directory, Azure AD will issue a user ticket to Exchange Online (the ImmutableId value is set during Azure Active Directory Connect setup).

In diesem Szenario, wenn "contoso.com" Verwendungsmöglichkeiten der lokale AD FS-Server für die Authentifizierung der lokalen AD FS-Server noch erhalten Authentifizierungsanfragen für nicht vorhandene Benutzernamen aus Exchange Online während einer Kennwort Sprühbereichs Angriffs.In this scenario, if contoso.com uses on-premises AD FS server for authentication, the on-premises AD FS server will still receive authentication requests for non-existent usernames from Exchange Online during a password spray attack.

Richtlinie Authentifizierungsverfahren in Exchange OnlineAuthentication policy procedures in Exchange Online

Sie können alle Aspekte der in Exchange Online PowerShell Authentifizierungsrichtlinien verwalten. In der folgenden Tabelle werden die Protokolle und Dienste in der Exchange-Online, die Sie für die Standardauthentifizierung blockieren beschrieben.You manage all aspects of authentication policies in Exchange Online PowerShell. The protocols and services in Exchange Online that you can block Basic authentication for are described in the following table.

Protokoll oder DienstProtocol or service BeschreibungDescription ParameternameParameter name
Exchange ActiveSync (EAS)Exchange Active Sync (EAS) Wird von einigen e-Mail-Clients auf mobilen Geräten verwendet.Used by some email clients on mobile devices. AllowBasicAuthActiveSyncAllowBasicAuthActiveSync
AutoErmittlungAutodiscover Outlook und EAS-Clients, die zum Suchen und Verbinden mit Postfächern in Exchange OnlineUsed by Outlook and EAS clients to find and connect to mailboxes in Exchange Online AllowBasicAuthAutodiscoverAllowBasicAuthAutodiscover
IMAP4IMAP4 Wird von IMAP-e-Mail-Clients verwendet.Used by IMAP email clients. AllowBasicAuthImapAllowBasicAuthImap
MAPI über HTTP (MAPI/HTTP)MAPI over HTTP (MAPI/HTTP) Von Outlook 2013 und höher verwendet.Used by Outlook 2013 and later. AllowBasicAuthMapiAllowBasicAuthMapi
Offline Address Book (OAB)Offline Address Book (OAB) Eine Kopie der Adresse Liste Websitesammlungen, die heruntergeladen und von Outlook verwendet werden.A copy of address list collections that are downloaded and used by Outlook. AllowBasicAuthOfflineAddressBookAllowBasicAuthOfflineAddressBook
Outlook-DienstOutlook Service Wird von der app E-Mail und Ihren Kalender für Windows 10 verwendet.Used by the Mail and Calendar app for Windows 10. AllowBasicAuthOutlookServiceAllowBasicAuthOutlookService
POP3POP3 Wird von POP-e-Mail-Clients verwendet.Used by POP email clients. AllowBasicAuthPopAllowBasicAuthPop
-Webdiensten für BerichteReporting Web Services Zum Abrufen von Berichtsdaten in Exchange Online verwendet.Used to retrieve report data in Exchange Online. AllowBasicAuthReportingWebServicesAllowBasicAuthReportingWebServices
Exchange Representational State Transfer (REST)Exchange Representational State Transfer (REST) Eine Programmierung verbunden, die von Drittanbieter-apps verwendet wird.A programming interfaced that's used by third-party apps. AllowBasicAuthRestAllowBasicAuthRest
Outlook Anywhere (RPC über HTTP)Outlook Anywhere (RPC over HTTP) Von Outlook 2016 und früher verwendet.Used by Outlook 2016 and earlier. AllowBasicAuthRpcAllowBasicAuthRpc
Authentifizierte SMTPAuthenticated SMTP Von POP- und IMAP-Client verwendet zum Senden von e-Mail-Nachrichten.Used by POP and IMAP client's to send email messages. AllowBasicAuthSmtpAllowBasicAuthSmtp
Exchange-Webdienste (Exchange Web Services, EWS)Exchange Web Services (EWS) Eine Programmierschnittstelle, die von Outlook, Outlook für Mac und Drittanbieter-apps verwendet wird.A programming interface that's used by Outlook, Outlook for Mac, and third-party apps. AllowBasicAuthWebServicesAllowBasicAuthWebServices
PowerShellPowerShell Verbindung mit Exchange Online mit remote-PowerShell verwendet. Wenn Sie die Standardauthentifizierung für Exchange Online PowerShell blockieren, müssen Sie mit der Exchange Online-PowerShell-Modul hergestellt werden soll. Eine Anleitung finden Sie unter Connect to Exchange Online PowerShell mehrstufige Authentifizierung verwenden.Used to connect to Exchange Online with remote PowerShell. If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect. For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication. AllowBasicAuthPowerShellAllowBasicAuthPowerShell

In der Regel, wenn Sie die Standardauthentifizierung für einen Benutzer blockieren, sollten Sie die Standardauthentifizierung für alle Protokolle blockieren. Sie können jedoch die *AllowBasicAuth* * Parameter (Optionen) in den Cmdlets New-AuthenticationPolicy und Set-AuthenticationPolicy selektiv zulassen oder blockieren Standardauthentifizierung für bestimmte Protokolle.Typically, when you block Basic authentication for a user, we recommend that you block Basic authentication for all protocols. However, you can use the AllowBasicAuth* parameters (switches) on the New-AuthenticationPolicy and Set-AuthenticationPolicy cmdlets to selectively allow or block Basic authentication for specific protocols.

Für e-Mail-Clients und apps, die moderne Authentifizierung nicht unterstützen, müssen Sie für die Protokolle und Dienste, die sie benötigen Standardauthentifizierung zulassen. Diese Protokolle und Dienste werden in der folgenden Tabelle beschrieben:For email clients and apps that don't support modern authentication, you need to allow Basic authentication for the protocols and services that they require. These protocols and services are described in the following table:

ClientClient Protokolle und DiensteProtocols and services
Outlook 2013 und höherOutlook 2013 and later • Für die AutoErmittlung• Autodiscover
• Exchange-Webdienste (EWS)• Exchange Web Services (EWS)
• MAPI über HTTP• MAPI over HTTP
•-Outlook im Anywhere (RPC über HTTP)• Outlook Anywhere (RPC over HTTP)
• Des Offlineadressbuchs (OAB)• Offline Address Book (OAB)
Outlook für Mac 2016Outlook for Mac 2016 • Für die AutoErmittlung• Autodiscover
• EWS• EWS
Exchange ActiveSync-Clients (beispielsweise iOS Mail 11.3.1)Exchange ActiveSync clients (for example, iOS Mail 11.3.1) • Für die AutoErmittlung• Autodiscover
• ActiveSync (EAS)• ActiveSync (EAS)
POP-clientsPOP clients • POP3• POP3
• Authentifizierten SMTP• Authenticated SMTP
IMAP-clientsIMAP clients • IMAP4• IMAP4
• Authentifizierten SMTP• Authenticated SMTP

Hinweis: Standardauthentifizierung blockierende blockieren, app-Kennwörter in Exchange Online. Weitere Informationen zu app-Kennwörtern finden Sie unter Erstellen eines app-Kennwort für Office 365.Note: Blocking Basic authentication will block app passwords in Exchange Online. For more information about app passwords, see Create an app password for Office 365.

Was sollten Sie wissen, bevor Sie beginnen?What do you need to know before you begin?

  • Stellen Sie sicher, dass die moderne Authentifizierung in Ihrer Exchange Online-Organisation aktiviert ist (standardmäßig aktiviert). Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der modernen Authentifizierung in Exchange Online.Verify that modern authentication is enabled in your Exchange Online organization (it's enabled by default). For more information, see Enable or disable modern authentication in Exchange Online.

  • Überprüfen Sie Ihre e-Mail-Clients und apps modernen-Authentifizierung unterstützen (siehe die Liste am Anfang des Themas). Darüber hinaus stellen Sie sicher, dass Ihr Outlook-Desktopclients den mindestens erforderlichen kumulativen Updates ausgeführt werden. Weitere Informationen finden Sie unter Outlook-Updates.Verify your email clients and apps support modern authentication (see the list at the beginning of the topic). Also, verify that your Outlook desktop clients are running the minimum required cumulative updates. For more information, see Outlook Updates.

  • Herstellen einer Verbindung mit Exchange Online PowerShell finden Sie unter Connect to Exchange Online PowerShell.To learn how to connect to Exchange Online PowerShell, see Connect to Exchange Online PowerShell.

Erstellen und Anwenden von Authentifizierungsrichtlinien für dieCreate and apply authentication policies

Die Schritte zum Erstellen und Anwenden von Authentifizierungsrichtlinien für, um die Standardauthentifizierung in Exchange Online blockieren sind:The steps to create and apply authentication policies to block Basic authentication in Exchange Online are:

  1. Erstellen Sie die Authentifizierungsrichtlinie.Create the authentication policy.

  2. Die Authentifizierungsrichtlinie Benutzern zuweisen.Assign the authentication policy to users.

  3. Warten Sie 24 Stunden für die Richtlinie auf Benutzer angewendet werden soll, oder erzwingen Sie die Richtlinie sofort angewendet werden soll.Wait 24 hours for the policy to be applied to users, or force the policy to be immediately applied.

Diese Schritte werden in den folgenden Abschnitten beschrieben.These steps are described in the following sections.

Schritt 1: Erstellen der AuthentifizierungsrichtlinieStep 1: Create the authentication policy

Zum Erstellen einer Richtlinie der Blöcke Standardauthentifizierung für alle verfügbaren Clientprotokolle in Exchange Online (die empfohlene Konfiguration), verwenden Sie die folgende Syntax:To create a policy that blocks Basic authentication for all available client protocols in Exchange Online (the recommended configuration), use the following syntax:

New-AuthenticationPolicy -Name "<Descriptive Name>"

Dieses Beispiel erstellt eine Authentifizierungsrichtlinie mit dem Namen grundlegende AUTH blockieren.This example creates an authentication policy named Block Basic Auth.

New-AuthenticationPolicy -Name "Block Basic Auth"

Ausführliche Parameterinformationen zu Syntax und finden Sie unter New-AuthenticationPolicy.For detailed syntax and parameter information, see New-AuthenticationPolicy.

Hinweise:Notes:

  • Sie können nicht den Namen der Richtlinie ändern, nach der Erstellung (der Parameter Name nicht im Cmdlet Set-AuthenticationPolicy verfügbar).You can't change the name of the policy after you create it (the Name parameter isn't available on the Set-AuthenticationPolicy cmdlet).

  • Um die Aktivierung der Standardauthentifizierung für bestimmte Protokolle in der Richtlinie, finden Sie im Abschnitt " Ändern Authentifizierungsrichtlinien " weiter unten in diesem Thema. Die gleichen Protokoll Einstellungen sind verfügbar in den Cmdlets New-AuthenticationPolicy und Set-AuthenticationPolicy , und die Schritte zur Aktivierung der Standardauthentifizierung für bestimmte Protokolle sind die gleichen für beide Cmdlets.To enable Basic authentication for specific protocols in the policy, see the Modify authentication policies section later in this topic. The same protocol settings are available on the New-AuthenticationPolicy and Set-AuthenticationPolicy cmdlets, and the steps to enable Basic authentication for specific protocols are the same for both cmdlets.

Schritt 2: Die Authentifizierungsrichtlinie Benutzern zuweisenStep 2: Assign the authentication policy to users

Es gibt drei grundlegende Methoden, die Sie verwenden können, um Authentifizierungsrichtlinien Benutzern zuweisen:There are three basic methods you can use to assign authentication policies to users:

  • Einzelne Benutzerkonten: Verwenden Sie die folgende Syntax:Individual user accounts: Use the following syntax:

    Set-User -Identity <UserIdentity> -AuthenticationPolicy <PolicyIdentity>
    

    Dieses Beispiel weist die Richtlinie mit dem Namen der Benutzer Konto laura@contoso.com Standardauthentifizierung blockieren.This example assigns the policy named Block Basic Auth to the user account laura@contoso.com.

    Set-User -Identity laura@contoso.com -AuthenticationPolicy "Block Basic Auth"
    
  • Filtern von Benutzerkonten durch Attribute: Diese Methode erfordert, dass die Benutzerkonten, die alle ein eindeutigen filterbaren Attribut (z. B. Titel oder Abteilung), die Sie verwenden können freigeben, um die Benutzer zu identifizieren. Die Syntax verwendet die folgenden Befehle (zwei zum Identifizieren der Benutzerkonten und andere anwenden die Richtlinie auf die Benutzer):Filter user accounts by attributes: This method requires that the user accounts all share a unique filterable attribute (for example, Title or Department) that you can use to identify the users. The syntax uses the following commands (two to identify the user accounts, and the other to apply the policy to those users):

    $<VariableName1> = Get-User -ResultSize unlimited -Filter <Filter>
    
    $<VariableName2> = $<VariableName1>.MicrosoftOnlineServicesID
    
    $<VariableName2> | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    

    Dieses Beispiel weist die Richtlinie mit dem Namen Block Standardauthentifizierung für alle Benutzerkonten, deren Title -Attribut den Wert "Sales Associate" enthält.This example assigns the policy named Block Basic Auth to all user accounts whose Title attribute contains the value "Sales Associate".

    $SalesUsers = Get-User -ResultSize unlimited -Filter {(RecipientType -eq 'UserMailbox') -and (Title -like '*Sales Associate*')}
    
    $Sales = $SalesUsers.MicrosoftOnlineServicesID
    
    $Sales | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    
  • Verwenden einer Liste von bestimmten Benutzerkonten: Diese Methode ist eine Textdatei, um die Benutzerkonten zu identifizieren. Werte, die keine Leerzeichen enthalten (beispielsweise die Office 365 arbeiten oder Schule Konto) am besten. Die Textdatei muss ein Benutzerkonto in jeder Zeile wie die folgende enthalten:Use a list of specific user accounts: This method requires a text file to identify the user accounts. Values that don't contain spaces (for example, the Office 365 work or school account) work best. The text file must contain one user account on each line like this:

    akol@contoso.com

    tjohnston@contoso.com

    kakers@contoso.com

    Die Syntax verwendet die folgenden zwei Befehle (eine, um die Benutzerkonten und andere anwenden die Richtlinie auf die Benutzer identifizieren):The syntax uses the following two commands (one to identify the user accounts, and the other to apply the policy to those users):

    $<VariableName> = Get-Content "<text file>"
    
    $<VariableName> | foreach {Set-User -Identity $_ -AuthenticationPolicy <PolicyIdentity>}
    

    Dieses Beispiel weist die Richtlinie mit dem Namen Standardauthentifizierung Block mit den Benutzerkonten, die in der Datei C:\My Documents\BlockBasicAuth.txt angegeben.This example assigns the policy named Block Basic Auth to the user accounts specified in the file C:\My Documents\BlockBasicAuth.txt.

    $BBA = Get-Content "C:\My Documents\BlockBasicAuth.txt"
    
    $BBA | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    

Hinweis: Wenn die richtlinienzuweisung von Benutzern entfernen möchten, verwenden Sie den Wert $null für den Parameter AuthenticationPolicy im Cmdlet Set-User .Note: To remove the policy assignment from users, use the value $null for the AuthenticationPolicy parameter on the Set-User cmdlet.

Schritt 3: (Optional) gelten sofort die Authentifizierungsrichtlinie für BenutzerStep 3: (Optional) Immediately apply the authentication policy to users

Standardmäßig werden die Änderungen beim Erstellen oder ändern Sie die Authentifizierung richtlinienzuweisung auf Benutzer oder aktualisieren die Richtlinie wirksam innerhalb von 24 Stunden. Wenn Sie die Richtlinie innerhalb von 30 Minuten wirksam möchten, verwenden Sie die folgende Syntax:By default, when you create or change the authentication policy assignment on users or update the policy, the changes take effect within 24 hours. If you want the policy to take effect within 30 minutes, use the following syntax:

Set-User -Identity <UserIdentity> -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)

In diesem Beispiel wird die Authentifizierungsrichtlinie sofort für die Benutzer laura@contoso.com.This example immediately applies the authentication policy to the user laura@contoso.com.

Set-User -Identity laura@contoso.com -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)

In diesem Beispiel wird die Authentifizierungsrichtlinie sofort zu mehreren Benutzern, die zuvor von filterbaren Attribute oder eine Textdatei angegeben wurden. Dieses Beispiel funktioniert, wenn Sie sich noch in der gleichen PowerShell-Sitzung und Sie nicht die Benutzer, die (nicht den gleichen Variablennamen anschließend zu einem anderen Zweck verwendet) verwendeten Variablen geändert haben. Zum Beispiel:This example immediately applies the authentication policy to multiple users that were previously identified by filterable attributes or a text file. This example works if you're still in the same PowerShell session and you haven't changed the variables you used to identify the users (you didn't use the same variable name afterwards for some other purpose). For example:

$Sales | foreach {Set-User -Identity $_ -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)}

oderor

$BBA | foreach {Set-User -Identity $_ -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)}

Die Authentifizierungsrichtlinien anzeigenView authentication policies

Um eine Liste mit den Namen aller vorhandenen Authentifizierung-Richtlinien anzuzeigen, führen Sie den folgenden Befehl ein:To view a summary list of the names of all existing authentication policies, run the following command:

Get-AuthenticationPolicy | Format-Table -Auto Name

Um ausführliche Informationen zu einer bestimmten Authentifizierungsrichtlinie anzuzeigen, verwenden Sie folgende Syntax:To view detailed information about a specific authentication policy, use this syntax:

Get-AuthenticationPolicy -Identity <PolicyIdentity>

In diesem Beispiel werden detaillierte Informationen über die Richtlinie mit dem Namen Block grundlegende auth. zurückgegebenThis example returns detailed information about the policy named Block Basic Auth.

Get-AuthenticationPolicy -Identity "Block Basic Auth"

Ausführliche Parameterinformationen zu Syntax und finden Sie unter Get-AuthenticationPolicy.For detailed syntax and parameter information, see Get-AuthenticationPolicy.

Ändern von Authentifizierungsrichtlinien für dieModify authentication policies

In der Standardeinstellung wird beim Erstellen einer neuen Authentifizierungsrichtlinie für die ohne Angabe von keine Protokolle Standardauthentifizierung für alle Clientprotokolle in Exchange Online blockiert. Anders ausgedrückt, der Standardwert von der *AllowBasicAuth* * Parameter (Optionen) ist False für alle Protokolle.By default, when you create a new authentication policy without specifying any protocols, Basic authentication is blocked for all client protocols in Exchange Online. In other words, the default value of the AllowBasicAuth* parameters (switches) is False for all protocols.

  • Um die Aktivierung der Standardauthentifizierung für ein bestimmtes Protokoll, das deaktiviert ist, geben Sie die Option ohne einen Wert ein.To enable Basic authentication for a specific protocol that's disabled, specify the switch without a value.

  • Wenn Sie die Standardauthentifizierung für ein bestimmtes Protokoll deaktivieren, die aktiviert ist, können Sie nur den Wert :$false.To disable Basic authentication for a specific protocol that's enabled, you can only use the value :$false.

Können Sie das Cmdlet Get-AuthenticationPolicy der aktuelle Status der finden Sie unter der *AllowBasicAuth* * Switches in der Richtlinie.You can use the Get-AuthenticationPolicy cmdlet to see the current status of the AllowBasicAuth* switches in the policy.

In diesem Beispiel aktiviert die Standardauthentifizierung für das POP3-Protokoll und deaktiviert die Standardauthentifizierung für das IMAP4-Protokoll in der vorhandenen Authentifizierungsrichtlinie namens grundlegende AUTH blockieren.This example enables basic authentication for the POP3 protocol and disables basic authentication for the IMAP4 protocol in the existing authentication policy named Block Basic Auth.

Set-AuthenticationPolicy -Identity "Block Basic Auth" -AllowBasicAuthPop -AllowBasicAuthImap:$false

Ausführliche Parameterinformationen zu Syntax und finden Sie unter Set-AuthenticationPolicy.For detailed syntax and parameter information, see Set-AuthenticationPolicy.

Konfigurieren Sie die Standardrichtlinie für die AuthentifizierungConfigure the default authentication policy

Die Standardrichtlinie für die Authentifizierung wird für alle Benutzer zugewiesen, die nicht bereits eine bestimmte Richtlinie zugewiesen haben. Beachten Sie, dass Benutzer zugewiesenen Authentifizierungsrichtlinien der Standardrichtlinie Vorrang. Verwenden Sie folgende Syntax, um die Standardrichtlinie für die Authentifizierung für die Organisation zu konfigurieren:The default authentication policy is assigned to all users who don't already have a specific policy assigned to them. Note that the authentication policies assigned to users take precedence to the default policy. To configure the default authentication policy for the organization, use this syntax:

Set-OrganizationConfig -DefaultAuthenticationPolicy <PolicyIdentity>

Das folgende Beispiel konfiguriert die Authentifizierungsrichtlinie namens Block Standardauthentifizierung als die Standardrichtlinie.This example configures the authentication policy named Block Basic Auth as the default policy.

Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Basic Auth"

Hinweis: Wenn die Standard-Authentifizierung Richtlinie Bezeichnung entfernen möchten, verwenden Sie den Wert $null für den Parameter DefaultAuthenticationPolicy .Note: To remove the default authentication policy designation, use the value $null for the DefaultAuthenticationPolicy parameter.

Entfernen von Authentifizierungsrichtlinien für dieRemove authentication policies

Verwenden Sie folgende Syntax, um eine vorhandene Authentifizierungsrichtlinie zu entfernen:To remove an existing authentication policy, use this syntax:

Remove-AuthenticationPolicy -Identity <PolicyIdentity>

Dieses Beispiel entfernt die Richtlinie mit dem Namen Auth-Richtlinie testen.This example removes the policy named Test Auth Policy.

Remove-AuthenticationPolicy -Identity "Test Auth Policy"

Ausführliche Parameterinformationen zu Syntax und finden Sie unter Remove-AuthenticationPolicy.For detailed syntax and parameter information, see Remove-AuthenticationPolicy.

Woher wissen Sie, dass Sie die Standardauthentifizierung in Exchange Online erfolgreich deaktiviert haben?How do you know that you've successfully disabled Basic authentication in Exchange Online?

Wenn eine Authentifizierungsrichtlinie Standardauthentifizierung Anfragen eines bestimmten Benutzers für ein bestimmtes Protokoll in Exchange Online blockiert, ist die Antwort 401 Unauthorized. Keine zusätzlichen Informationen wird an den Client zur Vermeidung Speicherverluste verursachen, zusätzliche Informationen über den blockierten Benutzer zurückgegeben. Ein Beispiel für die Antwort sieht folgendermaßen aus:When an authentication policy blocks Basic authentication requests from a specific user for a specific protocol in Exchange Online, the response is 401 Unauthorized. No additional information is returned to the client to avoid leaking any additional information about the blocked user. An example of the response looks like this:

HTTP/1.1 401 Unauthorized
Server: Microsoft-IIS/10.0
request-id: 413ee498-f337-4b0d-8ad5-50d900eb1f72
X-CalculatedBETarget: DM5PR2101MB0886.namprd21.prod.outlook.com
X-BackEndHttpStatus: 401
Set-Cookie: MapiRouting=#################################################; path=/mapi/; secure; HttpOnly
X-ServerApplication: Exchange/15.20.0485.000
X-RequestId: {3146D993-9082-4D57-99ED-9E7D5EA4FA56}:8
X-ClientInfo: {B0DD130A-CDBF-4CFA-8041-3D73B4318010}:59
X-RequestType: Bind
X-DiagInfo: DM5PR2101MB0886
X-BEServer: DM5PR2101MB0886
X-Powered-By: ASP.NET
X-FEServer: MA1PR0101CA0031
WWW-Authenticate: Basic Realm="",Basic Realm=""
Date: Wed, 31 Jan 2018 05:15:08 GMT
Content-Length: 0