Gewusst wie: Blockieren der Legacyauthentifizierung bei Azure AD mit bedingtem ZugriffHow to: Block legacy authentication to Azure AD with Conditional Access

Um Ihren Benutzern den einfachen Zugriff auf Ihre Cloud-Apps zu ermöglichen, unterstützt Azure Active Directory (Azure AD) eine Vielzahl von Authentifizierungsprotokollen einschließlich der Legacyauthentifizierung.To give your users easy access to your cloud apps, Azure Active Directory (Azure AD) supports a broad variety of authentication protocols including legacy authentication. Ältere Protokolle unterstützen jedoch nicht die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA).However, legacy protocols don't support multi-factor authentication (MFA). MFA ist in vielen Umgebungen eine allgemeine Anforderung zum Schutz vor Identitätsdiebstahl.MFA is in many environments a common requirement to address identity theft.

Alex Weinert, Director of Identity Security bei Microsoft, hebt in seinem Blogbeitrag vom 12. März 2020 mit dem Titel Neue Tools zum Blockieren der Legacyauthentifizierung in Ihrer Organisation hervor, warum Organisationen die Legacyauthentifizierung blockieren sollten und welche zusätzlichen Tools Microsoft für diese Aufgabe bereitstellt:Alex Weinert, Director of Identity Security at Microsoft, in his March 12, 2020 blog post New tools to block legacy authentication in your organization emphasizes why organizations should block legacy authentication and what additional tools Microsoft provides to accomplish this task:

Damit die mehrstufige Authentifizierung (MFA) wirksam wird, müssen Sie auch die Legacyauthentifizierung blockieren.For MFA to be effective, you also need to block legacy authentication. Legacyauthentifizierungsprotokolle wie POP, SMTP, IMAP und MAPI können nämlich keine MFA erzwingen und sind dadurch bevorzugte Einstiegspunkte für Angreifer, die Ihre Organisation attackieren...This is because legacy authentication protocols like POP, SMTP, IMAP, and MAPI can't enforce MFA, making them preferred entry points for adversaries attacking your organization...

... Die Zahlen zur Legacyauthentifizierung sind nach einer Analyse des Azure Active Directory (Azure AD)-Datenverkehrs ziemlich krass:...The numbers on legacy authentication from an analysis of Azure Active Directory (Azure AD) traffic are stark:

  • Mehr als 99 Prozent der Kennwort-Spray-Angriffe verwenden LegacyauthentifizierungsprotokolleMore than 99 percent of password spray attacks use legacy authentication protocols
  • Mehr als 97 Prozent der Angriffe in Bezug auf Anmeldeinformationen verwenden die LegacyauthentifizierungMore than 97 percent of credential stuffing attacks use legacy authentication
  • Bei Azure AD-Konten in Organisationen, welche die Legacyauthentifizierung deaktiviert haben, sind 67 Prozent weniger Angriffe festzustellen als bei Organisation mit aktivierter LegacyauthentifizierungAzure AD accounts in organizations that have disabled legacy authentication experience 67 percent fewer compromises than those where legacy authentication is enabled

Wenn Ihre Umgebung für das Blockieren der Legacyauthentifizierung bereit ist, um den Schutz Ihres Mandanten zu verbessern, können Sie dieses Ziel mit bedingtem Zugriff erreichen.If your environment is ready to block legacy authentication to improve your tenant's protection, you can accomplish this goal with Conditional Access. In diesem Artikel wird erläutert, wie Sie die Richtlinien für bedingten Zugriff konfigurieren können, mit denen die Legacyauthentifizierung für Ihren Mandanten blockiert wird.This article explains how you can configure Conditional Access policies that block legacy authentication for your tenant.

VoraussetzungenPrerequisites

In diesem Artikel wird davon ausgegangen, dass Sie mit den grundlegenden Konzepten des bedingten Azure AD-Zugriff vertraut sind.This article assumes that you are familiar with the basic concepts of Azure AD Conditional Access.

Beschreibung des SzenariosScenario description

Azure AD unterstützt mehrere der am häufigsten verwendeten Protokolle zur Authentifizierung und Autorisierung, einschließlich der Legacyauthentifizierung.Azure AD supports several of the most widely used authentication and authorization protocols including legacy authentication. Die Legacyauthentifizierung bezieht sich auf Protokolle, die die Standardauthentifizierung verwenden.Legacy authentication refers to protocols that use basic authentication. In der Regel können diese Protokolle keinen Typ der zweistufigen Authentifizierung erzwingen.Typically, these protocols can't enforce any type of second factor authentication. Beispiele für Apps, die auf der Legacyauthentifizierung basieren, sind:Examples for apps that are based on legacy authentication are:

  • Ältere Microsoft Office-AppsOlder Microsoft Office apps
  • Apps, die E-Mail-Protokolle wie POP, IMAP und SMTP verwendenApps using mail protocols like POP, IMAP, and SMTP

Eine einstufige Authentifizierung (z. B. mit Benutzername und Kennwort) reicht heutzutage nicht mehr aus.Single factor authentication (for example, username and password) is not enough these days. Kennwörter sind unzulänglich, weil sie leicht zu erraten sind, und wir (Menschen) sind schlecht darin, gute Kennwörter auszuwählen.Passwords are bad as they are easy to guess and we (humans) are bad at choosing good passwords. Kennwörter sind auch für eine Vielzahl von Angriffen wie Phishing und Kennwort-Spray anfällig.Passwords are also vulnerable to a variety of attacks like phishing and password spray. Eine der einfachsten Maßnahmen, die Sie ergreifen können, um sich vor Kennwortsicherheitsverletzungen zu schützen, ist das Implementieren der mehrstufigen Authentifizierung (MFA).One of the easiest things you can do to protect against password threats is to implement multi-factor authentication (MFA). Denn selbst wenn ein Angreifer in den Besitz des Kennworts eines Benutzers gelangt, reicht bei Verwendung von MFA das Kennwort allein nicht aus, um sich erfolgreich authentifizieren und auf die Daten zugreifen zu können.With MFA, even if an attacker gets in possession of a user's password, the password alone is not sufficient to successfully authenticate and access the data.

Wie können Sie verhindern, dass Apps mit Legacyauthentifizierung auf Ressourcen Ihres Mandanten zugreifen?How can you prevent apps using legacy authentication from accessing your tenant's resources? Es wird empfohlen, diese Apps einfach mit einer Richtlinie für bedingten Zugriff zu blockieren.The recommendation is to just block them with a Conditional Access policy. Gegebenenfalls können Sie nur bestimmten Benutzern und bestimmten Netzwerkadressen die Verwendung von Apps erlauben, die auf der Legacyauthentifizierung basieren.If necessary, you allow only certain users and specific network locations to use apps that are based on legacy authentication.

Richtlinien für den bedingten Zugriff werden durchgesetzt, nachdem die First-Factor-Authentifizierung abgeschlossen ist.Conditional Access policies are enforced after the first-factor authentication has been completed. Daher ist der bedingte Zugriff nicht als erste Abwehrmaßnahme für Szenarien wie Denial-of-Service-Angriffe (DoS) gedacht, sondern kann Signale von diesen Ereignissen (z. B. der Risikostufe für die Anmeldung, den Standort der Anforderung usw.) nutzen, um den Zugriff zu bestimmen.Therefore, Conditional Access is not intended as a first line defense for scenarios like denial-of-service (DoS) attacks, but can utilize signals from these events (for example, the sign-in risk level, location of the request, and so on) to determine access.

ImplementierungImplementation

In diesem Abschnitt wird erläutert, wie eine Richtlinie für bedingten Zugriff zum Blockieren der Legacyauthentifizierung konfiguriert wird.This section explains how to configure a Conditional Access policy to block legacy authentication.

Ältere AuthentifizierungsprotokolleLegacy authentication protocols

Die folgenden Optionen gelten als ältere Authentifizierungsprotokolle.The following options are considered legacy authentication protocols

  • Authentifiziertes SMTP: wird von POP- und IMAP-Clients zum Senden von E-Mail-Nachrichten verwendetAuthenticated SMTP - Used by POP and IMAP clients to send email messages.
  • AutoErmittlung: wird von Outlook und EAS-Clients verwendet, um Postfächer in Exchange Online zu suchen und diese zu verbindenAutodiscover - Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online.
  • Exchange ActiveSync (EAS): wird zum Herstellen einer Verbindung mit Postfächern in Exchange Online verwendetExchange ActiveSync (EAS) - Used to connect to mailboxes in Exchange Online.
  • Exchange Online PowerShell: wird zum Herstellen einer Verbindung mit Exchange Online über Remote-PowerShell verwendetExchange Online PowerShell - Used to connect to Exchange Online with remote PowerShell. Wenn Sie die Standardauthentifizierung für Exchange Online PowerShell blockieren, müssen Sie das Exchange Online PowerShell-Modul verwenden, um eine Verbindung herzustellen.If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect. Anweisungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell mithilfe der mehrstufigen Authentifizierung.For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.
  • Exchange Web Services (EWS): eine Programmierschnittstelle, die von Outlook, Outlook für Mac und Drittanbieter-Apps verwendet wirdExchange Web Services (EWS) - A programming interface that's used by Outlook, Outlook for Mac, and third-party apps.
  • IMAP4: wird von IMAP-E-Mail-Clients verwendetIMAP4 - Used by IMAP email clients.
  • MAPI über HTTP (MAPI/HTTP): wird von Outlook 2010 und höher verwendetMAPI over HTTP (MAPI/HTTP) - Used by Outlook 2010 and later.
  • Offlineadressbuch (OAB): eine Kopie der Adressenlistensammlungen, die von Outlook heruntergeladen und verwendet werdenOffline Address Book (OAB) - A copy of address list collections that are downloaded and used by Outlook.
  • Outlook Anywhere (RPC über HTTP): wird von Outlook 2016 und früher verwendetOutlook Anywhere (RPC over HTTP) - Used by Outlook 2016 and earlier.
  • Outlook-Dienst: wird von der Mail- und Kalender-App für Windows 10 verwendetOutlook Service - Used by the Mail and Calendar app for Windows 10.
  • POP3: wird von POP-E-Mail-Clients verwendetPOP3 - Used by POP email clients.
  • Reporting Web Services: wird zum Abrufen von Berichtsdaten in Exchange Online verwendetReporting Web Services - Used to retrieve report data in Exchange Online.
  • Andere Clients: andere Protokolle, bei denen die Verwendung älterer Authentifizierungsmethoden identifiziert wirdOther clients - Other protocols identified as utilizing legacy authentication.

Weitere Informationen zu diesen Authentifizierungsprotokollen und -diensten finden Sie unterBerichte zu Anmeldeaktivitäten im Azure Active Directory-Portal.For more information about these authentication protocols and services, see Sign-in activity reports in the Azure Active Directory portal.

Identifizieren der Verwendung der LegacyauthentifizierungIdentify legacy authentication use

Bevor Sie die Legacyauthentifizierung in Ihrem Verzeichnis blockieren können, müssen Sie zuerst wissen, ob Ihre Benutzer über Apps verfügen, die die Legacyauthentifizierung verwenden, und wie sich dies auf Ihr gesamtes Verzeichnis auswirkt.Before you can block legacy authentication in your directory, you need to first understand if your users have apps that use legacy authentication and how it affects your overall directory. Sie können Azure AD-Anmeldungsprotokolle verwenden, um herauszufinden, ob Sie die Legacyauthentifizierung verwenden.Azure AD sign-in logs can be used to understand if you're using legacy authentication.

  1. Navigieren Sie zu Azure-Portal > Azure Active Directory > Anmeldungen.Navigate to the Azure portal > Azure Active Directory > Sign-ins.
  2. Falls die Spalte „Client-App“ nicht angezeigt wird, fügen Sie sie durch Klicken auf Spalten > Client-App hinzu.Add the Client App column if it is not shown by clicking on Columns > Client App.
  3. Klicken Sie auf Filter hinzufügen > Client-App, und wählen Sie alle älteren Authentifizierungsprotokolle aus.Add filters > Client App > select all of the legacy authentication protocols. Klicken Sie auf eine Stelle außerhalb des Filterdialogfelds, um die Auswahl anzuwenden und das Dialogfeld zu schließen.Select outside the filtering dialog box to apply your selections and close the dialog box.

Durch das Filtern werden Ihnen nur Anmeldeversuche von Legacyauthentifizierungsprotokollen angezeigt.Filtering will only show you sign-in attempts that were made by legacy authentication protocols. Bei Klicken auf jeden einzelnen Anmeldeversuch werden Ihnen weitere Details angezeigt.Clicking on each individual sign-in attempt will show you additional details. Das Client-App-Feld auf der Registerkarte Grundlegende Informationen gibt an, welche Legacyauthentifizierungsprotokolle verwendet wurden.The Client App field under the Basic Info tab will indicate which legacy authentication protocol was used.

Diese Protokolle geben an, welche Benutzer weiterhin von der Legacyauthentifizierung abhängig sind, und welche Anwendungen ältere Protokolle für Authentifizierungsanforderungen verwenden.These logs will indicate which users are still depending on legacy authentication and which applications are using legacy protocols to make authentication requests. Implementieren Sie für Benutzer, die in diesen Protokollen nicht aufgeführt sind und nachweislich keine Legacyauthentifizierung verwenden, eine Richtlinie für bedingten Zugriff, die nur für diese Benutzer vorgesehen ist.For users that do not appear in these logs and are confirmed to not be using legacy authentication, implement a Conditional Access policy for these users only.

Blockieren älterer AuthentifizierungsmethodenBlock legacy authentication

Es gibt zwei Möglichkeiten, mit Richtlinien für den bedingten Zugriff ältere Authentifizierungsmethoden zu blockieren.There are two ways to use Conditional Access policies to block legacy authentication.

Direktes Blockieren der LegacyauthentifizierungDirectly blocking legacy authentication

Die einfachste Möglichkeit, die Legacyauthentifizierung in ihrer gesamten Organisation zu blockieren, besteht darin, eine Richtlinie für bedingten Zugriff zu konfigurieren, die speziell für Legacyauthentifizierungs-Clients gilt und den Zugriff blockiert.The easiest way to block legacy authentication across your entire organization is by configuring a Conditional Access policy that applies specifically to legacy authentication clients and blocks access. Wenn Sie der Richtlinie Benutzer und Anwendungen zuweisen, müssen Sie sicherstellen, dass Benutzer und Dienstkonten ausgeschlossen werden, die sich weiterhin mit der Legacyauthentifizierung anmelden müssen.When assigning users and applications to the policy, make sure to exclude users and service accounts that still need to sign in using legacy authentication. Konfigurieren Sie die Client-Apps-Bedingung, indem Sie Exchange ActiveSync-Clients und Andere Clients auswählen.Configure the client apps condition by selecting Exchange ActiveSync clients and Other clients. Um den Zugriff für diese Client-Apps zu blockieren, konfigurieren Sie die Zugriffssteuerungen so, dass der Zugriff blockiert wird.To block access for these client apps, configure the access controls to Block access.

Konfigurierte Client-Apps-Bedingung zum Blockieren der Legacyauthentifizierung

Indirektes Blockieren der LegacyauthentifizierungIndirectly blocking legacy authentication

Auch wenn Ihre Organisation nicht bereit ist, die Legacyauthentifizierung für das gesamte Unternehmen zu blockieren, sollten Sie sicherstellen, dass Anmeldungen mit Legacyauthentifizierung keine Richtlinien umgehen, die Gewährungssteuerelemente erfordern, z. B. eine mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) oder kompatible/hybrid in Azure AD eingebundene Geräte.Even if your organization isn’t ready to block legacy authentication across the entire organization, you should ensure that sign-ins using legacy authentication aren’t bypassing policies that require grant controls such as requiring multi-factor authentication or compliant/hybrid Azure AD joined devices. Legacyauthentifizierungs-Clients unterstützen bei der Authentifizierung das Senden von Informationen zur mehrstufigen Authentifizierung (MFA), zur Gerätekonformität oder zum Joinzustand an Azure AD nicht.During authentication, legacy authentication clients do not support sending MFA, device compliance, or join state information to Azure AD. Wenden Sie daher auf alle Clientanwendungen Richtlinien mit Gewährungssteuerelementen an. Dadurch werden Anmeldungen mit Legacyauthentifizierung blockiert, da sie die Gewährungssteuerelemente nicht bedienen können.Therefore, apply policies with grant controls to all client applications so that legacy authentication based sign-ins that cannot satisfy the grant controls are blocked. Mit der allgemeinen Verfügbarkeit der Client-Apps-Bedingung im August 2020 gelten neu erstellte Richtlinien für bedingten Zugriff standardmäßig für alle Client-Apps.With the general availability of the client apps condition in August 2020, newly created Conditional Access policies apply to all client apps by default.

Standardkonfiguration der Client-Apps-Bedingung

Wichtige InformationenWhat you should know

Das Blockieren des Zugriffs mithilfe der Bedingung Andere Clients blockiert auch Exchange Online PowerShell und Dynamics 365 mit Standardauthentifizierung.Blocking access using Other clients also blocks Exchange Online PowerShell and Dynamics 365 using basic auth.

Durch das Konfigurieren einer Richtlinie für Andere Clients wird die gesamte Organisation für bestimmte Clients blockiert, z.B. SPConnect.Configuring a policy for Other clients blocks the entire organization from certain clients like SPConnect. Dies tritt ein, weil sich ältere Clients auf unerwartete Weise authentifizieren.This block happens because older clients authenticate in unexpected ways. Dieses Problem gilt nicht für Office-Hauptanwendungen wie ältere Office-Clients.The issue doesn't apply to major Office applications like the older Office clients.

Es kann bis zu 24 Stunden dauern, bis die Richtlinie wirksam wird.It can take up to 24 hours for the policy to go into effect.

Sie können alle verfügbaren Gewährungssteuerelemente für die Bedingung Andere Clients auswählen. Die Endbenutzererfahrung ist jedoch immer die gleiche: Der Zugriff ist blockiert.You can select all available grant controls for the Other clients condition; however, the end-user experience is always the same - blocked access.

SharePoint Online-und B2B-GastbenutzerSharePoint Online and B2B guest users

Zum Blockieren des B2B-Benutzerzugriffs über die Legacyauthentifizierung auf SharePoint Online müssen Organisationen die Legacyauthentifizierung in SharePoint mit dem PowerShell-Befehl Set-SPOTenant deaktivieren und den -LegacyAuthProtocolsEnabled-Parameter auf $false festlegen.To block B2B user access via legacy authentication to SharePoint Online, organizations must disable legacy authentication on SharePoint using the Set-SPOTenant PowerShell command and setting the -LegacyAuthProtocolsEnabled parameter to $false. Weitere Informationen zum Festlegen dieses Parameters finden Sie im SharePoint-PowerShell-Referenzdokument zu Set-SPOTenant.More information about setting this parameter can be found in the SharePoint PowerShell reference document regarding Set-SPOTenant

Nächste SchritteNext steps