Gewusst wie: Blockieren der Legacyauthentifizierung bei Azure AD mit bedingtem ZugriffHow to: Block legacy authentication to Azure AD with Conditional Access

Um Ihren Benutzern den einfachen Zugriff auf Ihre Cloud-Apps zu ermöglichen, unterstützt Azure Active Directory (Azure AD) eine Vielzahl von Authentifizierungsprotokollen einschließlich der Legacyauthentifizierung.To give your users easy access to your cloud apps, Azure Active Directory (Azure AD) supports a broad variety of authentication protocols including legacy authentication. Ältere Protokolle unterstützen jedoch nicht die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA).However, legacy protocols don't support multi-factor authentication (MFA). MFA ist in vielen Umgebungen eine allgemeine Anforderung zum Schutz vor Identitätsdiebstahl.MFA is in many environments a common requirement to address identity theft.

Alex Weinert, Director of Identity Security bei Microsoft, hebt in seinem Blogbeitrag vom 12. März 2020 mit dem Titel Neue Tools zum Blockieren der Legacyauthentifizierung in Ihrer Organisation hervor, warum Organisationen die Legacyauthentifizierung blockieren sollten und welche zusätzlichen Tools Microsoft für diese Aufgabe bereitstellt:Alex Weinert, Director of Identity Security at Microsoft, in his March 12, 2020 blog post New tools to block legacy authentication in your organization emphasizes why organizations should block legacy authentication and what additional tools Microsoft provides to accomplish this task:

Damit die mehrstufige Authentifizierung (MFA) wirksam wird, müssen Sie auch die Legacyauthentifizierung blockieren.For MFA to be effective, you also need to block legacy authentication. Legacyauthentifizierungsprotokolle wie POP, SMTP, IMAP und MAPI können nämlich keine MFA erzwingen und sind dadurch bevorzugte Einstiegspunkte für Angreifer, die Ihre Organisation attackieren...This is because legacy authentication protocols like POP, SMTP, IMAP, and MAPI can't enforce MFA, making them preferred entry points for adversaries attacking your organization...

... Die Zahlen zur Legacyauthentifizierung sind nach einer Analyse des Azure Active Directory (Azure AD)-Datenverkehrs ziemlich krass:...The numbers on legacy authentication from an analysis of Azure Active Directory (Azure AD) traffic are stark:

  • Mehr als 99 Prozent der Kennwort-Spray-Angriffe verwenden LegacyauthentifizierungsprotokolleMore than 99 percent of password spray attacks use legacy authentication protocols
  • Mehr als 97 Prozent der Angriffe in Bezug auf Anmeldeinformationen verwenden die LegacyauthentifizierungMore than 97 percent of credential stuffing attacks use legacy authentication
  • Bei Azure AD-Konten in Organisationen, welche die Legacyauthentifizierung deaktiviert haben, sind 67 Prozent weniger Angriffe festzustellen als bei Organisation mit aktivierter LegacyauthentifizierungAzure AD accounts in organizations that have disabled legacy authentication experience 67 percent fewer compromises than those where legacy authentication is enabled

Wenn Ihre Umgebung für das Blockieren der Legacyauthentifizierung bereit ist, um den Schutz Ihres Mandanten zu verbessern, können Sie dieses Ziel mit bedingtem Zugriff erreichen.If your environment is ready to block legacy authentication to improve your tenant's protection, you can accomplish this goal with Conditional Access. In diesem Artikel wird erläutert, wie Sie die Richtlinien für bedingten Zugriff konfigurieren können, mit denen die Legacyauthentifizierung für Ihren Mandanten blockiert wird.This article explains how you can configure Conditional Access policies that block legacy authentication for your tenant.

VoraussetzungenPrerequisites

In diesem Artikel wird davon ausgegangen, dass Sie mit Folgendem vertraut sind:This article assumes that you are familiar with:

Beschreibung des SzenariosScenario description

Azure AD unterstützt mehrere der am häufigsten verwendeten Protokolle zur Authentifizierung und Autorisierung, einschließlich der Legacyauthentifizierung.Azure AD supports several of the most widely used authentication and authorization protocols including legacy authentication. Die Legacyauthentifizierung bezieht sich auf Protokolle, die die Standardauthentifizierung verwenden.Legacy authentication refers to protocols that use basic authentication. In der Regel können diese Protokolle keinen Typ der zweistufigen Authentifizierung erzwingen.Typically, these protocols can't enforce any type of second factor authentication. Beispiele für Apps, die auf der Legacyauthentifizierung basieren, sind:Examples for apps that are based on legacy authentication are:

  • Ältere Microsoft Office-AppsOlder Microsoft Office apps
  • Apps, die E-Mail-Protokolle wie POP, IMAP und SMTP verwendenApps using mail protocols like POP, IMAP, and SMTP

Eine einstufige Authentifizierung (z. B. mit Benutzername und Kennwort) reicht heutzutage nicht mehr aus.Single factor authentication (for example, username and password) is not enough these days. Kennwörter sind unzulänglich, weil sie leicht zu erraten sind, und wir (Menschen) sind schlecht darin, gute Kennwörter auszuwählen.Passwords are bad as they are easy to guess and we (humans) are bad at choosing good passwords. Kennwörter sind auch für eine Vielzahl von Angriffen wie Phishing und Kennwort-Spray anfällig.Passwords are also vulnerable to a variety of attacks like phishing and password spray. Eine der einfachsten Maßnahmen, die Sie ergreifen können, um sich vor Kennwortsicherheitsverletzungen zu schützen, ist das Implementieren von MFA.One of the easiest things you can do to protect against password threats is to implement MFA. Denn selbst wenn ein Angreifer in den Besitz des Kennworts eines Benutzers gelangt, reicht bei Verwendung von MFA das Kennwort allein nicht aus, um sich erfolgreich authentifizieren und auf die Daten zugreifen zu können.With MFA, even if an attacker gets in possession of a user's password, the password alone is not sufficient to successfully authenticate and access the data.

Wie können Sie verhindern, dass Apps mit Legacyauthentifizierung auf Ressourcen Ihres Mandanten zugreifen?How can you prevent apps using legacy authentication from accessing your tenant's resources? Es wird empfohlen, diese Apps einfach mit einer Richtlinie für bedingten Zugriff zu blockieren.The recommendation is to just block them with a Conditional Access policy. Gegebenenfalls können Sie nur bestimmten Benutzern und bestimmten Netzwerkadressen die Verwendung von Apps erlauben, die auf der Legacyauthentifizierung basieren.If necessary, you allow only certain users and specific network locations to use apps that are based on legacy authentication.

Richtlinien für den bedingten Zugriff werden durchgesetzt, nachdem die First-Factor-Authentifizierung abgeschlossen ist.Conditional Access policies are enforced after the first-factor authentication has been completed. Daher ist der bedingte Zugriff nicht als erste Abwehrmaßnahme für Szenarien wie Denial-of-Service-Angriffe (DoS) gedacht, sondern kann Signale von diesen Ereignissen (z. B. der Risikostufe für die Anmeldung, den Standort der Anforderung usw.) nutzen, um den Zugriff zu bestimmen.Therefore, Conditional Access is not intended as a first line defense for scenarios like denial-of-service (DoS) attacks, but can utilize signals from these events (for example, the sign-in risk level, location of the request, and so on) to determine access.

ImplementierungImplementation

In diesem Abschnitt wird erläutert, wie eine Richtlinie für bedingten Zugriff zum Blockieren der Legacyauthentifizierung konfiguriert wird.This section explains how to configure a Conditional Access policy to block legacy authentication.

Ältere AuthentifizierungsprotokolleLegacy authentication protocols

Die folgenden Optionen gelten als ältere Authentifizierungsprotokolle.The following options are considered legacy authentication protocols

  • Authentifiziertes SMTP: wird von POP- und IMAP-Clients zum Senden von E-Mails verwendetAuthenticated SMTP - Used by POP and IMAP client's to send email messages.
  • AutoErmittlung: wird von Outlook und EAS-Clients verwendet, um Postfächer in Exchange Online zu suchen und diese zu verbindenAutodiscover - Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online.
  • Exchange Online PowerShell: wird zum Herstellen einer Verbindung mit Exchange Online über Remote-PowerShell verwendetExchange Online PowerShell - Used to connect to Exchange Online with remote PowerShell. Wenn Sie die Standardauthentifizierung für Exchange Online PowerShell blockieren, müssen Sie das Exchange Online PowerShell-Modul verwenden, um eine Verbindung herzustellen.If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect. Anweisungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell mithilfe der mehrstufigen Authentifizierung.For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.
  • Exchange Web Services (EWS): eine Programmierschnittstelle, die von Outlook, Outlook für Mac und Drittanbieter-Apps verwendet wirdExchange Web Services (EWS) - A programming interface that's used by Outlook, Outlook for Mac, and third-party apps.
  • IMAP4: wird von IMAP-E-Mail-Clients verwendetIMAP4 - Used by IMAP email clients.
  • MAPI über HTTP (MAPI/HTTP): wird von Outlook 2010 und höher verwendetMAPI over HTTP (MAPI/HTTP) - Used by Outlook 2010 and later.
  • Offlineadressbuch (OAB): eine Kopie der Adressenlistensammlungen, die von Outlook heruntergeladen und verwendet werdenOffline Address Book (OAB) - A copy of address list collections that are downloaded and used by Outlook.
  • Outlook Anywhere (RPC über HTTP): wird von Outlook 2016 und früher verwendetOutlook Anywhere (RPC over HTTP) - Used by Outlook 2016 and earlier.
  • Outlook-Dienst: wird von der Mail- und Kalender-App für Windows 10 verwendetOutlook Service - Used by the Mail and Calendar app for Windows 10.
  • POP3: wird von POP-E-Mail-Clients verwendetPOP3 - Used by POP email clients.
  • Reporting Web Services: wird zum Abrufen von Berichtsdaten in Exchange Online verwendetReporting Web Services - Used to retrieve report data in Exchange Online.
  • Andere Clients: andere Protokolle, bei denen die Verwendung älterer Authentifizierungsmethoden identifiziert wirdOther clients - Other protocols identified as utilizing legacy authentication.

Weitere Informationen zu diesen Authentifizierungsprotokollen und -diensten finden Sie unterBerichte zu Anmeldeaktivitäten im Azure Active Directory-Portal.For more information about these authentication protocols and services, see Sign-in activity reports in the Azure Active Directory portal.

Identifizieren der Verwendung der LegacyauthentifizierungIdentify legacy authentication use

Bevor Sie die Legacyauthentifizierung in Ihrem Verzeichnis blockieren können, müssen Sie zuerst wissen, ob Ihre Benutzer über Apps verfügen, die die Legacyauthentifizierung verwenden, und wie sich dies auf Ihr gesamtes Verzeichnis auswirkt.Before you can block legacy authentication in your directory, you need to first understand if your users have apps that use legacy authentication and how it affects your overall directory. Sie können Azure AD-Anmeldungsprotokolle verwenden, um herauszufinden, ob Sie die Legacyauthentifizierung verwenden.Azure AD sign-in logs can be used to understand if you're using legacy authentication.

  1. Navigieren Sie zu Azure-Portal > Azure Active Directory > Anmeldungen.Navigate to the Azure portal > Azure Active Directory > Sign-ins.
  2. Falls die Spalte „Client-App“ nicht angezeigt wird, fügen Sie sie durch Klicken auf Spalten > Client-App hinzu.Add the Client App column if it is not shown by clicking on Columns > Client App.
  3. Filter hinzufügen > Client-App > wählen Sie alle älteren Authentifizierungsprotokolle aus, und klicken Sie auf Anwenden.Add filters > Client App > select all of the legacy authentication protocols, and click Apply.

Durch das Filtern werden Ihnen nur Anmeldeversuche von Legacyauthentifizierungsprotokollen angezeigt.Filtering will only show you sign-in attempts that were made by legacy authentication protocols. Bei Klicken auf jeden einzelnen Anmeldeversuch werden Ihnen weitere Details angezeigt.Clicking on each individual sign-in attempt will show you additional details. Das Client-App-Feld auf der Registerkarte Grundlegende Informationen gibt an, welche Legacyauthentifizierungsprotokolle verwendet wurden.The Client App field under the Basic Info tab will indicate which legacy authentication protocol was used.

Diese Protokolle geben an, welche Benutzer weiterhin von der Legacyauthentifizierung abhängig sind, und welche Anwendungen ältere Protokolle für Authentifizierungsanforderungen verwenden.These logs will indicate which users are still depending on legacy authentication and which applications are using legacy protocols to make authentication requests. Implementieren Sie für Benutzer, die in diesen Protokollen nicht aufgeführt sind und nachweislich keine Legacyauthentifizierung verwenden, eine Richtlinie für bedingten Zugriff, die nur für diese Benutzer vorgesehen ist.For users that do not appear in these logs and are confirmed to not be using legacy authentication, implement a Conditional Access policy for these users only.

Blockieren älterer AuthentifizierungsmethodenBlock legacy authentication

In einer Richtlinie für bedingten Zugriff können Sie eine Bedingung festlegen, die an die Client-Apps gebunden ist, die für den Zugriff auf Ihre Ressourcen verwendet werden.In a Conditional Access policy, you can set a condition that is tied to the client apps that are used to access your resources. Mit der Client-App-Bedingung können Sie den Bereich für Apps mit Legacyauthentifizierung eingrenzen, indem Sie für Mobile Apps und Desktopclients die Optionen Exchange ActiveSync-Clients und Andere Clients auswählen.The client apps condition enables you to narrow down the scope to apps using legacy authentication by selecting Exchange ActiveSync clients and Other clients under Mobile apps and desktop clients.

Andere Clients

Um den Zugriff für diese Apps zu blockieren, müssen Sie Zugriff blockieren auswählen.To block access for these apps, you need to select Block access.

Zugriff blockieren

Auswählen von Benutzern und Cloud-AppsSelect users and cloud apps

Wenn Sie die Legacyauthentifizierung für Ihre Organisation blockieren möchten, denken Sie wahrscheinlich, dass Sie dies durch Auswählen der folgenden Optionen erreichen können:If you want to block legacy authentication for your organization, you probably think that you can accomplish this by selecting:

  • Alle BenutzerAll users
  • Alle Cloud-AppsAll cloud apps
  • Zugriff blockierenBlock access

Zuweisungen

Azure verfügt über eine Sicherheitsfunktion, die Sie am Erstellen einer solchen Richtlinie hindert, weil diese Konfiguration gegen die Best Practices für Richtlinien für bedingten Zugriff verstößt.Azure has a safety feature that prevents you from creating a policy like this because this configuration violates the best practices for Conditional Access policies.

Die Richtlinienkonfiguration wird nicht unterstützt.

Diese Sicherheitsfunktion ist erforderlich, weil das Blockieren aller Benutzer und aller Cloud-Apps potenziell dazu führen kann, für Ihre gesamte Organisation die Anmeldung bei Ihrem Mandanten zu blockieren.The safety feature is necessary because block all users and all cloud apps has the potential to block your entire organization from signing on to your tenant. Sie müssen mindestens einen Benutzer davon ausschließen, um die Mindestanforderung der Best Practices zu erfüllen.You must exclude at least one user to satisfy the minimal best practice requirement. Sie können auch eine Verzeichnisrolle ausschließen.You could also exclude a directory role.

Die Richtlinienkonfiguration wird nicht unterstützt.

Sie können diese Sicherheitsfunktion erfüllen, indem Sie einen Benutzer aus der Richtlinie ausschließen.You can satisfy this safety feature by excluding one user from your policy. Im Idealfall sollten Sie einige Administratorkonten für den Notfallzugriff in Azure AD definieren und diese aus der Richtlinie ausschließen.Ideally, you should define a few emergency-access administrative accounts in Azure AD and exclude them from your policy.

Wenn Sie beim Aktivieren der Richtlinie zum Blockieren der Legacyauthentifizierung den Modus „Nur Bericht“ verwenden, hat Ihre Organisation die Möglichkeit, die Auswirkungen der Richtlinie zu überwachen.Using report-only mode when enabling your policy to block legacy authentication provides your organization an opportunity to monitor what the impact of the policy would be.

RichtlinienbereitstellungPolicy deployment

Kümmern Sie sich vor dem Einsatz der Richtlinie in der Produktionsumgebung um Folgendes:Before you put your policy into production, take care of:

  • Dienstkonten: Identifizieren Sie Benutzerkonten, die als Dienstkonten verwendet werden oder nach Geräten, wie Telefone im Konferenzraum.Service accounts - Identify user accounts that are used as service accounts or by devices, like conference room phones. Stellen Sie sicher, dass diese Konten über sichere Kennwörter verfügen, und fügen Sie sie einer ausgeschlossenen Gruppe hinzu.Make sure these accounts have strong passwords and add them to an excluded group.
  • Anmeldeberichte: Überprüfen Sie den Anmeldebericht, und suchen Sie nach dem Datenverkehr anderer Clients.Sign-in reports - Review the sign-in report and look for other client traffic. Identifizieren Sie die höchste Nutzung, und untersuchen Sie den Grund für die Verwendung.Identify top usage and investigate why it is in use. In der Regel wird der Datenverkehr von älteren Office-Clients generiert, die keine moderne Authentifizierung oder einige E-Mail-Apps von Drittanbietern verwenden.Usually, the traffic is generated by older Office clients that do not use modern authentication, or some third-party mail apps. Erarbeiten Sie einen Plan, um die Nutzung dieser Apps zu reduzieren, oder wenn die Auswirkungen gering sind, teilen Sie Ihren Benutzern mit, dass sie diese Apps nicht mehr verwenden können.Make a plan to move usage away from these apps, or if the impact is low, notify your users that they can't use these apps anymore.

Weitere Informationen finden Sie unter Wie stellen Sie eine neue Richtlinie bereit?For more information, see How should you deploy a new policy?.

Wichtige InformationenWhat you should know

Das Blockieren des Zugriffs mithilfe der Bedingung Andere Clients blockiert auch Exchange Online PowerShell und Dynamics 365 mit Standardauthentifizierung.Blocking access using Other clients also blocks Exchange Online PowerShell and Dynamics 365 using basic auth.

Durch das Konfigurieren einer Richtlinie für Andere Clients wird die gesamte Organisation für bestimmte Clients blockiert, z.B. SPConnect.Configuring a policy for Other clients blocks the entire organization from certain clients like SPConnect. Dies tritt ein, weil sich ältere Clients auf unerwartete Weise authentifizieren.This block happens because older clients authenticate in unexpected ways. Dieses Problem gilt nicht für Office-Hauptanwendungen wie ältere Office-Clients.The issue doesn't apply to major Office applications like the older Office clients.

Es kann bis zu 24 Stunden dauern, bis die Richtlinie wirksam wird.It can take up to 24 hours for the policy to go into effect.

Sie können alle verfügbaren Gewährungssteuerelemente für die Bedingung Andere Clients auswählen. Die Endbenutzererfahrung ist jedoch immer die gleiche: Der Zugriff ist blockiert.You can select all available grant controls for the Other clients condition; however, the end-user experience is always the same - blocked access.

Wenn Sie die Legacyauthentifizierung mit der Bedingung Andere Clients blockieren, können Sie auch die Geräteplattform und den Speicherort als Bedingung festlegen.If you block legacy authentication using the Other clients condition, you can also set the device platform and location condition. Wenn Sie nur ältere Authentifizierungen für mobile Geräte blockieren möchten, legen Sie z.B. die Bedingung Geräteplattformen fest, indem Sie Folgendes auswählen:For example, if you only want to block legacy authentication for mobile devices, set the device platforms condition by selecting:

  • AndroidAndroid
  • iOSiOS
  • Windows PhoneWindows Phone

Die Richtlinienkonfiguration wird nicht unterstützt.

Nächste SchritteNext steps