Blockieren der LegacyauthentifizierungBlocking legacy authentication

Um Ihren Benutzern den einfachen Zugriff auf Ihre Cloud-Apps zu ermöglichen, unterstützt Azure Active Directory (Azure AD) eine Vielzahl von Authentifizierungsprotokollen einschließlich der Legacyauthentifizierung.To give your users easy access to your cloud apps, Azure Active Directory (Azure AD) supports a broad variety of authentication protocols including legacy authentication. Der Begriff „Legacyauthentifizierung“ bezieht sich auf eine Authentifizierungsanforderung von:Legacy authentication is a term that refers to an authentication request made by:

  • älteren Office-Clients, die keine moderne Authentifizierung verwenden (z.B. Office 2010-Client)Older Office clients that do not use modern authentication (for example, Office 2010 client)
  • jedem Client, der veraltete E-Mail-Protokolle wie IMAP/SMTP/POP3 verwendetAny client that uses legacy mail protocols such as IMAP/SMTP/POP3

Heute stammt der Großteil aller gefährdenden Anmeldeversuche von Legacyauthentifizierungen.Today, the majority of all compromising sign-in attempts come from legacy authentication. Die Legacyauthentifizierung unterstützt keine mehrstufige Authentifizierung (Multi-Factor Authentication, MFA).Legacy authentication does not support multi-factor authentication (MFA). Auch wenn Sie eine MFA-Richtlinie für Ihr Verzeichnis aktiviert haben, kann ein böswilliger Benutzer sich mithilfe eines älteren Protokolls authentifizieren und MFA umgehen.Even if you have an MFA policy enabled on your directory, a bad actor can authenticate using a legacy protocol and bypass MFA. Die beste Möglichkeit zum Schutz Ihres Kontos vor böswilligen Authentifizierungsanforderungen durch ältere Protokolle ist, alle diese Versuche zu blockieren.The best way to protect your account from malicious authentication requests made by legacy protocols is to block these attempts altogether.

Identifizieren der Verwendung der LegacyauthentifizierungIdentify legacy authentication use

Bevor Sie die Legacyauthentifizierung in Ihrem Verzeichnis blockieren können, müssen Sie zuerst wissen, ob Ihre Benutzer über Apps verfügen, die die Legacyauthentifizierung verwenden, und wie sich dies auf Ihr gesamtes Verzeichnis auswirkt.Before you can block legacy authentication in your directory, you need to first understand if your users have apps that use legacy authentication and how it affects your overall directory. Sie können Azure AD-Anmeldungsprotokolle verwenden, um herauszufinden, ob Sie die Legacyauthentifizierung verwenden.Azure AD sign-in logs can be used to understand if you're using legacy authentication.

  1. Navigieren Sie zu Azure-Portal > Azure Active Directory > Anmeldungen.Navigate to the Azure portal > Azure Active Directory > Sign-ins.
  2. Falls die Spalte Client-App nicht angezeigt wird, fügen Sie sie durch Klicken auf  Spalten > Client-App hinzu.Add the Client App column if it is not shown by clicking on Columns > Client App.
  3. Filtern Sie nachClient-App, und aktivieren Sie alle angezeigten Optionen für Legacy-Authentifizierungsclients.Filter by Client App > check all the Legacy Authentication Clients options presented.
  4. Filtern Sie nach Status > Erfolg.Filter by Status > Success.
  5. Erweitern Sie ggf. den Datumsbereich mithilfe des Filters Datum.Expand your date range if necessary using the Date filter.

Beim Filtern werden nur erfolgreiche Anmeldeversuche der ausgewählten Legacyauthentifizierungsprotokolle angezeigt.Filtering will only show you successful sign-in attempts that were made by the selected legacy authentication protocols. Bei Klicken auf jeden einzelnen Anmeldeversuch werden Ihnen weitere Details angezeigt.Clicking on each individual sign-in attempt will show you additional details. Wenn Sie eine einzelne Datenzeile auswählen, wird in der Spalte „Client-App“ oder im Feld „Client-App“ (auf der Registerkarte „Grundlegende Infos“) angezeigt, welches Legacyauthentifizierungsprotokoll verwendet wurde.The Client App column or the Client App field under the Basic Info tab after selecting an individual row of data will indicate which legacy authentication protocol was used. Diese Protokolle geben an, welche Benutzer weiterhin von der Legacyauthentifizierung abhängig sind, und welche Anwendungen ältere Protokolle für Authentifizierungsanforderungen verwenden.These logs will indicate which users are still depending on legacy authentication and which applications are using legacy protocols to make authentication requests. Für Benutzer, die nicht in diesen Protokollen aufgeführt sind und für die bestätigt wurde, dass sie keine veraltete Authentifizierungsmethode verwenden, implementieren Sie eine Richtlinie für bedingten Zugriff. Oder aktivieren Sie nur für diese Benutzer die Basisrichtlinie zum Blockieren der Legacyauthentifizierung.For users that do not appear in these logs and are confirmed to not be using legacy authentication, implement a Conditional Access policy or enable the Baseline policy: block legacy authentication for these users only.

Der Abschied von der LegacyauthentifizierungMoving away from legacy authentication

Sobald Sie sich einen besseren Überblick darüber verschafft haben, wer die Legacyauthentifizierung in Ihrem Verzeichnis verwendet, und welche Anwendungen davon abhängen, besteht der nächste Schritt darin, Ihre Benutzer für die moderne Authentifizierung zu aktualisieren.Once you have a better idea of who is using legacy authentication in your directory and which applications depend on it, the next step is upgrading your users to use modern authentication. Die moderne Authentifizierung ist eine Methode der Identitätsverwaltung, die eine sicherere Benutzerauthentifizierung und -autorisierung bietet.Modern authentication is a method of identity management that offers more secure user authentication and authorization. Wenn eine MFA-Richtlinie in Ihrem Verzeichnis vorhanden ist, stellt die moderne Authentifizierung sicher, dass der Benutzer bei Bedarf zur MFA aufgefordert wird.If you have an MFA policy in place on your directory, modern authentication ensures that the user is prompted for MFA when required. Es ist die sicherere Alternative zu Legacyauthentifizierungsprotokollen.It is the more secure alternative to legacy authentication protocols.

Dieser Abschnitt bietet eine schrittweise Übersicht zur Aktualisierung Ihrer Umgebung auf die moderne Authentifizierung.This section gives a step-by-step overview on how to update your environment to modern authentication. Lesen Sie vor dem Aktivieren einer Richtlinie zum Blockieren der Legacyauthentifizierung in Ihrer Organisation die folgenden Schritte.Read through the steps below before enabling a legacy authentication blocking policy in your organization.

Schritt 1: Aktivieren der modernen Authentifizierung in Ihrem VerzeichnisStep 1: Enable modern authentication in your directory

Im ersten Schritt zum Aktivieren der modernen Authentifizierung stellen Sie sicher, dass Ihr Verzeichnis die moderne Authentifizierung unterstützt.The first step in enabling modern authentication is making sure your directory supports modern authentication. Moderne Authentifizierung ist standardmäßig für Verzeichnisse aktiviert, die am 1. August 2017 oder später erstellt wurden.Modern authentication is enabled by default for directories created on or after August 1, 2017. Wenn Ihr Verzeichnis vor diesem Datum erstellt wurde, müssen Sie die moderne Authentifizierung für Ihr Verzeichnis mit den folgenden Schritten manuell aktivieren:If your directory was created prior to this date, you'll need to manually enable modern authentication for your directory using the following steps:

  1. Überprüfen Sie durch Ausführen von  Get-CsOAuthConfiguration  im Modul  Skype for Business Online-PowerShell, ob Ihr Verzeichnis bereits die moderne Authentifizierung unterstützt.Check to see if your directory already supports modern authentication by running Get-CsOAuthConfiguration from the Skype for Business Online PowerShell module.
  2. Wenn der Befehl eine leere  OAuthServers -Eigenschaft zurückgibt, ist die moderne Authentifizierung deaktiviert.If your command returns an empty OAuthServers property, then Modern Authentication is disabled. Aktualisieren Sie die Einstellung, um die moderne Authentifizierung mit  Set-CsOAuthConfiguration zu aktivieren.Update the setting to enable modern authentication using Set-CsOAuthConfiguration. Wenn Ihre OAuthServers -Eigenschaft einen Eintrag enthält, können Sie loslegen.If your OAuthServers property contains an entry, you're good to go.

Schließen Sie diesen Schritt unbedingt ab, bevor Sie fortfahren.Be sure to complete this step before moving forward. Ihre Verzeichniskonfigurationen müssen unbedingt zuerst geändert werden, da sie bestimmen, welches Protokoll von allen Office-Clients verwendet wird.It's critical that your directory configurations are changed first because they dictate which protocol will be used by all Office clients. Auch wenn Sie Office-Clients verwenden, die die moderne Authentifizierung unterstützen, werden sie standardmäßig ältere Protokolle verwenden, wenn die moderne Authentifizierung in Ihrem Verzeichnis deaktiviert ist.Even if you're using Office clients that support modern authentication, they will default to using legacy protocols if modern authentication is disabled on your directory.

Schritt 2: Office-AnwendungenStep 2: Office applications

Nachdem Sie die moderne Authentifizierung in Ihrem Verzeichnis aktiviert haben, können Sie mit dem Aktualisieren von Anwendungen beginnen, indem Sie die moderne Authentifizierung für Office-Clients aktivieren.Once you have enabled modern authentication in your directory, you can start updating applications by enabling modern authentication for Office clients. Office 2016- oder neuere Clients unterstützen die moderne Authentifizierung standardmäßig.Office 2016 or later clients support modern authentication by default. Es sind keine besonderen Schritte erforderlich.No extra steps are required.

Wenn Sie Office 2013-Windows-Clients oder frühere verwenden, sollten Sie auf Office 2016 oder höher aktualisieren.If you are using Office 2013 Windows clients or older, we recommend upgrading to Office 2016 or later. Auch nach dem Abschluss des vorherigen Schritts zum Aktivieren der modernen Authentifizierung in Ihrem Verzeichnis werden die älteren Office-Anwendungen weiterhin Legacyauthentifizierungsprotokolle verwenden.Even after completing the prior step of enabling modern authentication in your directory, the older Office applications will continue to use legacy authentication protocols. Wenn Sie Office 2013-Clients verwenden und nicht sofort auf Office 2016 oder höher aktualisieren können, führen Sie die Schritte im folgenden Artikel zum  Aktivieren der modernen Authentifizierung für Office 2013 auf Windows-Geräten aus.If you are using Office 2013 clients and are unable to immediately upgrade to Office 2016 or later, follow the steps in the following article to Enable Modern Authentication for Office 2013 on Windows devices. Um Ihr Konto zu schützen, während Sie die Legacyauthentifizierung verwenden, sollten Sie in Ihrem gesamten Verzeichnis sichere Kennwörter verwenden.To help protect your account while you're using legacy authentication, we recommend using strong passwords across your directory. Informieren Sie sich unter  Azure AD-Kennwortschutz , um unsichere Kennwörter in Ihrem Verzeichnis auszuschließen.Check out Azure AD password protection to ban weak passwords across your directory.

Office 2010 unterstützt keine moderne Authentifizierung.Office 2010 does not support modern authentication. Sie müssen alle Office 2010-Benutzer auf eine neuere Version von Office aktualisieren.You will need to upgrade any users with Office 2010 to a more recent version of Office. Sie sollten ein Upgrade auf Office 2016 oder höher durchführen, da dies die Legacyauthentifizierung standardmäßig blockiert.We recommend upgrading to Office 2016 or later, as it blocks legacy authentication by default.

Wenn Sie macOS verwenden, sollten Sie ein Upgrade auf Office für Mac 2016 oder höher durchführen.If you are using macOS, we recommend upgrading to Office for Mac 2016 or later. Wenn Sie den nativen E-Mail-Client verwenden, benötigen Sie macOS-Version 10.14 oder höher auf allen Geräten.If you are using the native mail client, you will need to have macOS version 10.14 or later on all devices.

Schritt 3: Exchange und SharePointStep 3: Exchange and SharePoint

Damit Windows-basierte Outlook-Clients die moderne Authentifizierung verwenden können, muss die moderne Authentifizierung ebenfalls für Exchange Online aktiviert sein.For Windows-based Outlook clients to use modern authentication, Exchange Online must be modern authentication enabled as well. Wenn die moderne Authentifizierung für Exchange Online deaktiviert ist, verwenden Windows-basierte Outlook-Clients, die die moderne Authentifizierung unterstützen (Outlook 2013 oder höher), die Standardauthentifizierung zum Herstellen von Verbindungen mit Exchange Online-Postfächern.If modern authentication is disabled for Exchange Online, Windows-based Outlook clients that support modern authentication (Outlook 2013 or later) will use basic authentication to connect to Exchange Online mailboxes.

SharePoint Online ermöglicht standardmäßig die moderne Authentifizierung.SharePoint Online is enabled for modern authentication default. Für Verzeichnisse, die nach dem 1. August 2017 erstellt wurden, ist die moderne Authentifizierung in Exchange Online standardmäßig aktiviert.For directories created after August 1, 2017, modern authentication is enabled by default in Exchange Online. Wenn Sie allerdings vorher die moderne Authentifizierung deaktiviert haben oder ein Verzeichnis verwenden, das vor diesem Datum erstellt wurde, führen Sie die Schritte im folgenden Artikel zum  Aktivieren der modernen Authentifizierung in Exchange Online aus.However, if you had previously disabled modern authentication or are you using a directory created prior to this date, follow the steps in the following article to Enable modern authentication in Exchange Online.

Schritt 4: Skype for BusinessStep 4: Skype for Business

Um Legacyauthentifizierungsanforderungen von Skype for Business zu verhindern, ist es notwendig, die moderne Authentifizierung für Skype for Business Online zu aktivieren.To prevent legacy authentication requests made by Skype for Business, it is necessary to enable modern authentication for Skype for Business Online. Für Verzeichnisse, die nach dem 1. August 2017 erstellt wurden, ist die moderne Authentifizierung für Skype for Business standardmäßig aktiviert.For directories created after August 1, 2017, modern authentication for Skype for Business is enabled by default.

Sie sollten auf Microsoft Teams umstellen, das die moderne Authentifizierung standardmäßig unterstützt.We suggest you transition to Microsoft Teams, which supports modern authentication by default. Wenn Sie die Migration zu diesem Zeitpunkt nicht durchführen können, müssen Sie die moderne Authentifizierung für Skype for Business Online aktivieren, sodass Skype for Business-Clients beginnen, die moderne Authentifizierung zu verwenden.However, if you are unable to migrate at this time, you will need to enable modern authentication for Skype for Business Online so that Skype for Business clients start using modern authentication. Befolgen Sie die Schritte im Artikel  Unterstützung von Skype for Business-Topologien mit moderner Authentifizierung zum Aktivieren der modernen Authentifizierung für Skype for Business.Follow the steps in this article Skype for Business topologies supported with Modern Authentication, to enable Modern Authentication for Skype for Business.

Zusätzlich zum Aktivieren der modernen Authentifizierung für Skype for Business Online sollte die moderne Authentifizierung für Exchange Online aktiviert werden, wenn die moderne Authentifizierung für Skype for Business aktiviert wird.In addition to enabling modern authentication for Skype for Business Online, we recommend enabling modern authentication for Exchange Online when enabling modern authentication for Skype for Business. Dieser Prozess synchronisiert den Zustand der modernen Authentifizierung in Exchange Online und Skype for Business Online und verhindert mehrere Anmeldeaufforderungen für Skype for Business-Clients.This process will help synchronize the state of modern authentication in Exchange Online and Skype for Business online and will prevent multiple sign-in prompts for Skype for Business clients.

Schritt 5: Verwenden mobiler GeräteStep 5: Using mobile devices

Anwendungen auf Ihrem mobilen Gerät müssen auch die Legacyauthentifizierung blockieren.Applications on your mobile device need to block legacy authentication as well. Sie sollten Outlook für mobile Geräte verwenden.We recommend using Outlook for Mobile. Outlook für mobile Geräte unterstützt standardmäßig die moderne Authentifizierung und erfüllt andere MFA-Baselineschutzrichtlinien.Outlook for Mobile supports modern authentication by default and will satisfy other MFA baseline protection policies.

Um den nativen iOS-Mail-Client zu verwenden, müssen Sie die iOS-Version 11.0 oder höher ausführen, um sicherzustellen, dass der E-Mail-Client zum Blockieren der Legacyauthentifizierung aktualisiert wurde.In order to use the native iOS mail client, you will need to be running iOS version 11.0 or later to ensure the mail client has been updated to block legacy authentication.

Schritt 6: Lokale ClientsStep 6: On-premises clients

Wenn Sie ein Hybridkunde sind, der Exchange Server und Skype for Business lokal verwendet, müssen beide Dienste aktualisiert werden, um die moderne Authentifizierung zu aktivieren.If you are a hybrid customer using Exchange Server on-premises and Skype for Business on-premises, both services will need to be updated to enable modern authentication. Wenn Sie die moderne Authentifizierung in einer Hybridumgebung verwenden, authentifizieren Sie Benutzer weiterhin lokal.When using modern authentication in a hybrid environment, you're still authenticating users on-premises. Der Verlauf der Autorisierung Ihres Zugriffs auf Ressourcen (Dateien oder E-Mails) ändert sich.The story of authorizing their access to resources (files or emails) changes.

Stellen Sie sicher, dass Sie die Voraussetzungen erfüllt haben, bevor Sie die moderne Authentifizierung lokal aktivieren.Before you can begin enabling modern authentication on-premises, please be sure that you have met the pre-requisites. Jetzt können Sie die moderne Authentifizierung lokal aktivieren.You're now ready to enable modern authentication on-premises.

Schritte zum Aktivieren der modernen Authentifizierung finden Sie in den folgenden Artikeln:Steps for enabling modern authentication can be found in the following articles:

Nächste SchritteNext steps