Einstellung der Standardauthentifizierung in Exchange Online

Seit vielen Jahren verwenden Anwendungen die Standardauthentifizierung, um eine Verbindung mit Servern, Diensten und API-Endpunkten herzustellen. Die Standardauthentifizierung bedeutet einfach, dass die Anwendung bei jeder Anforderung einen Benutzernamen und ein Kennwort sendet, und diese Anmeldeinformationen werden häufig auch auf dem Gerät gespeichert oder gespeichert. Standardmäßig ist die Standardauthentifizierung auf den meisten Servern oder Diensten aktiviert und einfach einzurichten.

Einfachheit ist überhaupt nicht schlecht, aber die Standardauthentifizierung erleichtert Angreifern das Erfassen von Benutzeranmeldeinformationen (insbesondere, wenn die Anmeldeinformationen nicht durch TLS geschützt sind), was das Risiko erhöht, dass diese gestohlenen Anmeldeinformationen für andere Endpunkte oder Dienste wiederverwendet werden. Darüber hinaus ist die Durchsetzung der mehrstufigen Authentifizierung (MFA) nicht einfach oder in einigen Fällen möglich, wenn die Standardauthentifizierung aktiviert bleibt.

Die Standardauthentifizierung ist ein veralteter Industriestandard. Bedrohungen, die von ihr ausgehen, sind erst gestiegen, seit wir ursprünglich angekündigt haben, dass wir sie deaktivieren werden (siehe Verbesserung der Sicherheit - Zusammen) Es gibt bessere und effektivere Alternativen zur Benutzerauthentifizierung.

Es wird aktiv empfohlen, dass Kunden Sicherheitsstrategien wie Zero Trust (Nie vertrauen, immer überprüfen) oder Echtzeit-Bewertungsrichtlinien anwenden, wenn Benutzer und Geräte auf Unternehmensinformationen zugreifen. Diese Alternativen ermöglichen intelligente Entscheidungen darüber, wer von wo aus auf welchem Gerät zugreifen möchte, anstatt einfach nur einer Authentifizierungsanmeldeinformation zu vertrauen, die ein schlechter Akteur sein könnte, der die Identität eines Benutzers angibt.

Angesichts dieser Bedrohungen und Risiken unternehmen wir Schritte, um die Datensicherheit in Exchange Online zu verbessern.

Hinweis

Die Einstellung der Standardauthentifizierung verhindert auch die Verwendung von App-Kennwörtern mit Apps, die keine Überprüfung in zwei Schritten unterstützen.

Was wir ändern

Wir entfernen die Möglichkeit, die Standardauthentifizierung in Exchange Online für Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange-Webdienste (EWS), Offlineadressbuch (OAB), Outlook für Windows und Mac zu verwenden.

Außerdem deaktivieren wir SMTP AUTH in allen Mandanten, in denen es nicht verwendet wird.

Bei dieser Entscheidung müssen Kunden von Apps, die die Standardauthentifizierung verwenden, zu Apps wechseln, die moderne Authentifizierung verwenden. Die moderne Authentifizierung (tokenbasierte OAuth 2.0-Autorisierung) bietet viele Vorteile und Verbesserungen, die dazu beitragen, die Probleme bei der Standardauthentifizierung zu beheben. OAuth-Zugriffstoken haben z. B. eine begrenzte verwendbare Lebensdauer und sind spezifisch für die Anwendungen und Ressourcen, für die sie ausgestellt wurden, sodass sie nicht wiederverwendet werden können. Das Aktivieren und Erzwingen der mehrstufigen Authentifizierung (MFA) ist auch mit der modernen Authentifizierung einfach.

Wann findet diese Änderung statt?

Wir haben bereits damit begonnen, diese Änderung vorzunehmen. Neue Microsoft 365-Mandanten werden erstellt, wobei die Standardauthentifizierung bereits deaktiviert ist, da die Sicherheitsstandards aktiviert sind.

Anfang 2021 haben wir begonnen, die Standardauthentifizierung für vorhandene Mandanten ohne gemeldete Nutzung zu deaktivieren. Wir stellen jedem Kunden immer Benachrichtigungen im Nachrichtencenter bereit, bevor die Standardauthentifizierung in ihrem Mandanten deaktiviert wird.

Im September 2021 haben wir angekündigt, dass ab dem 1. Oktober 2022 die Standardauthentifizierung für Outlook- und EWS-, RPS-, POP-, IMAP- und EAS-Protokolle in Exchange Online deaktiviert wird. SMTP-Authentifizierung wird auch deaktiviert, wenn sie nicht verwendet wird. Vollständige Ankündigung: Standardauthentifizierung und Exchange Online – Update vom September 2021.

Hinweis

In Office 365 Operated by 21Vianet beginnen wir mit der Deaktivierung der Standardauthentifizierung am 31. März 2023. Alle anderen Cloudumgebungen unterliegen dem Datum 1. Oktober 2022.

Auswirkungen auf Messagingprotokolle und vorhandene Anwendungen

Diese Änderung wirkt sich auf die Anwendungen und Skripts aus, die Sie möglicherweise auf unterschiedliche Weise verwenden.

POP, IMAP und SMTP AUTH

Im Jahr 2020 haben wir OAuth 2.0-Unterstützung für POP, IMAP und SMTP AUTH veröffentlicht. Aktualisierungen für einige Client-Apps wurden aktualisiert, um diese Authentifizierungstypen (z. B. Thunderbird) zu unterstützen, sodass Benutzer mit aktuellen Versionen ihre Konfiguration ändern können, um OAuth zu verwenden. Es ist nicht geplant, dass Outlook-Clients OAuth für POP und IMAP unterstützen, aber Outlook kann eine Verbindung mit MAPI/HTTP (Windows-Clients) und EWS (Outlook für Mac) herstellen.

Anwendungsentwickler, die Apps erstellt haben, die E-Mails mithilfe dieser Protokolle senden, lesen oder anderweitig verarbeiten, können dasselbe Protokoll beibehalten, müssen jedoch sichere, moderne Authentifizierungsfunktionen für ihre Benutzer implementieren. Diese Funktionalität basiert auf der Microsoft Identity-Plattform v2.0 und unterstützt den Zugriff auf Microsoft 365-E-Mail-Konten.

Wenn Ihre interne Anwendung in Exchange Online auf IMAP-, POP- und SMTP-AUTH-Protokolle zugreifen muss, befolgen Sie diese schrittweisen Anweisungen zum Implementieren der OAuth 2.0-Authentifizierung: Authentifizieren einer IMAP-, POP- oder SMTP-Verbindung mithilfe von OAuth. Verwenden Sie zusätzlich dieses PowerShell-Skript Get-IMAPAccesstoken.ps1 , um den IMAP-Zugriff nach der OAuth-Aktivierung auf einfache Weise zu testen, einschließlich des Anwendungsfalls für das freigegebene Postfach. Wenn dies erfolgreich ist, führen Sie einfach einen sicheren nächsten Schritt mit Ihrem Anwendungsbesitzer Ihres Anbieters oder internen Geschäftspartners.

Arbeiten Sie mit Ihrem Anbieter zusammen, um alle apps oder Clients zu aktualisieren, die Sie verwenden, die betroffen sein könnten.

SMTP AUTH ist weiterhin verfügbar, wenn die Standardauthentifizierung am 1. Oktober 2022 dauerhaft deaktiviert ist. Der Grund, warum SMTP weiterhin verfügbar ist, ist, dass viele Multifunktionsgeräte wie Drucker und Scanner nicht aktualisiert werden können, um die moderne Authentifizierung zu verwenden. Wir empfehlen Kunden jedoch dringend, die Standardauthentifizierung mit SMTP AUTH nach Möglichkeit nicht mehr zu verwenden. Weitere Optionen zum Senden authentifizierter E-Mails sind die Verwendung alternativer Protokolle, z. B. die Microsoft Graph-API.

Exchange ActiveSync (EAS)

Viele Benutzer verfügen über mobile Geräte, die für die Verwendung von EAS eingerichtet sind. Wenn sie die Standardauthentifizierung verwenden, sind sie von dieser Änderung betroffen.

Wir empfehlen die Verwendung von Outlook für iOS und Android beim Herstellen einer Verbindung mit Exchange Online. Outlook für iOS und Android integriert Microsoft Enterprise Mobility + Security (EMS) vollständig, wodurch funktionen für bedingten Zugriff und App-Schutz (MAM) ermöglicht werden. Outlook für iOS und Android hilft Ihnen, Ihre Benutzer und Ihre Unternehmensdaten zu schützen, und es unterstützt nativ die moderne Authentifizierung.

Es gibt andere E-Mail-Apps für mobile Geräte, die die moderne Authentifizierung unterstützen. Die integrierten E-Mail-Apps für alle gängigen Plattformen unterstützen in der Regel die moderne Authentifizierung. Daher besteht die Lösung manchmal darin, zu überprüfen, ob auf Ihrem Gerät die neueste Version der App ausgeführt wird. Wenn die E-Mail-App aktuell ist, aber weiterhin die Standardauthentifizierung verwendet, müssen Sie das Konto möglicherweise vom Gerät entfernen und dann wieder hinzufügen.

Wenn Sie Microsoft Intune verwenden, können Sie den Authentifizierungstyp möglicherweise mithilfe des E-Mail-Profils ändern, das Sie auf Ihre Geräte übertragen oder bereitstellen. Wenn Sie iOS-Geräte (iPhones und iPads) verwenden, sollten Sie einen Blick auf das Hinzufügen von E-Mail-Einstellungen für iOS- und iPadOS-Geräte in Microsoft Intune

Hinweis

Wenn Ihre Geräte die zertifikatbasierte Authentifizierung verwenden, sind sie nicht betroffen, wenn Exchange Online die Standardauthentifizierung in Exchange Online später in diesem Jahr deaktiviert. Nur Geräte, die sich direkt mit der Standardauthentifizierung authentifizieren, sind betroffen.

Die zertifikatbasierte Authentifizierung ist weiterhin legacyauthentifizierung und wird daher durch Azure AD-Richtlinien für bedingten Zugriff blockiert, die die Legacyauthentifizierung blockieren. Weitere Informationen finden Sie unter Blockieren der Legacyauthentifizierung – Azure Active Directory

Exchange Online PowerShell

Seit der Veröffentlichung des Exchange Online V2 PowerShell-Moduls (abgekürzt als EXO V2-Modul) ist es einfach, Ihre Exchange Online- und Schutzeinstellungen über die Befehlszeile mithilfe der modernen Authentifizierung zu verwalten. Das EXO V2-Modul verwendet die moderne Authentifizierung und arbeitet mit der mehrstufigen Authentifizierung (MFA) für die Verbindung mit allen Exchange-bezogenen PowerShell-Umgebungen in Microsoft 365: Exchange Online PowerShell, Security & Compliance PowerShell und eigenständige Exchange Online Protection (EOP) PowerShell.

Das EXO V2-Modul kann auch nicht interaktiv verwendet werden, wodurch unbeaufsichtigte Skripts ausgeführt werden können. Die zertifikatbasierte Authentifizierung bietet Administratoren die Möglichkeit, Skripts auszuführen, ohne Dienstkonten erstellen oder Anmeldeinformationen lokal speichern zu müssen. Weitere Informationen finden Sie unter: Nur-App-Authentifizierung für unbeaufsichtigte Skripts im EXO V2-Modul.

Administratoren, die weiterhin die alte Remote-PowerShell-Verbindungsmethode oder das ältere Exchange Online Remote-PowerShell-Modul (V1) verwenden, sollten so schnell wie möglich mit der Verwendung des EXO V2-Moduls beginnen. Diese älteren Verbindungsmethoden werden schließlich eingestellt, entweder durch Deaktivierung der Standardauthentifizierung oder das Ende des Supports.

Wichtig

Verwechseln Sie nicht die Tatsache, dass PowerShell die Standardauthentifizierung erfordert, die für WinRM aktiviert ist (auf dem lokalen Computer, auf dem die Sitzung ausgeführt wird). Siehe: Voraussetzungen für das EXO V2-Modul

Der Benutzername/das Kennwort wird nicht mithilfe von Basic an den Dienst gesendet, aber der Basic Auth-Header ist erforderlich, um das OAuth-Token der Sitzung zu senden, da der WinRM-Client OAuth nicht unterstützt. Wir arbeiten an diesem Problem und werden in Zukunft mehr ankündigen müssen. Wissen Sie nur, dass das Aktivieren von Basic auf WinRM nicht Basic verwendet, um sich beim Dienst zu authentifizieren.

Weitere Informationen hierzu finden Sie hier: Grundlegendes zu den verschiedenen Versionen von Exchange Online PowerShell-Modulen und Basic Auth

Exchange-Webdienste (Exchange Web Services, EWS)

Viele Anwendungen wurden mithilfe von EWS für den Zugriff auf Postfach- und Kalenderdaten erstellt.

Im Jahr 2018 haben wir angekündigt, dass Exchange-Webdienste keine Funktionsupdates mehr erhalten, und wir empfehlen Anwendungsentwicklern, zur Verwendung von Microsoft Graph zu wechseln. Informationen zu Office 365 finden Sie unter Bevorstehende Änderungen an der EWS-API (Exchange Web Services).

Viele Anwendungen wurden erfolgreich nach Graph verschoben, aber für solche Anwendungen, die dies nicht getan haben, ist es bemerkenswert, dass EWS die moderne Authentifizierung bereits vollständig unterstützt. Wenn Sie also noch nicht zu Graph migrieren können, können Sie zur Verwendung der modernen Authentifizierung mit EWS wechseln, da Sie wissen, dass EWS letztendlich veraltet ist.

Weitere Informationen finden Sie unter:

Outlook, MAPI, RPC und Offlineadressbuch (OAB)

In allen Versionen von Outlook für Windows seit 2016 ist die moderne Authentifizierung standardmäßig aktiviert. Daher verwenden Sie wahrscheinlich bereits die moderne Authentifizierung. Outlook Anywhere (früher als RPC über HTTP bezeichnet) ist in Exchange Online zugunsten von MAPI über HTTP veraltet. Outlook für Windows verwendet MAPI über HTTP, EWS und OAB, um auf E-Mails zuzugreifen, frei/gebucht und außer Haus zu setzen und das Offlineadressbuch herunterzuladen. Alle diese Protokolle unterstützen die moderne Authentifizierung.

Outlook 2007 oder Outlook 2010 kann keine moderne Authentifizierung verwenden und kann schließlich keine Verbindung herstellen. Outlook 2013 erfordert eine Einstellung zum Aktivieren der modernen Authentifizierung, aber nachdem Sie die Einstellung konfiguriert haben, kann Outlook 2013 die moderne Authentifizierung ohne Probleme verwenden. Wie hier bereits erwähnt, erfordert Outlook 2013 eine minimale Updatestufe, um eine Verbindung mit Exchange Online herzustellen. Siehe: Neue Mindestversionsanforderungen für Outlook für Windows für Microsoft 365.

Outlook für Mac unterstützt die moderne Authentifizierung.

Weitere Informationen zur Unterstützung der modernen Authentifizierung in Office finden Sie unter Funktionsweise der modernen Authentifizierung für Office-Client-Apps.

Wenn Sie öffentliche Ordner online zu Exchange migrieren müssen, lesen Sie Migrationsskripts für öffentliche Ordner mit moderner Authentifizierungsunterstützung.

Woher wissen Sie, ob Ihre Benutzer betroffen sind?

Es gibt mehrere Möglichkeiten, um festzustellen, ob Sie die Standardauthentifizierung oder die moderne Authentifizierung verwenden. Wenn Sie die Standardauthentifizierung verwenden, können Sie bestimmen, woher sie stammt und was Sie dagegen tun müssen.

Dialogfeld "Authentifizierung"

Eine einfache Möglichkeit, festzustellen, ob eine Client-App (z. B. Outlook) die Standardauthentifizierung oder moderne Authentifizierung verwendet, besteht darin, das Dialogfeld zu beobachten, das angezeigt wird, wenn sich der Benutzer anmeldet.

Moderne Authentifizierung zeigt eine webbasierte Anmeldeseite an:

Die moderne Anmeldung ist ein webbasierter Bildschirm


Die Standardauthentifizierung stellt ein modales Dialogfeld für Anmeldeinformationen dar:

Modales Feld für Anmeldeinformationen im Dialogfeld 'Standardauthentifizierung'

Auf einem mobilen Gerät wird eine ähnliche webbasierte Seite angezeigt, wenn Sie sich authentifizieren, wenn das Gerät versucht, eine Verbindung mithilfe der modernen Authentifizierung herzustellen.

Sie können auch das Dialogfeld "Verbindungsstatus" aktivieren, indem Sie strg+ mit der rechten Maustaste auf das Outlook-Symbol in der Taskleiste klicken und "Verbindungsstatus" auswählen.

Bei Verwendung der Standardauthentifizierung wird in der Spalte "Authentifizierung " im Dialogfeld "Outlook-Verbindungsstatus " der Wert " Löschen" angezeigt.

Outlook-Verbindungsstatus deaktiviert

Nachdem Sie zur modernen Authentifizierung gewechselt haben, wird in der Spalte "Authentifizierung " im Dialogfeld "Outlook-Verbindungsstatus" der Wert von Bearer angezeigt.

Outlook-Verbindungsstatusträger

Überprüfen des Nachrichtencenters

Ab Ende 2021 haben wir mit dem Senden von Nachrichtencenter-Beiträgen an Mandanten begonnen, die ihre Verwendung der Standardauthentifizierung zusammenfassen. Wenn Sie die Standardauthentifizierung nicht verwenden, wurde die Standardauthentifizierung wahrscheinlich bereits deaktiviert (und ein Beitrag im Nachrichtencenter mit der entsprechenden Aussage erhalten) – es sei denn, Sie beginnen damit, sie zu verwenden, sind nicht betroffen.

Wenn Sie eine Zusammenfassung der Nutzung erhalten haben, wissen Sie, wie viele eindeutige Benutzer wir im vorherigen Monat mit der Standardauthentifizierung gesehen haben und welche Protokolle sie verwendet haben. Diese Zahlen sind nur indikativ und spiegeln nicht unbedingt den erfolgreichen Zugriff auf Postfächer oder Daten wider. Beispielsweise kann sich ein Benutzer mit IMAP authentifizieren, ihm wird jedoch aufgrund der Konfiguration oder Richtlinie der Zugriff auf das Postfach verweigert. Die Nutzungszusammenfassung weist jedoch darauf hin, dass sich etwas oder jemand erfolgreich mithilfe der Standardauthentifizierung bei Ihrem Mandanten authentifiziert. Um diese Verwendung weiter zu untersuchen, empfehlen wir, dass Sie den Azure Active Directory-Anmeldeereignissebericht verwenden – einen Bericht, der detaillierte Benutzer-, IP- und Clientdetails für diese Authentifizierungsversuche bereitstellen kann (weitere Details unten).

Überprüfen Sie das Admin Center

Anfang 2022 planen wir die Aktualisierung des Microsoft Admin Center, um die Zusammenfassung der Verwendung und das Aktivieren/Deaktivieren von Protokollen zu vereinfachen. Wir veröffentlichen weitere Informationen zu diesen Änderungen, sobald sie verfügbar sind.

Überprüfen des Azure Active Directory-Anmeldeberichts

Der beste Ort, um ein aktuelles Bild der Standardauthentifizierungsnutzung nach Mandanten zu erhalten, ist die Verwendung des Azure AD Sign-In-Berichts. Weitere Informationen finden Sie unter: Neue Tools zum Blockieren der Legacyauthentifizierung in Ihrer Organisation – Microsoft Tech Community.

Für das Exportieren von Protokollen zur Analyse ist eine Premiumlizenz für Ihren Azure AD-Mandanten erforderlich. Wenn Sie über eine Premiumlizenz verfügen, können Sie die folgenden Methoden zum Exportieren von Protokollen verwenden:

  • Azure Event Hubs, Azure Storage oder Azure Monitor (beste Methoden): Alle diese Exportpfade sind in der Lage, die Last auch von großen Kunden mit Hunderttausenden von Benutzern zu verarbeiten. Weitere Informationen finden Sie unter Streamen von Azure Active Directory-Protokollen in Azure Monitor-Protokolle.
  • Graph-APIs: Es wird empfohlen, die MS Graph-Paginglogik zu verwenden, um sicherzustellen, dass Sie alle Protokolle abrufen können. Weitere Informationen finden Sie unter Access Azure AD logs with the Microsoft Graph-API.
  • Direkter Download vom Webbrowser: Für große Kunden kann die Datenmenge Browsertimeouts verursachen.

Erneutes Aktivieren und Deaktivieren des proaktiven Schutzes

Wir haben bereits begonnen, die Standardauthentifizierung in folgenden Umgebungen zu deaktivieren:

  • Organisationen, die keine Standardauthentifizierung für Protokolle verwenden.
  • In Organisationen, die weiterhin die Standardauthentifizierung verwenden, deaktivieren wir die Standardauthentifizierung für einzelne Protokolle, die keine aufgezeichnete Verwendung aufweisen.

Bevor wir Änderungen an Ihrer Organisation vornehmen, werden wir Sie über die Änderung in einem Nachrichtencenterbeitrag benachrichtigen. Sie können die Änderung deaktivieren, wenn Sie vor dem im Nachrichtencenter-Beitrag angegebenen Datum handeln. Sie können dies bis Oktober 2022 tun, dann können Sie die Änderungen nicht mehr deaktivieren.

Weitere Informationen zum Opt-out-Prozess finden Sie unter Standardauthentifizierung und Exchange Online – Update vom September 2021.

Wenn wir bereits etwas deaktiviert haben, bevor Sie den Beitrag im Nachrichtencenter gesehen haben, können Sie ihn jederzeit vor Oktober 2022 erneut aktivieren.

Weitere Informationen zum Erneut aktivieren finden Sie unter Standardauthentifizierung und Exchange Online – Update vom Juni 2021.

Clientoptionen

Einige der verfügbaren Optionen für jedes der betroffenen Protokolle sind unten aufgeführt.

Protokollempfehlung

Für Exchange-Webdienste (EWS), Remote PowerShell (RPS), POP und IMAP und Exchange ActiveSync (EAS):

  • Wenn Sie ihren eigenen Code mit diesen Protokollen geschrieben haben, aktualisieren Sie Ihren Code so, dass er OAuth 2.0 anstelle der Standardauthentifizierung verwendet, oder migrieren Sie zu einem neueren Protokoll (Graph-API).
  • Wenn Sie oder Ihre Benutzer eine Drittanbieteranwendung verwenden, die diese Protokolle verwendet, wenden Sie sich an den Drittanbieter-App-Entwickler, der diese Anwendung bereitgestellt hat, um sie zu aktualisieren, um die OAuth 2.0-Authentifizierung zu unterstützen, oder unterstützen Sie Ihre Benutzer, zu einer Anwendung zu wechseln, die mit OAuth 2.0 erstellt wurde.
Schlüsselprotokolldienst Betroffene Clients Clientspezifische Empfehlung Protokollinformationen/Hinweise
Outlook Alle Versionen von Outlook für Windows und Mac
  • Upgrade auf Outlook 2013 oder höher für Windows und Outlook 2016 oder höher für Mac
  • Wenn Sie Outlook 2013 für Windows verwenden, aktivieren Sie die moderne Authentifizierung über den Registrierungsschlüssel
Aktivieren der modernen Authentifizierung für Outlook – wie schwierig kann es sein?
Exchange-Webdienste (Exchange Web Services, EWS) Anwendungen von Drittanbietern, die OAuth nicht unterstützen
  • Ändern Sie die App, um die moderne Authentifizierung zu verwenden.
  • Migrieren Sie die App, um Graph-API und moderne Authentifizierung zu verwenden.

Beliebte Apps:

Remote PowerShell (RPS) Verwenden Sie eine der folgenden Optionen: Erfahren Sie mehr über die Unterstützung der Automatisierung und zertifikatbasierten Authentifizierung für das EXO V2-Modul und das Verständnis der verschiedenen Versionen von Exchange Online PowerShell-Modulen und Basic Auth.
POP und IMAP Mobile Clients von Drittanbietern wie Thunderbird-Erstanbieterclients, die für die Verwendung von POP oder IMAP konfiguriert sind Empfehlungen:
  • Entfernen Sie sich von diesen Protokollen, da sie keine vollständigen Features aktivieren.
  • Wechseln sie zu OAuth 2.0 für POP/IMAP, wenn ihre Client-App dies unterstützt.
IMAP ist bei Linux- und Bildungskunden beliebt. Der OAuth 2.0-Support wurde im April 2020 eingeführt.
Exchange ActiveSync (EAS) Mobile E-Mail-Clients von Apple, Samsung usw.
  • Wechseln zu Outlook für iOS und Android oder zu einer anderen mobilen E-Mail-App, die moderne Authentifizierung unterstützt
  • Aktualisieren der App-Einstellungen, wenn OAuth ausgeführt werden kann, das Gerät jedoch weiterhin Basic verwendet
  • Wechseln Sie zu Outlook im Web oder einer anderen mobilen Browser-App, die die moderne Authentifizierung unterstützt.

Beliebte Apps:

  • Apple iPhone/iPad/macOS: Alle aktuellen iOS/macOS-Geräte können moderne Authentifizierung verwenden, indem Sie einfach das Konto entfernen und wieder hinzufügen.
  • Microsoft Windows 10-Mail-Client: Entfernen sie das Konto, und fügen Sie es wieder hinzu, und wählen Sie Office 365 als Kontotyp aus.
Mobile Geräte, die eine systemeigene App zum Herstellen einer Verbindung mit Exchange Online verwenden im Allgemeinen dieses Protokoll.

Was geschieht, wenn ich die Standardauthentifizierung jetzt blockieren möchte?

Hier ist eine Tabelle, in der die Optionen zum proaktiven Deaktivieren der Standardauthentifizierung zusammengefasst sind.

Methode Vorteile Nachteile
Sicherheitsstandards – Blockiert die gesamte Legacyauthentifizierung auf Mandantenebene für alle Protokolle.
- Keine zusätzliche Lizenzierung erforderlich
– Kann nicht zusammen mit Azure AD-Richtlinien für bedingten Zugriff verwendet werden
- Mögliche andere Auswirkungen, z. B. die Anforderung, dass sich alle Benutzer für MFA registrieren und diese anfordern
Exchange Online-Authentifizierungsrichtlinien – Ermöglicht einen phasenweisen Ansatz mit Deaktivierungsoptionen pro Protokoll
- Keine zusätzliche Lizenzierung erforderlich
– Blockiert die Standardauthentifizierung vor der Authentifizierung
Admin Benutzeroberfläche verfügbar, um die Standardauthentifizierung auf Organisationsebene zu deaktivieren, aber Ausnahmen erfordern PowerShell
Bedingter Azure AD-Zugriff - Kann verwendet werden, um die gesamte Standardauthentifizierung für alle Protokolle zu blockieren.
– Kann auf Benutzer, Gruppen, Apps usw. beschränkt werden.
- Kann so konfiguriert werden, dass es im berichtsgeschützten Modus für zusätzliche Berichte ausgeführt wird
– Erfordert zusätzliche Lizenzierung (Azure AD P1)
- Blockiert die Standardauthentifizierung nach der Authentifizierung

Ressourcen

Weitere Informationen zum Blockieren der Standardauthentifizierung finden Sie in den folgenden Artikeln:

Sicherheitsstandards:

Exchange Online-Authentifizierungsrichtlinien:

Bedingter Azure AD-Zugriff:

Zusammenfassung und nächste Schritte

Die in diesem Artikel beschriebenen Änderungen können sich auf Ihre Fähigkeit auswirken, eine Verbindung mit Exchange Online herzustellen. Daher sollten Sie Schritte unternehmen, um zu verstehen, ob Sie betroffen sind, und die Schritte bestimmen, die Sie ausführen müssen, um sicherzustellen, dass Sie die Verbindung nach dem Rollout fortsetzen können.

Es wird empfohlen, zuerst die Auswirkungen auf Ihren Mandanten und Ihre Benutzer zu untersuchen. Suchen Sie nach Nachrichtencenter-Beiträgen, in denen Sie Entweder Ihre Nutzung zusammenfassen oder einen Bericht erstellen, den Sie nicht haben.

Wenn Sie die Nutzung haben oder nicht sicher sind, sehen Sie sich den Azure AD-Sign-In Bericht an. Weitere Informationen finden Sie hier: Neue Tools zum Blockieren der Legacyauthentifizierung in Ihrer Organisation – Microsoft Tech Community. Der Bericht kann Ihnen dabei helfen, Clients und Geräte mithilfe der Standardauthentifizierung nachzuverfolgen und zu identifizieren.

Sobald Sie eine Vorstellung von den Benutzern und Clients haben, von denen Sie wissen, dass sie die Standardauthentifizierung verwenden, erstellen Sie einen Wartungsplan. Dies kann ein Upgrade der Clientsoftware, das Neukonfigurieren von Apps, das Aktualisieren von Skripts oder das Erreichen von App-Entwicklern von Drittanbietern bedeuten, um aktualisierten Code oder Apps zu erhalten.