Aufgrund der Covid-19-Pandemie gab es eine große Planänderung bezüglich der Deaktivierung der Standardauthentifizierung in Microsoft 365 (für Verbindungen zu Exchange Online). Nach mehreren Änderungen im Zeitplan hat die Standardauthentifizierung fast das Ende ihrer Lebensdauer erreicht. Lesen Sie diesen Artikel weiter, um mehr über die Standardauthentifizierung in Microsoft 365 zu erfahren, wo sie noch zu finden ist, wie Sie sie selbst blockieren können und wann genau sie deaktiviert wird.
Zeitplan für die Deaktivierung der Standardauthentifizierung in Office 365
Das Blockieren der Standardauthentifizierung hat schon eine ganze Reihe von Verschiebungen hinter sich.
Ursprünglich war das Ende der Standardauthentifizierung für Oktober 2020 geplant. Im April 2020 wurde das Datum verschoben. Für die Verzögerung gab es mehr als einen Grund. Einer der Gründe dafür war Covid-19 und seine Auswirkungen auf Unternehmen. Ein weiterer wichtiger Faktor war, dass viele Organisationen bei ihren Tenants immer noch aktiv die Standardauthentifizierung verwendeten. Später, im Exchange Team Blog im Februar 2021, hat Microsoft das Ende der Lebensdauer der Standardauthentifizierung noch einmal verschoben.
Nachfolgend finden Sie die wichtigsten Daten im Zusammenhang mit der Deaktivierung der Standardauthentifizierung:
- 22. Oktober 2019 – die Sicherheitsstandards sind jetzt für alle neuen Benutzer standardmäßig aktiviert. Die Sicherheitsstandards blockieren alle älteren Authentifizierungsprotokolle.
- 13. Oktober 2020 – das erste Datum für die Deaktivierung der Standardauthentifizierung in Exchange Online für alle Tenants (verschoben).
- Oktober 2020 – die Standardauthentifizierung wird für Tenants deaktiviert, die sie nicht effektiv nutzen.
- Zweites Halbjahr 2021 – vorgeschlagenes Datum für die Deaktivierung der Standardauthentifizierung für alle Tenants (verschoben).
- Februar 2021 – Microsoft gibt bekannt, dass die Standardauthentifizierung vorerst für keine der Protokolle, die ein Tenant verwendet, blockiert wird. Allerdings wird die Standardauthentifizierung für die nicht verwendeten Protokolle blockiert, wobei 30 Tage vorher eine Warnung im Microsoft 365 Message Center in Ihrem Tenant ausgegeben wird.
- Oktober 2022 – die vollständige Abschaltung der Standardauthentifizierung für Verbindungen zu Exchange Online, angekündigt im September 2021. Das sollte mehr als ausreichend sein, um alles zu erledigen.
Obwohl der Oktober 2022 das offizielle Ende der Lebensdauer der Standardauthentifizierung war, stellte sich heraus, dass es immer noch einige Stellen gibt, an denen sie verwendet wird. Remote-PowerShell-Sitzungen (RPS-Protokoll) erfordern nämlich die Standardauthentifizierung in WinRM, um erfolgreich eine Verbindung zu Exchange Online herzustellen. Kurz gesagt, die Abschaffung von RPS hängt eng mit dem endgültigen Ende der Lebensdauer der Standardauthentifizierung zusammen:
- 1. April 2023 –RPS wird standardmäßig für neue Tenants gesperrt. Es kann vor dem 15. Juni 2023 mit einem speziellen Diagnosetool wieder aktiviert werden.
- Mai 2023 – RPS wird für Tenants gesperrt, im Fall von welchen dessen Nutzung nicht registriert wurde und man die Änderung nicht abgelehnt hat.
- 15. Juni 2023 – RPS wird gesperrt, auch wenn Ihre Organisation es verwendet hat. Wenn der Tenant nach dem 1. April 2023 erstellt wurde, können Sie das vorher erwähnte Diagnosetool nicht mehr zur Verlängerung der RPS-Lebensdauer verwenden.
- 1. Juli 2023 –RPS wird für alle neuen Tenants gesperrt, ob Sie das wollen oder nicht.
- Oktober 2023 – RPS ist für alle Tenants gesperrt. Das ist das endgültige Ende der Lebensdauer von RPS.
Nach mehreren Änderungen im Zeitplan erreichte die Standardauthentifizierung (mehr oder weniger) ihr Lebensende. Diese Änderung ist die beste Lösung – das Ende der Standardauthentifizierung macht beispielsweise Passwort-Spraying-Angriffe wirkungslos. Dies zwingt Angreifer dazu, ausgefeiltere Methoden zu verwenden, um in Microsoft 365-Konten einzudringen. Die zahlreichen Verschiebungen zeigten, dass die Änderung komplexer war als ursprünglich angenommen. Lassen Sie uns näher auf die Konsequenzen und Auswirkungen der Blockierung der Standardauthentifizierung eingehen.
Auswirkungen auf die Organisation und Benutzer
Alle Apps, Programme und Dienste, die eine Verbindung zu Microsoft 365 herstellen, müssen sich authentifizieren. Da die Standardauthentifizierung blockiert wurde, funktioniert jetzt keine Anwendung, die dieses alte Authentifizierungsprotokoll für den Zugriff auf Exchange Online verwendet. Sie müssen auf jeden Fall etwas unternehmen, wenn jemand in Ihrem Unternehmen noch folgende Software verwendet:
- Outlook 2010 und ältere Versionen – bei deaktivierter Standardauthentifizierung können diese E-Mail-Clients keine Verbindung zu Microsoft 365 herstellen.
- Outlook 2013 – für die Aktivierung von OAuth in Outlook 2013 müssen einige Änderungen in der Registrierung vorgenommen werden.
- Outlook 2011 für Mac – genau wie Outlook 2010 unterstützt es keine moderne Authentifizierung.
- Remote PowerShell – Sie müssen das moderne Exchange Online-Modul V3 verwenden (erfahren Sie, wie Sie mit diesem Modul eine Remoteverbindung zu Ihrem Tenant herstellen). Wenn Sie über unbeaufsichtigte Skripts verfügen, in denen Sie die Standardauthentifizierung verwenden, um eine Verbindung zu Exchange Online herzustellen, funktionieren diese nicht mehr, wenn Remote PowerShell (RPS) blockiert wird.
- Alle Apps, Add-Ins oder mobilen E-Mail-Clients von Drittanbietern, die die moderne Authentifizierung nicht unterstützen.
Da die Standardauthentifizierung mehr oder weniger deaktiviert ist, dürften Sie die Auswirkungen bereits gespürt haben. In manchen Fällen müssen IT-Abteilungen die Software auf mehreren Workstations updaten oder upgraden. Oder das RPS-Protokoll vorübergehend aktiviert lassen. Erfahren Sie, wie Sie das machen
Unterm Strich hätte sich jeder Microsoft 365-Administrator längst auf die Änderungen vorbereiten müssen. Wenn Sie sich noch nie für die Funktionsweise der Authentifizierung interessiert haben, ist es jetzt an der Zeit, einen kurzen Blick auf einige der wichtigsten Unterschiede zwischen Standard- und moderner Authentifizierung zu werfen.
Standardauthentifizierung vs. moderne Authentifizierung
Obwohl der erzwungene Wechsel von der Standardauthentifizierung zu moderneren Sicherheitsmaßnahmen problematisch sein könnte, ist er eine willkommene Abwechslung. Die moderne Authentifizierung, die auf ADAL (Active Directory Authentication Library) und OAuth 2.0 basiert, bietet eine sicherere Authentifizierungsmethode. Um es einfach auszudrücken: bei der Standardauthentifizierung muss jede App, jeder Dienst oder jedes Add-In bei jeder Anfrage Anmeldeinformationen (Benutzername und Passwort) übergeben. Das bedeutet, dass diese Anwendungen die Anmeldeinformationen von Benutzern oder Administratoren irgendwo in ihren Einstellungen speichern. Dies eröffnet Angreifern viele Möglichkeiten. Darüber hinaus unterstützt die Standardauthentifizierung keine bereichsbezogene Berechtigungen sowie Klassifizierung der Berechtigungen, sodass jede App, die eine Verbindung mit dem Standardauthentifizierungsprotokoll herstellt, potenziell Zugriff auf alle Daten erhält, auf die ein bestimmter Benutzer Zugriff hat. Heutzutage besteht die beste Praxis in Bezug auf Sicherheit und Datenschutz darin, den Zugriff nur auf die Daten und Ressourcen zu erlauben, die für die Funktion einer Anwendung erforderlich sind, und nicht mehr (Richtlinien für minimalen Zugriff). Die Auswirkungen wären noch größer, wenn ein geleaktes Passwort auch an anderen Stellen verwendet würde und MFA nicht erfolgreich implementiert worden ist.
Bei der modernen Authentifizierung können Apps keine Anmeldeinformationen für Microsoft 365-Konten speichern. Damit eine App / ein Dienst/Client authentifiziert werden kann, muss sich ein Benutzer mit dem standardmäßigen Microsoft 365-Anmeldebildschirm bei seinem Konto anmelden und die Anfrage einer App zum Zugriff auf sein Konto akzeptieren. Der Zugriff erfolgt über Tokens, die eine festgelegte Lebensdauer haben. Tokens geben einen genau definierten Berechtigungsbereich vor, der vom angemeldeten Benutzer akzeptiert werden muss. Schließlich ermöglicht die moderne Authentifizierung den Einsatz von Multi-Faktor-Authentifizierung (MFA), die Ihrem Tenant eine weitere Sicherheitsschicht hinzufügt.
Ihre Organisation verwendet wahrscheinlich keine Standardauthentifizierung mehr. Um jedoch sicherzugehen, können Sie mithilfe von Azure Active Directory überprüfen, welche Anwendungen für die Anmeldung bei Ihrem Tenant verwendet werden.
Prüfung von Anwendungen, die sich bei Azure AD anmelden
Sie können Anmeldungen bei Ihrem Microsoft 365-Tenant im Azure-Portal überprüfen, indem Sie zu Azure Active Directory > Sign-in logs (Anmeldeprotokolle) gehen, oder diesen Link verwenden. Auf dieser Seite können Sie überprüfen, welche Anwendungen für die Verbindung mit Ihrer Microsoft 365-Organisation verwendet werden, wer die Verbindung herstellt, woher und vieles mehr:
Wenn Sie auf einen Datensatz klicken, können Sie mehr über den Anmeldeversuch erfahren. Er enthält Informationen über das für die Anmeldung verwendete Gerät und Authentifizierungsdetails.
Deaktivierung der Standardauthentifizierung in Office 365
Die Standardauthentifizierung ist bereits deaktiviert, ob es Ihnen gefällt oder nicht. Der folgende Abschnitt listet verschiedene Methoden auf, mit denen Sie die Standardauthentifizierung in Office 365 (Microsoft 365) blockieren konnten:
- Sicherheitsstandards – standardmäßig für alle neuen Tenants aktiviert. Dieser Satz sicherheitsbezogener Einstellungen deaktiviert alle älteren Authentifizierungsmethoden, einschließlich Standardauthentifizierung und App-Kennwörter. Das Aktivieren von Sicherheitsstandards kann sich auf einige Drittanbieteranwendungen auswirken, die Sie mit Ihrem Microsoft 365-Tenant verwenden.
- Clientzugriffsregeln – ausführlich behandelt in diesem Artikel. Mithilfe von Clientzugriffsregeln können Sie sehr spezifische Regeln erstellen, um in ganz bestimmten Fällen Standardauthentifizierung zu ermöglichen. Sie können beispielsweise die Standardauthentifizierung für eine bestimmte AD-Gruppe oder einen bestimmten IP-Bereich zulassen, der in Ihrer Zentrale verwendet wird. Der Haken an der Sache ist, dass Clientzugriffsregeln im September 2024 vollständig blockiert werden sollen.
- Authentifizierungsrichtlinien – ein Tool zum Blockieren der Standardauthentifizierung. Sie können diese Richtlinien mit PowerShell (Set-AuthenticationPolicy) oder im Microsoft 365 Admin Center steuern. Da das Tool auf die Blockierung der Standardauthentifizierung ausgerichtet ist, beschreibe ich im Folgenden einige allgemeine Grundsätze für die Verwendung.
Um Authentifizierungsrichtlinien zu konfigurieren, gehen Sie zu Microsoft 365 Admin Center > Settings (Einstellungen) > Org settings (Organisationseinstellungen) > Modern authentication (Moderne Authentifizierung), oder verwenden Sie diesen Link.
In diesem Fenster können Sie auswählen, welche Protokolle die Standardauthentifizierung für den Zugriff auf Ihren Tenant nutzen sollen. Sie können beispielsweise Exchange Online PowerShell deaktivieren, um die Verwendung dieser alten Authentifizierungsmethode zum Starten einer Remote-PowerShell-Sitzung mit Exchange Online zu verhindern. Allerdings gibt es einen Haken. Es dauert 24 Stunden, bis die in diesem Fenster vorgenommenen Änderungen wirksam werden. Sie können Änderungen erzwingen, dies erfordert jedoch die Verwendung von PowerShell.
Wenn ich das Cmdlet Get-AuthenticationPolicy
ausführe, kann ich sehen, dass die Änderungen bereits angewendet wurden:
Das ist ironisch, denn ich habe ursprünglich die Standardauthentifizierungsmethode verwendet, um über PowerShell eine Verbindung zu Exchange Online herzustellen.
Um die Anwendung von Authentifizierungsrichtlinienänderungen für ein einzelnes Konto zu erzwingen (im Beispiel unten werden sie auf den Administrator (admin) angewendet), können Sie das folgende Cmdlet ausführen:
Set-User -identity admin -StsRefreshTokensValidFrom $([System.DateTime]::UtcNow)
Um Änderungen auf alle Postfächer anzuwenden, führen Sie den folgenden Code aus:
$Mailboxes= (Get-User).UserPrincipalName foreach ($mailbox in $Mailboxes) {Set-User -Identity $mailbox -StsRefreshTokensValidFrom $([System.DateTime]::UtcNow)}
Wenn Sie anschließend die Standardauthentifizierungsmethode zum Starten einer Remote-PowerShell-Sitzung verwendet haben, sollte beim Versuch, ein beliebiges Exchange Online-Cmdlet auszuführen, das Anmelde-Popup-Fenster angezeigt werden:
Selbst wenn Sie nun die richtigen Anmeldeinformationen eingeben, sollte die PowerShell-Konsole die Meldung „access denied“ (Zugriff verweigert) anzeigen:
Da der Anmeldeversuch nicht erfolgreich war, wird er nicht auf der Seite mit Anmeldeprotokollen im Azure-Portal angezeigt.
Wenn Sie PowerShell weiterhin zur Verwaltung Ihres Tenants verwenden möchten, können Sie dies mit dem Exchange Online PowerShell-Modul V3 tun, ohne das auf der Standardauthentifizierung basierende RPS-Protokoll verwenden zu müssen.
Standardauthentifizierung in Office 365 vs. die Software von CodeTwo
Wir bei CodeTwo glauben, dass Sicherheit immer Priorität haben sollte. Deshalb unterstützten alle unsere Lösungen für Microsoft 365 die moderne Authentifizierung lange bevor diese erzwungen wurde. Wenn Sie also unsere Tools zur Verwaltung von E-Mail-Signaturen, Datensicherung oder -migration verwenden, können Sie sicher sein, dass sie auch bei deaktivierter Standardauthentifizierung weiterhin problemlos funktionieren werden. Vorausgesetzt, Sie sind auf dem neuesten Stand und verwenden keine jahrzehntealten Versionen. Und wenn Sie unsere Produkte noch nicht kennen, schauen Sie sich unten einen kurzen Überblick an:
- CodeTwo Email Signatures 365 – ermöglicht Ihnen die Verwaltung von E-Mail-Signaturen, Haftungsausschlüssen und automatischen Antworten in Ihrer Microsoft 365-Organisation. In nur wenigen Augenblicken können Sie Regeln entwerfen und implementieren, die professionell gebrandete E-Mail-Signaturen zu E-Mails hinzufügen, die von jedem E-Mail-Client und Gerät gesendet werden.
- CodeTwo Backup for Office 365 – sichert Ihre Microsoft 365-Organisation durch die Erstellung von kontinuierlichen Backups der E-Mails, Dokumente und anderen Ressourcen Ihrer Organisation. Gesicherte Daten können später schnell ermittelt und an ihrem ursprünglichen Speicherort oder einem Speicherort Ihrer Wahl wiederhergestellt werden.
- CodeTwo Office 365 Migration – ermöglicht Ihnen die einfache und sichere Migration von Daten von lokalen Exchange- oder IMAP-Servern zu Microsoft 365 und zwischen Microsoft 365-Tenants. Sie können Ihren Migrationsprozess vereinfachen und den Großteil der Arbeit dem Tool überlassen.
- CodeTwo User Photos for Office 365 – ein kostenloses Tool, mit dem Sie Benutzerfotos in Microsoft 365 verwalten können. Es ermöglicht Ihnen, Profilbilder für alle Benutzer schnell und einfach zu importieren und zu exportieren, ohne dass dafür Skripte erforderlich sind. Diese Fotos werden in Microsoft 365-Einstellungen, Outlook, Teams, Outlook im Web etc. angezeigt.
Wenn Sie CodeTwo Backup for Office 365 oder CodeTwo Office 365 Migration verwenden, aktualisieren Sie diese unbedingt auf die neueste Version. Auf diese Weise sorgen Sie für deren möglichst sichere und zuverlässige Funktion.
Verantwortlicher für Ihre personenbezogenen Daten ist CodeTwo sp. z o.o. sp. k.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.