Abschaltung Standardauthentifizierung Basic Auth Exchange Online

The estimated reading time 4 minutes

Seit einigen Tagen ist bekannt, dass Microsoft die altbekannte Basic Auth oder im deutschen auch Standardauthentifizierung abschaltet. Offiziell am 01. Oktober 2022

Today, we are announcing that, effective October 1, 2022, we will begin to permanently disable Basic Auth in all tenants, regardless of usage, with the exception of SMTP Auth.

https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-september-2021-update/ba-p/2772210

Warum soll Basic Auth abgeschaltet werden? Hat doch gut funktioniert!

Die Standardauthentifizierung hat nun viele Jahre für viele unterschiedliche Clients gedient. Es ist einfach diese aufzusetzen und zu benutzen. Oft wurde das Passwort, dann noch auf dem Client hinterlegt, sodass der Benutzer nicht durch lästige Passwortabfragen gestört wurde. Leider gilt diese Authentifizierungsmethode inzwischen nicht mehr als sicher. Speziell wenn kein TLS verwendet wird, sollte sie nicht mehr verwendet werden. Auch Multifaktorauthentifizierung ist nicht einfach zu implementieren, sodass Microsoft gegen die Standardauthentifizierung entschieden hat.

Basic Authentication is an outdated industry standard, and threats posed by Basic Auth have only increased in the time since we originally announced we were making this change. 

https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-september-2021-update/ba-p/2772210

Was macht Microsoft nun also?

Microsoft hat bereits begonnen bei Tenants, die bisher keine Basic Auth verwendet hatten, diese bereits abzuschalten. Beginnend im Jahr 2022 schaltet Microsoft die Authentifizierung ebenfalls bei Kunden ab, die diese verwenden, mit der Option diese wieder manuell aktivieren zu können (siehe weiter unten). Die Abschaltung wird zunächst nur einige Stunden sein (zwischen 12 und 48h), deshalb werden hier auch alle Protokolle (POP/IMAP/ActiveSync…) betroffen sein. Als Administrator kann man diese Funktion aber zunächst wieder reaktivieren. Siehe: re-enable basic auth again with a selfservice tool .

Folgender Link führt euch direkt innerhalb des AdminCenters von M365 zur Aktivierung.

https://aka.ms/PillarEXOBasicAuth

Wenn ihr bereits in der Hilfe des AdminCenters seid, könnt ihr auch folgenden Text in die Suche eingeben.
Diag: Enable Basic Auth in EXO

Wer bereits Basic Auth komplett deaktiviert hat, sollte folgende Meldung bekommen (sehr gut!)

Muss ich als Admin nun eingreifen?

Kommt drauf an! Laut meiner Erfahrung wird die Standardauthentifizierung häufig noch in PowerShell Skripten für die Anmeldung an M365 Exchange verwendet. Das würde ich auf jeden Fall prüfen. Siehe hierzu auch folgenden Link zur Umstellung.

https://techcommunity.microsoft.com/t5/exchange-team-blog/modern-auth-and-unattended-scripts-in-exchange-online-powershell/ba-p/1497387

Natürlich sollten zuvor auch alle alten Geräte und Outlook Clients eliminiert werden (Outlook 2010) oder auch andere Geräte welche POP/ IMAP/ ActiveSync mit Basic Auth verbinden. Diese Geräte funktionieren nachher nicht mehr.

Wer bereits überall nur die Moderne Authentifizierung verwendet, der wird von der Umstellung nichts merken.
HINWEIS: wer die Standardauthentifizierung nicht benötigt, sollte diese bitte direkt abschalten!

Wie kann ich Standardauthentifizierungen finden?

Eine einfache Methode ist die Logins über das Azure Active Directory admin center zu prüfen:

Hier sollten alle Legacy-Authentifizierungsclients ausgewählt werden

In meinem Fall führt ein noch altes Android Geräte (Festnetz DECT) Kontaktesync durch. Dieses Telefon wird aber nun ersetzt.

Wie kriegt man jetzt das alte Zeug weg?

Basic Auth kann auch über das Azure AD admin center Portal abgeschaltet werden, dazu auf “Eigenschaften” gehen.

Es muss nur der “Sicherheitsstandard” aktiviert werden. Nach dem Aktivieren kann nochmals über die Hilfe geprüft werden ob noch Basic Auth aktiv ist.

https://aka.ms/PillarEXOBasicAuth

Zusätzliche Informationen zu Outlook

Wer bei der Recherche noch alte Outlook Clients (2010) gefunden hat, diese können nach dem Deaktivieren keine Verbindung mehr herstellen. Outlook 2010 kann keine Modern Authentication.

Außerdem sollten auch die Outlook 2013 Clients geprüft werden, bei diesen muss Modern Auth ebenfalls aktiviert sein. Im Zweifel folgende RegKeys verteilen.

https://docs.microsoft.com/en-us/microsoft-365/admin/security-and-compliance/enable-modern-authentication?view=o365-worldwide

Registry keyTypeValue
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADALREG_DWORD1
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\VersionREG_DWORD1

Sollte noch Probleme mit neueren Outlooks entstehen, wäre dieser Link eventuell hilfreich.

https://docs.microsoft.com/en-us/outlook/troubleshoot/authentication/outlook-prompt-password-modern-authentication-enabled

Registry keyTypeValue
HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscoverREG_DWORD1

Sollten Fragen sein, einfach einen Kommentar da lassen, ansonsten freue ich mich über einen Klick auf “helpful”.
Viel Spaß bei der Abschaltung.

Print Friendly, PDF & Email
Was this article helpful?
YesNo
5 1 vote
Article Rating
Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments