The estimated reading time 4 minutes
Seit einigen Tagen ist bekannt, dass Microsoft die altbekannte Basic Auth oder im deutschen auch Standardauthentifizierung abschaltet. Offiziell am 01. Oktober 2022
Today, we are announcing that, effective October 1, 2022, we will begin to permanently disable Basic Auth in all tenants, regardless of usage, with the exception of SMTP Auth.
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-september-2021-update/ba-p/2772210
Warum soll Basic Auth abgeschaltet werden? Hat doch gut funktioniert!
Die Standardauthentifizierung hat nun viele Jahre für viele unterschiedliche Clients gedient. Es ist einfach diese aufzusetzen und zu benutzen. Oft wurde das Passwort, dann noch auf dem Client hinterlegt, sodass der Benutzer nicht durch lästige Passwortabfragen gestört wurde. Leider gilt diese Authentifizierungsmethode inzwischen nicht mehr als sicher. Speziell wenn kein TLS verwendet wird, sollte sie nicht mehr verwendet werden. Auch Multifaktorauthentifizierung ist nicht einfach zu implementieren, sodass Microsoft gegen die Standardauthentifizierung entschieden hat.
Basic Authentication is an outdated industry standard, and threats posed by Basic Auth have only increased in the time since we originally announced we were making this change.
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-september-2021-update/ba-p/2772210
Was macht Microsoft nun also?
Microsoft hat bereits begonnen bei Tenants, die bisher keine Basic Auth verwendet hatten, diese bereits abzuschalten. Beginnend im Jahr 2022 schaltet Microsoft die Authentifizierung ebenfalls bei Kunden ab, die diese verwenden, mit der Option diese wieder manuell aktivieren zu können (siehe weiter unten). Die Abschaltung wird zunächst nur einige Stunden sein (zwischen 12 und 48h), deshalb werden hier auch alle Protokolle (POP/IMAP/ActiveSync…) betroffen sein. Als Administrator kann man diese Funktion aber zunächst wieder reaktivieren. Siehe: re-enable basic auth again with a selfservice tool .
Folgender Link führt euch direkt innerhalb des AdminCenters von M365 zur Aktivierung.
https://aka.ms/PillarEXOBasicAuth
Wenn ihr bereits in der Hilfe des AdminCenters seid, könnt ihr auch folgenden Text in die Suche eingeben.
Diag: Enable Basic Auth in EXO
Wer bereits Basic Auth komplett deaktiviert hat, sollte folgende Meldung bekommen (sehr gut!)
Muss ich als Admin nun eingreifen?
Kommt drauf an! Laut meiner Erfahrung wird die Standardauthentifizierung häufig noch in PowerShell Skripten für die Anmeldung an M365 Exchange verwendet. Das würde ich auf jeden Fall prüfen. Siehe hierzu auch folgenden Link zur Umstellung.
Natürlich sollten zuvor auch alle alten Geräte und Outlook Clients eliminiert werden (Outlook 2010) oder auch andere Geräte welche POP/ IMAP/ ActiveSync mit Basic Auth verbinden. Diese Geräte funktionieren nachher nicht mehr.
Wer bereits überall nur die Moderne Authentifizierung verwendet, der wird von der Umstellung nichts merken.
HINWEIS: wer die Standardauthentifizierung nicht benötigt, sollte diese bitte direkt abschalten!
Wie kann ich Standardauthentifizierungen finden?
Eine einfache Methode ist die Logins über das Azure Active Directory admin center zu prüfen:
Hier sollten alle Legacy-Authentifizierungsclients ausgewählt werden
In meinem Fall führt ein noch altes Android Geräte (Festnetz DECT) Kontaktesync durch. Dieses Telefon wird aber nun ersetzt.
Wie kriegt man jetzt das alte Zeug weg?
Basic Auth kann auch über das Azure AD admin center Portal abgeschaltet werden, dazu auf „Eigenschaften“ gehen.
Es muss nur der „Sicherheitsstandard“ aktiviert werden. Nach dem Aktivieren kann nochmals über die Hilfe geprüft werden ob noch Basic Auth aktiv ist.
https://aka.ms/PillarEXOBasicAuth
Zusätzliche Informationen zu Outlook
Wer bei der Recherche noch alte Outlook Clients (2010) gefunden hat, diese können nach dem Deaktivieren keine Verbindung mehr herstellen. Outlook 2010 kann keine Modern Authentication.
Außerdem sollten auch die Outlook 2013 Clients geprüft werden, bei diesen muss Modern Auth ebenfalls aktiviert sein. Im Zweifel folgende RegKeys verteilen.
| Registry key | Type | Value |
|---|---|---|
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL | REG_DWORD | 1 |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version | REG_DWORD | 1 |
Sollte noch Probleme mit neueren Outlooks entstehen, wäre dieser Link eventuell hilfreich.
| Registry key | Type | Value |
|---|---|---|
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Sollten Fragen sein, einfach einen Kommentar da lassen, ansonsten freue ich mich über einen Klick auf „helpful“.
Viel Spaß bei der Abschaltung.
