Exchange Online: Wechsel zu "Modern Authentication" bis Oktober 2022 erforderlich

Exchange LogoAm 1. Oktober 2022 ist Schluss mit der Unterstützung von "Basic Authentication" bei Microsoft Exchange Online. Zum 3. Mai 2022 hatte Microsoft auf diesen Stichtag hingewiesen und schriebt, dass man dann damit beginnen werde, die Basisauthentifizierung für bestimmte Protokolle in Exchange Online für die Kunden zu deaktivieren, die sie noch verwenden. Sowohl Microsofts Exchange Online-Team als auch die US-CISA weisen erneut auf diesen Sachverhalt hin.


Anzeige

Hinweise von Microsoft

In einem vor einigen Tagen abgesetzten Tweet erinnert Microsoft erneut an die Abschaltung der "Basic Authentication" bei Microsoft Exchange Online.

Die Abschaltung der Basic Authentication in Exchange Online war ja bereits im September 2021 angekündigt worden. Microsoft begründet diesen Schritt damit mit Sicherheit, denn Basic Auth ist immer noch eine der, wenn nicht sogar die häufigste Art und Weise, sei, über die Nutzer von Exchange Online kompromittiert werden. Und diese Art von Angriffen nimmt wohl weiter zu.

Ich hatte bereits im Blog-Beitrag Basic Authentication in Exchange Online wird ab Oktober 2022 eingestellt erwähnt, dass Microsoft diese Authentifizierungsmethode auf Millionen von Tenants, die dies nicht nutzten, deaktiviert hat. Weiterhin deaktiviert Microsoft bereits vor Monaten ungenutzte Protokolle in Tenants, die noch Basic Auth verwenden.


Anzeige

Stufenweise Abschaltung (1. Oktober 2022)

Ab dem 1. Oktober 2022 beginnt Microsoft die Basisauthentifizierung (Basic Auth) bei Exchange Online zu deaktivieren. Microsoft plant Tenants, die das noch nutzen, nach dem Zufallsprinzip auswählen. Diese bekommen dann eine 7-tägige Warnung im Message Center (und Hinweise im Service Health Dashboard veröffentlichen), dass die Basic Auth im Tenant nach Ablauf der Frist abgeschaltet wird. Microsoft geht davon aus, dass diese Abschaltung bis Ende 2022 komplett bei allen Tenants erfolgt ist. Administratoren, deren Nutzer noch die Basisauthentifizierung bei Exchange Online verwenden, sollten sich bis zum 1. Oktober 2022 auf die Umstellung vorbereiten und diese möglichst zum Stichtag ersetzt haben.

Konkret wird Microsoft Basic Auth für die Protokolle MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP und Remote PowerShell abschalten. SMTP AUTH wird dagegen nicht deaktiviert, sofern es noch genutzt wird. Auf Millionen Tenants, die das Protokoll SMTP AUTH nicht verwenden, wurde dieses bereits durch Microsoft deaktiviert. Redmond empfiehlt, das Protokoll auf Tenant-Ebene zu deaktivieren und es nur für die Benutzerkonten wieder zu aktivieren, die es noch benötigen.

CISA fordert zum Wechsel auf

Bei ZDNET habe ich gelesen, dass die US Cybersecurity and Infrastructure Security Agency (CISA) US-Organisationen ebenfalls daran erinnert, sich bis zum 1. Oktober 2022 auf die Abschaltung der Basic Authenfication vorzubereiten.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Exchange Online: Wechsel zu "Modern Authentication" bis Oktober 2022 erforderlich

  1. Stephan sagt:

    Bei GMail kann man auch nur mit OAuth seinen Client anmelden. Wenn man zum Beispiel Thunderbird oder Evolution benutzt, dann kriegt man dieses kleine Anmeldefenster von Google. Das ist schon seit Jahren so. Ist ganz gut, weil
    1. das Paßwort nicht im Client gespeichert werden muß
    2. das Token im Gegensatz zum Paßwort nicht allmächtig ist, sondern nur für Mails
    Man kann also nicht über den Mailclient andere Funktionen des Google-Accounts (z.B. Youtube) übernehmen.

    So ähnlich wird es wohl auch bei Microsoft sein mit ADFS und Azure.

    • Anonym sagt:

      Gibt es da tatsächlich kein extra setzbares Passwort für Mail?! Man wäre ja wahnsinnig, die generellen Google Zugangsdaten in irgendeinem Mail Client zu hinterlegen… ganz zu schweigen von Auswirkungen, wenn der Google Account mal durch irgendwelche komplett andere Funktionen wie irgendeine API Übernutzung oä. gesperrt würde. Nutze Gmail nicht, alleine das schon wäre ein 100% Showstopper.

  2. Stefan sagt:

    Wenns denn überall fehlerfrei funktionieren würde hätte ich auch kein Problem damit. Mehrere Klienten kriegen aber diesen „silent error, Codenummer vergessen".

    User öffnet Outlook, es wird nach dem Kewnnwort gefragt. Gibt man es ein kommt teotzdem ein „Postfach kann nicht angezeigt werden". Schliesst man das Outlook ind öffnet es neu, gehts. Auch ohne Passwort eingeben reicht schliessen und neu öffnen. Das Problem ist aber das dies mitten beim Arbeiten passiert wenn Outlook die ganze Zeit schon offen war.

    Profil neu gebaut, Updates eingespielt ADAL-Plugin neu erzeugt, hilft alles nix. Nur die Umstellung auf basic auth brachte Abhilfe. Das wird bis Oktober wohl nicht gefixed werden, freu mich schon.

  3. Stephan sagt:

    @Günter:
    Das ist auch nochmal interessant für das Thema Outlook-Apps für Smartphones und Speicherung der Paßwörter, das wir mehrmals hatten. Das Problem wurde ja seit Jahren damit heruntergespielt, daß sie zeitnah auf Modern Authentication umstellen wollen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.