Modern Authentication in Office 365: was ist zu tun?

Update: Gemäss einem Statement vom 3. April wurde der Termin aktualisiert. Aufgrund von COVID-19 wurde die Abschaltung von Basic Authentication verschoben auf den Herbst 2021.

Im Herbst 2019 hat Microsoft angekündigt, dass Exchange Online ab dem 13. Oktober 2020 keine Basic Authentication mehr unterstützen wird. Dieses Vorhaben wurde kürzlich bestätigt. Dieser Artikel erklärt die verschiedenen Authentifizierungsmethoden und gibt Tipps für die Praxis.

Was ist Modern Authentication?

Bei Basic Authentication authentifiziert man sich direkt beim entsprechenden Dienst mit Benutzername und Passwort. Diese Zugangsdaten sind also beispielsweise im Outlook gespeichert.

Bei Modern Authentication authentifiziert man sich gegenüber dem Azure AD. Man bekommt dann ein Token, mit welchem man sich gegenüber dem Dienst (zum Beispiel Exchange) authentifiziert. Nur dieses Token wird auf dem Client gespeichert.

(Diese Darstellung ist etwas vereinfacht. Es gibt ein Access- sowie ein Refresh-Token. Die Details sind hier erklärt.)

Was sind die Vorteile von Modern Authentication?

Modern Authentication bringt gegenüber Basic Authentication einige Vorteile bezüglich Sicherheit:

  • Da das Passwort nicht auf dem Client gespeichert ist, kann es von dort nicht gestohlen werden. Es kann nur das Token gestohlen werden. Dieses lässt sich aber leicht als ungültig markieren.
  • Mehrfaktorauthentifizierung ist nur mit Modern Authentication möglich.
  • Es sind Verfahren wie Anmeldung ohne Passwort möglich.

Was sind die Nachteile?

Nicht die Einführung von Modern Authentication bringt Nachteile mit sich, sondern allenfalls die Deaktivierung von Basic Authentication. Alle Clients, die Basic Authentication verwenden, haben ab dem 13. Oktober 2020 keinen Zugriff mehr auf Exchange Online.

Welche Protokolle und Clients sind betroffen?

Betroffen sind alle Protokolle für den Zugriff auf Exchange Online. Nur SMTP ist vorerst davon ausgenommen. Multifunktionsgeräte, die für Scan2Mail konfiguriert sind, werden also weiterhin funktionieren.

Outlook

Outlook unterstützt Modern Authentication ab Version 2013. Bei Version 2013 muss es allerdings noch per Registry-Key aktiviert werden, siehe die Anleitung von Microsoft.

Exchange ActiveSync

Modern Authentication wird unterstützt von der nativen Mail-App ab iOS 11. Bei Android ist die Lage noch unübersichtlich, da die Hersteller das System teils stark modifizieren. Dieser Beitrag wird ergänzt, sobald es genauere Informationen gibt.

Die Outlook-App hat natürlich weder auf Android noch auf iOS Probleme mit Modern Authentication.

POP3 und IMAP

Aktuell sind mir keine Clients bekannt, die Modern Authentication unterstützen. Bei Thunderbird soll diese allerdings rechtzeitig verfügbar sein.

Eine Lösung für nicht kompatible Clients könnten App-Kennwörter sein. Dies sind Kennwörter, die sich vom Konto-Kennwort unterscheiden und nur für solche Anwendungen verwendet werden.

Muss bei Office 365 noch etwas konfiguriert werden?

Bei Tenants, die nach dem 1. August 2017 erstellt wurden, ist Modern Authentication standardmässig aktiviert. Bei früher erstellten Tenants muss die Einstellung geprüft werden. Bei meinen Kunden hat die Einstellung in einigen Fällen gefehlt.

Nachfolgend das Vorgehen zum prüfen und ggf. anpassen der Einstellung.

Verbindung zu Office 365 über PowerShell herstellen:

$cred = Get-Credential
$session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $session

Einstellung prüfen:

Get-OrganizationConfig | fl Name,Oauth*

Ist "OAuth2ClientProfileEnabled" = "True", dann ist Modern Authentication aktiviert und es muss in Office 365 nichts unternommen werden.

Ansonsten muss Modern Authentication aktiviert werden mit:

Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Kann man prüfen, ob sich Clients ohne Modern Authentication verbinden?

Im Azure Active Directory sieht man unter https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/SignInEventsV3Blade die Anmeldungen. Dort die Spalte "Client-App" hinzufügen und Filtern auf alle Anwendungen ohne Modern Authentication:

AAD-Anmeldungen

Im Idealfall wäre die Liste leer. Es ist aber gut möglich, dass Logins von Anwendungen stammen, die Modern Authentication beherrschen und einfach noch nicht verwenden. Dies ist im Einzelfall zu prüfen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.