Blockieren der Legacyauthentifizierung mit Azure AD mit bedingtem Zugriff

Um Ihren Benutzern den einfachen Zugriff auf Ihre Cloud-Apps zu ermöglichen, unterstützt Azure Active Directory (Azure AD) eine Vielzahl von Authentifizierungsprotokollen einschließlich der Legacyauthentifizierung. Die Legacyauthentifizierung unterstützt jedoch keine Optionen wie Multi-Faktor-Authentifizierung (MFA). MFA ist eine gängige Anforderung zur Verbesserung des Sicherheitsstatus in Organisationen.

Hinweis

Ab dem 1. Oktober 2022 wird die Standardauthentifizierung für Exchange Online in allen Microsoft 365-Mandanten unabhängig von der Nutzung dauerhaft deaktiviert, mit Ausnahme der SMTP-Authentifizierung. Weitere Informationen finden Sie hier.

Alex Weinert, Director of Identity Security bei Microsoft, hebt in seinem am 12. März 2020 veröffentlichten Blogbeitrag Neue Tools zum Blockieren der Legacyauthentifizierung in Ihrer Organisation hervor, warum Organisationen die Legacyauthentifizierung blockieren sollten und welche weiteren Tools Microsoft für diese Aufgabe bereitstellt:

Damit die mehrstufige Authentifizierung (MFA) wirksam wird, müssen Sie auch die Legacyauthentifizierung blockieren. Legacyauthentifizierungsprotokolle wie POP, SMTP, IMAP und MAPI können nämlich keine MFA erzwingen und sind dadurch bevorzugte Einstiegspunkte für Angreifer, die Ihre Organisation attackieren...

... Die Zahlen zur Legacyauthentifizierung sind nach einer Analyse des Azure Active Directory (Azure AD)-Datenverkehrs ziemlich krass:

  • Mehr als 99 Prozent der Kennwort-Spray-Angriffe verwenden Legacyauthentifizierungsprotokolle
  • Mehr als 97 Prozent der Angriffe in Bezug auf Anmeldeinformationen verwenden die Legacyauthentifizierung
  • Bei Azure AD-Konten in Organisationen, welche die Legacyauthentifizierung deaktiviert haben, sind 67 Prozent weniger Angriffe festzustellen als bei Organisation mit aktivierter Legacyauthentifizierung

Wenn Sie für das Blockieren der Legacyauthentifizierung bereit sind, um den Schutz Ihres Mandanten zu verbessern, können Sie dieses Ziel mit bedingtem Zugriff erreichen. In diesem Artikel wird erläutert, wie Sie die Richtlinien für bedingten Zugriff konfigurieren können, mit denen die Legacyauthentifizierung für alle Workloads innerhalb Ihrer Mandanten blockiert wird.

Während der Einführung des Legacyauthentifizierungsschutzes wird ein stufenweiser Ansatz empfohlen, anstatt ihn für alle Benutzer gleichzeitig zu deaktivieren. Kunden können zunächst mit der Deaktivierung der Standardauthentifizierung pro Protokoll beginnen, indem sie Authentifizierungsrichtlinien von Exchange Online anwenden und dann (optional) auch die Legacyauthentifizierung über Richtlinien für bedingten Zugriff blockieren, wenn sie bereit sind.

Kunden ohne Lizenzen, die bedingten Zugriff einschließen, können Sicherheitsstandards verwenden, um die Legacyauthentifizierung zu blockieren.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie mit den grundlegenden Konzepten des bedingten Azure AD-Zugriff vertraut sind.

Hinweis

Richtlinien für den bedingten Zugriff werden durchgesetzt, wenn die First-Factor-Authentifizierung abgeschlossen ist. Der bedingte Zugriff nicht ist als erste Abwehrmaßnahme einer Organisation für Szenarien wie Denial-of-Service-Angriffe (DoS) gedacht, sondern kann Signale von diesen Ereignissen nutzen, um den Zugriff zu bestimmen.

Beschreibung des Szenarios

Azure AD unterstützt die am häufigsten verwendeten Protokolle zur Authentifizierung und Autorisierung, einschließlich der Legacyauthentifizierung. Legacyauthentifizierung kann von Benutzern keine zweistufige Authentifizierung anfordern oder andere Authentifizierungsanforderungen erfüllen, die erforderlich sind, um Richtlinien für bedingten Zugriff direkt zu erfüllen. Dieses Authentifizierungsmuster umfasst Standardauthentifizierung, eine weit verbreitete Branchenstandardmethode zum Sammeln von Benutzernamen- und Kennwortinformationen. Beispiele für Anwendungen, die häufig oder nur Legacyauthentifizierung verwenden, sind:

  • Microsoft Office 2013 oder höher.
  • Apps, die E-Mail-Protokolle wie POP, IMAP und SMTP AUTH verwenden.

Weitere Informationen zur Unterstützung der modernen Authentifizierung in Office finden Sie unter So funktioniert die moderne Authentifizierung für Office-Client-Apps.

Eine einstufige Authentifizierung (z. B. mit Benutzername und Kennwort) reicht heutzutage nicht mehr aus. Kennwörter sind unzulänglich, weil sie leicht zu erraten sind, und wir (Menschen) sind schlecht darin, gute Kennwörter auszuwählen. Kennwörter sind auch für verschiedene Angriffe wie Phishing und Kennwort-Spray anfällig. Eine der einfachsten Maßnahmen, die Sie ergreifen können, um sich vor Kennwortsicherheitsverletzungen zu schützen, ist das Implementieren der mehrstufigen Authentifizierung (MFA). Denn selbst wenn ein Angreifer in den Besitz des Kennworts eines Benutzers gelangt, reicht bei Verwendung von MFA das Kennwort allein nicht aus, um sich erfolgreich authentifizieren und auf die Daten zugreifen zu können.

Wie können Sie verhindern, dass Apps mit Legacyauthentifizierung auf Ressourcen Ihres Mandanten zugreifen? Es wird empfohlen, diese Apps einfach mit einer Richtlinie für bedingten Zugriff zu blockieren. Gegebenenfalls können Sie nur bestimmten Benutzern und bestimmten Netzwerkadressen die Verwendung von Apps erlauben, die auf der Legacyauthentifizierung basieren.

Implementierung

In diesem Abschnitt wird erläutert, wie eine Richtlinie für bedingten Zugriff zum Blockieren der Legacyauthentifizierung konfiguriert wird.

Messagingprotokolle, die Legacyauthentifizierung unterstützen

Die folgenden Messagingprotokolle unterstützen die Legacyauthentifizierung:

  • Authentifiziertes SMTP: Dient zum Senden authentifizierter E-Mail-Nachrichten.
  • AutoErmittlung: wird von Outlook und EAS-Clients verwendet, um Postfächer in Exchange Online zu suchen und diese zu verbinden
  • Exchange ActiveSync (EAS): wird zum Herstellen einer Verbindung mit Postfächern in Exchange Online verwendet
  • Exchange Online PowerShell: wird zum Herstellen einer Verbindung mit Exchange Online über Remote-PowerShell verwendet Wenn Sie die Standardauthentifizierung für Exchange Online PowerShell blockieren, müssen Sie das Exchange Online PowerShell-Modul verwenden, um eine Verbindung herzustellen. Anweisungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell mithilfe der mehrstufigen Authentifizierung.
  • Exchange Web Services (EWS): eine Programmierschnittstelle, die von Outlook, Outlook für Mac und Drittanbieter-Apps verwendet wird
  • IMAP4: wird von IMAP-E-Mail-Clients verwendet
  • MAPI über HTTP (MAPI/HTTP): Primäres Postfachzugriffsprotokoll, das von Outlook 2010 SP2 und höher verwendet wird.
  • Offlineadressbuch (OAB): eine Kopie der Adressenlistensammlungen, die von Outlook heruntergeladen und verwendet werden
  • Outlook Anywhere (RPC über HTTP): Legacy-Postfachzugriffsprotokoll, das von allen aktuellen Outlook-Versionen unterstützt wird.
  • POP3: wird von POP-E-Mail-Clients verwendet
  • Berichtswebdienste: Werden zum Abrufen von Berichtsdaten in Exchange Online verwendet.
  • Universelles Outlook: wird von der Mail- und Kalender-App für Windows 10 verwendet.
  • Andere Clients: andere Protokolle, bei denen die Verwendung älterer Authentifizierungsmethoden identifiziert wird

Weitere Informationen zu diesen Authentifizierungsprotokollen und -diensten finden Sie unterBerichte zu Anmeldeaktivitäten im Azure Active Directory-Portal.

Identifizieren der Verwendung der Legacyauthentifizierung

Bevor Sie die Legacyauthentifizierung in Ihrem Verzeichnis blockieren können, müssen Sie zuerst wissen, ob Ihre Benutzer über Clients verfügen, die Legacyauthentifizierung verwenden. Nachfolgend finden Sie nützliche Informationen zum Identifizieren und Selektieren, wo Clients Legacyauthentifizierung verwenden.

Indikatoren aus Azure AD

  1. Navigieren Sie zu Azure-Portal>Azure Active Directory>Anmeldeprotokolle.
  2. Falls die Spalte „Client-App“ nicht angezeigt wird, fügen Sie sie durch Klicken auf Spalten>Client-App hinzu.
  3. Klicken Sie auf Filter hinzufügen>Client-App>, und wählen Sie alle älteren Authentifizierungsprotokolle aus. Klicken Sie auf eine Stelle außerhalb des Filterdialogfelds, um die Auswahl anzuwenden und das Dialogfeld zu schließen.
  4. Wenn Sie die neuen Berichte zu Anmeldeaktivitäten (Vorschau) aktiviert haben, wiederholen Sie die obigen Schritte auch auf der Registerkarte Benutzeranmeldungen (nicht interaktiv).

Durch das Filtern werden Ihnen nur Anmeldeversuche von Legacyauthentifizierungsprotokollen angezeigt. Wenn Sie auf die einzelnen Anmeldeversuche klicken, werden Ihnen weitere Details angezeigt. Das Client-App-Feld auf der Registerkarte Grundlegende Informationen gibt an, welche Legacyauthentifizierungsprotokolle verwendet wurden.

Diese Protokolle zeigen an, wo Benutzer Clients verwenden, die immer noch von Legacyauthentifizierung abhängig sind. Implementieren Sie für Benutzer, die in diesen Protokollen nicht aufgeführt sind und nachweislich keine Legacyauthentifizierung verwenden, eine Richtlinie für bedingten Zugriff, die nur für diese Benutzer vorgesehen ist.

Darüber hinaus können Sie zur Unterstützung der Selektierung der Legacyauthentifizierung innerhalb Ihres Mandanten die Arbeitsmappe „Anmeldungen mit Legacyauthentifizierung“ verwenden.

Indikatoren vom Client

Informationen zum Ermitteln, ob ein Client Legacy- oder moderne Authentifizierung verwendet, basierend auf dem Dialogfeld, das bei der Anmeldung angezeigt wird, finden Sie in dem Artikel Abschaffung der Standardauthentifizierung in Exchange Online.

Wichtige Hinweise

Viele Clients, die zuvor nur die Legacyauthentifizierung unterstützt haben, unterstützen jetzt moderne Authentifizierung. Clients, die sowohl Legacy- als auch moderne Authentifizierung unterstützen, benötigen möglicherweise Konfigurationsupdates, um von Legacy- zur modernen Authentifizierung zu wechseln. Wenn Sie in den Azure AD-Protokollen moderner Mobil-, Desktopclient oder Browser für einen Client sehen, verwendet dieser moderne Authentifizierung. Wenn er einen bestimmten Client- oder Protokollnamen hat, wie z. B. Exchange ActiveSync, verwendet er Legacyauthentifizierung. Die Clienttypen beim bedingten Zugriff, in Azure AD-Anmeldeprotokollen und die Legacyauthentifizierungs-Arbeitsmappe unterscheiden für Sie zwischen modernen und Legacyauthentifizierungsclients.

  • Clients, die moderne Authentifizierung unterstützen, aber nicht für die Verwendung moderner Authentifizierung konfiguriert sind, sollten aktualisiert oder neu konfiguriert werden, damit sie moderne Authentifizierung verwenden.
  • Alle Clients, die keine moderne Authentifizierung unterstützen, sollten ersetzt werden.

Wichtig

Exchange Active Sync mit zertifikatbasierter Authentifizierung (CBA)

Konfigurieren Sie Clients bei der Implementierung von Exchange Active Sync (EAS) mit CBA für die Verwendung der modernen Authentifizierung. Clients, die keine moderne Authentifizierung für EAS mit CBA verwenden, werden mit der Abschaffung der Standardauthentifizierung in Exchange Onlinenicht blockiert. Diese Clients werden jedoch durch Richtlinien für bedingten Zugriff blockiert, die zum Blockieren der Legacyauthentifizierung konfiguriert sind.

Weitere Informationen zur Implementierung der Unterstützung für CBA mit Azure AD und moderner Authentifizierung finden Sie unter Konfigurieren der zertifikatbasierten Azure AD-Authentifizierung (Vorschau). Als andere Option kann die auf einem Verbundserver ausgeführte CBA mit moderner Authentifizierung verwendet werden.

Wenn Sie Microsoft Intune verwenden, können Sie möglicherweise den Authentifizierungstyp mithilfe des E-Mail-Profils ändern, das Sie auf Ihre Geräte pushen oder dort bereitstellen. Wenn Sie iOS-Geräte (iPhones und iPads) verwenden, sollten Sie sich Hinzufügen von E-Mail-Einstellungen für iOS- und iPadOS-Geräte in Microsoft Intune ansehen.

Blockieren älterer Authentifizierungsmethoden

Es gibt zwei Möglichkeiten, mit Richtlinien für den bedingten Zugriff ältere Authentifizierungsmethoden zu blockieren.

Direktes Blockieren der Legacyauthentifizierung

Die einfachste Möglichkeit, die Legacyauthentifizierung in ihrer gesamten Organisation zu blockieren, besteht darin, eine Richtlinie für bedingten Zugriff zu konfigurieren, die speziell für Legacyauthentifizierungs-Clients gilt und den Zugriff blockiert. Wenn Sie der Richtlinie Benutzer und Anwendungen zuweisen, müssen Sie sicherstellen, dass Benutzer und Dienstkonten ausgeschlossen werden, die sich weiterhin mit der Legacyauthentifizierung anmelden müssen. Wenn Sie die Cloud-Apps auswählen, in denen diese Richtlinie angewendet werden soll, wählen Sie alle Cloud-Apps, Ziel-Apps wie Office 365 (empfohlen) oder mindestens Office 365 Exchange Online aus. Konfigurieren Sie die Client-Apps-Bedingung, indem Sie Exchange ActiveSync-Clients und Andere Clients auswählen. Um den Zugriff für diese Client-Apps zu blockieren, konfigurieren Sie die Zugriffssteuerungen so, dass der Zugriff blockiert wird.

Konfigurierte Client-Apps-Bedingung zum Blockieren der Legacyauthentifizierung

Indirektes Blockieren der Legacyauthentifizierung

Wenn Ihre Organisation nicht bereit ist, die Legacyauthentifizierung für das gesamte Unternehmen zu blockieren, sollten Sie sicherstellen, dass Anmeldungen mit Legacyauthentifizierung keine Richtlinien umgehen, die Gewährungssteuerelemente erfordern, z. B. Multi-Faktor-Authentifizierung oder kompatible/hybrid in Azure AD eingebundene Geräte. Legacyauthentifizierungs-Clients unterstützen bei der Authentifizierung das Senden von Informationen zur mehrstufigen Authentifizierung (MFA), zur Gerätekonformität oder zum Joinzustand an Azure AD nicht. Wenden Sie daher auf alle Clientanwendungen Richtlinien mit Gewährungssteuerelementen an. Dadurch werden Anmeldungen mit Legacyauthentifizierung blockiert, da sie die Gewährungssteuerelemente nicht bedienen können. Mit der allgemeinen Verfügbarkeit der Client-Apps-Bedingung im August 2020 gelten neu erstellte Richtlinien für bedingten Zugriff standardmäßig für alle Client-Apps.

Standardkonfiguration der Client-Apps-Bedingung

Wichtige Informationen

Es kann bis zu 24 Stunden dauern, bis die Richtlinie für bedingten Zugriff wirksam wird.

Das Blockieren des Zugriffs mithilfe der Bedingung Andere Clients blockiert auch Exchange Online PowerShell und Dynamics 365 mit Standardauthentifizierung.

Durch das Konfigurieren einer Richtlinie für Andere Clients wird die gesamte Organisation für bestimmte Clients blockiert, z.B. SPConnect. Dies tritt ein, weil sich ältere Clients auf unerwartete Weise authentifizieren. Dieses Problem gilt nicht für Office-Hauptanwendungen wie ältere Office-Clients.

Sie können alle verfügbaren Gewährungssteuerelemente für die Bedingung Andere Clients auswählen. Die Endbenutzererfahrung ist jedoch immer die gleiche: Der Zugriff ist blockiert.

Nächste Schritte