Blockieren von Legacy-Authentifizierung mit Microsoft Entra ID mit bedingtem Zugriff
Um Ihren Benutzern den einfachen Zugriff auf Ihre Cloud-Apps zu ermöglichen, unterstützt Microsoft Entra ID eine Vielzahl von Authentifizierungsprotokollen – einschließlich der Legacyauthentifizierung. Die Legacyauthentifizierung unterstützt jedoch keine Optionen wie Multi-Faktor-Authentifizierung (MFA). MFA ist eine gängige Anforderung zur Verbesserung des Sicherheitsstatus in Organisationen.
Laut Microsofts Analyse verwenden mehr als 97 Prozent der Angriffe zum Ausfüllen von Kennwörtern (Credential Stuffing) veraltete Authentifizierungsprotokolle und mehr als 99 Prozent der Angriffe mit Kennwort-Spray veraltete Authentifizierungsprotokolle. Diese Angriffe würden aufhören, wenn die Basisauthentifizierung deaktiviert oder blockiert wäre.
Hinweis
Ab dem 1. Oktober 2022 wird die Standardauthentifizierung für Exchange Online in allen Microsoft 365-Mandanten unabhängig von der Nutzung dauerhaft deaktiviert, mit Ausnahme der SMTP-Authentifizierung. Weitere Informationen finden Sie im Artikel Abschaffung der Standardauthentifizierung in Exchange Online.
Alex Weinert, Director of Identity Security bei Microsoft, hebt in seinem am 12. März 2020 veröffentlichten Blogbeitrag Neue Tools zum Blockieren der Legacyauthentifizierung in Ihrer Organisation hervor, warum Organisationen die Legacyauthentifizierung blockieren sollten und welche weiteren Tools Microsoft für diese Aufgabe bereitstellt:
In diesem Artikel wird erläutert, wie Sie die Richtlinien für bedingten Zugriff konfigurieren können, mit denen die Legacyauthentifizierung für alle Workloads innerhalb Ihrer Mandanten blockiert wird.
Während der Einführung des Legacyauthentifizierungsschutzes wird ein stufenweiser Ansatz empfohlen, anstatt ihn für alle Benutzer gleichzeitig zu deaktivieren. Kunden können die Standardauthentifizierung pro Protokoll deaktivieren, indem Sie Exchange Online-Authentifizierungsrichtlinien anwenden und dann (optional) die Legacyauthentifizierung auch über Richtlinien für bedingten Zugriff blockieren, wenn sie bereit sind.
Kunden ohne Lizenzen, die bedingten Zugriff einschließen, können Sicherheitsstandards verwenden, um die Legacyauthentifizierung zu blockieren.
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie mit den grundlegenden Konzepten des bedingten Microsoft Entra-Zugriff vertraut sind.
Hinweis
Richtlinien für den bedingten Zugriff werden durchgesetzt, wenn die First-Factor-Authentifizierung abgeschlossen ist. Der bedingte Zugriff nicht ist als erste Abwehrmaßnahme einer Organisation für Szenarien wie Denial-of-Service-Angriffe (DoS) gedacht, sondern kann Signale von diesen Ereignissen nutzen, um den Zugriff zu bestimmen.
Beschreibung des Szenarios
Microsoft Entra ID unterstützt die am häufigsten verwendeten Protokolle zur Authentifizierung und Autorisierung, einschließlich der Legacyauthentifizierung. Mit der Legacyauthentifizierung können Benutzer nicht zur zweistufigen Authentifizierung oder anderen Authentifizierungsmaßnahmen aufgefordert werden, die für die direkte Erfüllung der Richtlinien für bedingten Zugriff erforderlich sind. Dieses Authentifizierungsmuster umfasst Standardauthentifizierung, eine weit verbreitete Branchenstandardmethode zum Sammeln von Benutzernamen- und Kennwortinformationen. Beispiele für Anwendungen, die häufig oder nur Legacyauthentifizierung verwenden, sind:
- Microsoft Office 2013 oder höher.
- Apps, die E-Mail-Protokolle wie POP, IMAP und SMTP AUTH verwenden.
Weitere Informationen zur Unterstützung der modernen Authentifizierung in Office finden Sie unter So funktioniert die moderne Authentifizierung für Office-Client-Apps.
Eine einstufige Authentifizierung (z. B. mit Benutzername und Kennwort) reicht heutzutage nicht mehr aus. Kennwörter sind unzulänglich, weil sie leicht zu erraten sind, und wir (Menschen) sind schlecht darin, gute Kennwörter auszuwählen. Kennwörter sind auch für verschiedene Angriffe wie Phishing und Kennwort-Spray anfällig. Eine der einfachsten Maßnahmen, die Sie ergreifen können, um sich vor Kennwortsicherheitsverletzungen zu schützen, ist das Implementieren der mehrstufigen Authentifizierung (MFA). Denn selbst wenn ein Angreifer in den Besitz des Kennworts eines Benutzers gelangt, reicht bei Verwendung von MFA das Kennwort allein nicht aus, um sich erfolgreich authentifizieren und auf die Daten zugreifen zu können.
Wie können Sie verhindern, dass Apps mit Legacyauthentifizierung auf Ressourcen Ihres Mandanten zugreifen? Es wird empfohlen, diese Apps einfach mit einer Richtlinie für bedingten Zugriff zu blockieren. Gegebenenfalls können Sie nur bestimmten Benutzern und bestimmten Netzwerkadressen die Verwendung von Apps erlauben, die auf der Legacyauthentifizierung basieren.
Implementierung
In diesem Abschnitt wird erläutert, wie eine Richtlinie für bedingten Zugriff zum Blockieren der Legacyauthentifizierung konfiguriert wird.
Messagingprotokolle, die Legacyauthentifizierung unterstützen
Die folgenden Messagingprotokolle unterstützen die Legacyauthentifizierung:
- Authentifiziertes SMTP: Dient zum Senden authentifizierter E-Mail-Nachrichten.
- AutoErmittlung: wird von Outlook und EAS-Clients verwendet, um Postfächer in Exchange Online zu suchen und diese zu verbinden
- Exchange ActiveSync (EAS): wird zum Herstellen einer Verbindung mit Postfächern in Exchange Online verwendet
- Exchange Online PowerShell: wird zum Herstellen einer Verbindung mit Exchange Online über Remote-PowerShell verwendet Wenn Sie die Standardauthentifizierung für Exchange Online PowerShell blockieren, müssen Sie das Exchange Online PowerShell-Modul verwenden, um eine Verbindung herzustellen. Anweisungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell mithilfe der mehrstufigen Authentifizierung.
- Exchange-Webdienste (EWS) – Eine Programmierschnittstelle, die von Outlook, Outlook für Mac und Nicht-Microsoft-Apps verwendet wird.
- IMAP4: wird von IMAP-E-Mail-Clients verwendet
- MAPI über HTTP (MAPI/HTTP): Primäres Postfachzugriffsprotokoll, das von Outlook 2010 SP2 und höher verwendet wird.
- Offlineadressbuch (OAB): eine Kopie der Adressenlistensammlungen, die von Outlook heruntergeladen und verwendet werden
- Outlook Anywhere (RPC über HTTP): Legacy-Postfachzugriffsprotokoll, das von allen aktuellen Outlook-Versionen unterstützt wird.
- POP3: wird von POP-E-Mail-Clients verwendet
- Berichtswebdienste: Werden zum Abrufen von Berichtsdaten in Exchange Online verwendet.
- Universelles Outlook: wird von der Mail- und Kalender-App für Windows 10 verwendet.
- Andere Clients: andere Protokolle, bei denen die Verwendung älterer Authentifizierungsmethoden identifiziert wird
Weitere Informationen zu diesen Authentifizierungsprotokollen und -diensten finden Sie unter Anmelde-Protokollaktivitätsdetails.
Identifizieren der Verwendung der Legacyauthentifizierung
Bevor Sie die Legacy-Authentifizierung in Ihrem Verzeichnis blockieren können, müssen Sie zunächst wissen, ob Ihre Benutzer Client-Anwendungen haben, die die Legacy-Authentifizierung verwenden.
Indikatoren für das Anmeldungsprotokoll
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
- Browsen Sie zu Identität>Überwachung und Integrität>Anmeldeprotokolle.
- Falls die Spalte Client-App nicht angezeigt wird, fügen Sie sie durch Klicken auf Spalten>Client-App hinzu.
- Wählen Sie Filter hinzufügen>Client-App> alle Legacyauthentifizierungsprotokolle aus, und klicken Sie auf Anwenden.
- Führen Sie außerdem diese Schritte auf der Registerkarte "Benutzeranmeldungen ( nicht interaktiv) aus .
Die Filterung zeigt Ihnen Anmeldeversuche an, die mit älteren Authentifizierungsprotokollen unternommen wurden. Wenn Sie auf jeden einzelnen Anmeldeversuch klicken, erhalten Sie weitere Details. Das Feld Client App auf der Registerkarte Basisinformationen zeigt an, welches Legacy-Authentifizierungsprotokoll verwendet wurde.
Diese Protokolle zeigen, wo Benutzer Clients verwenden, die sich noch auf die Legacy-Authentifizierung verlassen. Implementieren Sie für Benutzer, die in diesen Protokollen nicht aufgeführt sind und nachweislich keine Legacyauthentifizierung verwenden, eine Richtlinie für bedingten Zugriff, die nur für diese Benutzer vorgesehen ist.
Darüber hinaus können Sie zur Unterstützung der Selektierung der Legacyauthentifizierung innerhalb Ihres Mandanten die Arbeitsmappe „Anmeldungen mit Legacyauthentifizierung“ verwenden.
Indikatoren vom Client
Informationen zum Ermitteln, ob ein Client Legacy- oder moderne Authentifizierung verwendet, basierend auf dem Dialogfeld, das bei der Anmeldung angezeigt wird, finden Sie in dem Artikel Abschaffung der Standardauthentifizierung in Exchange Online.
Wichtige Hinweise
Clients, die sowohl die Legacy- als auch die moderne Authentifizierung unterstützen, erfordern möglicherweise ein Konfigurationsupdate, um von der Legacy- zur modernen Authentifizierung zu wechseln. Wenn Sie in den Anmeldeprotokollen Modern Mobil oder Desktop-Client oder Browser für einen Client sehen, verwendet dieser eine moderne Authentifizierung. Wenn er einen bestimmten Client- oder Protokollnamen hat, wie z. B. Exchange ActiveSync, verwendet er Legacyauthentifizierung. Die Client-Typen beim bedingten Zugriff, in den Anmeldeprotokollen und in der Arbeitsmappe zur Legacy-Authentifizierung unterscheiden für Sie zwischen modernen und Legacy-Authentifizierungsclients.
- Clients, die moderne Authentifizierung unterstützen, aber nicht für die Verwendung moderner Authentifizierung konfiguriert sind, sollten aktualisiert oder neu konfiguriert werden, damit sie moderne Authentifizierung verwenden.
- Alle Clients, die keine moderne Authentifizierung unterstützen, sollten ersetzt werden.
Wichtig
Exchange Active Sync mit zertifikatsbasierter Authentifizierung (CBA)
Konfigurieren Sie Clients bei der Implementierung von Exchange Active Sync (EAS) mit CBA für die Verwendung der modernen Authentifizierung. Clients, die keine moderne Authentifizierung für EAS mit CBA verwenden, werden mit der Abschaffung der Standardauthentifizierung in Exchange Onlinenicht blockiert. Diese Clients werden jedoch durch Richtlinien für bedingten Zugriff blockiert, die zum Blockieren der Legacyauthentifizierung konfiguriert sind.
Weitere Informationen zur Implementierung der Unterstützung für CBA mit Microsoft Entra ID und moderner Authentifizierung finden Sie unter Konfigurieren der zertifikatbasierten Microsoft Entra-Authentifizierung (Vorschau). Als andere Option kann die auf einem Verbundserver ausgeführte CBA mit moderner Authentifizierung verwendet werden.
Wenn Sie Microsoft Intune verwenden, können Sie möglicherweise den Authentifizierungstyp mithilfe des E-Mail-Profils ändern, das Sie auf Ihre Geräte pushen oder dort bereitstellen. Wenn Sie iOS-Geräte (iPhones und iPads) verwenden, sollten Sie sich Hinzufügen von E-Mail-Einstellungen für iOS- und iPadOS-Geräte in Microsoft Intune ansehen.
Blockieren älterer Authentifizierungsmethoden
Es gibt zwei Möglichkeiten, mit Richtlinien für den bedingten Zugriff ältere Authentifizierungsmethoden zu blockieren.
Direktes Blockieren der Legacyauthentifizierung
Die einfachste Möglichkeit, die Legacyauthentifizierung in ihrer gesamten Organisation zu blockieren, besteht darin, eine Richtlinie für bedingten Zugriff zu konfigurieren, die speziell für Legacyauthentifizierungs-Clients gilt und den Zugriff blockiert. Wenn Sie der Richtlinie Benutzer und Anwendungen zuweisen, müssen Sie sicherstellen, dass Benutzer und Dienstkonten ausgeschlossen werden, die sich weiterhin mit der Legacyauthentifizierung anmelden müssen. Wenn Sie die Cloud-Apps auswählen, in denen diese Richtlinie angewendet werden soll, wählen Sie alle Ressourcen, zielorientierte Apps wie Office 365 (empfohlen) oder mindestens Office 365 Exchange Online aus. Organisationen können die in Vorlagen für bedingten Zugriff verfügbare Richtlinie oder die allgemeine Richtlinie Bedingter Zugriff: Blockieren von Legacy-Authentifizierung als Referenz verwenden.
Indirektes Blockieren der Legacyauthentifizierung
Wenn Ihr Unternehmen nicht bereit ist, die Legacy-Authentifizierung vollständig zu blockieren, sollten Sie sicherstellen, dass Anmeldungen mit Legacy-Authentifizierung keine Richtlinien umgehen, die Zuweisungskontrollen wie die Multi-Faktor-Authentifizierung erfordern. Legacyauthentifizierungs-Clients unterstützen bei der Authentifizierung das Senden von Informationen zur mehrstufigen Authentifizierung (MFA), zur Gerätekonformität oder zum Joinzustand an Microsoft Entra ID nicht. Wenden Sie daher auf alle Clientanwendungen Richtlinien mit Gewährungssteuerelementen an. Dadurch werden Anmeldungen mit Legacyauthentifizierung blockiert, da sie die Gewährungssteuerelemente nicht bedienen können. Mit der allgemeinen Verfügbarkeit der Client-Apps-Bedingung im August 2020 gelten neu erstellte Richtlinien für bedingten Zugriff standardmäßig für alle Client-Apps.
Wichtige Informationen
Es kann bis zu 24 Stunden dauern, bis die Richtlinie für bedingten Zugriff wirksam wird.
Das Blockieren des Zugriffs mithilfe der Bedingung Andere Clients blockiert auch Exchange Online PowerShell und Dynamics 365 mit Standardauthentifizierung.
Durch das Konfigurieren einer Richtlinie für Andere Clients wird die gesamte Organisation für bestimmte Clients blockiert, z.B. SPConnect. Dies tritt ein, weil sich ältere Clients auf unerwartete Weise authentifizieren. Dieses Problem gilt nicht für Office-Hauptanwendungen wie ältere Office-Clients.
Sie können alle verfügbaren Gewährungssteuerelemente für die Bedingung Andere Clients auswählen. Die Endbenutzererfahrung ist jedoch immer die gleiche: Der Zugriff ist blockiert.
Nächste Schritte
- Bestimmen der Auswirkung mit dem reinen Berichtsmodus des bedingten Zugriffs
- Weitere Informationen zur Unterstützung der modernen Authentifizierung finden Sie unter So funktioniert die moderne Authentifizierung für Office-Client-Apps.
- Einrichten eines Multifunktionsgeräts oder einer -anwendung zum Senden von E-Mails mit Microsoft 365
- Aktivieren der modernen Authentifizierung in Exchange Online
- Vorgehensweise: Lokales Konfigurieren von Exchange Server zur Verwendung der modernen hybriden Authentifizierung