Anmeldeaufforderungen für die Standardauthentifizierung werden standardmäßig in Microsoft 365 Apps blockiert.
Hinweis
Die Informationen in diesem Artikel beziehen sich auf Nachrichtencenterbeiträge MC454810, MC499030 und MC649046, die im Microsoft 365 Admin Center veröffentlicht wurden.
Apps wie Word und Excel ermöglichen Benutzern die Verwendung der Standardauthentifizierung, um eine Verbindung mit Ressourcen auf Webservern herzustellen, indem sie Bei jeder Anforderung Benutzernamen und Kennwörter senden. Diese Anmeldeinformationen werden häufig auf den Servern gespeichert, sodass Angreifer sie leichter erfassen und für andere Endpunkte oder Dienste wiederverwenden können.
Die Standardauthentifizierung ist ein veralteter Industriestandard und unterstützt keine robusteren Sicherheitsfeatures, z. B. die mehrstufige Authentifizierung. Die Bedrohungen, die von ihr ausgehen, haben nur zugenommen, und es gibt bessere und effektivere Alternativen zur Benutzerauthentifizierung. Beispielsweise die moderne Authentifizierung, die mehrstufige Authentifizierung, Smartcards und zertifikatbasierte Authentifizierung unterstützt.
Um die Sicherheit in Microsoft 365 Apps zu verbessern, ändern wir daher das Standardverhalten, um Anmeldeaufforderungen über die Standardauthentifizierung zu blockieren.
Wenn Benutzer versuchen, Dateien auf Servern zu öffnen, die nur die Standardauthentifizierung verwenden, werden mit dieser Änderung keine Anmeldeaufforderungen für die Standardauthentifizierung angezeigt. Stattdessen wird eine Meldung angezeigt, dass die Datei blockiert wurde, da sie eine Anmeldemethode verwendet, die möglicherweise unsicher ist. Die Nachricht enthält einen Link, über den Benutzer zu einem Artikel gelangen, der Informationen zu den Sicherheitsrisiken der Standardauthentifizierung enthält.
Hinweis
- Unter Windows gehostete Dateifreigaben sind von dieser Änderung nicht betroffen, da die verwendete Authentifizierungsmethode NTLM ist.
- SharePoint Online, OneDrive und lokale SharePoint Server (für moderne Authentifizierung konfiguriert) sind von dieser Änderung nicht betroffen.
- Die für die Standardauthentifizierung konfigurierte lokale SharePoint Server-Instanz ist von dieser Änderung betroffen.
Von dieser Änderung betroffene Versionen von Microsoft 365 Apps
Diese Änderung betrifft die folgenden Apps nur auf Geräten, auf denen Windows ausgeführt wird:
- Access
- Excel
- OneNote
- Outlook
- PowerPoint
- Project
- Publisher
- Visio
- Word
Hinweis
- Diese Änderung wirkt sich nicht auf Outlook aus, die mithilfe der Standardauthentifizierung eine Verbindung mit lokalen Exchange Server herstellen.
- Diese Änderung wirkt sich nicht auf Outlook aus, die mithilfe der Standardauthentifizierung eine Verbindung mit Exchange Online herstellt. Es gibt einen separaten Versuch, die Standardauthentifizierung mit Exchange Online als veraltet zu kennzeichnen. Weitere Informationen finden Sie unter Einstellung der Standardauthentifizierung in Exchange Online.
Im Rahmen des Rollouts erhalten Benutzer zunächst eine Warnmeldung, wenn sie versuchen, mithilfe der Standardauthentifizierung auf eine Datei zuzugreifen. Nach diesem Warnzeitraum wird der Benutzer am Öffnen der Datei gehindert, und es wird eine Meldung angezeigt, dass die Quelle eine Anmeldemethode verwendet, die möglicherweise unsicher ist.
Die folgende Tabelle zeigt die Version für jeden Updatekanal, in der die Warnungs- und blockierenden Änderungen implementiert werden. Kursiv dargestellte Informationen können sich ändern.
| Aktualisierungskanal | Warnungsversion | Blockierende Version |
|---|---|---|
| Aktueller Kanal (Vorschau) | Version 2303 | Version 2311 (November 2023) |
| Aktueller Kanal | Version 2304 | Version 2311 (Dezember 2023) |
| Monatlicher Enterprise-Kanal | Version 2304 | Version 2311 (9. Januar 2024) |
| Halbjährlicher Enterprise-Kanal (Vorschau) | Version 2308 | Version 2402 (12. März 2024) |
| Halbjährlicher Enterprise-Kanal | Version 2308 (9. Januar 2024) |
Version 2402 (9. Juli 2024) |
Hinweis
- Diese Änderung wirkt sich auch auf Einzelhandelsversionen von Office 2021, Office 2019 und Office 2016 aus. Sie haben den gleichen Zeitplan wie der aktuelle Kanal.
- Diese Änderung wirkt sich nicht auf Volumenlizenzversionen von Office aus, z. B. Office LTSC Professional Plus 2021 oder Office Standard 2019.
Wie Microsoft 365 Apps bestimmt, ob Standardauthentifizierungsaufforderungen angezeigt werden sollen
Die folgende Flussdiagrammgrafik zeigt, wie Microsoft 365 Apps bestimmt, ob eine Datei geöffnet werden soll, wenn der Server die Standardauthentifizierung verwendet.
In den folgenden Schritten werden die Informationen in der Flussdiagrammgrafik erläutert.
Ein Benutzer versucht, eine Datei zu öffnen, die auf einem Webserver gespeichert ist.
Wenn der Server die Standardauthentifizierungsproxyauthentifizierung verwendet, wertet Microsoft 365 Apps den Status der Aufforderungen Standardauthentifizierung zulassen von Netzwerkproxys aus.
- Wenn die Richtlinie auf Aktiviert festgelegt ist, wird der Benutzer aufgefordert, einen Benutzernamen und ein Kennwort anzugeben, um die Datei zu öffnen.
- Andernfalls wird dem Benutzer keine Anmeldeaufforderung angezeigt, und das Öffnen der Datei wird blockiert. Stattdessen wird dem Benutzer eine Meldung angezeigt, dass die Datei blockiert wurde, da sie eine Anmeldemethode verwendet, die möglicherweise unsicher ist.
Wenn der Server keine Standardauthentifizierung verwendet, wird die Datei geöffnet. Wenn der Server die Standardauthentifizierung verwendet, überprüft Microsoft 365 Apps, ob eine Richtlinie vorhanden ist, um Standardauthentifizierungsaufforderungen zuzulassen.
Wenn sich der Server direkt mit der Standardauthentifizierung authentifiziert, wertet Microsoft 365 Apps den Status der Richtlinie Zulassen, dass angegebene Hosts Die Standardauthentifizierungsaufforderungen für Office-Apps anzeigen zulassen aus.
- Wenn die Richtlinie auf Aktiviert festgelegt ist und der Server angegeben ist, wird der Benutzer aufgefordert, einen Benutzernamen und ein Kennwort anzugeben, um die Datei zu öffnen.
- Andernfalls wird dem Benutzer keine Anmeldeaufforderung angezeigt, und das Öffnen der Datei wird blockiert. Stattdessen wird dem Benutzer eine Meldung angezeigt, dass die Datei blockiert wurde, da sie eine Anmeldemethode verwendet, die möglicherweise unsicher ist.
Verwenden von Richtlinien zum Verwalten von Standardauthentifizierungsaufforderungen
Wenn Sie Standardauthentifizierungsaufforderungen für bestimmte Hosts oder netzwerkproxys bereitstellen müssen, können Sie die folgenden Richtlinien konfigurieren:
- Zulassen, dass angegebene Hosts Eingabeaufforderungen der Standardauthentifizierung für Office-Apps anzeigen
- Zulassen von Standardauthentifizierungsaufforderungen von Netzwerkproxys
Wichtig
- Es wird nicht empfohlen, Standardauthentifizierungsaufforderungen für bestimmte Hosts oder von Netzwerkproxys zuzulassen, da die Verwendung der Standardauthentifizierung nicht sicher ist.
- Sie können diese Richtlinien jedoch verwenden, wenn Sie diese Eingabeaufforderungen vorübergehend bereitstellen müssen, während Sie diese Server auf sicherere Authentifizierungsmethoden verschieben.
Diese Richtlinien finden Sie in der Gruppenrichtlinie Management Console unter Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office 2016\Sicherheitseinstellungen.
Hinweis
- Um diese Richtlinien zu verwenden, laden Sie mindestens Version 5359.1000 der Gruppenrichtlinie Administrative Vorlagendateien (ADMX/ADML) für Microsoft 365 Apps aus dem Microsoft Download Center herunter. Diese Version wurde am 11. August 2022 veröffentlicht.
- Sie können diese Richtlinien auch mithilfe der Cloudrichtlinie implementieren. Weitere Informationen finden Sie unter Übersicht über den Cloudrichtliniendienst für Microsoft 365.
Zulassen, dass angegebene Hosts Eingabeaufforderungen der Standardauthentifizierung für Office-Apps anzeigen
Mit dieser Richtlinie können Sie angeben, welche Hosts Anmeldeaufforderungen der Standardauthentifizierung für Apps wie Word und Excel anzeigen können.
Die folgende Tabelle zeigt die Schutzebene, die Sie mit jedem Status der Richtlinie erhalten.
| Symbol | Schutzebene | Richtlinienstatus | Beschreibung |
|---|---|---|---|
 |
Geschützt | Aktiviert (keine Hosts angegeben) | Benutzer können Dateien auf Webservern, die die Standardauthentifizierung verwenden, nicht öffnen. |
 |
Teilweise geschützt | Aktiviert (Hosts angegeben) | Standardauthentifizierungsaufforderungen sind nur von den angegebenen Hosts zulässig. Wenn Sie mehrere Hosts angeben, trennen Sie diese durch einen Semikolon. |
|
Geschützt | Deaktiviert | Benutzer können Dateien auf Webservern, die die Standardauthentifizierung verwenden, nicht öffnen. |
|
Protected[empfohlen] | Not Configured | Benutzer können Dateien auf Webservern, die die Standardauthentifizierung verwenden, nicht öffnen. |
Zulassen von Standardauthentifizierungsaufforderungen von Netzwerkproxys
Diese Richtlinie steuert, ob Netzwerkproxys Standardauthentifizierungsaufforderungen anzeigen dürfen.
Die folgende Tabelle zeigt die Schutzebene, die Sie mit jedem Status der Richtlinie erhalten.
| Symbol | Schutzebene | Richtlinienstatus | Beschreibung |
|---|---|---|---|
|
Geschützt | Deaktiviert | Netzwerkproxys zeigen keine Standardauthentifizierungsaufforderungen an. |
 |
Nicht geschützt | Aktiviert | Netzwerkproxys zeigen Standardauthentifizierungsaufforderungen an. |
|
Geschützt [empfohlen] | Not Configured | Netzwerkproxys zeigen keine Standardauthentifizierungsaufforderungen an. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für