Einstellung der Standardauthentifizierung in Exchange Online

Wichtig

Wenn die Standardauthentifizierung in Ihrem Mandanten deaktiviert wurde und Benutzer und Apps keine Verbindung herstellen können, haben Sie bis zum 31. Dezember 2022 Zeit, die betroffenen Protokolle erneut zu aktivieren. Befolgen Sie den Prozess der erneuten Aktivierung in diesem Blog. Sobald dieses Datum abgelaufen ist, können Sie (oder der Support) die Standardauthentifizierung in Ihrem Mandanten nicht mehr aktivieren.

Lesen Sie den Rest dieses Artikels, um die änderungen, die wir vornehmen, und wie sich diese Änderungen auf Sie auswirken könnten, vollständig zu verstehen.

Seit vielen Jahren verwenden Anwendungen die Standardauthentifizierung, um eine Verbindung mit Servern, Diensten und API-Endpunkten herzustellen. Die Standardauthentifizierung bedeutet einfach, dass die Anwendung bei jeder Anforderung einen Benutzernamen und ein Kennwort sendet. Diese Anmeldeinformationen werden häufig auch auf dem Gerät gespeichert oder gespeichert. In der Regel ist die Standardauthentifizierung auf den meisten Servern oder Diensten standardmäßig aktiviert und einfach einzurichten.

Die Einfachheit ist überhaupt nicht schlecht, aber die Standardauthentifizierung erleichtert Es Angreifern, Benutzeranmeldeinformationen zu erfassen (insbesondere, wenn die Anmeldeinformationen nicht durch TLS geschützt sind), was das Risiko erhöht, dass diese gestohlenen Anmeldeinformationen für andere Endpunkte oder Dienste wiederverwendet werden. Darüber hinaus ist die Erzwingung der mehrstufigen Authentifizierung (MFA) nicht einfach oder in einigen Fällen möglich, wenn die Standardauthentifizierung aktiviert bleibt.

Die Standardauthentifizierung ist ein veralteter Industriestandard. Die von ihr ausgehenden Bedrohungen haben erst zugenommen, seit wir ursprünglich angekündigt haben, sie zu deaktivieren (siehe Verbessern der Sicherheit – Zusammen) Es gibt bessere und effektivere Alternativen zur Benutzerauthentifizierung.

Wir empfehlen Kunden aktiv, Sicherheitsstrategien wie Zero Trust (Nie vertrauen, immer überprüfen) zu übernehmen oder Echtzeitbewertungsrichtlinien anzuwenden, wenn Benutzer und Geräte auf Unternehmensinformationen zugreifen. Diese Alternativen ermöglichen intelligente Entscheidungen darüber, wer von wo aus auf welchem Gerät auf was zugreifen möchte, anstatt einfach einem Authentifizierungs-Anmeldeinformation zu vertrauen, der ein böswillige Akteur sein könnte, der die Identität eines Benutzers annimmt.

Unter Berücksichtigung dieser Bedrohungen und Risiken ergreifen wir Schritte, um die Datensicherheit in Exchange Online zu verbessern.

Hinweis

Die Einstellung der Standardauthentifizierung verhindert auch die Verwendung von App-Kennwörtern für Apps, die keine zweistufige Überprüfung unterstützen.

Was wir ändern

Wir entfernen die Möglichkeit, die Standardauthentifizierung in Exchange Online für Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offlineadressbuch (OAB), AutoErmittlung, Outlook für Windows und Outlook für Mac zu verwenden.

Außerdem deaktivieren wir SMTP AUTH in allen Mandanten, in denen es nicht verwendet wird.

Diese Entscheidung erfordert, dass Kunden von Apps, die die Standardauthentifizierung verwenden, zu Apps wechseln, die die moderne Authentifizierung verwenden. Die moderne Authentifizierung (OAuth 2.0-tokenbasierte Autorisierung) bietet viele Vorteile und Verbesserungen, die dazu beitragen, die Probleme bei der Standardauthentifizierung zu beheben. OAuth-Zugriffstoken haben beispielsweise eine begrenzte verwendbare Lebensdauer und sind spezifisch für die Anwendungen und Ressourcen, für die sie ausgestellt werden, sodass sie nicht wiederverwendet werden können. Das Aktivieren und Erzwingen der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) ist mit der modernen Authentifizierung ebenfalls einfach.

Wann findet diese Änderung statt?

Wir haben bereits damit begonnen, diese Änderung vorzunehmen. Wir erstellen jetzt neue Microsoft 365-Mandanten mit Standardauthentifizierung in Exchange Online deaktiviert, da sicherheitsstandards für sie aktiviert sind.

Ab Anfang 2021 haben wir damit begonnen, die Standardauthentifizierung für vorhandene Mandanten ohne gemeldete Nutzung zu deaktivieren. Wir stellen nachrichtencenter-Benachrichtigungen für jeden Kunden bereit, bevor die Standardauthentifizierung in ihrem Mandanten vollständig deaktiviert wurde.

Ab Anfang 2023 deaktivieren wir die Standardauthentifizierung für alle Mandanten, die eine Erweiterung angefordert haben. Weitere Informationen zum Timing finden Sie hier.

Hinweis

In Office 365 betrieben von 21Vianet beginnen wir am 31. März 2023 mit der Deaktivierung der Standardauthentifizierung. Alle anderen Cloudumgebungen unterliegen dem Datum 1. Oktober 2022.

Auswirkungen auf Messagingprotokolle und vorhandene Anwendungen

Diese Änderung wirkt sich auf die Anwendungen und Skripts aus, die Sie auf unterschiedliche Weise verwenden können.

POP-, IMAP- und SMTP-AUTHENTIFIZIERUNG

Im Jahr 2020 haben wir OAuth 2.0-Unterstützung für POP, IMAP und SMTP AUTH veröffentlicht. Aktualisierungen für einige Client-Apps wurden aktualisiert, um diese Authentifizierungstypen zu unterstützen (Thunderbird beispielsweise, wenn auch noch nicht für Kunden, die Office 365 Operated by 21Vianet verwenden), sodass Benutzer mit aktuellen Versionen ihre Konfiguration ändern können, um OAuth zu verwenden. Es ist nicht geplant, dass Outlook-Clients OAuth für POP und IMAP unterstützen, aber Outlook kann sich über MAPI/HTTP (Windows-Clients) und EWS (Outlook für Mac) verbinden.

Anwendungsentwickler, die Apps erstellt haben, die E-Mails mit diesen Protokollen senden, lesen oder anderweitig verarbeiten, können dasselbe Protokoll beibehalten, müssen aber sichere, moderne Authentifizierungsfunktionen für ihre Benutzer implementieren. Diese Funktionalität basiert auf Microsoft Identity Platform v2.0 und unterstützt den Zugriff auf Microsoft 365-E-Mail-Konten.

Wenn Ihre interne Anwendung auf die PROTOKOLLE IMAP, POP und SMTP AUTH in Exchange Online zugreifen muss, befolgen Sie die folgenden Schritt-für-Schritt-Anweisungen, um die OAuth 2.0-Authentifizierung zu implementieren: Authentifizieren einer IMAP-, POP- oder SMTP-Verbindung mithilfe von OAuth. Verwenden Sie außerdem dieses PowerShell-Skript Get-IMAPAccesstoken.ps1 , um den IMAP-Zugriff nach Ihrer OAuth-Aktivierung auf einfache Weise zu testen, einschließlich des Anwendungsfalls für freigegebene Postfächer. Wenn dies erfolgreich ist, sprechen Sie einfach in einem sicheren nächsten Schritt mit dem Anwendungsbesitzer Ihres Anbieters oder internen Geschäftspartners.

Arbeiten Sie mit Ihrem Anbieter zusammen, um alle Apps oder Clients zu aktualisieren, die Sie verwenden, die davon betroffen sein könnten.

SMTP AUTH ist weiterhin verfügbar, wenn die Standardauthentifizierung am 1. Oktober 2022 dauerhaft deaktiviert ist. Der Grund, warum SMTP weiterhin verfügbar ist, ist, dass viele Multifunktionsgeräte wie Drucker und Scanner nicht für die Verwendung der modernen Authentifizierung aktualisiert werden können. Wir empfehlen Kunden jedoch dringend, nach Möglichkeit nicht mehr die Standardauthentifizierung mit SMTP AUTH zu verwenden. Andere Optionen zum Senden von authentifizierten E-Mails umfassen die Verwendung alternativer Protokolle, z. B. der Microsoft Graph-API.

Exchange ActiveSync (EAS)

Viele Benutzer verfügen über mobile Geräte, die für die Verwendung von EAS eingerichtet sind. Wenn sie die Standardauthentifizierung verwenden, sind sie von dieser Änderung betroffen.

Es wird empfohlen, Outlook für iOS und Android zu verwenden, wenn Sie eine Verbindung mit Exchange Online herstellen. Outlook für iOS und Android integriert Microsoft Enterprise Mobility + Security (EMS) vollständig, wodurch funktionen für bedingten Zugriff und App-Schutz (MAM) ermöglicht werden. Outlook für iOS und Android unterstützt Sie beim Schützen Ihrer Benutzer und Ihrer Unternehmensdaten und unterstützt die moderne Authentifizierung nativ.

Es gibt andere E-Mail-Apps für mobile Geräte, die die moderne Authentifizierung unterstützen. Die integrierten E-Mail-Apps für alle gängigen Plattformen unterstützen in der Regel die moderne Authentifizierung, sodass die Lösung manchmal darin besteht, zu überprüfen, ob auf Ihrem Gerät die neueste Version der App ausgeführt wird. Wenn die E-Mail-App aktuell ist, aber weiterhin die Standardauthentifizierung verwendet, müssen Sie das Konto möglicherweise vom Gerät entfernen und dann wieder hinzufügen.

Wenn Sie Microsoft Intune verwenden, können Sie den Authentifizierungstyp möglicherweise mithilfe des E-Mail-Profils ändern, das Sie per Push übertragen oder auf Ihren Geräten bereitstellen. Wenn Sie iOS-Geräte (iPhones und iPads) verwenden, sollten Sie unter Hinzufügen von E-Mail-Einstellungen für iOS- und iPadOS-Geräte in Microsoft Intune

Jedes iOS-Gerät, das mit Basismobilität und Sicherheit verwaltet wird, kann nicht auf E-Mails zugreifen, wenn die folgenden Bedingungen zutreffen:

  • Sie haben eine Gerätesicherheitsrichtlinie so konfiguriert, dass ein verwaltetes E-Mail-Profil für den Zugriff erforderlich ist.
  • Sie haben die Richtlinie seit dem 9. November 2021 nicht mehr geändert (was bedeutet, dass die Richtlinie weiterhin die Standardauthentifizierung verwendet).

Richtlinien, die nach diesem Datum erstellt oder geändert wurden, wurden bereits aktualisiert, um die moderne Authentifizierung zu verwenden.

Um Richtlinien, die seit dem 9. November 2021 nicht mehr geändert wurden, zur Verwendung der modernen Authentifizierung zu aktualisieren, nehmen Sie eine temporäre Änderung an den Zugriffsanforderungen der Richtlinie vor. Es wird empfohlen, die Cloudeinstellung Verschlüsselte Sicherungen erforderlich zu ändern und zu speichern. Dadurch wird die Richtlinie aktualisiert, um die moderne Authentifizierung zu verwenden. Sobald die geänderte Richtlinie den Statuswert Aktiviert hat, wurde das E-Mail-Profil aktualisiert. Anschließend können Sie die temporäre Änderung der Richtlinie zurücksetzen.

Hinweis

Während des Upgradevorgangs wird das E-Mail-Profil auf dem iOS-Gerät aktualisiert, und der Benutzer wird aufgefordert, seinen Benutzernamen und sein Kennwort einzugeben.

Wenn Ihre Geräte die zertifikatbasierte Authentifizierung verwenden, sind sie nicht betroffen, wenn die Standardauthentifizierung in Exchange Online später in diesem Jahr deaktiviert wird. Es sind nur Geräte betroffen, die sich direkt mit der Standardauthentifizierung authentifizieren.

Die zertifikatbasierte Authentifizierung ist weiterhin eine Legacyauthentifizierung und wird daher durch Azure AD-Richtlinien für bedingten Zugriff blockiert, die die Legacyauthentifizierung blockieren. Weitere Informationen finden Sie unter Blockieren der Legacyauthentifizierung – Azure Active Directory.

Exchange Online PowerShell

Seit der Veröffentlichung des Exchange Online PowerShell-Moduls ist es ganz einfach, Ihre Exchange Online- und Schutzeinstellungen über die Befehlszeile mithilfe der modernen Authentifizierung zu verwalten. Das Modul verwendet die moderne Authentifizierung und arbeitet mit mehrstufiger Authentifizierung (Multi-Factor Authentication, MFA) zum Herstellen einer Verbindung mit allen Exchange-bezogenen PowerShell-Umgebungen in Microsoft 365: Exchange Online PowerShell, Security & Compliance PowerShell und Eigenständiger Exchange Online Protection (EOP) PowerShell.

Das Exchange Online PowerShell-Moduls kann auch nicht interaktiv verwendet werden, wodurch die Ausführung unbeaufsichtigter Skripts ermöglicht wird. Die zertifikatbasierte Authentifizierung bietet Administratoren die Möglichkeit, Skripts auszuführen, ohne Dienstkonten erstellen oder Anmeldeinformationen lokal speichern zu müssen. Weitere Informationen finden Sie unter Nur-App-Authentifizierung für unbeaufsichtigte Skripts im Exchange Online PowerShell-Modul.

Administratoren, die weiterhin die alte Remote-PowerShell-Verbindungsmethode oder die ältere Exchange Online Remote PowerShell-Modul (V1) verwenden, sollten das Exchange Online PowerShell-Modul so bald wie möglich verwenden. Diese älteren Verbindungsmethoden werden schließlich eingestellt, entweder durch die Deaktivierung der Standardauthentifizierung oder das Ende des Supports.

Wichtig

Verwechseln Sie nicht die Tatsache, dass PowerShell die Standardauthentifizierung für WinRM (auf dem lokalen Computer, auf dem die Sitzung ausgeführt wird) aktiviert ist. Der Benutzername/das Kennwort wird nicht mithilfe von Basic an den Dienst gesendet, aber der Basic Auth-Header ist erforderlich, um das OAuth-Token der Sitzung zu senden, da der WinRM-Client OAuth nicht unterstützt. Wir arbeiten an diesem Problem und werden in Zukunft noch mehr ankündigen müssen. Beachten Sie nur, dass die Aktivierung von Basic für WinRM nicht Basic für die Authentifizierung beim Dienst verwendet. Weitere Informationen finden Sie unter Exchange Online PowerShell: Aktivieren der Standardauthentifizierung in WinRM.

Weitere Informationen zu dieser Situation finden Sie hier: Grundlegendes zu den verschiedenen Versionen von Exchange Online PowerShell-Modulen und standardauthentifizierung.

Ausführliche Informationen zum Wechsel von der V1-Version des Moduls zur aktuellen Version finden Sie in diesem Blogbeitrag.

Version 3.0.0 des Exchange Online PowerShell V3-Moduls (Vorschauversionen 2.0.6-PreviewX) enthält rest-API-gestützte Versionen aller Exchange Online Cmdlets, die keine Standardauthentifizierung in WinRM erfordern. Weitere Informationen finden Sie unter Aktualisierungen für Version 3.0.0.

Exchange-Webdienste (Exchange Web Services, EWS)

Viele Anwendungen wurden mit EWS für den Zugriff auf Postfach- und Kalenderdaten erstellt.

Im Jahr 2018 haben wir angekündigt, dass Exchange-Webdienste keine Featureupdates mehr erhalten werden, und wir empfehlen Anwendungsentwicklern, zur Verwendung von Microsoft Graph zu wechseln. Informationen zu Office 365 finden Sie unter Bevorstehende Änderungen an der EWS-API (Exchange Web Services).

Viele Anwendungen wurden erfolgreich zu Graph verschoben, aber für anwendungen, die dies nicht getan haben, ist es bemerkenswert, dass EWS die moderne Authentifizierung bereits vollständig unterstützt. Wenn Sie also noch nicht zu Graph migrieren können, können Sie zur Verwendung der modernen Authentifizierung mit EWS wechseln, da SIE wissen, dass EWS schließlich veraltet ist.

Weitere Informationen finden Sie unter:

Outlook, MAPI, RPC und Offlineadressbuch (OAB)

Für alle Versionen von Outlook für Windows seit 2016 ist die moderne Authentifizierung standardmäßig aktiviert, sodass Sie wahrscheinlich bereits die moderne Authentifizierung verwenden. Outlook Anywhere (früher als RPC über HTTP bezeichnet) ist in Exchange Online zugunsten von MAPI über HTTP veraltet. Outlook für Windows verwendet MAPI über HTTP, EWS und OAB, um auf E-Mails zuzugreifen, Frei/Gebucht und Abwesenheit festzulegen und das Offlineadressbuch herunterzuladen. Alle diese Protokolle unterstützen die moderne Authentifizierung.

Outlook 2007 oder Outlook 2010 kann die moderne Authentifizierung nicht verwenden und kann schließlich keine Verbindung herstellen. Outlook 2013 erfordert eine Einstellung zum Aktivieren der modernen Authentifizierung, aber nachdem Sie die Einstellung konfiguriert haben, kann Outlook 2013 die moderne Authentifizierung ohne Probleme verwenden. Wie hier bereits angekündigt, erfordert Outlook 2013 eine Mindestaktualisierungsstufe, um eine Verbindung mit Exchange Online herzustellen. Siehe: Neue Mindestversionsanforderungen für Outlook für Windows für Microsoft 365.

Outlook für Mac unterstützt die moderne Authentifizierung.

Weitere Informationen zur Unterstützung der modernen Authentifizierung in Office finden Sie unter Funktionsweise der modernen Authentifizierung für Office-Client-Apps.

Wenn Sie öffentliche Ordner online zu Exchange migrieren müssen, lesen Sie Migrationsskripts für öffentliche Ordner mit Moderner Authentifizierungsunterstützung.

AutoErmittlung

Im November 2022 haben wir angekündigt , die Standardauthentifizierung für das AutoErmittlungsprotokoll zu deaktivieren, sobald EAS und EWS in einem Mandanten deaktiviert sind.

Woher wissen Sie, ob Ihre Benutzer betroffen sind?

Es gibt mehrere Möglichkeiten, um festzustellen, ob Sie die Standardauthentifizierung oder die moderne Authentifizierung verwenden. Wenn Sie die Standardauthentifizierung verwenden, können Sie ermitteln, woher sie stammt und was sie dagegen tun soll.

Dialogfeld "Authentifizierung"

Eine einfache Möglichkeit, um festzustellen, ob eine Client-App (z. B. Outlook) die Standardauthentifizierung oder die moderne Authentifizierung verwendet, besteht darin, das Dialogfeld zu beobachten, das angezeigt wird, wenn sich der Benutzer anmeldet.

Bei der modernen Authentifizierung wird eine webbasierte Anmeldeseite angezeigt:

Moderner Anmeldebildschirm ist webbasierter Bildschirm


Bei der Standardauthentifizierung wird ein modales Dialogfeld mit Anmeldeinformationen angezeigt:

Modales Feld für Anmeldeinformationen im Dialogfeld

Auf einem mobilen Gerät wird eine ähnliche webbasierte Seite angezeigt, wenn Sie sich authentifizieren, wenn das Gerät versucht, eine Verbindung mithilfe der modernen Authentifizierung herzustellen.

Sie können auch das Dialogfeld mit dem Verbindungsstatus überprüfen, indem Sie mit der rechten Maustaste auf das Outlook-Symbol in der Taskleiste klicken und Verbindungsstatus auswählen.

Bei Verwendung der Standardauthentifizierung wird in der Spalte Authentifizierung im Dialogfeld Outlook-Verbindungsstatus der Wert Löschen angezeigt.

Outlook-Verbindungsstatus wird gelöscht

Nachdem Sie zur modernen Authentifizierung gewechselt haben, wird in der Spalte Authn im Dialogfeld Outlook-Verbindungsstatus der Wert von Bearer angezeigt.

Outlook-Verbindungsstatus-Bearer

Überprüfen des Nachrichtencenters

Ab Ende 2021 haben wir damit begonnen, Nachrichtencenterbeiträge an Mandanten zu senden, die ihre Verwendung der Standardauthentifizierung zusammenfassen. Wenn Sie die Standardauthentifizierung nicht verwenden, haben Sie wahrscheinlich bereits die Standardauthentifizierung deaktiviert (und einen Beitrag im Nachrichtencenter erhalten, der dies sagt). Wenn Sie also nicht mit der Verwendung beginnen, sind Sie nicht betroffen.

Wenn Sie eine Zusammenfassung der Nutzung erhalten haben, wissen Sie, wie viele eindeutige Benutzer im vorherigen Monat die Standardauthentifizierung verwendet haben und welche Protokolle sie verwendet haben. Diese Zahlen sind nur indikativ und spiegeln nicht unbedingt den erfolgreichen Zugriff auf Postfächer oder Daten wider. Beispielsweise kann sich ein Benutzer mithilfe von IMAP authentifizieren, der Zugriff auf das Postfach jedoch aufgrund einer Konfiguration oder Richtlinie verweigert wird. Die Nutzungszusammenfassung weist jedoch darauf hin, dass sich etwas oder eine Person erfolgreich mithilfe der Standardauthentifizierung bei Ihrem Mandanten authentifiziert. Um diese Verwendung weiter zu untersuchen, empfiehlt es sich, den Bericht zu Azure Active Directory-Anmeldeereignissen zu verwenden. Dieser Bericht kann detaillierte Benutzer-, IP- und Clientdetails für diese Authentifizierungsversuche enthalten (weitere Details finden Sie weiter unten).

Überprüfen des Admin Center

Anfang 2022 planen wir, das Microsoft Admin Center zu aktualisieren, um die Zusammenfassung der Nutzung zu erleichtern und Protokolle zu aktivieren/deaktivieren. Wir veröffentlichen weitere Informationen zu diesen Änderungen, sobald sie verfügbar sind.

Überprüfen des Azure Active Directory-Anmeldeberichts

Der beste Ort, um sich ein aktuelles Bild der Nutzung der Standardauthentifizierung durch Mandanten zu verschaffen, ist die Verwendung des Azure AD-Sign-In-Berichts. Weitere Informationen finden Sie unter: Neue Tools zum Blockieren der Legacyauthentifizierung in Ihrer Organisation – Microsoft Tech Community.

Zum Exportieren von Protokollen zur Analyse ist eine Premium-Lizenz für Ihren Azure AD-Mandanten erforderlich. Wenn Sie über eine Premium-Lizenz verfügen, können Sie die folgenden Methoden zum Exportieren von Protokollen verwenden:

  • Azure Event Hubs, Azure Storage oder Azure Monitor (beste Methoden): Alle diese Exportpfade sind in der Lage, die Last selbst großer Kunden mit Hunderttausenden von Benutzern zu verarbeiten. Weitere Informationen finden Sie unter Streamen von Azure Active Directory-Protokollen in Azure Monitor-Protokolle.
  • Graph-APIs: Es wird empfohlen, ms Graph-Paginglogik zu verwenden, um sicherzustellen, dass Sie alle Protokolle abrufen können. Weitere Informationen finden Sie unter Access Azure AD logs with the Microsoft Graph-API.
  • Direkter Download aus dem Webbrowser: Bei großen Kunden kann die Datenmenge zu Browsertimeouts führen.

Clientoptionen

Einige der optionen, die für jedes der betroffenen Protokolle verfügbar sind, sind unten aufgeführt.

Protokollempfehlung

Für Exchange-Webdienste (EWS), Remote PowerShell (RPS), POP und IMAP und Exchange ActiveSync (EAS):

  • Wenn Sie ihren eigenen Code mit diesen Protokollen geschrieben haben, aktualisieren Sie Ihren Code so, dass er OAuth 2.0 anstelle der Standardauthentifizierung verwendet, oder migrieren Sie zu einem neueren Protokoll (Graph-API).
  • Wenn Sie oder Ihre Benutzer eine Drittanbieteranwendung verwenden, die diese Protokolle verwendet, wenden Sie sich an den Entwickler der Drittanbieter-App, der diese Anwendung bereitgestellt hat, um sie zur Unterstützung der OAuth 2.0-Authentifizierung zu aktualisieren, oder helfen Sie Ihren Benutzern, zu einer Anwendung zu wechseln, die mit OAuth 2.0 erstellt wurde.
Schlüsselprotokolldienst Betroffener Client Clientspezifische Empfehlung Besondere Empfehlung für Office 365 betrieben von 21Vianet (Gallatin) Weitere Protokollinformationen/Hinweise
Outlook Alle Versionen von Outlook für Windows und Mac
  • Upgrade auf Outlook 2013 oder höher für Windows und Outlook 2016 oder höher für Mac
  • Wenn Sie Outlook 2013 für Windows verwenden, aktivieren Sie die moderne Authentifizierung über den Registrierungsschlüssel.
Aktivieren der modernen Authentifizierung für Outlook – Wie schwierig kann es sein?
Exchange-Webdienste (Exchange Web Services, EWS) Anwendungen von Drittanbietern, die OAuth nicht unterstützen
  • Ändern Sie die App, um die moderne Authentifizierung zu verwenden.
  • Migrieren Sie die App, um Graph-API und moderne Authentifizierung zu verwenden.

Beliebte Apps:

Befolgen Sie diesen Artikel, um Ihre angepasste Gallatin-Anwendung zur Verwendung von EWS mit OAuth zu migrieren.

Microsoft Teams und Cisco Unity derzeit nicht in Gallatin verfügbar
Was tun mit EWS Managed API PowerShell-Skripts, die Basic Authentication verwenden
  • Keine EWS-Featureupdates ab Juli 2018
  • Remote PowerShell (RPS) Verwenden Sie eine der folgenden Optionen: Azure Cloud Shell ist in Gallatin nicht verfügbar Erfahren Sie mehr über automatisierungs- und zertifikatbasierte Authentifizierungsunterstützung für das Exchange Online PowerShell-Modul und grundlegende Informationen zu den verschiedenen Versionen von Exchange Online PowerShell-Modulen und der standardbasierten Authentifizierung.
    POP und IMAP Mobile Drittanbieterclients wie Thunderbird-Erstanbieterclients, die für die Verwendung von POP oder IMAP konfiguriert sind Empfehlungen:
    • Entfernen Sie diese Protokolle, da sie keine vollständigen Features ermöglichen.
    • Wechseln Sie zu OAuth 2.0 für POP/IMAP, wenn Ihre Client-App dies unterstützt.
    Befolgen Sie diesen Artikel, um POP und IMAP mit OAuth in Gallatin mit Beispielcode zu konfigurieren. IMAP ist bei Linux- und Education-Kunden beliebt. Der OAuth 2.0-Support wurde im April 2020 eingeführt.

    Authentifizieren einer IMAP-, POP- oder SMTP-Verbindung mithilfe von OAuth
    Exchange ActiveSync (EAS) Mobile E-Mail-Clients von Apple, Samsung usw.
    • Wechseln zu Outlook für iOS und Android oder einer anderen mobilen E-Mail-App, die moderne Authentifizierung unterstützt
    • Aktualisieren Sie die App-Einstellungen, wenn OAuth möglich ist, das Gerät aber weiterhin Basic verwendet.
    • Wechseln Sie zu Outlook im Web oder einer anderen mobilen Browser-App, die moderne Authentifizierung unterstützt.

    Beliebte Apps:

    • Apple iPhone/iPad/macOS: Alle aktuellen iOS/macOS-Geräte können die moderne Authentifizierung verwenden. Entfernen Sie einfach das Konto, und fügen Sie es wieder hinzu.
    • Microsoft Windows 10 Mail-Client: Entfernen Sie das Konto, und fügen Sie es wieder hinzu, und wählen Sie Office 365 als Kontotyp aus.
  • Die native Mail-App von Apple unter iOS funktioniert derzeit nicht in Gallatin. Es wird empfohlen, Outlook Mobile zu verwenden.
  • Windows 10/11 Mail-App wird mit Gallatin nicht unterstützt
  • Befolgen Sie diesen Artikel, um EAS mit OAuth und Beispielcode zu konfigurieren.
  • Mobile Geräte, die eine native App verwenden, um eine Verbindung mit Exchange Online verwenden in der Regel dieses Protokoll.
    AutoErmittlung EWS- und EAS-Apps mit AutoErmittlung zum Suchen von Dienstendpunkten
    • Upgrade von Code/App auf eine OAuth-Unterstützung
    AutoErmittlung Webdienstverweis für Exchange

    Was geschieht, wenn ich die Standardauthentifizierung jetzt blockieren möchte?

    Hier ist eine Tabelle mit einer Zusammenfassung der Optionen zum proaktiven Deaktivieren der Standardauthentifizierung.

    Methode Vorteile Nachteile
    Sicherheitsstandards – Blockiert die gesamte Legacyauthentifizierung auf Mandantenebene für alle Protokolle
    – Keine zusätzliche Lizenzierung erforderlich
    – Kann nicht zusammen mit Azure AD-Richtlinien
    für bedingten Zugriff verwendet werden. Mögliche andere Auswirkungen, z. B. die Anforderung, dass sich alle Benutzer für MFA registrieren und erfordern
    Exchange Online-Authentifizierungsrichtlinien – Ermöglicht einen stufenweisen Ansatz mit Deaktivierungsoptionen pro Protokoll
    – keine zusätzliche Lizenzierung erforderlich
    – Blockiert die Vorauthentifizierung der Standardauthentifizierung.
    Admin Benutzeroberfläche verfügbar, um die Standardauthentifizierung auf Organisationsebene zu deaktivieren, aber Ausnahmen erfordern PowerShell
    Bedingter Azure AD-Zugriff – Kann verwendet werden, um die gesamte Standardauthentifizierung für alle Protokolle
    zu blockieren: Kann auf Benutzer, Gruppen, Apps usw. festgelegt werden.
    – Kann für die Ausführung im reinen Berichtsmodus für zusätzliche Berichte konfiguriert werden.
    – Erfordert zusätzliche Lizenzierung (Azure AD P1):
    Blockiert die Standardauthentifizierung nach der Authentifizierung.

    Ressourcen

    Weitere Informationen zum Blockieren der Standardauthentifizierung finden Sie in den folgenden Artikeln:

    Sicherheitsstandards:

    Exchange Online-Authentifizierungsrichtlinien:

    Bedingter Azure AD-Zugriff:

    Zusammenfassung und nächste Schritte

    Die in diesem Artikel beschriebenen Änderungen können sich auf Ihre Fähigkeit auswirken, eine Verbindung mit Exchange Online herzustellen. Daher sollten Sie Schritte unternehmen, um zu verstehen, ob Sie betroffen sind, und bestimmen Sie die Schritte, die Sie ausführen müssen, um sicherzustellen, dass Sie nach dem Rollout weiterhin eine Verbindung herstellen können.

    Es wird empfohlen, zunächst die Auswirkungen auf Ihren Mandanten und die Benutzer zu untersuchen. Achten Sie auf Nachrichtencenter-Beiträge, die Entweder Ihre Nutzung zusammenfassen oder berichte, die Sie nicht haben.

    Wenn Sie eine Nutzung haben oder sich nicht sicher sind, sehen Sie sich den Bericht azure AD Sign-In an. Weitere Informationen finden Sie hier: Neue Tools zum Blockieren der Legacyauthentifizierung in Ihrer Organisation – Microsoft Tech Community. Der Bericht kann Ihnen helfen, Clients und Geräte mithilfe der Standardauthentifizierung nachzuverfolgen und zu identifizieren.

    Sobald Sie eine Vorstellung von den Benutzern und Clients haben, von denen Sie wissen, dass sie die Standardauthentifizierung verwenden, erstellen Sie einen Wartungsplan. Dies kann bedeuten, clientsoftware zu aktualisieren, Apps neu zu konfigurieren, Skripts zu aktualisieren oder sich an App-Entwickler von Drittanbietern zu informieren, um aktualisierten Code oder Apps zu erhalten.