Einstellung der Standardauthentifizierung in Exchange Online

Wichtig

Ab Dezember 2022 wird das klassische Exchange Admin Center für kunden weltweit veraltet sein. Microsoft empfiehlt, das neue Exchange Admin Center zu verwenden, falls dies nicht bereits geschieht.

Während die meisten Features in das neue EAC migriert wurden, wurden einige in andere Admin Center migriert, und die übrigen werden in Kürze zum neuen EAC migriert. Suchen Sie features that are not yet there in new EAC at Other Features or use Global Search that will help you navigate across new EAC.

Seit vielen Jahren verwenden Anwendungen die Standardauthentifizierung, um eine Verbindung mit Servern, Diensten und API-Endpunkten herzustellen. Die Standardauthentifizierung bedeutet einfach, dass die Anwendung bei jeder Anforderung einen Benutzernamen und ein Kennwort sendet, und diese Anmeldeinformationen werden häufig auch auf dem Gerät gespeichert oder gespeichert. Standardmäßig ist die Standardauthentifizierung auf den meisten Servern oder Diensten aktiviert und einfach einzurichten.

Einfachheit ist überhaupt nicht schlecht, aber die Standardauthentifizierung erleichtert Angreifern das Erfassen von Benutzeranmeldeinformationen (insbesondere, wenn die Anmeldeinformationen nicht durch TLS geschützt sind), was das Risiko erhöht, dass diese gestohlenen Anmeldeinformationen für andere Endpunkte oder Dienste wiederverwendet werden. Darüber hinaus ist die Durchsetzung der mehrstufigen Authentifizierung (MFA) nicht einfach oder in einigen Fällen möglich, wenn die Standardauthentifizierung aktiviert bleibt.

Die Standardauthentifizierung ist ein veralteter Industriestandard. Bedrohungen, die von ihr ausgehen, sind erst gestiegen, seit wir ursprünglich angekündigt haben, dass wir sie deaktivieren werden (siehe Verbesserung der Sicherheit - Zusammen) Es gibt bessere und effektivere Alternativen zur Benutzerauthentifizierung.

Es wird aktiv empfohlen, dass Kunden Sicherheitsstrategien wie Zero Trust (Nie vertrauen, immer überprüfen) oder Echtzeit-Bewertungsrichtlinien anwenden, wenn Benutzer und Geräte auf Unternehmensinformationen zugreifen. Diese Alternativen ermöglichen intelligente Entscheidungen darüber, wer von wo aus auf welchem Gerät zugreifen möchte, anstatt einfach nur einer Authentifizierungsanmeldeinformation zu vertrauen, die ein schlechter Akteur sein könnte, der die Identität eines Benutzers angibt.

Angesichts dieser Bedrohungen und Risiken unternehmen wir Schritte, um die Datensicherheit in Exchange Online zu verbessern.

Hinweis

Die Einstellung der Standardauthentifizierung verhindert auch die Verwendung von App-Kennwörtern mit Apps, die keine Überprüfung in zwei Schritten unterstützen.

Was wir ändern

Wir entfernen die Möglichkeit, die Standardauthentifizierung in Exchange Online für Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange-Webdienste (EWS), Offlineadressbuch (OAB), Outlook für Windows und Mac zu verwenden.

Außerdem deaktivieren wir SMTP AUTH in allen Mandanten, in denen es nicht verwendet wird.

Bei dieser Entscheidung müssen Kunden von Apps, die die Standardauthentifizierung verwenden, zu Apps wechseln, die moderne Authentifizierung verwenden. Die moderne Authentifizierung (tokenbasierte OAuth 2.0-Autorisierung) bietet viele Vorteile und Verbesserungen, die dazu beitragen, die Probleme bei der Standardauthentifizierung zu beheben. OAuth-Zugriffstoken haben z. B. eine begrenzte verwendbare Lebensdauer und sind spezifisch für die Anwendungen und Ressourcen, für die sie ausgestellt wurden, sodass sie nicht wiederverwendet werden können. Das Aktivieren und Erzwingen der mehrstufigen Authentifizierung (MFA) ist auch mit der modernen Authentifizierung einfach.

Wann findet diese Änderung statt?

Wir haben bereits damit begonnen, diese Änderung vorzunehmen. Neue Microsoft 365-Mandanten werden erstellt, wobei die Standardauthentifizierung bereits deaktiviert ist, da die Sicherheitsstandards aktiviert sind.

Anfang 2021 haben wir begonnen, die Standardauthentifizierung für vorhandene Mandanten ohne gemeldete Nutzung zu deaktivieren. Wir stellen jedem Kunden immer Nachrichtencenter-Benachrichtigungen bereit, bevor die Standardauthentifizierung in ihrem Mandanten vollständig deaktiviert wird.

Im September 2021 haben wir angekündigt, dass ab dem 1. Oktober 2022 die Standardauthentifizierung für Outlook- und EWS-, RPS-, POP-, IMAP- und EAS-Protokolle in Exchange Online deaktiviert wird. SMTP-Authentifizierung wird auch deaktiviert, wenn sie nicht verwendet wird. Vollständige Ankündigung: Standardauthentifizierung und Exchange Online – Update vom September 2021.

Hinweis

Am 1. September 2022 haben wir angekündigt, dass es eine letzte Gelegenheit geben wird, diese Änderung zu verschieben. Mandanten können ein Protokoll zwischen dem 1. Oktober 2022 und dem 31. Dezember 2022 einmal erneut aktivieren. Alle Protokoll-Ausnahmen oder wieder aktivierten Protokolle werden Anfang Januar 2023 deaktiviert, ohne dass eine weitere Verwendung möglich ist. Sehen Sie sich die vollständige Ankündigung unter Standardauthentifizierungs-Deprecation in Exchange Online – September 2022 Update an.

In Office 365 Operated by 21Vianet beginnen wir mit der Deaktivierung der Standardauthentifizierung am 31. März 2023. Alle anderen Cloudumgebungen unterliegen dem Datum 1. Oktober 2022.

Auswirkungen auf Messagingprotokolle und vorhandene Anwendungen

Diese Änderung wirkt sich auf die Anwendungen und Skripts aus, die Sie möglicherweise auf unterschiedliche Weise verwenden.

POP, IMAP und SMTP AUTH

Im Jahr 2020 haben wir OAuth 2.0-Unterstützung für POP, IMAP und SMTP AUTH veröffentlicht. Aktualisierungen für einige Client-Apps wurden aktualisiert, um diese Authentifizierungstypen zu unterstützen (z. B. Thunderbird, wenn auch noch nicht für Kunden, die Office 365 Operated by 21Vianet verwenden), sodass Benutzer mit aktuellen Versionen ihre Konfiguration ändern können, um OAuth zu verwenden. Es ist nicht geplant, dass Outlook-Clients OAuth für POP und IMAP unterstützen, aber Outlook kann sich über MAPI/HTTP (Windows-Clients) und EWS (Outlook für Mac) verbinden.

Anwendungsentwickler, die Apps erstellt haben, die E-Mails mithilfe dieser Protokolle senden, lesen oder anderweitig verarbeiten, können dasselbe Protokoll beibehalten, müssen jedoch sichere, moderne Authentifizierungsfunktionen für ihre Benutzer implementieren. Diese Funktionalität basiert auf der Microsoft Identity-Plattform v2.0 und unterstützt den Zugriff auf Microsoft 365-E-Mail-Konten.

Wenn Ihre interne Anwendung in Exchange Online auf IMAP-, POP- und SMTP-AUTH-Protokolle zugreifen muss, befolgen Sie diese schrittweisen Anweisungen zum Implementieren der OAuth 2.0-Authentifizierung: Authentifizieren einer IMAP-, POP- oder SMTP-Verbindung mithilfe von OAuth. Verwenden Sie außerdem dieses PowerShell-Skript Get-IMAPAccesstoken.ps1 , um den IMAP-Zugriff nach der OAuth-Aktivierung auf einfache Weise zu testen, einschließlich des Anwendungsfalls für das freigegebene Postfach. Wenn dies erfolgreich ist, führen Sie einfach einen sicheren nächsten Schritt mit Ihrem Anwendungsbesitzer Ihres Anbieters oder internen Geschäftspartners.

Arbeiten Sie mit Ihrem Anbieter zusammen, um alle apps oder Clients zu aktualisieren, die Sie verwenden, die betroffen sein könnten.

SMTP AUTH ist weiterhin verfügbar, wenn die Standardauthentifizierung am 1. Oktober 2022 dauerhaft deaktiviert ist. Der Grund, warum SMTP weiterhin verfügbar ist, ist, dass viele Multifunktionsgeräte wie Drucker und Scanner nicht aktualisiert werden können, um die moderne Authentifizierung zu verwenden. Wir empfehlen Kunden jedoch dringend, die Standardauthentifizierung mit SMTP AUTH nach Möglichkeit nicht mehr zu verwenden. Weitere Optionen zum Senden authentifizierter E-Mails sind die Verwendung alternativer Protokolle, z. B. die Microsoft Graph-API.

Exchange ActiveSync (EAS)

Viele Benutzer verfügen über mobile Geräte, die für die Verwendung von EAS eingerichtet sind. Wenn sie die Standardauthentifizierung verwenden, sind sie von dieser Änderung betroffen.

Wir empfehlen die Verwendung von Outlook für iOS und Android beim Herstellen einer Verbindung mit Exchange Online. Outlook für iOS und Android integriert Microsoft Enterprise Mobility + Security (EMS) vollständig, wodurch funktionen für bedingten Zugriff und App-Schutz (MAM) ermöglicht werden. Outlook für iOS und Android hilft Ihnen, Ihre Benutzer und Ihre Unternehmensdaten zu schützen, und es unterstützt nativ die moderne Authentifizierung.

Es gibt andere E-Mail-Apps für mobile Geräte, die die moderne Authentifizierung unterstützen. Die integrierten E-Mail-Apps für alle gängigen Plattformen unterstützen in der Regel die moderne Authentifizierung. Daher besteht die Lösung manchmal darin, zu überprüfen, ob auf Ihrem Gerät die neueste Version der App ausgeführt wird. Wenn die E-Mail-App aktuell ist, aber weiterhin die Standardauthentifizierung verwendet, müssen Sie das Konto möglicherweise vom Gerät entfernen und dann wieder hinzufügen.

Wenn Sie Microsoft Intune verwenden, können Sie den Authentifizierungstyp möglicherweise mithilfe des E-Mail-Profils ändern, das Sie auf Ihre Geräte übertragen oder bereitstellen. Wenn Sie iOS-Geräte (iPhones und iPads) verwenden, sollten Sie einen Blick auf das Hinzufügen von E-Mail-Einstellungen für iOS- und iPadOS-Geräte in Microsoft Intune

Alle iOS-Geräte, die mit basic Mobility and Security verwaltet werden, können nicht auf E-Mails zugreifen, wenn die folgenden Bedingungen zutreffen:

  • Sie haben eine Gerätesicherheitsrichtlinie so konfiguriert, dass ein verwaltetes E-Mail-Profil für den Zugriff erforderlich ist.
  • Sie haben die Richtlinie seit dem 9. November 2021 nicht mehr geändert (was bedeutet, dass die Richtlinie weiterhin die Standardauthentifizierung verwendet).

Richtlinien, die nach diesem Datum erstellt oder geändert wurden, wurden bereits aktualisiert, um die moderne Authentifizierung zu verwenden.

Um Richtlinien zu aktualisieren, die seit dem 9. November 2021 nicht mehr geändert wurden, um die moderne Authentifizierung zu verwenden, nehmen Sie eine temporäre Änderung an den Zugriffsanforderungen der Richtlinie vor. Wir empfehlen, die Cloudeinstellung "Verschlüsselte Sicherungen erforderlich " zu ändern und zu speichern, wodurch die Richtlinie auf die Verwendung der modernen Authentifizierung aktualisiert wird. Sobald für die geänderte Richtlinie der Statuswert aktiviert ist, wurde das E-Mail-Profil aktualisiert. Sie können dann die temporäre Änderung an der Richtlinie wiederherstellen.

Hinweis

Während des Upgradevorgangs wird das E-Mail-Profil auf dem iOS-Gerät aktualisiert, und der Benutzer wird aufgefordert, den Benutzernamen und das Kennwort einzugeben.

Wenn Ihre Geräte die zertifikatbasierte Authentifizierung verwenden, sind sie nicht betroffen, wenn die Standardauthentifizierung in Exchange Online später in diesem Jahr deaktiviert ist. Nur Geräte, die sich direkt mit der Standardauthentifizierung authentifizieren, sind betroffen.

Die zertifikatbasierte Authentifizierung ist weiterhin legacyauthentifizierung und wird daher durch Azure AD-Richtlinien für bedingten Zugriff blockiert, die die Legacyauthentifizierung blockieren. Weitere Informationen finden Sie unter Blockieren der Legacyauthentifizierung – Azure Active Directory.

Exchange Online PowerShell

Seit der Veröffentlichung des Exchange Online PowerShell-Moduls ist es einfach, Ihre Exchange Online- und Schutzeinstellungen über die Befehlszeile mithilfe der modernen Authentifizierung zu verwalten. Das Modul verwendet moderne Authentifizierung und arbeitet mit der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) für die Verbindung mit allen Exchange-bezogenen PowerShell-Umgebungen in Microsoft 365: Exchange Online PowerShell, Security & Compliance PowerShell und eigenständige Exchange Online Protection (EOP) PowerShell.

Das Exchange Online PowerShell-Modul kann auch nicht interaktiv verwendet werden, wodurch unbeaufsichtigte Skripts ausgeführt werden können. Die zertifikatbasierte Authentifizierung bietet Administratoren die Möglichkeit, Skripts auszuführen, ohne Dienstkonten erstellen oder Anmeldeinformationen lokal speichern zu müssen. Weitere Informationen finden Sie unter: Nur-App-Authentifizierung für unbeaufsichtigte Skripts im Exchange Online PowerShell-Modul.

Administratoren, die weiterhin die alte Remote-PowerShell-Verbindungsmethode oder das ältere Exchange Online Remote-PowerShell-Modul (V1) verwenden, sollten so schnell wie möglich mit der Verwendung des Exchange Online PowerShell-Moduls beginnen. Diese älteren Verbindungsmethoden werden schließlich eingestellt, entweder durch Deaktivierung der Standardauthentifizierung oder das Ende des Supports.

Wichtig

Verwechseln Sie nicht die Tatsache, dass PowerShell die Standardauthentifizierung erfordert, die für WinRM aktiviert ist (auf dem lokalen Computer, auf dem die Sitzung ausgeführt wird). Der Benutzername/das Kennwort wird nicht mithilfe von Basic an den Dienst gesendet, aber der Basic Auth-Header ist erforderlich, um das OAuth-Token der Sitzung zu senden, da der WinRM-Client OAuth nicht unterstützt. Wir arbeiten an diesem Problem und werden in Zukunft mehr ankündigen müssen. Wissen Sie nur, dass das Aktivieren von Basic auf WinRM nicht Basic verwendet, um sich beim Dienst zu authentifizieren. Weitere Informationen finden Sie unter Exchange Online PowerShell: Aktivieren der Standardauthentifizierung in WinRM.

Weitere Informationen zu dieser Situation finden Sie hier: Grundlegendes zu den verschiedenen Versionen von Exchange Online PowerShell-Modulen und Standardauthentifizierung.

Ausführliche Informationen zum Wechsel von der V1-Version des Moduls zur aktuellen Version finden Sie in diesem Blogbeitrag.

Version 3.0.0 des Exchange Online PowerShell V3-Moduls (Vorschauversionen 2.0.6-PreviewX) enthält REST-API-gesicherte Versionen aller Exchange Online-Cmdlets, die keine Standardauthentifizierung in WinRM erfordern. Weitere Informationen finden Sie unter Aktualisierungen für Version 3.0.0.

Exchange-Webdienste (Exchange Web Services, EWS)

Viele Anwendungen wurden mithilfe von EWS für den Zugriff auf Postfach- und Kalenderdaten erstellt.

Im Jahr 2018 haben wir angekündigt, dass Exchange-Webdienste keine Funktionsupdates mehr erhalten, und wir empfehlen Anwendungsentwicklern, zur Verwendung von Microsoft Graph zu wechseln. Informationen zu Office 365 finden Sie unter Bevorstehende Änderungen an der EWS-API (Exchange Web Services).

Viele Anwendungen wurden erfolgreich nach Graph verschoben, aber für solche Anwendungen, die dies nicht getan haben, ist es bemerkenswert, dass EWS die moderne Authentifizierung bereits vollständig unterstützt. Wenn Sie also noch nicht zu Graph migrieren können, können Sie zur Verwendung der modernen Authentifizierung mit EWS wechseln, da Sie wissen, dass EWS letztendlich veraltet ist.

Weitere Informationen finden Sie unter:

Outlook, MAPI, RPC und Offlineadressbuch (OAB)

In allen Versionen von Outlook für Windows seit 2016 ist die moderne Authentifizierung standardmäßig aktiviert. Daher verwenden Sie wahrscheinlich bereits die moderne Authentifizierung. Outlook Anywhere (früher als RPC über HTTP bezeichnet) ist in Exchange Online zugunsten von MAPI über HTTP veraltet. Outlook für Windows verwendet MAPI über HTTP, EWS und OAB, um auf E-Mails zuzugreifen, frei/gebucht und außer Haus zu setzen und das Offlineadressbuch herunterzuladen. Alle diese Protokolle unterstützen die moderne Authentifizierung.

Outlook 2007 oder Outlook 2010 kann keine moderne Authentifizierung verwenden und kann schließlich keine Verbindung herstellen. Outlook 2013 erfordert eine Einstellung zum Aktivieren der modernen Authentifizierung, aber nachdem Sie die Einstellung konfiguriert haben, kann Outlook 2013 die moderne Authentifizierung ohne Probleme verwenden. Wie hier bereits erwähnt, erfordert Outlook 2013 eine minimale Updatestufe, um eine Verbindung mit Exchange Online herzustellen. Siehe: Neue Mindestversionsanforderungen für Outlook für Windows für Microsoft 365.

Outlook für Mac unterstützt die moderne Authentifizierung.

Weitere Informationen zur Unterstützung der modernen Authentifizierung in Office finden Sie unter Funktionsweise der modernen Authentifizierung für Office-Client-Apps.

Wenn Sie öffentliche Ordner online zu Exchange migrieren müssen, lesen Sie Migrationsskripts für öffentliche Ordner mit moderner Authentifizierungsunterstützung.

Woher wissen Sie, ob Ihre Benutzer betroffen sind?

Es gibt mehrere Möglichkeiten, um festzustellen, ob Sie die Standardauthentifizierung oder die moderne Authentifizierung verwenden. Wenn Sie die Standardauthentifizierung verwenden, können Sie bestimmen, woher sie stammt und was Sie dagegen tun müssen.

Dialogfeld "Authentifizierung"

Eine einfache Möglichkeit, festzustellen, ob eine Client-App (z. B. Outlook) die Standardauthentifizierung oder moderne Authentifizierung verwendet, besteht darin, das Dialogfeld zu beobachten, das angezeigt wird, wenn sich der Benutzer anmeldet.

Moderne Authentifizierung zeigt eine webbasierte Anmeldeseite an:

Die moderne Anmeldung ist ein webbasierter Bildschirm


Die Standardauthentifizierung stellt ein modales Dialogfeld für Anmeldeinformationen dar:

Modales Feld für Anmeldeinformationen im Dialogfeld 'Standardauthentifizierung'

Auf einem mobilen Gerät wird eine ähnliche webbasierte Seite angezeigt, wenn Sie sich authentifizieren, wenn das Gerät versucht, eine Verbindung mithilfe der modernen Authentifizierung herzustellen.

Sie können auch das Dialogfeld "Verbindungsstatus" aktivieren, indem Sie strg+ mit der rechten Maustaste auf das Outlook-Symbol in der Taskleiste klicken und "Verbindungsstatus" auswählen.

Bei Verwendung der Standardauthentifizierung wird in der Spalte "Authentifizierung " im Dialogfeld "Outlook-Verbindungsstatus " der Wert " Löschen" angezeigt.

Outlook-Verbindungsstatus deaktiviert

Nachdem Sie zur modernen Authentifizierung gewechselt haben, wird in der Spalte "Authentifizierung " im Dialogfeld "Outlook-Verbindungsstatus" der Wert von Bearer angezeigt.

Outlook-Verbindungsstatusträger

Überprüfen des Nachrichtencenters

Ab Ende 2021 haben wir mit dem Senden von Nachrichtencenter-Beiträgen an Mandanten begonnen, die ihre Verwendung der Standardauthentifizierung zusammenfassen. Wenn Sie die Standardauthentifizierung nicht verwenden, wurde die Standardauthentifizierung wahrscheinlich bereits deaktiviert (und ein Beitrag im Nachrichtencenter mit der entsprechenden Aussage erhalten) – es sei denn, Sie beginnen damit, sie zu verwenden, sind nicht betroffen.

Wenn Sie eine Zusammenfassung der Nutzung erhalten haben, wissen Sie, wie viele eindeutige Benutzer wir im vorherigen Monat mit der Standardauthentifizierung gesehen haben und welche Protokolle sie verwendet haben. Diese Zahlen sind nur indikativ und spiegeln nicht unbedingt den erfolgreichen Zugriff auf Postfächer oder Daten wider. Beispielsweise kann sich ein Benutzer mit IMAP authentifizieren, ihm wird jedoch aufgrund der Konfiguration oder Richtlinie der Zugriff auf das Postfach verweigert. Die Nutzungszusammenfassung weist jedoch darauf hin, dass sich etwas oder jemand erfolgreich mithilfe der Standardauthentifizierung bei Ihrem Mandanten authentifiziert. Um diese Verwendung weiter zu untersuchen, empfehlen wir, dass Sie den Azure Active Directory-Anmeldeereignissebericht verwenden – einen Bericht, der detaillierte Benutzer-, IP- und Clientdetails für diese Authentifizierungsversuche bereitstellen kann (weitere Details unten).

Überprüfen Sie das Admin Center

Anfang 2022 planen wir die Aktualisierung des Microsoft Admin Center, um die Zusammenfassung der Verwendung und das Aktivieren/Deaktivieren von Protokollen zu vereinfachen. Wir veröffentlichen weitere Informationen zu diesen Änderungen, sobald sie verfügbar sind.

Überprüfen des Azure Active Directory-Anmeldeberichts

Der beste Ort, um ein aktuelles Bild der Standardauthentifizierungsnutzung nach Mandanten zu erhalten, ist die Verwendung des Azure AD Sign-In-Berichts. Weitere Informationen finden Sie unter: Neue Tools zum Blockieren der Legacyauthentifizierung in Ihrer Organisation – Microsoft Tech Community.

Für das Exportieren von Protokollen zur Analyse ist eine Premiumlizenz für Ihren Azure AD-Mandanten erforderlich. Wenn Sie über eine Premiumlizenz verfügen, können Sie die folgenden Methoden zum Exportieren von Protokollen verwenden:

  • Azure Event Hubs, Azure Storage oder Azure Monitor (beste Methoden): Alle diese Exportpfade sind in der Lage, die Last auch von großen Kunden mit Hunderttausenden von Benutzern zu verarbeiten. Weitere Informationen finden Sie unter Streamen von Azure Active Directory-Protokollen in Azure Monitor-Protokolle.
  • Graph-APIs: Es wird empfohlen, die MS Graph-Paginglogik zu verwenden, um sicherzustellen, dass Sie alle Protokolle abrufen können. Weitere Informationen finden Sie unter Access Azure AD logs with the Microsoft Graph-API.
  • Direkter Download vom Webbrowser: Für große Kunden kann die Datenmenge Browsertimeouts verursachen.

Clientoptionen

Einige der verfügbaren Optionen für jedes der betroffenen Protokolle sind unten aufgeführt.

Protokollempfehlung

Für Exchange-Webdienste (EWS), Remote PowerShell (RPS), POP und IMAP und Exchange ActiveSync (EAS):

  • Wenn Sie ihren eigenen Code mit diesen Protokollen geschrieben haben, aktualisieren Sie Ihren Code so, dass er OAuth 2.0 anstelle der Standardauthentifizierung verwendet, oder migrieren Sie zu einem neueren Protokoll (Graph-API).
  • Wenn Sie oder Ihre Benutzer eine Drittanbieteranwendung verwenden, die diese Protokolle verwendet, wenden Sie sich an den Drittanbieter-App-Entwickler, der diese Anwendung bereitgestellt hat, um sie zu aktualisieren, um die OAuth 2.0-Authentifizierung zu unterstützen, oder unterstützen Sie Ihre Benutzer, zu einer Anwendung zu wechseln, die mit OAuth 2.0 erstellt wurde.
Schlüsselprotokolldienst Betroffene Clients Clientspezifische Empfehlung Besondere Empfehlung für Office 365 Betrieben von 21Vianet (Gallatin) Weitere Protokollinformationen/Hinweise
Outlook Alle Versionen von Outlook für Windows und Mac
  • Upgrade auf Outlook 2013 oder höher für Windows und Outlook 2016 oder höher für Mac
  • Wenn Sie Outlook 2013 für Windows verwenden, aktivieren Sie die moderne Authentifizierung über den Registrierungsschlüssel
Aktivieren der modernen Authentifizierung für Outlook – wie schwierig kann es sein?
Exchange-Webdienste (Exchange Web Services, EWS) Anwendungen von Drittanbietern, die OAuth nicht unterstützen
  • Ändern Sie die App, um die moderne Authentifizierung zu verwenden.
  • Migrieren Sie die App, um Graph-API und moderne Authentifizierung zu verwenden.

Beliebte Apps:

Folgen Sie diesem Artikel, um Ihre benutzerdefinierte Gallatin-Anwendung zur Verwendung von EWS mit OAuth zu migrieren.

Microsoft Teams und Cisco Unity sind derzeit in Gallatin nicht verfügbar
Was tun mit EWS Managed API PowerShell-Skripts, die Basic Authentication verwenden
  • Keine EWS-Featureupdates ab Juli 2018
  • Remote PowerShell (RPS) Verwenden Sie eine der folgenden Optionen: Azure Cloud Shell ist in Gallatin nicht verfügbar Erfahren Sie mehr über die Unterstützung der Automatisierung und zertifikatbasierten Authentifizierung für das Exchange Online PowerShell-Modul und das Verständnis der verschiedenen Versionen von Exchange Online PowerShell-Modulen und Standardauthentifizierung.
    POP und IMAP Mobile Clients von Drittanbietern wie Thunderbird-Erstanbieterclients, die für die Verwendung von POP oder IMAP konfiguriert sind Empfehlungen:
    • Entfernen Sie sich von diesen Protokollen, da sie keine vollständigen Features aktivieren.
    • Wechseln sie zu OAuth 2.0 für POP/IMAP, wenn ihre Client-App dies unterstützt.
    Folgen Sie diesem Artikel, um POP und IMAP mit OAuth in Gallatin mit Beispielcode zu konfigurieren. IMAP ist bei Linux- und Bildungskunden beliebt. Der OAuth 2.0-Support wurde im April 2020 eingeführt.

    Authentifizieren einer IMAP-, POP- oder SMTP-Verbindung mithilfe von OAuth
    Exchange ActiveSync (EAS) Mobile E-Mail-Clients von Apple, Samsung usw.
    • Wechseln zu Outlook für iOS und Android oder zu einer anderen mobilen E-Mail-App, die moderne Authentifizierung unterstützt
    • Aktualisieren der App-Einstellungen, wenn OAuth ausgeführt werden kann, das Gerät jedoch weiterhin Basic verwendet
    • Wechseln Sie zu Outlook im Web oder einer anderen mobilen Browser-App, die die moderne Authentifizierung unterstützt.

    Beliebte Apps:

    • Apple iPhone/iPad/macOS: Alle aktuellen iOS/macOS-Geräte können moderne Authentifizierung verwenden, indem Sie einfach das Konto entfernen und wieder hinzufügen.
    • Microsoft Windows 10-Mail-Client: Entfernen sie das Konto, und fügen Sie es wieder hinzu, und wählen Sie Office 365 als Kontotyp aus.
  • Die native Mail-App von Apple unter iOS funktioniert derzeit in Gallatin nicht. Es wird empfohlen, Outlook Mobile zu verwenden.
  • Windows 10/11 Mail-App wird mit Gallatin nicht unterstützt
  • Folgen Sie diesem Artikel, um EAS mit OAuth und Beispielcode zu konfigurieren.
  • Mobile Geräte, die eine systemeigene App zum Herstellen einer Verbindung mit Exchange Online verwenden im Allgemeinen dieses Protokoll.

    Was geschieht, wenn ich die Standardauthentifizierung jetzt blockieren möchte?

    Hier ist eine Tabelle, in der die Optionen zum proaktiven Deaktivieren der Standardauthentifizierung zusammengefasst sind.

    Methode Vorteile Nachteile
    Sicherheitsstandards – Blockiert die gesamte Legacyauthentifizierung auf Mandantenebene für alle Protokolle.
    - Keine zusätzliche Lizenzierung erforderlich
    – Kann nicht zusammen mit Azure AD-Richtlinien für bedingten Zugriff verwendet werden
    - Mögliche andere Auswirkungen, z. B. die Anforderung, dass sich alle Benutzer für MFA registrieren und diese anfordern
    Exchange Online-Authentifizierungsrichtlinien – Ermöglicht einen phasenweisen Ansatz mit Deaktivierungsoptionen pro Protokoll
    - Keine zusätzliche Lizenzierung erforderlich
    – Blockiert die Standardauthentifizierung vor der Authentifizierung
    Admin Benutzeroberfläche verfügbar, um die Standardauthentifizierung auf Organisationsebene zu deaktivieren, aber Ausnahmen erfordern PowerShell
    Bedingter Azure AD-Zugriff - Kann verwendet werden, um die gesamte Standardauthentifizierung für alle Protokolle zu blockieren.
    – Kann auf Benutzer, Gruppen, Apps usw. beschränkt werden.
    - Kann so konfiguriert werden, dass es im berichtsgeschützten Modus für zusätzliche Berichte ausgeführt wird
    – Erfordert zusätzliche Lizenzierung (Azure AD P1)
    - Blockiert die Standardauthentifizierung nach der Authentifizierung

    Ressourcen

    Weitere Informationen zum Blockieren der Standardauthentifizierung finden Sie in den folgenden Artikeln:

    Sicherheitsstandards:

    Exchange Online-Authentifizierungsrichtlinien:

    Bedingter Azure AD-Zugriff:

    Zusammenfassung und nächste Schritte

    Die in diesem Artikel beschriebenen Änderungen können sich auf Ihre Fähigkeit auswirken, eine Verbindung mit Exchange Online herzustellen. Daher sollten Sie Schritte unternehmen, um zu verstehen, ob Sie betroffen sind, und die Schritte bestimmen, die Sie ausführen müssen, um sicherzustellen, dass Sie die Verbindung nach dem Rollout fortsetzen können.

    Es wird empfohlen, zuerst die Auswirkungen auf Ihren Mandanten und Ihre Benutzer zu untersuchen. Suchen Sie nach Nachrichtencenter-Beiträgen, in denen Sie Entweder Ihre Nutzung zusammenfassen oder einen Bericht erstellen, den Sie nicht haben.

    Wenn Sie die Nutzung haben oder nicht sicher sind, sehen Sie sich den Azure AD-Sign-In Bericht an. Weitere Informationen finden Sie hier: Neue Tools zum Blockieren der Legacyauthentifizierung in Ihrer Organisation – Microsoft Tech Community. Der Bericht kann Ihnen dabei helfen, Clients und Geräte mithilfe der Standardauthentifizierung nachzuverfolgen und zu identifizieren.

    Sobald Sie eine Vorstellung von den Benutzern und Clients haben, von denen Sie wissen, dass sie die Standardauthentifizierung verwenden, erstellen Sie einen Wartungsplan. Dies kann ein Upgrade der Clientsoftware, das Neukonfigurieren von Apps, das Aktualisieren von Skripts oder das Erreichen von App-Entwicklern von Drittanbietern bedeuten, um aktualisierten Code oder Apps zu erhalten.