Einstellung der Standardauthentifizierung in Exchange Online

  • Artikel

Wichtig

Die Standardauthentifizierung ist jetzt in allen Mandanten deaktiviert.

Vor dem 31. Dezember 2022 konnten Sie die betroffenen Protokolle erneut aktivieren, wenn Benutzer und Apps in Ihrem Mandanten keine Verbindung herstellen konnten. Jetzt kann niemand (Sie oder Microsoft-Support) die Standardauthentifizierung in Ihrem Mandanten erneut aktivieren.

Lesen Sie den Rest dieses Artikels, um die vorgenommenen Änderungen und die Auswirkungen dieser Änderungen auf Sie vollständig zu verstehen.

Seit vielen Jahren verwenden Anwendungen die Standardauthentifizierung, um eine Verbindung mit Servern, Diensten und API-Endpunkten herzustellen. Die Standardauthentifizierung bedeutet einfach, dass die Anwendung bei jeder Anforderung einen Benutzernamen und ein Kennwort sendet. Diese Anmeldeinformationen werden häufig auch auf dem Gerät gespeichert oder gespeichert. In der Regel ist die Standardauthentifizierung auf den meisten Servern oder Diensten standardmäßig aktiviert und einfach einzurichten.

Die Einfachheit ist überhaupt nicht schlecht, aber die Standardauthentifizierung erleichtert Es Angreifern, Benutzeranmeldeinformationen zu erfassen (insbesondere, wenn die Anmeldeinformationen nicht durch TLS geschützt sind), was das Risiko erhöht, dass diese gestohlenen Anmeldeinformationen für andere Endpunkte oder Dienste wiederverwendet werden. Darüber hinaus ist die Erzwingung der mehrstufigen Authentifizierung (MFA) nicht einfach oder in einigen Fällen möglich, wenn die Standardauthentifizierung aktiviert bleibt.

Die Standardauthentifizierung ist ein veralteter Industriestandard. Die von ihr ausgehenden Bedrohungen haben erst zugenommen, seit wir ursprünglich angekündigt haben, sie zu deaktivieren (siehe Verbessern der Sicherheit – Zusammen) Es gibt bessere und effektivere Alternativen zur Benutzerauthentifizierung.

Wir empfehlen Kunden aktiv, Sicherheitsstrategien wie Zero Trust (Nie vertrauen, immer überprüfen) zu übernehmen oder Echtzeitbewertungsrichtlinien anzuwenden, wenn Benutzer und Geräte auf Unternehmensinformationen zugreifen. Diese Alternativen ermöglichen intelligente Entscheidungen darüber, wer von wo aus auf welchem Gerät auf was zugreifen möchte, anstatt einfach einem Authentifizierungs-Anmeldeinformation zu vertrauen, der ein böswillige Akteur sein könnte, der die Identität eines Benutzers annimmt.

Unter Berücksichtigung dieser Bedrohungen und Risiken haben wir Maßnahmen ergriffen, um die Datensicherheit in Exchange Online zu verbessern.

Hinweis

Die Einstellung der Standardauthentifizierung verhindert auch die Verwendung von App-Kennwörtern für Apps, die keine zweistufige Überprüfung unterstützen.

Was wir ändern

Wir haben die Möglichkeit zur Verwendung der Standardauthentifizierung in Exchange Online für Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offlineadressbuch (OAB), AutoErmittlung, Outlook für Windows und Outlook für Mac entfernt.

Außerdem haben wir SMTP AUTH in allen Mandanten deaktiviert, in denen es nicht verwendet wurde.

Diese Entscheidung erfordert, dass Kunden von Apps, die die Standardauthentifizierung verwenden, zu Apps wechseln, die die moderne Authentifizierung verwenden. Die moderne Authentifizierung (OAuth 2.0-tokenbasierte Autorisierung) bietet viele Vorteile und Verbesserungen, die dazu beitragen, die Probleme bei der Standardauthentifizierung zu beheben. OAuth-Zugriffstoken haben beispielsweise eine begrenzte verwendbare Lebensdauer und sind spezifisch für die Anwendungen und Ressourcen, für die sie ausgestellt werden, sodass sie nicht wiederverwendet werden können. Das Aktivieren und Erzwingen der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) ist mit der modernen Authentifizierung ebenfalls einfach.

Wann fand diese Änderung statt?

Ab Anfang 2021 haben wir damit begonnen, die Standardauthentifizierung für vorhandene Mandanten ohne gemeldete Nutzung zu deaktivieren.

Ab Anfang 2023 haben wir die Standardauthentifizierung für alle Mandanten deaktiviert, die über eine beliebige Art von Erweiterung verfügen. Weitere Informationen zum Timing finden Sie hier.

Hinweis

In Office 365 betrieben von 21Vianet haben wir am 31. März 2023 damit begonnen, die Standardauthentifizierung zu deaktivieren. Für alle anderen Cloudumgebungen gilt das Datum 1. Oktober 2022.

Auswirkungen auf Messagingprotokolle und vorhandene Anwendungen

Diese Änderung wirkt sich auf die Anwendungen und Skripts aus, die Sie auf unterschiedliche Weise verwenden können.

POP-, IMAP- und SMTP-AUTHENTIFIZIERUNG

Im Jahr 2020 haben wir OAuth 2.0-Unterstützung für POP, IMAP und SMTP AUTH veröffentlicht. Updates für einige Client-Apps wurden aktualisiert, um diese Authentifizierungstypen zu unterstützen (Thunderbird beispielsweise, wenn auch noch nicht für Kunden, die Office 365 Betrieben von 21Vianet verwenden), sodass Benutzer mit aktuellen Versionen ihre Konfiguration ändern können, um OAuth zu verwenden. Es ist nicht geplant, dass Outlook-Clients OAuth für POP und IMAP unterstützen, aber Outlook kann sich über MAPI/HTTP (Windows-Clients) und EWS (Outlook für Mac) verbinden.

Anwendungsentwickler, die Apps erstellt haben, die E-Mails mit diesen Protokollen senden, lesen oder anderweitig verarbeiten, können dasselbe Protokoll beibehalten, müssen aber sichere, moderne Authentifizierungsfunktionen für ihre Benutzer implementieren. Diese Funktionalität basiert auf Microsoft Identity Platform v2.0 und unterstützt den Zugriff auf Microsoft 365-E-Mail-Konten.

Wenn Ihre interne Anwendung auf die PROTOKOLLE IMAP, POP und SMTP AUTH in Exchange Online zugreifen muss, befolgen Sie die folgenden Schritt-für-Schritt-Anweisungen, um die OAuth 2.0-Authentifizierung zu implementieren: Authentifizieren einer IMAP-, POP- oder SMTP-Verbindung mithilfe von OAuth. Verwenden Sie außerdem die PowerShell-Skript -Get-IMAPAccesstoken.ps1 , um den IMAP-Zugriff nach ihrer OAuth-Aktivierung auf einfache Weise zu testen, einschließlich des Anwendungsfalls für freigegebene Postfächer.

Obwohl SMTP AUTH jetzt verfügbar ist, haben wir angekündigt, dass Exchange Online die Unterstützung für die Standardauthentifizierung mit Clientübermittlung (SMTP AUTH) im September 2025 endgültig entfernen wird. Wir empfehlen Kunden dringend, die Standardauthentifizierung mit SMTP-Authentifizierung so bald wie möglich zu entfernen. Weitere Informationen zu alternativen Optionen finden Sie in unserer Ankündigung hier- https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-online-to-retire-basic-auth-for-client-submission-smtp/ba-p/4114750. Andere Optionen zum Senden von authentifizierten E-Mails umfassen die Verwendung alternativer Protokolle, z. B. der Microsoft Graph-API.

Exchange ActiveSync (EAS)

Viele Benutzer verfügen über mobile Geräte, die für die Verwendung von EAS eingerichtet sind. Wenn sie die Standardauthentifizierung verwendet haben, sind sie von dieser Änderung betroffen.

Es wird empfohlen, Outlook für iOS und Android zu verwenden, wenn Sie eine Verbindung mit Exchange Online herstellen. Outlook für iOS und Android integriert Microsoft Enterprise Mobility + Security (EMS) vollständig, wodurch funktionen für bedingten Zugriff und App-Schutz (MAM) ermöglicht werden. Outlook für iOS und Android unterstützt Sie beim Schützen Ihrer Benutzer und Ihrer Unternehmensdaten und unterstützt die moderne Authentifizierung nativ.

Es gibt andere E-Mail-Apps für mobile Geräte, die die moderne Authentifizierung unterstützen. Die integrierten E-Mail-Apps für alle gängigen Plattformen unterstützen in der Regel die moderne Authentifizierung, sodass die Lösung manchmal darin besteht, zu überprüfen, ob auf Ihrem Gerät die neueste Version der App ausgeführt wird. Wenn die E-Mail-App aktuell ist, aber weiterhin die Standardauthentifizierung verwendet, müssen Sie das Konto möglicherweise vom Gerät entfernen und dann wieder hinzufügen.

Wenn Sie Microsoft Intune verwenden, können Sie den Authentifizierungstyp möglicherweise mithilfe des E-Mail-Profils ändern, das Sie per Push übertragen oder auf Ihren Geräten bereitstellen. Wenn Sie iOS-Geräte (iPhones und iPads) verwenden, sollten Sie unter Hinzufügen von E-Mail-Einstellungen für iOS- und iPadOS-Geräte in Microsoft Intune

Jedes iOS-Gerät, das mit Basismobilität und Sicherheit verwaltet wird, kann nicht auf E-Mails zugreifen, wenn die folgenden Bedingungen zutreffen:

  • Sie haben eine Gerätesicherheitsrichtlinie so konfiguriert, dass ein verwaltetes E-Mail-Profil für den Zugriff erforderlich ist.
  • Sie haben die Richtlinie seit dem 9. November 2021 nicht mehr geändert (was bedeutet, dass die Richtlinie weiterhin die Standardauthentifizierung verwendet).

Richtlinien, die nach diesem Datum erstellt oder geändert wurden, wurden bereits aktualisiert, um die moderne Authentifizierung zu verwenden.

Um Richtlinien, die seit dem 9. November 2021 nicht mehr geändert wurden, zur Verwendung der modernen Authentifizierung zu aktualisieren, nehmen Sie eine temporäre Änderung an den Zugriffsanforderungen der Richtlinie vor. Es wird empfohlen, die Cloudeinstellung Verschlüsselte Sicherungen erforderlich zu ändern und zu speichern. Dadurch wird die Richtlinie aktualisiert, um die moderne Authentifizierung zu verwenden. Sobald für die geänderte Richtlinie der status Wert aktiviert ist, wurde das E-Mail-Profil aktualisiert. Sie können dann die vorübergehende Änderung der Richtlinie rückgängig machen.

Hinweis

Während des Upgradevorgangs wird das E-Mail-Profil auf dem iOS-Gerät aktualisiert, und der Benutzer wird aufgefordert, seinen Benutzernamen und sein Kennwort einzugeben.

Wenn Ihre Geräte die zertifikatbasierte Authentifizierung verwenden, sind sie nicht betroffen, wenn die Standardauthentifizierung in Exchange Online später in diesem Jahr deaktiviert wird. Es sind nur Geräte betroffen, die sich direkt mit der Standardauthentifizierung authentifizieren.

Bei der zertifikatbasierten Authentifizierung handelt es sich weiterhin um die Legacyauthentifizierung und wird daher durch Microsoft Entra richtlinien für bedingten Zugriff blockiert, die die Legacyauthentifizierung blockieren. Weitere Informationen finden Sie unter Blockieren der Legacyauthentifizierung mit Microsoft Entra bedingtem Zugriff.

Exchange Online PowerShell

Seit der Veröffentlichung des Exchange Online PowerShell-Moduls ist es ganz einfach, Ihre Exchange Online- und Schutzeinstellungen über die Befehlszeile mithilfe der modernen Authentifizierung zu verwalten. Das Modul verwendet die moderne Authentifizierung und arbeitet mit mehrstufiger Authentifizierung (Multi-Factor Authentication, MFA), um eine Verbindung mit allen Exchange-bezogenen PowerShell-Umgebungen in Microsoft 365 herzustellen: Exchange Online PowerShell, Security & Compliance PowerShell und Eigenständige Exchange Online Protection (EOP) PowerShell.

Das Exchange Online PowerShell-Moduls kann auch nicht interaktiv verwendet werden, wodurch die Ausführung unbeaufsichtigter Skripts ermöglicht wird. Die zertifikatbasierte Authentifizierung bietet Administratoren die Möglichkeit, Skripts auszuführen, ohne Dienstkonten erstellen oder Anmeldeinformationen lokal speichern zu müssen. Weitere Informationen finden Sie unter Nur-App-Authentifizierung für unbeaufsichtigte Skripts im Exchange Online PowerShell-Modul.

Wichtig

Verwechseln Sie nicht die Tatsache, dass PowerShell die Standardauthentifizierung für WinRM (auf dem lokalen Computer, auf dem die Sitzung ausgeführt wird) aktiviert ist. Der Benutzername/das Kennwort wird nicht mithilfe von Basic an den Dienst gesendet, aber der Basic-Authentifizierungsheader ist erforderlich, um das OAuth-Token der Sitzung zu senden, da der WinRM-Client OAuth nicht unterstützt. Wir arbeiten an diesem Problem und werden in Zukunft noch mehr ankündigen müssen. Beachten Sie nur, dass die Aktivierung von Basic für WinRM nicht Basic für die Authentifizierung beim Dienst verwendet. Weitere Informationen finden Sie unter Exchange Online PowerShell: Aktivieren der Standardauthentifizierung in WinRM.

Weitere Informationen zu dieser Situation finden Sie hier: Grundlegendes zu den verschiedenen Versionen von Exchange Online PowerShell-Modulen und standardauthentifizierung.

Ausführliche Informationen zum Wechsel von der V1-Version des Moduls zur aktuellen Version finden Sie in diesem Blogbeitrag.

Version 3.0.0 des Exchange Online PowerShell V3-Moduls (Vorschauversionen 2.0.6-PreviewX) enthält rest-API-gestützte Versionen aller Exchange Online Cmdlets, die keine Standardauthentifizierung in WinRM erfordern. Weitere Informationen finden Sie unter Updates für Version 3.0.0.

Exchange-Webdienste (Exchange Web Services, EWS)

Viele Anwendungen wurden mit EWS für den Zugriff auf Postfach- und Kalenderdaten erstellt.

Im Jahr 2018 haben wir angekündigt, dass Exchange-Webdienste keine Featureupdates mehr erhalten werden, und wir empfehlen Anwendungsentwicklern, zur Verwendung von Microsoft Graph zu wechseln. Informationen zu Office 365 finden Sie unter Bevorstehende Änderungen an der EWS-API (Exchange Web Services).

Viele Anwendungen wurden erfolgreich zu Graph verschoben, aber für anwendungen, die dies nicht getan haben, ist es bemerkenswert, dass EWS die moderne Authentifizierung bereits vollständig unterstützt. Wenn Sie also noch nicht zu Graph migrieren können, können Sie zur Verwendung der modernen Authentifizierung mit EWS wechseln, da SIE wissen, dass EWS schließlich veraltet ist.

Weitere Informationen finden Sie unter:

Outlook, MAPI, RPC und Offlineadressbuch (OAB)

Für alle Versionen von Outlook für Windows seit 2016 ist die moderne Authentifizierung standardmäßig aktiviert, sodass Sie wahrscheinlich bereits die moderne Authentifizierung verwenden. Outlook Anywhere (früher als RPC über HTTP bezeichnet) ist in Exchange Online zugunsten von MAPI über HTTP veraltet. Outlook für Windows verwendet MAPI über HTTP, EWS und OAB, um auf E-Mails zuzugreifen, Frei/Gebucht und Abwesenheit festzulegen und das Offlineadressbuch herunterzuladen. Alle diese Protokolle unterstützen die moderne Authentifizierung.

Outlook 2007 oder Outlook 2010 kann keine moderne Authentifizierung verwenden und kann schließlich keine Verbindung herstellen. Outlook 2013 erfordert eine Einstellung zum Aktivieren der modernen Authentifizierung, aber nachdem Sie die Einstellung konfiguriert haben, kann Outlook 2013 die moderne Authentifizierung ohne Probleme verwenden. Wie bereits hier angekündigt, erfordert Outlook 2013 eine Mindestaktualisierungsstufe, um eine Verbindung mit Exchange Online herzustellen. Siehe: Neue Mindestversionsanforderungen für Outlook für Windows für Microsoft 365.

Outlook für Mac unterstützt die moderne Authentifizierung.

Weitere Informationen zur Unterstützung der modernen Authentifizierung in Office finden Sie unter Funktionsweise der modernen Authentifizierung für Office-Client-Apps.

Wenn Sie öffentliche Ordner online zu Exchange migrieren müssen, lesen Sie Migrationsskripts für öffentliche Ordner mit Moderner Authentifizierungsunterstützung.

AutoErmittlung

Im November 2022 haben wir angekündigt , die Standardauthentifizierung für das AutoErmittlungsprotokoll zu deaktivieren, sobald EAS und EWS in einem Mandanten deaktiviert sind.

Clientoptionen

Einige der optionen, die für jedes der betroffenen Protokolle verfügbar sind, sind unten aufgeführt.

Protokollempfehlung

Für Exchange-Webdienste (EWS), Remote PowerShell (RPS), POP und IMAP und Exchange ActiveSync (EAS):

  • Wenn Sie ihren eigenen Code mit diesen Protokollen geschrieben haben, aktualisieren Sie Ihren Code so, dass er OAuth 2.0 anstelle der Standardauthentifizierung verwendet, oder migrieren Sie zu einem neueren Protokoll (Graph-API).
  • Wenn Sie oder Ihre Benutzer eine Drittanbieteranwendung verwenden, die diese Protokolle verwendet, wenden Sie sich an den Entwickler der Drittanbieter-App, der diese Anwendung bereitgestellt hat, um sie zur Unterstützung der OAuth 2.0-Authentifizierung zu aktualisieren, oder helfen Sie Ihren Benutzern, zu einer Anwendung zu wechseln, die mit OAuth 2.0 erstellt wurde.
Schlüsselprotokolldienst Betroffener Client Clientspezifische Empfehlung Besondere Empfehlung für Office 365 betrieben von 21Vianet (Gallatin) Weitere Protokollinformationen/Hinweise
Outlook Alle Versionen von Outlook für Windows und Mac
  • Upgrade auf Outlook 2013 oder höher für Windows und Outlook 2016 oder höher für Mac
  • Wenn Sie Outlook 2013 für Windows verwenden, aktivieren Sie die moderne Authentifizierung über den Registrierungsschlüssel.
 Aktivieren der modernen Authentifizierung für Outlook – Wie schwierig kann es sein?
Exchange-Webdienste (Exchange Web Services, EWS) Anwendungen von Drittanbietern, die OAuth nicht unterstützen
  • Ändern Sie die App, um die moderne Authentifizierung zu verwenden.
  • Migrieren Sie die App, um Graph-API und moderne Authentifizierung zu verwenden.

Beliebte Apps:

 Befolgen Sie diesen Artikel, um Ihre angepasste Gallatin-Anwendung zur Verwendung von EWS mit OAuth zu migrieren.

Microsoft Teams und Cisco Unity derzeit nicht in Gallatin verfügbar		 Was tun mit EWS Managed API PowerShell-Skripts, die Basic Authentication verwenden
  • Keine EWS-Featureupdates ab Juli 2018
    		•
    Remote PowerShell (RPS) Verwenden Sie eine der folgenden Optionen: Azure Cloud Shell ist in Gallatin nicht verfügbar Erfahren Sie mehr über automatisierungs- und zertifikatbasierte Authentifizierungsunterstützung für das Exchange Online PowerShell-Modul und grundlegende Informationen zu den verschiedenen Versionen von Exchange Online PowerShell-Modulen und der standardbasierten Authentifizierung.
    POP und IMAP Mobile Drittanbieterclients wie Thunderbird-Erstanbieterclients, die für die Verwendung von POP oder IMAP konfiguriert sind Empfehlungen:
    • Entfernen Sie diese Protokolle, da sie keine vollständigen Features ermöglichen.
    • Wechseln Sie zu OAuth 2.0 für POP/IMAP, wenn Ihre Client-App dies unterstützt.
    		 Befolgen Sie diesen Artikel, um POP und IMAP mit OAuth in Gallatin mit Beispielcode zu konfigurieren. IMAP ist für Linux- und Education-Kunden beliebt. Der OAuth 2.0-Support wurde im April 2020 eingeführt.

    Authentifizieren einer IMAP-, POP- oder SMTP-Verbindung mithilfe von OAuth
    Exchange ActiveSync (EAS) Mobile E-Mail-Clients von Apple, Samsung usw.
    • Wechseln zu Outlook für iOS und Android oder einer anderen mobilen E-Mail-App, die moderne Authentifizierung unterstützt
    • Aktualisieren Sie die App-Einstellungen, wenn OAuth möglich ist, das Gerät aber weiterhin Basic verwendet.
    • Wechseln Sie zu Outlook im Web oder einer anderen mobilen Browser-App, die moderne Authentifizierung unterstützt.

    Beliebte Apps:

    • Apple iPhone/iPad/macOS: Alle aktuellen iOS/macOS-Geräte können moderne Authentifizierung verwenden. Entfernen Sie einfach das Konto, und fügen Sie es wieder hinzu.
    • Microsoft Windows 10 Mail-Client: Entfernen Sie das Konto, und fügen Sie es wieder hinzu, und wählen Sie Office 365 als Kontotyp aus.
  • Die native Mail-App von Apple unter iOS funktioniert derzeit nicht in Gallatin. Es wird empfohlen, Outlook Mobile zu verwenden.
  • Windows 10/11 Mail-App wird mit Gallatin nicht unterstützt
  • Befolgen Sie diesen Artikel, um EAS mit OAuth und Beispielcode zu konfigurieren.
    		•  Mobile Geräte, die eine native App verwenden, um eine Verbindung mit Exchange Online verwenden in der Regel dieses Protokoll.
    AutoErmittlung EWS- und EAS-Apps mit AutoErmittlung zum Suchen von Dienstendpunkten
    • Upgrade von Code/App auf eine OAuth-Unterstützung
    		 AutoErmittlung Webdienstverweis für Exchange

    Ressourcen

    Weitere Informationen finden Sie in den folgenden Artikeln:

    Sicherheitsstandards:

    Exchange Online-Authentifizierungsrichtlinien:

    Microsoft Entra bedingten Zugriff: