Abschaltung von Basic Authentication in Exchange Online
Microsoft wird, wie bereits im Jahr 2018 angekündigt, Basic Authentication für Exchange Online zum 13. Oktober 2020 für Exchange ActiveSync (EAS), Exchange Web Services (EWS), POP, IMAP und Remote PowerShell abschalten.
Basic Authentication wurde lange Jahre zur Verbindung mit Exchange Online genutzt. Dazu sendet die jeweilige Applikation bei der Anmeldung den Benutzernamen und das Passwort zum entsprechenden Endpunkt. Aufgrund dessen ist diese Form der Authentifizierung häufig anfällig für beispielsweise Brute-Force-Angriffe von Dritten.
Als zukünftige Authentifizierungsform wird Modern Authentication verwendet, die auf OAuth 2.0 Token und der Active Directory Authentication Library (ADAL) basiert. OAuth 2.0 Token haben eine begrenzte Gültigkeit, sind spezifisch für die Anwendungen, für die sie ausgestellt wurden und können nicht wiederverwendet werden.
Aktivierung Modern Authentication
Modern Authentication für Exchange Online ist für alle Office 365 Tenants, die nach dem 1. August 2017 erstellt wurden, standardmäßig aktiviert. Über das Office 365 Admin Center kann der Status von Modern Authentication eingesehen werden.
Öffnen Sie dazu das Office 365 Admin Center und gehen
Sie zu Settings -> Settings -> Modern authentication
Zusätzlich kann der Status über die Exchange Online PowerShell abgefragt werden. Gehen Sie dazu wie folgt vor:
1. Verbindung mit Exchange Online herstellen – https://docs.microsoft.com/de-de/powershell/exchange/exchange-online/connect-to-exchange-online-powershell/mfa-connect-to-exchange-online-powershell?view=exchange-ps
2. Führen Sie das folgende cmdlet ab:
Get-OrganizationConfig | select name, oauth*
Get-OrganizationConfig | select name, oauth*Entspricht der Wert für OAuth2ClientProfileEnabled dem Wert “True“, ist Modern Authentication für Exchange Online aktiviert.
3. Zur Aktivierung von Modern Authentication für Exchange Online führen Sie folgendes cmdlet ab:
Wichtig: Stellen Sie vor der Aktivierung von Modern Authentication sicher, dass Ihre Clients über einen aktuellen Patchstand verfügen.
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $trueClients
Outlook 2016 (und höher) für Windows, Outlook für Mac 2016 (und höher) und Outlook für iOS und Android nutzen bereits standardmäßig Modern Authentication.
Office 2013 unterstützt Modern Authentication mit einer Ergänzung der Registry. Die notwendigen Registry Keys werden nachfolgend beschrieben und können z. B. per Gruppenrichtlinie an ihre Clients verteilt werden.
| Reg key | Type | Wert |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL | DWORD | 1 |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version | DWORD | 1 |
Modern Authentication wird von Office 2010 nicht unterstützt. Alle Clients mit Office 2010 müssen auf eine neuere Version von Office umgestellt werden. Es empfiehlt sich hier der Umstieg auf Office 365 ProPlus.
Über die Credentials Prompts in den jeweiligen Applikationen lässt sich zudem identifizieren, ob ihre Clients bereits Modern Authentication nutzen.
Basic Authentication Reporting
Über das Azure Portal kann eine Auswertung aller Benutzer, die aktuell Basic Authentication verwenden, erstellt werden.
Wechseln Sie zu Azure Active Directory -> Sign-ins -> Add filters und wählen Sie dort Client app aus. Ändern Sie anschließend den Zeitraum (In der Abb. darunter (2)) auf die letzten 7 Tage, um mehr Anmeldeereignisse zu erhalten.
Wählen Sie anschließend folgende Client Apps aus: Auto Discover, Exchange ActiveSync, Exchange Online PowerShell, Exchange Web Services, IMAP4, MAPI Over HTTP, Offline Address Book, Other Clients, Outlook Anywhere (RPC over HTTP), Outlook Service, POP3 und Reporting Web Services.
Im Anschluss werden Ihnen alle Anmeldeereignisse angezeigt, die mit Basic Authentication für Exchange Online durchgeführt wurden.
Nächste Schritte
POP und IMAP
Microsoft beginnt aktuell damit, Modern Authentication für POP und IMAP in Exchange Online auszurollen. Anwendungen, die eines dieser Protokolle verwenden, sollten überprüft werden, ob sie bereits Modern Authentication unterstützen. Handelt es sich um Anwendungen, die kein Modern Authentication unterstützen, kann ab dem 13. Oktober 2020 keine Verbindung mehr mit Exchange Online hergestellt werden. Planen Sie rechtzeitig den Umzug auf Modern Authentication für POP und IMAP ein.
EWS
Applikationen, wie z.B. CTI-Lösungen, nutzen häufig die Exchange Web Services (EWS) zur Verbindung mit Exchange, um beispielsweise Kontakte aus dem Adressbuch abzurufen. Dieser Prozess wird in der Regel mit Basic Authentication abgehandelt. Wenden Sie sich an die jeweiligen Hersteller der Produkte und prüfen Sie, ob diese Modern Authentication unterstützen.
Clients
Clients mit Office 2010 und Exchange Online-Postfach müssen bis Oktober 2020 auf eine neuere Version aktualisiert werden. Office 2013, kann wie oben beschrieben, Modern Authentication mit einer Ergänzung der Konfiguration nutzen. Verfügen Sie bereits über eine Office 365 E3, Office 365 E5 oder Office 365 ProPlus Standalone-Lizenzierung für Ihre User, sind Sie berechtigt, Office 365 ProPlus zu installieren.
Exchange Active Sync
Die meisten nativen Mail-Applikationen (z. B. Mail App auf iOS) unterstützen bereits Modern Authentication. Es gibt jedoch einige Applikationen auf mobilen Geräten, die Modern Authentication nicht unterstützen. Es wird empfohlen das oben genannte Reporting zu verwenden, damit mobile Geräte mit Basic Authentication identifiziert werden können.
Microsoft empfiehlt die Umstellung auf Outlook for iOS oder Android, da im Gegensatz zu nativen Mail-Applikationen weit mehr Sicherheits- und Steuerungsmöglichkeiten existieren (Stichwort Intune MAM).
Remote PowerShell
Microsoft stellt für die Verbindung mit Exchange Online via PowerShell ein Modul bereit, das Modern Authentication unterstützt.
Dieses finden Sie hier: https://docs.microsoft.com/en-us/powershell/exchange/exchange-online/exchange-online-powershell-v2/exchange-online-powershell-v2?view=exchange-ps
Prüfen Sie Ihre vorhandenen Automatisierungsskripte für Exchange Online dahingehend, ob die Anmeldung bereits mit Modern Authentication durchgeführt wird.
Fazit
Mit der Abkündigung von Basic Authentication zum 13. Oktober 2020 verbessert Microsoft die Sicherheit bei der Anmeldung in Exchange Online und bietet so weniger Angriffsfläche für z. B. Brute-Force-Attacken. Mit dem Einsatz von Modern Authentication können Security Features wie Azure MFA und Azure AD Conditional Access organisationsweit zum Schutz vor Angriffen von Dritten in Exchange Online eingesetzt werden.
Sepy
sparkusdesign