Deaktivierung von Basic Authentication in Exchange Online
abtis GmbH / 16. September 2022
Im September 2021 hatte es Microsoft bereits angekündigt und nun ist es bald so weit: Basic Authentication in Exchange Online wird in den Office 365 Tenants abgeschaltet. Stichtag ist der 01. Oktober 2022. Wir klären Sie darüber auf, wie Sie jetzt handeln können.
Weshalb wird Basic Auth von Microsoft deaktiviert?
Basic Authenication ist mittlerweile veraltet und weist zunehmend Schwachstellen auf. Da die Anmeldeinformationen im Klartext an die Gegenstellen übermittelt werden, können auf diese Weise Angreifer Klartext-Anmeldeinformationen stehlen, indem sie Daten abfangen, die über ungesicherte Nicht-TLS-Verbindungen gesendet werden. Mit den gewonnenen Benutzerinformationen erhöht sich wiederum das Risiko, von unerlaubten Zugriffen auf andere Endpunkte und Dienste.
Da sich Microsoft dieser Schwachstellen und Risiken bewusst war, wurde parallel die Microsoft Modern Authentication entwickelt und eingeführt. Diese basiert zur Authentifizierung und Autorisierung auf OAuth 2.0. Somit ist Modern Authentication im Vergleich zur Basic Authentication eine sicherere Methode, um auf Daten zuzugreifen.
"Basic Auth ist immer noch eine, wenn nicht sogar die häufigste Art, wie unsere Kund:innen kompromittiert werden, und diese Arten von Angriffen nehmen zu!“
Schrittweise Abschaltung
Die Deaktivierung von Basic Auth erfolgt nicht sofort am 01. Oktober 2022 für alle Tenants, sondern schrittweise. Dies bedeutet, es ist nicht planbar, ab wann die Änderung in Ihrem Tenant aktiv wird. Die Änderung kann, wenn von Microsoft einmalig umgesetzt, nicht mehr rückgängig gemacht werden. Von dem Ende von Basic Authentication sind alle Protokolle betroffen außer SMTP AUTH.
Alle Anwendungen, die mittels Exchange Web Services (EWS), Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, MAPI, RPC, und OAB über Basic Authentification eine Verbindung zu Exchange Online herstellen, werden ab der Umstellung nicht mehr funktionieren.
Der mögliche Impakt für Benutzer:innen ist, dass Clients (Outlook, Mobile Clients, etc.), die noch über Basic Authentication angebunden sind, nicht mehr funktionieren werden und gegebenenfalls neu eingerichtet werden müssen.
Wann muss eine Umstellung erfolgen?
Bei Systemen wie ERP, CRM und Ticketsystemen, die via IMAP oder EWS angebunden sind und keine Modern Authentication nutzen, muss unbedingt eine Umstellung erfolgen. Sollte das System kein Modern Authentication unterstützen, müssen unter Umständen Updates der Systeme vom jeweiligen Hersteller eingespielt werden.
Falls Sie PowerShell Skripte zur Automatisierung von Aufgaben in Office 365 nutzen, prüfen Sie bitte, ob diese Modern Authentication nutzen, da diese sonst auch nicht mehr funktionieren.
Weitere Informationen dazu finden Sie unter hier.
Update vom 01. September 2022:
Es gibt jetzt eine Möglichkeit, die Abschaltung von Basic Authentication bis zum 01. Januar 2023 hinauszuzögern („opt-out“):
- wenn Kund:innen den opt-out nutzen möchten, müssen die Kund:innen aktiv werden
- alle bisherigen opt-out’s (vor dem 01. September 2022) werden von Microsoft ignoriert
- alle Kund:innen können ab sofort einen einmaligen opt-out bei Microsoft bis zum 01. Januar 2023 anfordern
- den opt-out können Kund:innen auch noch beantragen, wenn sie nach dem 01. Oktober 2022 bemerken, dass sie von der Abschaltung betroffen sind
Das alles ändert aber nichts an den Plänen von Microsoft – ab dem 01. Januar 2023 wird Basic Auth endgültig für alle Tenants abgeschaltet. Microsoft stellt zusätzlich eine Diagnose bereit, ob Basic Auth noch verwendet wird. Über diese Diagnose kann auch der opt-out vom Tenant-Administrator beantragt werden.
Melden Sie sich gerne bei unserem Team, wenn Sie Unterstützung brauchen.
Jetzt Kontakt aufnehmen