Abschaltung der Microsoft 365 Legacy Authentication zum 1.10.2022
16. August 2022
Was passiert genau ab dem 1. Oktober 2022?
Microsoft hat bereits 2020 von der Abschaltung der Legacy Authentication gesprochen und zuletzt am 23.9.2021 das Datum der finalen Abschaltung bekannt gegeben.
„Ab dem 1. Oktober 2022 wird die Standardauthentifizierung für Exchange Online in allen Microsoft 365-Mandanten unabhängig von der Nutzung dauerhaft deaktiviert, mit Ausnahme der SMTP-Authentifizierung“ (Microsoft)
Warum wird die Legacy Authentication abgeschaltet?
Die Standardauthentifizierung erleichtert es Angreifern an Benutzeranmeldedaten zu kommen. Gleichzeitig ist die mehrstufige Authentifizierung (MFA) nicht in allen Fällen möglich, wenn die Standardauthentifizierung aktiviert bleibt.
Eine Analyse des Azure AD-Datenverkehrs zeigt, dass Organisationen, welche die Legacyauthentifizierung deaktiviert haben, 67% weniger Kennwort-Spray-Angriffe feststellen.
Welche Auswirkungen kann die Abschaltung haben?
Die Abschaltung der Legacy Authentication kann verschiedene Exchange Online Zugriffe betreffen, je nach Alter und Konfiguration der Umgebung sowie der verwendeten Clients. Betroffen sind z.B. alte Outlook-Versionen (bis 2010 sowie 2013 ohne Patch), mobile Endgeräte deren Mailprofile noch nicht mit im Tenant aktivierter Modern Authentication neu eingerichtet wurden sowie Third-Party-Software, die mit Benutzername und Kennwort auf Exchange Online zugreift.
Es können hier z.B. Anwendungen wie Backup-, Archivierungs- oder Signatursoftware betroffen sein. Bekannt ist z.B., dass Veeam Backup for Office 365 für den vollen Funktionsumfang der Datensicherung die Legacy Authentication benötigt und daher häufig so eingerichtet ist (siehe https://www.veeam.com/kb3146). Auch alte Implementierungen von Barracuda Essentials oder Cloud Backup arbeiten vermutlich noch mit Legacy Authentication.
Nach dem 1.10.2022 ist diese Form des Zugriffs jedoch nicht mehr möglich und Anwendungen/Clients müssen auf Modern Authentication umgestellt werden. Dies kann auf mobilen Endgeräten in der Regel durch einen Wechsel des Clients (z.B. Outlook App) oder eine Neukonfiguration des E-Mail-Profils erreicht werden. Bei Third-Party-Software ist individuell zu klären, wie die Anwendung auf Modern Authentication umgestellt werden kann.
Legacy vs. Modern Authentication
Als Legacy oder auch Basic Authentication (dt. Standardauthentifizierung) wird eine veraltete Authentifizierungsmethode genannt, mit der sich Clients an Microsoft 365 Diensten wie Exchange Online anmelden können. Bei dieser Form der Authentifizierung werden bei jeder Anmeldung Benutzername und Kennwort übermittelt.
Die Modern Authentication (dt. moderne Authentifizierung) hingegen verwendet neuartige Methoden und Standards zur Authentifizierung, wie die Active Directory Authentication Library (ADAL) und OAuth 2.0. Nur die moderne Authentifizierung ermöglicht die Nutzung und Erzwingung von modernen Sicherheitsfunktionen wie z.B. Conditional Access oder die Multi-Faktor Authentifizierung, zur Absicherung der Identitäten.
Wie kann ich prüfen, ob ich betroffen bin?
Microsoft hat in den letzten Monaten bereits angefangen Exchange-Dienste in Tenants, bei denen Legacy Authentication nicht aktiv genutzt wurde, zu deaktivieren (entsprechende Meldungen können im Nachrichtencenter eingesehen werden).
Aktiv mit Legacy Authentication genutzte Exchange-Dienste können mittels einer der folgenden Methoden identifiziert werden:
1. Prüfung der Anmeldemaske in Outlook
2. Prüfung des Verbindungsstatus in Outlook
3. Nachrichten im Nachrichtencenter – diese geben monatlich Informationen darüber, ob es Clients mit Legacy Authentication gibt und wenn ja, wie viele. Alternativ gibt es hier Meldungen, dass Microsoft die Legacy Authentication für die verschiedenen Exchange-Dienste bereits deaktiviert hat.
4. Über die Azure AD Anmeldeprotokolle
Haben Sie Clients/Zugriffe mit Legacy Authentication identifiziert, sollten Sie frühzeitig beginnen diese auf Modern Authentication umzustellen, damit Sie am 1. Oktober keine bösen Überraschungen erleben.
Für iOS Geräte soll das iOS-Update 15.6 eine spezielle Funktion beinhalten, welche Legacy Authentication-Mailprofile ohne Neuanlage des Profils in ein Modern Authentication-Profil „umwandeln“ soll, siehe https://techcommunity.microsoft.com/t5/exchange-team-blog/microsoft-and-apple-working-together-to-improve-exchange-online/ba-p/3513846.
Im Bedarfsfall und um gegebenenfalls ein weiteres Vorgehen zu besprechen, wenden Sie sich bitte an unseren Servicedesk unter:
E-Mail: info-servicedesk@fks.de
Telefon: +49 40 63705-333
Herzliche Grüße
Patrick Böhm
Teamleiter Microsoft
Informations-Technologie
Friedrich Karl Schroeder GmbH & Co. KG
Quellen:
https://docs.microsoft.com/de-de/azure/active-directory/conditional-access/block-legacy-authentication
https://docs.microsoft.com/de-de/exchange/clients-and-mobile-in-exchange-online/deprecation-of-basic-authentication-exchange-online
https://docs.microsoft.com/de-de/exchange/clients-and-mobile-in-exchange-online/deprecation-of-basic-authentication-exchange-online#authentication-dialog
https://docs.microsoft.com/de-de/azure/active-directory/conditional-access/block-legacy-authentication#indicators-from-azure-ad