Aus für Basic Auth in Exchange Online ab Oktober, zusätzliche Frist einmal möglich

    , 02.09.2022
    Tags: , ,

    Exchange LogoBereits seit 2019 kündigt Microsoft an, Basic Authentication ("Standard­­authenti­­fizierung") für Exchange Online ab Oktober 2022 zu deak­tivieren und durch ein sicheres Verfahren zu ersetzen. Dennoch haben offenbar zahlreiche Kunden ihre Accounts noch nicht umge­stellt. Jetzt gibt es eine einmalige Frist­verlängerung.

    Basic Authentication, kurz Basic Auth, überträgt bei jedem Seitenabruf den Benutzernamen und das Passwort über HTTP(S) und ist somit anfällig für Angriffe. Die Zahl solcher Fälle nahm laut Microsoft in den vergangenen Monaten stark zu. Modern Authentication verwendet dagegen das als sicher geltende, offene Protokoll OAuth 2.0.

    Betroffen von der Abschaltung von Basic Auth sind die Protokolle MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP und Remote PowerShell. SMTP Auth wird Microsoft nur dann deaktivieren, wenn der Kunde es nicht benutzt.

    Bereits in den vergangenen Monaten hatte Microsoft bei allen Anwendern, die Basic Auth nicht nutzen, dieses Verfahren deaktiviert. Es gibt jedoch mehrere Mail-Programme und Apps, welche nach wie vor die unsichere Anmeldung verwenden.

    Seit Mai dieses Jahres wies Microsoft mehrfach darauf hin, dass Basic Auth zum 1. Oktober 2022 abgeschaltet werde. Doch viele Kunden waren bisher nicht in der Lage, die Umstellung zu meistern.

    Fahrplan für die Abschaltung von Basic Authentication

    Die obige Timeline erklärt, wie die Deaktivierung von Basic Auth bis Anfang 2023 vonstatten geht und wie Anwender die Frist bis dahin verlängern können.

    Eine letzte Frist bis Anfang 2023

    Nun hat der Konzern für diese Kunden eine letzte Frist definiert. Zwar wird Basic Auth tatsächlich zum 1. Oktober abgeschaltet, die Anwender haben jedoch die Möglichkeit, die alte Authentisierung über die Selbstdiagnose ein letztes Mal zu reaktivieren.

    In der ersten Kalenderwoche 2023 wird Microsoft das Basic-Auth-Verfahren dann endgültig abschalten.

    Ab Oktober gibt es die Möglichkeit, Basic Auth für einzelne Protokolle noch einmal zu reaktivieren.

    Laut der Ankündigung dauert es rund eine Stunde, bis die Änderung nach der Ausführung des Diagnose-Tools wirksam wird. Zudem muss der Vorgang für jedes Protokoll, das Basic Auth benutzt, einzeln durchgeführt werden.

    Anwender, die mehr Zeit für die Umstellung benötigen, können bereits jetzt im September ein Opt-Out ausführen und die Protokolle benennen, die sie noch bis Ende des Jahres mit Basic Auth ausführen möchten. Damit verhindern sie die Abschaltung Anfang Oktober.

    Bereits im September können Admins die Deaktivierung von Basic Auth bis Ende des Jahres zu verschieben.

    Anleitungen auf der Website

    Auf der Website von Microsoft finden Administratoren eine deutschsprachige Anleitung, wie sie Basic Auth selbst abschalten können.

    Außerdem hat das Exchange-Team zusammen mit der neuen Ankündigung eine weitere Anleitung veröffentlicht, wie IT-Verantwortliche Basic Auth für einzelne Protokolle noch einmal bis Ende des Jahres reaktivieren können.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Freist

    Roland Freist arbeitete mehrere Jahre als Redakteur bei IT-Fachverlagen. Seit 1999 ist er selbstständig und schreibt Artikel zu Windows, Anwendungen, Netzwerken, Security, Internet, Storage und Cloud.
    // Kontakt: E-Mail, Xing //

    Verwandte Beiträge

    Weitere Links