Tags: Exchange, Microsoft 365, Authentifizierung
Bereits seit 2019 kündigt Microsoft an, Basic Authentication ("Standardauthentifizierung") für Exchange Online ab Oktober 2022 zu deaktivieren und durch ein sicheres Verfahren zu ersetzen. Dennoch haben offenbar zahlreiche Kunden ihre Accounts noch nicht umgestellt. Jetzt gibt es eine einmalige Fristverlängerung.
Basic Authentication, kurz Basic Auth, überträgt bei jedem Seitenabruf den Benutzernamen und das Passwort über HTTP(S) und ist somit anfällig für Angriffe. Die Zahl solcher Fälle nahm laut Microsoft in den vergangenen Monaten stark zu. Modern Authentication verwendet dagegen das als sicher geltende, offene Protokoll OAuth 2.0.
Betroffen von der Abschaltung von Basic Auth sind die Protokolle MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP und Remote PowerShell. SMTP Auth wird Microsoft nur dann deaktivieren, wenn der Kunde es nicht benutzt.
Bereits in den vergangenen Monaten hatte Microsoft bei allen Anwendern, die Basic Auth nicht nutzen, dieses Verfahren deaktiviert. Es gibt jedoch mehrere Mail-Programme und Apps, welche nach wie vor die unsichere Anmeldung verwenden.
Seit Mai dieses Jahres wies Microsoft mehrfach darauf hin, dass Basic Auth zum 1. Oktober 2022 abgeschaltet werde. Doch viele Kunden waren bisher nicht in der Lage, die Umstellung zu meistern.
Die obige Timeline erklärt, wie die Deaktivierung von Basic Auth bis Anfang 2023 vonstatten geht und wie Anwender die Frist bis dahin verlängern können.
Eine letzte Frist bis Anfang 2023
Nun hat der Konzern für diese Kunden eine letzte Frist definiert. Zwar wird Basic Auth tatsächlich zum 1. Oktober abgeschaltet, die Anwender haben jedoch die Möglichkeit, die alte Authentisierung über die Selbstdiagnose ein letztes Mal zu reaktivieren.
In der ersten Kalenderwoche 2023 wird Microsoft das Basic-Auth-Verfahren dann endgültig abschalten.
Laut der Ankündigung dauert es rund eine Stunde, bis die Änderung nach der Ausführung des Diagnose-Tools wirksam wird. Zudem muss der Vorgang für jedes Protokoll, das Basic Auth benutzt, einzeln durchgeführt werden.
Anwender, die mehr Zeit für die Umstellung benötigen, können bereits jetzt im September ein Opt-Out ausführen und die Protokolle benennen, die sie noch bis Ende des Jahres mit Basic Auth ausführen möchten. Damit verhindern sie die Abschaltung Anfang Oktober.
Anleitungen auf der Website
Auf der Website von Microsoft finden Administratoren eine deutschsprachige Anleitung, wie sie Basic Auth selbst abschalten können.
Außerdem hat das Exchange-Team zusammen mit der neuen Ankündigung eine weitere Anleitung veröffentlicht, wie IT-Verantwortliche Basic Auth für einzelne Protokolle noch einmal bis Ende des Jahres reaktivieren können.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Exchange 2019 CU13 erst in H1 2023, Aus für Basic Auth for Autodiscover
- Outlook: Ordner-Reihenfolge in einer Shared Mailbox ändert sich willkürlich
- Plus-Adressen in Exchange Online nutzen
- Signaturen für E-Mails in Exchange Online zentral erstellen und pflegen
- Adressbücher in Exchange Online anlegen und pflegen
Weitere Links