So deaktivieren Sie die Legacy-Authentifizierung in Microsoft 365

Die Basisauthentifizierung ist eine ältere Anmeldemethode, die häufig in Protokollen wie POP, IMAP und SMTP AUTH verwendet wird. Es überträgt vor allem Benutzernamen und Kennwörter im Klartext an Anwendungen.

Diese alte Authentifizierungsmethode ist zwar seit Jahren der Industriestandard, gilt aber nach heutigen Maßstäben als unsicher.

Laut Microsofts Analyse kann Basic Authentication das Risiko von Brute-Force- und Passwort-Spray-Angriffen auf ein System erheblich erhöhen. Vor allem aber wird die Durchsetzung fortschrittlicher Sicherheitsprotokolle wie die Multifaktor-Authentifizierung (MFA ) erschwert oder sogar unmöglich gemacht.

Microsoft empfiehlt jedoch, ältere Authentifizierungsprotokolle vollständig zu blockieren.

In diesem Leitfaden werden wir die verschiedenen Methoden untersuchen, die Sie verwenden können, um die Legacy-Authentifizierung in Microsoft Office 365 zu deaktivieren.

Ein umfassender Leitfaden zur Deaktivierung älterer Authentifizierungsprotokolle in Office 365

📌 Voraussetzungen:

• Microsoft 365 Setup: Sie müssen innerhalb eines Microsoft 365 Tenants mit Exchange Online arbeiten.
• Admin-Rechte: Sie müssen über globale Administrator-, Sicherheitsadministrator- oder Administratorrechte mit bedingtem Zugriff verfügen.
• Lizenzierung für Conditional Access: Während Sie Conditional Access mit einer Basislizenzierung konfigurieren können, wird empfohlen, dass Sie über Microsoft Entra (ehemals Azure AD) P1 oder P2 , um erweiterte Sicherheitsfunktionen freizuschalten.
• Client-Kompatibilität: Ihre Clients oder Benutzer müssen OAuth 2.0 unterstützen, d. h. sie müssen Outlook 2016 oder Microsoft 365 Apps für Unternehmen verwenden.

📌 Empfohlene Einsatzstrategien:

💡Hinweis: Ab Januar 2023 hat Microsoft die Basisauthentifizierung in Exchange Online für mehrere Protokolledeaktiviert, darunter Outlook, Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Office Address Book (OAB) und Autodiscover.

Methode 1: Verwendung von Microsoft 365 Admin Center (GUI)

Anwendungsfall: Diese Methode wirkt sich auf alle Benutzer im Mandanten aus und kann so konfiguriert werden, dass sie die Einstellungen pro Benutzer außer Kraft setzt.

1. Melden Sie sich beim Microsoft 365 Admin Center an.
2. Navigieren Sie zu Einstellungen > Org-Einstellungen > Moderne Authentifizierung.
3. Deaktivieren Sie die folgenden Kontrollkästchen, um ältere Authentifizierungsprotokolle zu deaktivieren, z. B:
   1. IMAP
   2. POP
   3. SMTP-AUTH
   4. MAPI
   5. Exchange Web Services (EWS)
   6. Exchange ActiveSync
4. Klicken Sie auf Speichern , um die Änderungen zu übernehmen.

Methode 2: Verwendung von Microsoft Entra Conditional Access

📌 Anwendungsfall: Diese Methode ist ideal für Unternehmen mit Microsoft Entra P1/P2 Lizenzen. Damit können Sie die alte Authentifizierung blockieren und gleichzeitig die Funktion moderner Authentifizierungsanwendungen ermöglichen.

1. Gehen Sie zu Entra Admin Center (früher Azure AD).
2. Navigieren Sie zu Sicherheit > Conditional Access.
3. Klicken Sie auf +Neue Richtlinie.
4. Weisen Sie dem Ziel Benutzer/Gruppen zu.
5. Wählen Sie unter Cloud-Apps, Alle Cloud-Apps.
6. Fügen Sieunter Bedingungen > Client Apps andere Clients (Legacy-Protokolle) hinzu.
7. Wählen Sie unter Zugriffskontrollen > Gewährung Zugriff sperren.
8. Aktivieren Sie die Richtlinie und klicken Sie auf Erstellen.

Methode 3: PowerShell verwenden (pro Benutzer und auf Mieterebene)

📌 Anwendungsfall: Mit diesem Ansatz können Sie ältere Authentifizierungsprotokolle sowohl auf Benutzer- als auch auf Unternehmensebene verwalten. Es eignet sich am besten für die Skripterstellung von Massenkonfigurationen, die Überprüfung der Verwendung von Legacy-Authentifizierungen und die Anpassung von Postfacheinstellungen.

A. Verbinden mit Exchange Online PowerShell

Connect-ExchangeOnline -UserPrincipalName [email protected]

B. Deaktivieren der Legacy-Authentifizierung für einzelne Protokolle

Set-CASMailbox [email protected] -PopEnabled $false -ImapEnabled
$false -MAPIEnabled $false -ActiveSyncEnabled $false -SmtpClientAuthenticationDisabled $true

C. Legacy-Protokolle global blockieren (Einstellungen auf Dienstebene)

Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

D. Benutzer prüfen, die noch die alte Autorisierung verwenden

Get-SignInLogs | where {$_.ClientAppUsed -in
@(„POP“, „IMAP“, „SMTP“, „MAPI“, „EWS“)}

💡 Hinweis: Anmeldungsprotokolle erfordern Microsoft Entra P1 oder P2 Lizenzierung.

Methode 4: Registrierungseditor verwenden (Basic Auth in Office 365 deaktivieren)

Anwendungsfall: Diese Methode eignet sich am besten für die Sperrung der Legacy-Authentifizierung auf einem einzelnen Gerät.

A. Um eine moderne Authentifizierung auf der Client-Seite (z.B. Outlook) zu erzwingen:

1. Drücken Sie Win + R, geben Sie regedit ein, und drücken Sie Enter.
2. Navigieren Sie zu: HKEY_CURRENT_USER\Software\Microsoft\Exchange
3. Erstellen oder aktualisieren: AlwaysUseMSOAuthForAutoDiscover (DWORD): 1
4. Siehe auch:
   HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Gemeinsame\Identität
   1. EnableADAL (DWORD): 1
   2. Version (DWORD): 1
5. Starten Sie Outlook neu, damit die Änderungen übernommen werden.

Diese Einstellungen zwingen den Client zur Verwendung der modernen Authentifizierung und verhindern den Rückgriff auf die einfache Authentifizierung.

⚠️ Warnung: Eine Fehlkonfiguration der Registrierung kann zur Instabilität des Systems führen. Gehen Sie mit Vorsicht vor und erstellen Sie eine Sicherungskopie der Registrierung, bevor Sie Änderungen vornehmen.

Methode 5: Verwendung der Eingabeaufforderung (Statusprüfung und Fehlerbehebung)

📌 Anwendungsfall: Mit diesen Befehlen können Sie das Legacy-Auth-Verhalten überprüfen und die Protokollzugänglichkeit bei der Fehlerbehebung kontrollieren. Es ist auch nützlich, um zu überprüfen, ob die alten Ports noch funktionieren.

A. Überprüfen Sie den Outlook-Authentifizierungstyp (über die Aufgabenliste)

tasklist /m | findstr auth

B. Auslösen der Office-Reparatur (kann den Wechsel zur registry-basierten Autorisierung erzwingen):

kontrolle appwiz.cpl

C. Überprüfen Sie den Protokollzugriff auf Netzwerkebene:

telnet outlook.office365.com 143

telnet smtp.office365.com 587

hinweis: Die Eingabeaufforderung selbst kann die Authentifizierungsprotokolle nicht deaktivieren, aber Sie können ihren Status damit überprüfen.

Methode 6: Verwendung von Gruppenrichtlinien (Client-seitige Durchsetzung)

Anwendungsfall: Diese Methode blockiert die grundlegende Authentifizierung und erzwingt die moderne Authentifizierung in allen Office 365-Clients. Sie wird für Unternehmen empfohlen, die Active Directory verwenden und eine konsistente clientseitige Durchsetzung von Richtlinien benötigen.

1. Öffnen Sie Gruppenrichtlinien-Verwaltungskonsole (GPMC).
2. Navigieren Sie zu: Benutzerkonfiguration > Verwaltungsvorlagen > Microsoft Outlook 2016 > Kontoeinstellungen > Exchange.
3. Aktivieren Sie die folgenden Einstellungen:
   1. Aktivieren Sie die moderne Authentifizierung.
   2. Basisauthentifizierung nicht zulassen.
   3. Deaktivieren Sie den Exchange-Cachemodus-Fallback zur Basisauthentifizierung.
4. Verteilen Sie GPOs mit Active Directory oder NinjaOne’s Automation Engine.
5. Aktualisierung der Richtlinie erzwingen: gpupdate /force

Zusätzliche Überlegungen bei der Deaktivierung der Legacy-Authentifizierung in Microsoft 365

Hier sind noch ein paar Dinge, die Sie bei der Deaktivierung der Legacy-Authentifizierung in Office 365 beachten müssen:

• App-Passwörter: Wenn die Multi-Faktor-Authentifizierung (MFA) aktiviert ist, können ältere Clients weiterhin App-Passwörter verwenden. Diese Anmeldemethode ist jedoch ebenfalls veraltet und sollte deaktiviert werden.
• SMTP AUTH-Ausnahmen: Sie können PowerShell verwenden, um SMTP AUTH für bestimmte Dienstkonten zuzulassen.
• Benutzerkommunikation: Bevor Sie ältere Authentifizierungsprotokolle deaktivieren, sollten Sie die Benutzer im Voraus informieren, um eine Unterbrechung des E-Mail-Verkehrs zu vermeiden.

⚠️ Wichtige Hinweise

Beachten Sie diese Fallstricke, wenn Sie unseren Leitfaden verwenden:

Tipps zur Fehlerbehebung bei der Deaktivierung der Legacy-Authentifizierung

• Benutzer, die eine Verbindung über das Legacy-Protokoll herstellen: Wenn ein Benutzer immer noch eine Verbindung über das Legacy-Protokoll herstellt, überprüfen Sie die Exchange Online-Anmeldeprotokolle, um festzustellen, welcher Benutzer noch veraltete Authentifizierungsmethoden verwendet.
• Outlook fordert wiederholt zur Eingabe des Kennworts auf: Bestätigen Sie, ob die Registrierungs- und GPO-Einstellungen OAuth erzwingen.
• SMTP AUTH schlägt bei automatischen Absendern fehl: Fügen Sie nur Ausnahmen hinzu, wenn dies unbedingt erforderlich ist.
• Verzögerungen bei der Vollstreckung: Es kann bis zu 24 Stunden dauern, bis einige Microsoft 365-Einstellungen wirksam werden.

Warum sollten Sie die Legacy-Authentifizierung blockieren?

Die Basisauthentifizierung ist zwar einfach zu implementieren, hat aber mehrere Sicherheitseinschränkungen, die sie zu einem leichten Ziel für raffinierte Hacker machen.

So unterstützt es beispielsweise keine modernen Sicherheitsfunktionen wie die Multi-Faktor-Authentifizierung (MFA), die eine der wirksamsten Sicherheitsmaßnahmen zur Verhinderung unbefugten Zugriffs darstellt.

Außerdem werden die Anmeldedaten nicht verschlüsselt übertragen, d. h. sie können leicht abgefangen und gelesen werden, wenn sie nicht über HTTPS gesendet werden.

Noch wichtiger ist, dass es nicht über die erforderlichen Funktionen verfügt, um die Grade der Zugriffsberechtigung auf Anwendungen einzuschränken. Ein einziger Satz von Anmeldeinformationen kann mehrere Datenzugriffspunkte öffnen.

Ohne zusätzliche Sicherheitsvorkehrungen benötigen Angreifer nur einen gültigen Benutzernamen und ein Passwort, um wichtige Daten und Informationen zu stehlen.

NinjaOne-Dienste zur Stärkung der Authentifizierungskontrollen

NinjaOne bietet MSPs und Systemadministratoren Werkzeuge, um die Durchsetzung von Richtlinien zu vereinfachen und die Authentifizierungskontrolle in verteilten Umgebungen zu stärken.

Die Verwendung von NinjaOne mit Microsoft 365 bietet Ihnen einen vollständig automatisierten, skalierbaren und konformen Ansatz zur Deaktivierung von Legacy-Authentifizierung bei gleichzeitiger Aufrechterhaltung der Produktivität.

Minderung kritischer Risiken durch Deaktivierung veralteter Legacy-Authentifizierungsprotokolle in Microsoft 365

In der risikoreichen digitalen Landschaft von heute ist die Deaktivierung älterer Authentifizierungsprotokolle keine Option mehr, sondern ein Muss. Dies ist ein wichtiger Schritt zur Stärkung der Sicherheitslage Ihres Unternehmens.

Da sich Cyber-Bedrohungen ständig weiterentwickeln, wird die Nachfrage nach sicheren und zukunftsfähigen Authentifizierungsstrategien weiter steigen.

Die Deaktivierung von Legacy-Protokollen wie Basic Authentication in Microsoft 365 ist der erste Schritt zur Einführung stärkerer, modernerer Authentifizierungsmethoden. Sie bildet die Grundlage für den Aufbau solider Cybersicherheitsstrategien.

Verwandte Themen:

• Was ist moderne Authentifizierung?
• Was ist Credential Management? Definition & Bewährte Praktiken
• So stellen Sie sicher, dass die moderne Authentifizierung in Office 365 mit PowerShell aktiviert ist
• Einrichten der Multi-Faktor-Authentifizierung (MFA) in Office 365
• Wie man Microsoft 365 Exchange Online sichert