colinardo
Goto Top

Exchange Online - Standardauthentifizierung wird ab 1. Oktober permanent deaktiviert

article-picture
Servus @all.

Alle Admins die noch die Standard-Authentifizierung in Exchange Online (M365) aktiv nutzen, sollten dies schleunigst ändern da sie Ende des Jahres permanent deaktiviert wird. Die Deaktivierung wird schubweise ab 1. Oktober 2022 in den Tenants vorgenommen. Ab diesem Datum sollte man also jeder Zeit mit der endgültigen Abschaltung rechnen.
Ausnahmen für Tenants wird es diesmal keine geben.

Zitat:
We’re turning off Basic Auth for the following protocols: MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS), and Remote PowerShell.

We are not turning off SMTP AUTH. We have turned off SMTP AUTH for millions of tenants not using it, but if SMTP AUTH is enabled in your tenant, it’s because we see usage and so we won’t touch it. We do recommend you disable it at the tenant level and re-enable it only for those user accounts that still need it.


Details siehe
Basic Authentication Deprecation in Exchange Online – May 2022 Update

Deaktivieren der Standardauthentifizierung in Exchange Online

Gruß @colinardo

Content-ID: 2704082410

Url: https://administrator.de/contentid/2704082410

Ausgedruckt am: 18.12.2024 um 09:12 Uhr

Visucius
Visucius 06.05.2022 aktualisiert um 14:08:32 Uhr
Goto Top
Hallo Colinardo,

jo, endlich mal ne Deadline um dieses leidige Thema anzupacken. Yubikey ist schon auf der Einkaufsliste. Was mich bisher immer etwas abschreckte waren die Prozesse in ganz kleinen Setups mit 1-5 Personen.

Bisher habe ich da (als externer ITler) die PW vergeben, an den dortigen Kunden/MA herausgegeben und dann läuft das so lange, bis er/sie/es das Gerät wechselt oder MS das aus anderen Gründen nochmal rückprüfen möchte. Das klappte bisher recht stabil, Kunden haben ja ihre PW, anderweitig übermittle ich die halt nochmal.

Dass das in größeren Setups durchaus anders läuft ist mir dabei klar face-wink

Wie würde das denn jetzt laufen?! Wie ich verstanden habe, sind Yubikey und ähnliches, ne Smartphone-App oder sms prinzipiell einsetzbar. Muss ich dann die Authenticator-App beim Kunden (private Mobiles?) verifizieren oder die Mobilfunknummer des Kunden-MAs im MS-Konto hinterlegen?! Oder kann ich da auch unter jedem Account MEINE, bzw. die Administrator-Mobilnummer hinterlegen?! Oder geht das mit sms eh nur "zusätzlich" zu Name/PW (2-Faktor?!)?!

Oder bereite ich alles im Büro vor und versende nur noch Yubikeys. Die Dinger kosten ja richtig Geld?! Und was passiert, wenn da einer verloren geht?!

Wie ist denn da so ein potenzieller "BestPracticeWay"?
colinardo
colinardo 06.05.2022 aktualisiert um 14:23:37 Uhr
Goto Top
Zitat von @Visucius:
Wie würde das denn jetzt laufen?! Wie ich verstanden habe, sind Yubikey und Konsorten, ne Smartphone-App oder sms prinzipiell einsetzbar. Muss ich dann die Authenticator-App beim Kunden (private Mobiles?) verifizieren oder die Mobilfunknummer des Kunden-MAs im MS-Konto hinterlegen?! Oder kann ich da auch unter jedem Account MEINE, bzw. die Administrator-Mobilnummer hinterlegen?! Oder geht das mit sms eh nur "zusätzlich" zu Name/PW (2-Faktor?!)?!
Oder bereite ich alles im Büro vor und versende nur noch Yubikeys (von den Kosten mal abgesehen).

Wie ist denn da so ein potenzieller "BestPracticeWay"?

Du kannst YubiKey, SmartCard&Co. vorher schon betanken, ja. Oder alternativ auch eine Authenticator App per MDM pushen und die Leute per QR-Code scannen lassen, oder das ganze Skripten, die Möglichkeiten sind vielfältig. SMS auf das Handy des Admins ist wohl eher eine blöde Idee, denn der User will sich ja einloggen nicht der Admin. Kommt halt auf den Mandaten, dessen Anforderungen etc. an.

Das ganze hört sich schlimmer an als es ist. i.d. Loggt man sich an den vertrauenswürdigen Geräten mit MFA einmal ein und es wird dann bspw. über Modern Auth in Outlook ein Token generiert den Outlook dann für weitere Logins verwendet und regelmäßig ein Refresh-Token anfordert. Es wird dann eben kein Kennwort auf dem Gerät gespeichert sondern ein eindeutiges Token für diese Gerät und App-Kombination für dieses Konto. Das verhindert das jemand anderes das Token auf einem anderen Device missbrauchen oder das Kennwort lokal im Klartext auslesen kann.
Das ganze soll einfach verhindern das sich jemand unbemerkt nur mit Credentials irgendwo anders in deinen Account einloggt.
leon123
leon123 06.05.2022 um 14:39:45 Uhr
Goto Top
Danke für die Info, müssen OnPrem user auch was beachten?
colinardo
colinardo 06.05.2022 aktualisiert um 15:02:05 Uhr
Goto Top
Zitat von @leon123:

Danke für die Info, müssen OnPrem user auch was beachten?
Du meinst bei reinen OnPremise Exchange-Servern ohne Hybrid&Co? Nein, die betrifft das nicht, da kannst du weiterhin das Verfahren nutzen das Ihr wollt.
NixVerstehen
NixVerstehen 06.05.2022 um 15:25:20 Uhr
Goto Top
Hi,

ich hab die ModernAuth seit längerer Zeit bei den AdminAccounts unseres M365-Tenants im Einsatz. Habe mich für die MS-Authenticator-App entschieden. Funktioniert tadellos. Ist simpel einzurichten. Nach Eingabe der Zugangsdaten poppt eine Meldung auf dem Smartphone (und sogar der Apple-Wach) auf. Drauf tippen, kurz in die Smartphone-Kamera (FaceID) schauen und man ist eingeloggt.

Gruß NV
Xaero1982
Xaero1982 09.05.2022 um 09:38:12 Uhr
Goto Top
Moin Zusammen,

so ganz hab ich noch nicht verstanden was das bedeutet.
Heißt das generell können sich Nutzer nicht mehr über die Kombination aus Emailadresse und Kennwort anmelden?

Wenn ich die Zweifaktorauthentifizierung via SMS oder App aktiv habe bin ich dann aus dem Schneider?

Hat das was mit dem Schalter in Office 365 zu tun?
https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMen ...
Sicherheitsstandards aktivieren? Wird das aktiviert?

Wenn ich in Outlook bei einem Konto schaue bei dem die 2FA aktiv ist steht in der Verbindungsübersicht (Strg + Klick auf das Outlooksymbol) bei diesem Konto: Authn: Träger*
Bei einem anderen steht: Nego*
Und bei wieder anderen steht: Klartext*

Kann nochmal jemand beschreiben was am 01.10.2022 passiert, wenn man nicht vorher handelt? Was kommt dann auf die Nutzer zu?

Danke und Grüße
colinardo
colinardo 09.05.2022, aktualisiert am 10.05.2022 um 08:37:21 Uhr
Goto Top
Servus @Xaero1982
Zitat von @Xaero1982:
so ganz hab ich noch nicht verstanden was das bedeutet.
Heißt das generell können sich Nutzer nicht mehr über die Kombination aus Emailadresse und Kennwort anmelden?
Doch.
Wenn ich die Zweifaktorauthentifizierung via SMS oder App aktiv habe bin ich dann aus dem Schneider?

Also die "Standardauthentifizierung" ist ein Protokoll und das hat erst mal nur bedingt etwas mit der Multi Faktor Authentifizierung von M365 zu tun, für Exchange Online Anmeldungen wird MFA zur Pflicht wenn man es für seine User explizit aktiviert entweder über die Security Standards Policy, denn die schreibt MFA per Default vor, oder wenn man die "Security Standards Policy" deaktiviert lässt sie sich für einzelne User aktivieren oder deaktivieren. Es wird aber erst mal nur rein das Protokoll deaktiviert, MFA wird separat konfiguriert. Was bedeutet das nun? Nun, jegliche Software die kein ModernAuthentcation(OAuth) unterstützt um sich an einem Microsoft Online Konto anzumelden wird nicht mehr in Kombination mit M365 funktionieren. Outlook in den aktuellen Varianten haben das schon lange eingebaut, ein Office 2010 aber bspw. kann das nicht, denn es supported kein Modern Auth über OAuth!
Standardauthentifizierung übermittelt die Credentials generell immer im Klartext, das heißt aber nicht das diese jeder lesen könnte, da der Kanal in der Regel immer durch einen Https-Tunnel gekapselt ist! Das Problem hierbei ist das sich ein Angreifer in diese Kommunikation einklinken kann und dort die im Klartext lesbaren Credentials auslesen kann. Das will MS verhindern! Auch das diese Credentials von anderen Standorten aus genutzt werden können.
Wie funktioniert das nun mit OAuth? Nun, wenn sich ein User als bspw. mit Outlook mit seinem Account einloggen möchte, poppt der bekannte Web-Login-Dialog auf welcher schon als Teil von OAuth zu sehen ist. Im Hintergrund enthält dieser aufgerufene Weblink bereits ein Anwendungsspezifisches Token der für Outlook eindeutig ist. Der User loggt sich nun mit seinen Credentials ein und berechtigt die Anwendung (Outook) auf sein Konto zuzugreifen. Darauf hin sendet M365 ein Token (langer zufällig generierter String) an den Client welches dieser nun in seinem Keyring (Anmeldeinformationsverwaltung) ablegt. Dieses Token nutzt der Client von nun an für das Anmelden seines Kontos an Outlook. Diese Token hat auch nur eine gewisse Gültigkeit. Wenn die Gültigkeit abgelaufen ist gibt es ein sogenanntes Refresh Token mit dem Outlook nach dem Timeout des vorherigen Tokens ein neues bei den M365 Servern anfordern kann.
Der Vorteil hierbei, es werden dabei in keinster Weise mehr die eigentlichen Credentials im Klartext übermittelt sondern immer nur ein Token das dabei abhängig ist vom Computer, der Anwendung und dem Zeitpunkt. Ein Angreifer der das Token abfängt kann damit also nichts anfangen.

Für User selber ändern sich also nichts, so lange diese aktuelle Software einsetzen die Moderne Authentifizierung über OAuth supportet. Für Geräte die M365 über SMTP Auth als Smarthost benutzen wie bspw. Drucker, Router usw. ändert sich ebenfalls nichts wenn es noch aktive Geräte in dem jeweiligen Tenant gibt die es nutzen!

Für IMAP & SMTP, POP & Co. hat MS übrigens eine Erweiterungen eingeführt (SASL XOAUTH2) die diese Protokolle ebenfalls Token-Fähig machen. Als User von einem aktuellen Outlook merkt man davon nichts da Outlook erkennt wenn man sich via IMAP mit einem M365 Konto verbinden möchte, dann nutzt es im Hintergrund automatisch diese Erweiterung des IMAP/POP Protokolls.

Um herauszufinden welcher eurer Benutzer noch Software und Logins mit Basic-Auth verwendet filtert die Anmeldeereignisse der Benutzer im Azure Portal folgendermaßen

screenshot

Damit kann man dann die alten Clients ausmerzen bis keine Anmeldungen dieser mehr auftauchen. Anschließend kann man Basic Auth endültig gefahrlos deaktivieren.

Hoffe das war jetzt mit dem Background darüber etwas verständlicher was "Standardauthentifizierung" tatsächlich bedeutet.

Grüße Uwe
Xaero1982
Xaero1982 09.05.2022 um 12:05:43 Uhr
Goto Top
Uff, Danke Uwe. Du bist einfach genial!
Ich hatte schon panik, dass das nur noch mit 2FA geht - das wäre mir bei dem einem oder anderem Kunden um die Ohren geflogen.

D.h. die Problemkinder sind dann z.B. Scanner mit Scan to mail oder andere Geräte die sich mit SMTP anmelden? Wobei da habe ich gelesen, dass es wohl unangetastet bleibt, wenn es aktiv ist.

Danke dir!
colinardo
colinardo 09.05.2022 aktualisiert um 12:08:36 Uhr
Goto Top
Zitat von @Xaero1982:
D.h. die Problemkinder sind dann z.B. Scanner mit Scan to mail oder andere Geräte die sich mit SMTP anmelden?
Ja.
Wobei da habe ich gelesen, dass es wohl unangetastet bleibt, wenn es aktiv ist.
Davon würde ich ehrlich gesagt nicht ausgehen.
Danke dir!
Immer gerne face-smile.
Xaero1982
Xaero1982 09.05.2022 um 12:11:36 Uhr
Goto Top
Ich hab gerade mal deinen Filter bei einem meiner Kunden angewandt und sehr viele Anmeldungen.

Authentifizierungsanforderung Einstufige Authentifizierung
Ressource Office 365 Exchange Online
Client-App MAPI Over HTTP
Typ des Tokenausstellers Azure AD
Authentifizierungsprotokoll ROPC
Benutzer-Agent Microsoft Office/16.0 (Windows NT 10.0; Microsoft Outlook 16.0.15128; Pro)

MAPI over HTTP ist hier sicher das Problem, aber warum kommt das trotz aktuellem Outlook?
colinardo
colinardo 09.05.2022 aktualisiert um 12:32:57 Uhr
Goto Top
Zitat von @Xaero1982:
MAPI over HTTP ist hier sicher das Problem, aber warum kommt das trotz aktuellem Outlook?
Das ist i.O. ROPC ist schon OAuth, Für OL 2016 siehe auch
Konfigurationsanforderungen für die moderne Authentifizierung für den Übergang von Office 365 dedizieren/ITAR zu vNext

Du kannst im Filter zusätzlich noch "Authentifizierungsprotokoll" auf "keine" setzen dann verschwinden die auch noch hatte ich vergessen (ist aber oben ergänzt) .
Xaero1982
Xaero1982 09.05.2022 um 12:35:37 Uhr
Goto Top
Danke, nun hab ich nur noch Fehler in der Ansicht mit dem Benutzer-Agent
BAV2ROPC - scheint wohl normal zu sein, so lange die Standard-Authentifizierung noch aktiv ist. Ist nur Mist da was zu finden was dann doch noch ein regulärer Versuch ist. Aber da steht dann hoffentlich Erfolg!
rzlbrnft
rzlbrnft 09.05.2022 um 15:21:45 Uhr
Goto Top
Zitat von @Xaero1982:
MAPI over HTTP ist hier sicher das Problem, aber warum kommt das trotz aktuellem Outlook?

Ich bin da bei einem Kunden auch über den EnableADAL Key gestolpert, der im Link oben beschrieben wird.
Wenn der auf 0 ist kommt das Modern Auth Anmeldefenster schon gar nicht, kann sein das es deaktiviert wurde weil vorher ein Anbieter eingesetzt wurde, der das nicht unterstützt hat.