Nachdem Microsoft die Abkündigung des Authentifizierungsverfahrens „Basic Authentication“ für Exchange Online bereits mehrmals angekündigt und verschoben hat, steht nun ein endgültiger Termin für die Abschaltung fest: Zum 1. Oktober 2022 wird Microsoft die Basic Authentication für Exchange Online deaktivieren.
Grund für die Abschaltung ist, dass das Verfahren nicht mehr sicher genug ist. Zukünftig setzt Microsoft daher auf die „Modern Authentication“, welche moderne Sicherheitsanforderungen besser abdeckt.
In diesem Blogartikel möchten wir Informationen zu dem neuen Verfahren zur Verfügung stellen, das zukünftig mehr Sicherheit und Nutzungskomfort bietet, und möchten darauf hinweisen, was bei der Umstellung zu beachten ist.
Was ist das Problem der Basic Authentication?
Die Basic Authentication (Basic Auth), bei der Username und Passwort verwendet werden, kam bisher häufig für die Authentifizierung bei Internetdiensten zum Einsatz.
Die Zugangsdaten müssen hierfür von den jeweiligen Diensten abgespeichert werden und werden bei jeder Anfrage in einer einfachen, codierten Headerzeile übergeben. Selbst bei SSL-verschlüsselten Seiten entstehen dadurch unzählige Möglichkeiten, die Daten abzugreifen.
Zudem bietet Basic Auth keine Möglichkeit, Berechtigungen einzuschränken. So können Anwender:innen mit den Zugangsdaten auf alle dazugehörigen Applikationen und Unternehmensdaten zugreifen.
Was ist Modern Authentication?
Die Modern Authentication (Modern Auth) basiert auf der Active Directory Authentication Library (ADAL) und OAuth 2.0, welche einen sichereren Ressourcenzugriff gewährleisten. Hierbei sind nicht Username und Passwort ausschlaggebend, sondern Token. Die Anmeldung kann zwar immer noch mittels Username und Passwort erfolgen (oder z.B. mittels Zertifikat), diese Daten werden aber nur zur Authentifizierung bei einem Identity Provider verwendet und sind den Diensten selbst nicht bekannt.
Vom Identity Provider wird dann ein Token generiert, der bestimmte Informationen beinhaltet:
- Der Token regelt, worauf ein:e Anwender:in zugreifen darf, worauf nicht und wie lange der Zugriff möglich ist. Nach Ablauf der Gültigkeitsdauer muss der Token erneuert werden.
- Der Token kann auch Details wie Gerät oder Standort beinhalten und dadurch eine kontextabhängige Authentifizierung ermöglichen. Das heißt, es kann definiert werden, in welchen Situationen ein Zugriff möglich ist und welches Authentifizierungsverfahren angewendet werden soll. Denn Modern Auth bietet sowohl die Möglichkeit, einen Single Sign-On zu realisieren, als auch die Möglichkeit, einen zusätzlichen Faktor bei der Authentifizierung zu erzwingen (MFA). Dies ist ein wichtiger Bestandteil des Zero Trust Ansatzes.
- Der Token kann auch für die Anmeldung an Anwendungen genutzt werden, die mit der Microsoft Identität verknüpft sind, um sich dort mit der gleichen Identität anzumelden.
Für Anwender:innen gestaltet sich die Authentifizierung wie folgt: Sie werden in der Regel über ein integriertes Browser-Fenster (WebView) an den Authentication Endpoint (M365) weitergeleitet und müssen sich dort authentifizieren. M365 entscheidet dann, ob und wie ein Zugriff auf die angefragten Ressourcen erfolgen darf.
Wen betrifft diese Änderung?
Kund:innen, die Microsoft Outlook for Mobile nutzen, sind von der Änderung nicht betroffen, da die Applikation Modern Authentication bereits als Standard nutzt.
Kund:innen, die eine andere E-Mail-App verwenden, müssen sich mit dem Authentifizierungsverfahren beschäftigen, da die Basic Authentication derzeit bei vielen E-Mail-Anwendungen als Standard verwendet wird. Sofern dies nicht manuell umgestellt wurde, ist es sehr wahrscheinlich, dass eine Umstellung vorgenommen werden muss.
Was ist bei der Umstellung zu beachten?
Die Umstellung der Mail-Clients auf Modern Authentication sollte nicht ohne vorherige Planung erfolgen, da jedes Unternehmen unterschiedliche Sicherheitseinstellungen und Anforderungen an die Authentifizierung bei Microsoft 365 hat.
Eine Prüfung der notwendigen Schritte zur Einrichtung ist dringend zu empfehlen, um anschließende Probleme bei der Authentifizierung auszuschließen. Zudem ergeben sich je nach Mail-Client und UEM-System unterschiedliche Möglichkeiten bei der Einrichtung, die betrachtet werden sollten.
Gleichzeitig ist die Änderung eine gute Möglichkeit, um weitere Komfortfunktionen – wie z.B. Single Sign-On-Mechanismen – zu implementieren. Hierdurch wird die Nutzung der Geräte nicht nur sicherer, sondern auch vereinfacht.
Gerne beraten wir Sie hinsichtlich der Konfiguration und unterstützen Sie bei der Umstellung auf Modern Authentication. So können wir Ihnen helfen, für mehr Sicherheit zu sorgen, aber auch den Nutzungskomfort im Blick zu behalten.
