Microsoft schaltet Basic Authentication für Exchange Online ab

Portrait von Philipp Käser
Von Philipp Käser

Am 1. Oktober ist es soweit. Microsoft startet mit dem Rückbau der Basic Authentication für Exchange Online.

Bereits Anfangs 2021 hat Microsoft angekündigt, dass Basic Authentication abgeschaltet wird. Ab dem 1. Oktober 2022 soll es nun soweit sein. Microsoft blockiert Anmeldungen über Basic Authentication.

Die Basic Authentication oder auf Deutsch das Basis-Anmeldeverfahren beruht darauf, dass sich die Benutzer mit einem Benutzernamen und einem Passwort direkt am System (Server, Website, etc.) anmelden. Dabei wird vielfach nur der Transportkanal verschlüsselt und es findet keine weitere Prüfung der eingegebenen Daten statt.

Als Ablösung von Basic Authentication wird Modern Authentication genutzt. Modern Authentication bietet nebst erhöhter Sicherheit zusätzliche Funktionen wie beispielsweise eine mehrstufige Anmeldung (MFA).

Microsoft forciert mehr Sicherheit in der Cloud

Die Ausschaltung von Basic Authentication ist ein weiterer Schritt, um die Microsoft Cloud ein Stück sicherer zu gestalten. Weitere Ankündigungen wurden bereits gemacht: Deaktivierung von TLS1.0 und 1.1 oder das Forcieren der Microsoft Security Defaults.

Bin ich von der Umstellung betroffen?

Wird bei der Anmeldung eines Benutzers im Outlook auf dem Computer oder am Smartphone das typische Microsoft-365-Anmeldefenster gezeigt, ist der Benutzer von der Umstellung vermutlich nicht betroffen.

basic-vs-modern
Basic Authentication Anmeldefenster vs. Modern Authentication Anmeldefenster 

Von der Anpassung sind nicht nur Benutzerinnen und Benutzer betroffen, sondern auch Applikationen oder andere Systeme, welche auf eine Exchange Online Mailbox zugreifen. Beispielsweise eine Buchhaltungssoftware, die per IMAP E-Mails aus einem Postfach auf Exchange Online abruft. Oder eine Telefonanlage die per EWS (Webschnittstelle) die Kalender der Mitarbeitenden prüft. Ist in der Applikation ein Benutzername und Passwort hinterlegt, handelt es sich vermutlich um Basic Authentication und muss angepasst werden.

Die Ausnahme sind Applikationen, die über Basic Authentication E-Mails versenden. SMTP Auth und somit der Versand von E-Mails wird vorerst nicht deaktiviert.

Wie weiter?

Nutzt Ihre Organisation noch Basic Authentication? Oder sind Sie sich nicht ganz sicher? Die SmartIT hilft Ihnen gerne bei der Analyse sowie beim Wechsel auf Modern Authentication.