Microsoft announced some time ago that basic authentication (standard authentication) will be deactivated in all tenants for the MAPIoverHTTP, EWS, POP, IMAP and ActiveSync protocols in Exchange Online from October 1, 2022.
From October 1, 2022, it will no longer be possible to use Basic-Auth (transfer of username and password via HTTPS) in Exchange Online for Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows and Mac. Until now, the date of the shutdown was repeatedly postponed, but now the date seems to be fixed.
Under the following link, Microsoft has created a diagnostic option to check whether Basic-Auth is still being used in the tenant:
This small diagnostic function can be used to start a test to determine whether Basic-Auth is still being used:
If the test does not reveal any problems, Basic-Auth should be switched off on 01.10.2022 without any problems:
It could be problematic in older tenants when Modern Authentication was not yet activated by default. For example, there could be older clients or smartphones that still use Basic Authentication. These must then be converted by 1.10. Almost all clients now understand Modern Authentication (OAuth2), but may not yet be configured accordingly.
There are excellent articles here, which also show further diagnostic options:
- https://www.enowsoftware.com/solutions-engine/m365-exchange-online-center/basic-auth-deprecation-aug-2022
- https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-deprecation-in-exchange-online-september/ba-p/3609437
Also be sure to think about scripts that may have been set up a long time ago and still use Basic-Auth. Even smartphones that were set up a long time ago could still be set to Basic-Auth. All scripts can be switched to certificate-based authentication, all reasonably up-to-date mail apps on smartphones and mail programs can also handle Modern Authentication.
A good test is also to switch off Basic-Auth now and check who is screaming:
If push comes to shove, there is still the option of continuing to use certain protocols for standard authentication. There is an opt-out procedure for this, which follows the process below:
Incidentally, Modern Authentication has also been announced for Exchange 2019, but it is not yet clear when this will be available.
Hallo!
ich habe hier das Problem das ich ein Outlook (2019 oder neuer) auf ein Exchange Online Postfach via POP3 zugreifen lassen muß.
Nun habe ich versucht das einzurichten (in Outlook manuell, da sonst immer die Verbindung über Exchange als Protokoll ausgewählt wird) und die bei Microsoft genannten Server und Ports eingetragen. Leider versucht Outlook immer einen Standardzugriff, nicht via OAuth2.
Was mache ich falsch bzw. wie muss ich verfahren?
Vien Dank für Hilfe!
Habe bei uns alles bis auf Authentifiziertes SMTP deaktiviert..Bislang keine Probleme festgestellt.
Kann ich Authentifiziertes SMTP denn auch deaktivieren oder bleibt das an? Die Kommentare hier sind mir nicht so ganz klar
Hi,
auch ich muss mal ganz dumm Fragen. Diese einstellungen betreffen nur den Exchange Online.
Wenn man einen Lokalen Exchange noch sein eigen nennt dann trift das ganze auch nicht zu?
Besten Dank für die Antworten.
Richtig! :)
Bei mir spuckt der Test folgendes aus:
———————–
Diagnosen ausführen
These are the current Basic authentication settings:
Basic authentication is disabled for the following legacy protocols:
Exchange ActiveSync (EAS, used by mobile devices)
Exchange Web Services (EWS, used by Outlook for Windows & Mac)
Post Office Protocol (POP3, used by email clients)
Internet Message Access Protocol (IMAP, used by email clients)
Exchange Online Remote PowerShell (used for executing scripts)
MAPI (used by all versions of Outlook for Windows)
Offline Address Book (OAB, used by Outlook for Windows)
RPC (used by older versions of Outlook for Windows)
You can use the drop-down below to indicate which protocols you wish to exclude from being secured.
Basic authentication will be disabled for those protocols at a later date.
————————–
Bedeutet das jetzt das die aufgeführten Protokolle immer noch Basic Auth nutzen?
Genauso sieht es bei mir auch aus. Der Tenant ist im April 2021 etwa eröffnet worden. Das ich mal was geändert hätte, daran kann ich mich nicht erinnern. Da steht allerdings das Basic authentication deaktiviert ist für die folgenden Dienste.
Aber fehlt da nicht auch noch SMTP?!?
Gute Frage. Ich kann das nicht interpretieren :/
Mein Tennant ist auch noch relativ jung. Ende 2021/Anfang 2022.
Wenn du da was rausfindest wäre eine kurze Info super :)
Hab mal in die Organisationseinstellungen geschaut. Bei Modern Auth ist Moderne Auth für Outlook 2013 und neuer aktiviert und bei Basic Auth darunter sind die Dienste deaktiviert. Scheint also wohl so richtig zu sein.
Die Meldung wie in Franksy Screenshot kam bei einem unserer Kunden. Die haben allerdings EXO nicht wirklich in Benutzung und keine aktiven Lizenzen.
nein, „SMTP AUTH“ fasst Microsoft nicht an. Wenn dort BasicAuth aktiviert ist, bleibt es dass auch.
Ihr dürft aber nicht den Fehler machen, dann den Haken bei „Authentifiziertes SMTP“ unter dem Menüpunkt Moderne Authentifizierung mit raus zu nehmen! Habe ich mal testweise gemacht gehabt, ist aber uncool wenn alle Drucker/Kopier über Exo ihre Mails relayen ;-).
Vielleicht eine dumme Frage aber wie sieht es mit Exchange im Hybrid Modus aus?
Es sind keine Postfächer bei Exchange online, alle noch on prem.
Hat schätze ich mal „nur“ Auswirkungen auf komplett Exchange online
Hallo,
wir haben einen klassischen Hybrid mit allen Postfächern OnPremise. Wir haben kein HMA aktiviert.
Bis heute morgen hatten wir schon BasicAuth im Tenant bei allen Teilkomponenten bis Autodiscover deaktiviert und keine Probleme. Seit über einer Stunde ist auch BasicAuth für Autodiscover aus und noch hat keiner geschrien.
Wir haben auch im Azure Message Center keinerlei Hinweismails von MS mit „Basic Authentication – Monthly Usage Report“.
Sollte also erst relevant und damit HMA notwendig werden, wenn Postfächer in die Cloud verschoben werden und ggf. in PowerAutomate-Flows mit Mailing.
MfG