Microsoft deaktiviert Basic-Auth am 01.10.2022

Microsoft hat schon vor längerer Zeit angekündigt, dass ab dem 1. Oktober 2022 die Basic-Auth (Standardauthentifizierung) in allen Tenants für die Protokolle MAPIoverHTTP, EWS, POP, IMAP und ActiveSync in Exchange Online deaktiviert wird.

Ab dem 01.10.2022 wird es also nicht mehr möglich sein, Basic-Auth (Übertragung von Benutzername und Passwort via HTTPS) in Exchange Online für Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook für Windows und Mac zu verwenden. Bisher wurde das Datum der Abschaltung immer wieder verschoben, aber nun scheint das Datum fix zu sein.

Unter dem folgenden Link hat Microsoft eine Diagnose Möglichkeit geschaffen, ob Basic-Auth noch im Tenant verwenden wird:

Mit dieser kleinen Diagnosefunktion lässt sich ein Test starten, welcher ermittelt, ob noch Basic-Auth verwendet wird:

Microsoft deaktiviert Basic-Auth am 01.10.2022

Wenn der Test keine Probleme feststellt, sollte die Abschaltung von Basic-Auth am 01.10.2022 problemlos erfolgen:

Microsoft deaktiviert Basic-Auth am 01.10.2022

Problematisch könnte es in älteren Tenants werden, als Modern Authentication noch nicht in der Standardeinstellung aktiviert war. So könnte es beispielsweise ältere Clients oder Smartphones geben, welche immer noch Basic-Auth verwenden. Diese müssen dann bis zum 1.10 umgestellt werden. Mittlerweile verstehen nahezu alle Clients Modern Authentication (OAuth2), sind aber möglichweise noch nicht entsprechend konfiguriert.

Hier gibt es hervorragende Artikel, welche auch weitere Diagnose Möglichkeiten aufzeigen:

Denkt auch unbedingt an Scripts, welche ggf. vor langer Zeit mal eingerichtet wurden und immer noch Basic-Auth verwenden. Auch Smartphones welche vor langer Zeit eingerichtet wurden, könnten immer noch auf Basic-Auth eingestellt sein. Alle Scripte können auf Zertifikatsbasierte Authentifizierung umgestellt werden, alle halbwegs aktuellen Mail Apps auf Smartphones und Mail Programme können auch mit der Modern Authentication umgehen.

Ein guter Test ist auch, Basic-Auth bereits jetzt abzuschalten und zu prüfen, wer dann schreit:

Microsoft deaktiviert Basic-Auth am 01.10.2022

Falls es hart auf hart kommt, besteht noch die Möglichkeit bestimmte Protokolle für die Standardauthentifizierung weiter zu benutzen. Dafür gibt es ein Opt-Out Verfahren, welches dem folgenden Prozess folgt:

Opt-Out
Wie zu sehen ist, sind Stand heute 01.09.2022 bereits getätigte Opt-Outs gelöscht worden. Wer also noch die Standard Authentifizierung verwenden muss, kann sich ab jetzt um ein neues Opt-Out kümmern. Ab dem Januar 2023 ist dann aber endgültig Schluss mit der Standardauthentifizierung.

Übrigens wurde die Modern Authentication auch für Exchange 2019 angekündigt, es steht aber noch nicht fest, wann dies kommen wird.

11 Gedanken zu „Microsoft deaktiviert Basic-Auth am 01.10.2022“

  1. Vielleicht eine dumme Frage aber wie sieht es mit Exchange im Hybrid Modus aus?
    Es sind keine Postfächer bei Exchange online, alle noch on prem.

    Hat schätze ich mal „nur“ Auswirkungen auf komplett Exchange online

    Antworten
    • Hallo,

      wir haben einen klassischen Hybrid mit allen Postfächern OnPremise. Wir haben kein HMA aktiviert.

      Bis heute morgen hatten wir schon BasicAuth im Tenant bei allen Teilkomponenten bis Autodiscover deaktiviert und keine Probleme. Seit über einer Stunde ist auch BasicAuth für Autodiscover aus und noch hat keiner geschrien.
      Wir haben auch im Azure Message Center keinerlei Hinweismails von MS mit „Basic Authentication – Monthly Usage Report“.

      Sollte also erst relevant und damit HMA notwendig werden, wenn Postfächer in die Cloud verschoben werden und ggf. in PowerAutomate-Flows mit Mailing.

      MfG

      Antworten
  2. Bei mir spuckt der Test folgendes aus:

    ———————–
    Diagnosen ausführen

    These are the current Basic authentication settings:

    Basic authentication is disabled for the following legacy protocols:

    Exchange ActiveSync (EAS, used by mobile devices)
    Exchange Web Services (EWS, used by Outlook for Windows & Mac)
    Post Office Protocol (POP3, used by email clients)
    Internet Message Access Protocol (IMAP, used by email clients)
    Exchange Online Remote PowerShell (used for executing scripts)
    MAPI (used by all versions of Outlook for Windows)
    Offline Address Book (OAB, used by Outlook for Windows)
    RPC (used by older versions of Outlook for Windows)

    You can use the drop-down below to indicate which protocols you wish to exclude from being secured.
    Basic authentication will be disabled for those protocols at a later date.
    ————————–

    Bedeutet das jetzt das die aufgeführten Protokolle immer noch Basic Auth nutzen?

    Antworten
    • Genauso sieht es bei mir auch aus. Der Tenant ist im April 2021 etwa eröffnet worden. Das ich mal was geändert hätte, daran kann ich mich nicht erinnern. Da steht allerdings das Basic authentication deaktiviert ist für die folgenden Dienste.

      Aber fehlt da nicht auch noch SMTP?!?

      Antworten
      • Gute Frage. Ich kann das nicht interpretieren :/
        Mein Tennant ist auch noch relativ jung. Ende 2021/Anfang 2022.
        Wenn du da was rausfindest wäre eine kurze Info super :)

        Antworten
        • Hab mal in die Organisationseinstellungen geschaut. Bei Modern Auth ist Moderne Auth für Outlook 2013 und neuer aktiviert und bei Basic Auth darunter sind die Dienste deaktiviert. Scheint also wohl so richtig zu sein.

          Die Meldung wie in Franksy Screenshot kam bei einem unserer Kunden. Die haben allerdings EXO nicht wirklich in Benutzung und keine aktiven Lizenzen.

        • Ihr dürft aber nicht den Fehler machen, dann den Haken bei „Authentifiziertes SMTP“ unter dem Menüpunkt Moderne Authentifizierung‎ mit raus zu nehmen! Habe ich mal testweise gemacht gehabt, ist aber uncool wenn alle Drucker/Kopier über Exo ihre Mails relayen ;-).

  3. Hi,

    auch ich muss mal ganz dumm Fragen. Diese einstellungen betreffen nur den Exchange Online.
    Wenn man einen Lokalen Exchange noch sein eigen nennt dann trift das ganze auch nicht zu?

    Besten Dank für die Antworten.

    Antworten
  4. Habe bei uns alles bis auf Authentifiziertes SMTP deaktiviert..Bislang keine Probleme festgestellt.

    Kann ich Authentifiziertes SMTP denn auch deaktivieren oder bleibt das an? Die Kommentare hier sind mir nicht so ganz klar

    Antworten

Schreibe einen Kommentar