Blockieren von Legacy-Authentifizierung mit Microsoft Entra ID mit bedingtem Zugriff

Um Ihren Benutzern den einfachen Zugriff auf Ihre Cloud-Apps zu ermöglichen, unterstützt Microsoft Entra ID eine Vielzahl von Authentifizierungsprotokollen – einschließlich der Legacyauthentifizierung. Die Legacyauthentifizierung unterstützt jedoch keine Optionen wie Multi-Faktor-Authentifizierung (MFA). MFA ist eine gängige Anforderung zur Verbesserung des Sicherheitsstatus in Organisationen.

Laut Microsofts Analyse verwenden mehr als 97 Prozent der Angriffe zum Ausfüllen von Kennwörtern (Credential Stuffing) veraltete Authentifizierungsprotokolle und mehr als 99 Prozent der Angriffe mit Kennwort-Spray veraltete Authentifizierungsprotokolle. Diese Angriffe würden aufhören, wenn die Basisauthentifizierung deaktiviert oder blockiert wäre.

Hinweis

Ab dem 1. Oktober 2022 wird die Standardauthentifizierung für Exchange Online in allen Microsoft 365-Mandanten unabhängig von der Nutzung dauerhaft deaktiviert, mit Ausnahme der SMTP-Authentifizierung. Weitere Informationen finden Sie im Artikel Abschaffung der Standardauthentifizierung in Exchange Online.

Alex Weinert, Director of Identity Security bei Microsoft, hebt in seinem am 12. März 2020 veröffentlichten Blogbeitrag Neue Tools zum Blockieren der Legacyauthentifizierung in Ihrer Organisation hervor, warum Organisationen die Legacyauthentifizierung blockieren sollten und welche weiteren Tools Microsoft für diese Aufgabe bereitstellt:

In diesem Artikel wird erläutert, wie Sie die Richtlinien für bedingten Zugriff konfigurieren können, mit denen die Legacyauthentifizierung für alle Workloads innerhalb Ihrer Mandanten blockiert wird.

Während der Einführung des Legacyauthentifizierungsschutzes wird ein stufenweiser Ansatz empfohlen, anstatt ihn für alle Benutzer gleichzeitig zu deaktivieren. Kunden können zunächst mit der Deaktivierung der Standardauthentifizierung pro Protokoll beginnen, indem sie Authentifizierungsrichtlinien von Exchange Online anwenden und dann (optional) auch die Legacyauthentifizierung über Richtlinien für bedingten Zugriff blockieren, wenn sie bereit sind.

Kunden ohne Lizenzen, die bedingten Zugriff einschließen, können Sicherheitsstandards verwenden, um die Legacyauthentifizierung zu blockieren.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie mit den grundlegenden Konzepten des bedingten Microsoft Entra-Zugriff vertraut sind.

Hinweis

Richtlinien für den bedingten Zugriff werden durchgesetzt, wenn die First-Factor-Authentifizierung abgeschlossen ist. Der bedingte Zugriff nicht ist als erste Abwehrmaßnahme einer Organisation für Szenarien wie Denial-of-Service-Angriffe (DoS) gedacht, sondern kann Signale von diesen Ereignissen nutzen, um den Zugriff zu bestimmen.

Beschreibung des Szenarios

Microsoft Entra ID unterstützt die am häufigsten verwendeten Protokolle zur Authentifizierung und Autorisierung, einschließlich der Legacyauthentifizierung. Mit der Legacyauthentifizierung können Benutzer nicht zur zweistufigen Authentifizierung oder anderen Authentifizierungsmaßnahmen aufgefordert werden, die für die direkte Erfüllung der Richtlinien für bedingten Zugriff erforderlich sind. Dieses Authentifizierungsmuster umfasst Standardauthentifizierung, eine weit verbreitete Branchenstandardmethode zum Sammeln von Benutzernamen- und Kennwortinformationen. Beispiele für Anwendungen, die häufig oder nur Legacyauthentifizierung verwenden, sind:

  • Microsoft Office 2013 oder höher.
  • Apps, die E-Mail-Protokolle wie POP, IMAP und SMTP AUTH verwenden.

Weitere Informationen zur Unterstützung der modernen Authentifizierung in Office finden Sie unter So funktioniert die moderne Authentifizierung für Office-Client-Apps.

Eine einstufige Authentifizierung (z. B. mit Benutzername und Kennwort) reicht heutzutage nicht mehr aus. Kennwörter sind unzulänglich, weil sie leicht zu erraten sind, und wir (Menschen) sind schlecht darin, gute Kennwörter auszuwählen. Kennwörter sind auch für verschiedene Angriffe wie Phishing und Kennwort-Spray anfällig. Eine der einfachsten Maßnahmen, die Sie ergreifen können, um sich vor Kennwortsicherheitsverletzungen zu schützen, ist das Implementieren der mehrstufigen Authentifizierung (MFA). Denn selbst wenn ein Angreifer in den Besitz des Kennworts eines Benutzers gelangt, reicht bei Verwendung von MFA das Kennwort allein nicht aus, um sich erfolgreich authentifizieren und auf die Daten zugreifen zu können.

Wie können Sie verhindern, dass Apps mit Legacyauthentifizierung auf Ressourcen Ihres Mandanten zugreifen? Es wird empfohlen, diese Apps einfach mit einer Richtlinie für bedingten Zugriff zu blockieren. Gegebenenfalls können Sie nur bestimmten Benutzern und bestimmten Netzwerkadressen die Verwendung von Apps erlauben, die auf der Legacyauthentifizierung basieren.

Implementierung

In diesem Abschnitt wird erläutert, wie eine Richtlinie für bedingten Zugriff zum Blockieren der Legacyauthentifizierung konfiguriert wird.

Messagingprotokolle, die Legacyauthentifizierung unterstützen

Die folgenden Messagingprotokolle unterstützen die Legacyauthentifizierung:

  • Authentifiziertes SMTP: Dient zum Senden authentifizierter E-Mail-Nachrichten.
  • AutoErmittlung: wird von Outlook und EAS-Clients verwendet, um Postfächer in Exchange Online zu suchen und diese zu verbinden
  • Exchange ActiveSync (EAS): wird zum Herstellen einer Verbindung mit Postfächern in Exchange Online verwendet
  • Exchange Online PowerShell: wird zum Herstellen einer Verbindung mit Exchange Online über Remote-PowerShell verwendet Wenn Sie die Standardauthentifizierung für Exchange Online PowerShell blockieren, müssen Sie das Exchange Online PowerShell-Modul verwenden, um eine Verbindung herzustellen. Anweisungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell mithilfe der mehrstufigen Authentifizierung.
  • Exchange Web Services (EWS): eine Programmierschnittstelle, die von Outlook, Outlook für Mac und Drittanbieter-Apps verwendet wird
  • IMAP4: wird von IMAP-E-Mail-Clients verwendet
  • MAPI über HTTP (MAPI/HTTP): Primäres Postfachzugriffsprotokoll, das von Outlook 2010 SP2 und höher verwendet wird.
  • Offlineadressbuch (OAB): eine Kopie der Adressenlistensammlungen, die von Outlook heruntergeladen und verwendet werden
  • Outlook Anywhere (RPC über HTTP): Legacy-Postfachzugriffsprotokoll, das von allen aktuellen Outlook-Versionen unterstützt wird.
  • POP3: wird von POP-E-Mail-Clients verwendet
  • Berichtswebdienste: Werden zum Abrufen von Berichtsdaten in Exchange Online verwendet.
  • Universelles Outlook: wird von der Mail- und Kalender-App für Windows 10 verwendet.
  • Andere Clients: andere Protokolle, bei denen die Verwendung älterer Authentifizierungsmethoden identifiziert wird

Weitere Informationen zu diesen Authentifizierungsprotokollen und -diensten finden Sie unter Anmelde-Protokollaktivitätsdetails.

Identifizieren der Verwendung der Legacyauthentifizierung

Bevor Sie die Legacy-Authentifizierung in Ihrem Verzeichnis blockieren können, müssen Sie zunächst wissen, ob Ihre Benutzer Client-Anwendungen haben, die die Legacy-Authentifizierung verwenden.

Indikatoren für das Anmeldungsprotokoll

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Browsen Sie zu Identität>Überwachung und Integrität>Anmeldeprotokolle.
  3. Falls die Spalte Client-App nicht angezeigt wird, fügen Sie sie durch Klicken auf Spalten>Client-App hinzu.
  4. Wählen Sie Filter hinzufügen>Client-App> alle Legacyauthentifizierungsprotokolle aus, und klicken Sie auf Anwenden.
  5. Wenn Sie die neuen Berichte zu Anmeldeaktivitäten (Vorschau) aktiviert haben, wiederholen Sie die obigen Schritte auch auf der Registerkarte Benutzeranmeldungen (nicht interaktiv).

Die Filterung zeigt Ihnen Anmeldeversuche an, die mit älteren Authentifizierungsprotokollen unternommen wurden. Wenn Sie auf jeden einzelnen Anmeldeversuch klicken, erhalten Sie weitere Details. Das Feld Client App auf der Registerkarte Basisinformationen zeigt an, welches Legacy-Authentifizierungsprotokoll verwendet wurde.

Diese Protokolle zeigen, wo Benutzer Clients verwenden, die sich noch auf die Legacy-Authentifizierung verlassen. Implementieren Sie für Benutzer, die in diesen Protokollen nicht aufgeführt sind und nachweislich keine Legacyauthentifizierung verwenden, eine Richtlinie für bedingten Zugriff, die nur für diese Benutzer vorgesehen ist.

Darüber hinaus können Sie zur Unterstützung der Selektierung der Legacyauthentifizierung innerhalb Ihres Mandanten die Arbeitsmappe „Anmeldungen mit Legacyauthentifizierung“ verwenden.

Indikatoren vom Client

Informationen zum Ermitteln, ob ein Client Legacy- oder moderne Authentifizierung verwendet, basierend auf dem Dialogfeld, das bei der Anmeldung angezeigt wird, finden Sie in dem Artikel Abschaffung der Standardauthentifizierung in Exchange Online.

Wichtige Hinweise

Viele Clients, die zuvor nur die Legacyauthentifizierung unterstützt haben, unterstützen jetzt moderne Authentifizierung. Clients, die sowohl Legacy- als auch moderne Authentifizierung unterstützen, benötigen möglicherweise Konfigurationsupdates, um von Legacy- zur modernen Authentifizierung zu wechseln. Wenn Sie in den Anmeldeprotokollen Modern Mobil oder Desktop-Client oder Browser für einen Client sehen, verwendet dieser eine moderne Authentifizierung. Wenn er einen bestimmten Client- oder Protokollnamen hat, wie z. B. Exchange ActiveSync, verwendet er Legacyauthentifizierung. Die Client-Typen beim bedingten Zugriff, in den Anmeldeprotokollen und in der Arbeitsmappe zur Legacy-Authentifizierung unterscheiden für Sie zwischen modernen und Legacy-Authentifizierungsclients.

  • Clients, die moderne Authentifizierung unterstützen, aber nicht für die Verwendung moderner Authentifizierung konfiguriert sind, sollten aktualisiert oder neu konfiguriert werden, damit sie moderne Authentifizierung verwenden.
  • Alle Clients, die keine moderne Authentifizierung unterstützen, sollten ersetzt werden.

Wichtig

Exchange Active Sync mit zertifikatsbasierter Authentifizierung (CBA)

Konfigurieren Sie Clients bei der Implementierung von Exchange Active Sync (EAS) mit CBA für die Verwendung der modernen Authentifizierung. Clients, die keine moderne Authentifizierung für EAS mit CBA verwenden, werden mit der Abschaffung der Standardauthentifizierung in Exchange Onlinenicht blockiert. Diese Clients werden jedoch durch Richtlinien für bedingten Zugriff blockiert, die zum Blockieren der Legacyauthentifizierung konfiguriert sind.

Weitere Informationen zur Implementierung der Unterstützung für CBA mit Microsoft Entra ID und moderner Authentifizierung finden Sie unter Konfigurieren der zertifikatbasierten Microsoft Entra-Authentifizierung (Vorschau). Als andere Option kann die auf einem Verbundserver ausgeführte CBA mit moderner Authentifizierung verwendet werden.

Wenn Sie Microsoft Intune verwenden, können Sie möglicherweise den Authentifizierungstyp mithilfe des E-Mail-Profils ändern, das Sie auf Ihre Geräte pushen oder dort bereitstellen. Wenn Sie iOS-Geräte (iPhones und iPads) verwenden, sollten Sie sich Hinzufügen von E-Mail-Einstellungen für iOS- und iPadOS-Geräte in Microsoft Intune ansehen.

Blockieren älterer Authentifizierungsmethoden

Es gibt zwei Möglichkeiten, mit Richtlinien für den bedingten Zugriff ältere Authentifizierungsmethoden zu blockieren.

Direktes Blockieren der Legacyauthentifizierung

Die einfachste Möglichkeit, die Legacyauthentifizierung in ihrer gesamten Organisation zu blockieren, besteht darin, eine Richtlinie für bedingten Zugriff zu konfigurieren, die speziell für Legacyauthentifizierungs-Clients gilt und den Zugriff blockiert. Wenn Sie der Richtlinie Benutzer und Anwendungen zuweisen, müssen Sie sicherstellen, dass Benutzer und Dienstkonten ausgeschlossen werden, die sich weiterhin mit der Legacyauthentifizierung anmelden müssen. Wenn Sie die Cloud-Apps auswählen, in denen diese Richtlinie angewendet werden soll, wählen Sie alle Cloud-Apps, Ziel-Apps wie Office 365 (empfohlen) oder mindestens Office 365 Exchange Online aus. Organisationen können die in Vorlagen für bedingten Zugriff verfügbare Richtlinie oder die allgemeine Richtlinie Bedingter Zugriff: Blockieren von Legacy-Authentifizierung als Referenz verwenden.

Indirektes Blockieren der Legacyauthentifizierung

Wenn Ihr Unternehmen nicht bereit ist, die Legacy-Authentifizierung vollständig zu blockieren, sollten Sie sicherstellen, dass Anmeldungen mit Legacy-Authentifizierung keine Richtlinien umgehen, die Zuweisungskontrollen wie die Multi-Faktor-Authentifizierung erfordern. Legacyauthentifizierungs-Clients unterstützen bei der Authentifizierung das Senden von Informationen zur mehrstufigen Authentifizierung (MFA), zur Gerätekonformität oder zum Joinzustand an Microsoft Entra ID nicht. Wenden Sie daher auf alle Clientanwendungen Richtlinien mit Gewährungssteuerelementen an. Dadurch werden Anmeldungen mit Legacyauthentifizierung blockiert, da sie die Gewährungssteuerelemente nicht bedienen können. Mit der allgemeinen Verfügbarkeit der Client-Apps-Bedingung im August 2020 gelten neu erstellte Richtlinien für bedingten Zugriff standardmäßig für alle Client-Apps.

Wichtige Informationen

Es kann bis zu 24 Stunden dauern, bis die Richtlinie für bedingten Zugriff wirksam wird.

Das Blockieren des Zugriffs mithilfe der Bedingung Andere Clients blockiert auch Exchange Online PowerShell und Dynamics 365 mit Standardauthentifizierung.

Durch das Konfigurieren einer Richtlinie für Andere Clients wird die gesamte Organisation für bestimmte Clients blockiert, z.B. SPConnect. Dies tritt ein, weil sich ältere Clients auf unerwartete Weise authentifizieren. Dieses Problem gilt nicht für Office-Hauptanwendungen wie ältere Office-Clients.

Sie können alle verfügbaren Gewährungssteuerelemente für die Bedingung Andere Clients auswählen. Die Endbenutzererfahrung ist jedoch immer die gleiche: Der Zugriff ist blockiert.

Nächste Schritte