NAKIVO > Bloggen

Basisauthentifizierung vs. moderne Authentifizierung und wie man sie in Office 365 aktiviert

Veröffentlicht am: April 26, 2022

Written by: NAKIVO Team

Laut einem Bericht von Verizonwerden die meisten Datenverstöße durch kompromittierte Anmeldeinformationen ermöglicht, insbesondere auf E-Mail-Servern. Social Engineering, Phishing von Anmeldeinformationen und Brute-Force-Angriffe sind einige der Methoden, mit denen böswillige Akteure Anmeldeinformationen stehlen.

Um die Sicherheit von Office-Anmeldungen zu verbessern und Datenverstöße zu verhindern, Microsoft hat die moderne Authentifizierungsmethode eingeführt. Diese Methode erfordert eine zusätzliche Benutzerauthentifizierung und -autorisierung beim Verbinden mit Online-Office 365-Ressourcen.

Aufgrund ihrer erheblichen Vorteile wurde die moderne Authentifizierung standardmäßig in allen seit 2017 erstellten Office 365-Mandanten aktiviert. Sie ist die einzige Anmeldemethode, die für Office 365-Apps und -Dienste verfügbar ist. Bei hybridenmüssen Sie die moderne Authentifizierung für ältere Office-Client-Versionen manuell aktivieren und die Basisauthentifizierung nach Möglichkeit deaktivieren.

Dieser Blog bietet einen kurzen Überblick über die grundlegenden und modernen Authentifizierungsmethoden für hybride Office-Bereitstellungen und enthält die Schritte zum Aktivieren der modernen Authentifizierung in Office 365.

Backup for Microsoft 365 Data

Backup for Microsoft 365 Data

Use the NAKIVO solution to back up Microsoft 365 data in Exchange Online, Teams, OneDrive and SharePoint Online for uninterrupted workflows and zero downtime.

DISCOVER SOLUTION

Moderne Authentifizierung vs. Basisauthentifizierung

Bis zur Abschaffung der Basisauthentifizierung die für Ende 2022 geplant ist, bietet Microsoft zwei Arten der Authentifizierung für hybride Bereitstellungen von Exchange und Skype for Business an: Basisauthentifizierung und moderne Authentifizierung. Beachten Sie, dass für das Verbinden mit SharePoint Online über einen Client nur die moderne Authentifizierung und der Microsoft Online Sign-in Assistant verfügbar sind.

Diese beiden Authentifizierungsmethoden unterscheiden sich erheblich in Bezug auf ihre Schutzfunktionen. Auch wenn die Basisauthentifizierung im Laufe dieses Jahres auslaufen wird, ist es wichtig, die Unterschiede zwischen den beiden Optionen zu verstehen.

Was ist die Basisauthentifizierung?

Bei der Basisauthentifizierung wird die Verbindung zu Office 365-Anwendungen nur mit einem Benutzernamen und einem Passwort hergestellt. Wenn Sie Ihren Benutzernamen und Ihr Passwort in einem E-Mail-Client eingeben, werden diese zur Überprüfung und Authentifizierung an Exchange Online übertragen, bevor Sie mit dem Clouddienst verbunden werden.

Dies ist eine veraltete Methode, die keinen ausreichenden Schutz mehr vor Bedrohungen für Anmeldeinformationen bietet. Eine der größten Schwachstellen der Basisauthentifizierung besteht darin, dass Anwendungen die Anmeldeinformationen der Benutzer auf dem Gerät speichern, was Hackern mehr Möglichkeiten zum Diebstahl von Passwörtern bietet. Darüber hinaus sind viele der Identitäts- und Zugriffsverwaltungsfunktionen von Microsoft, wie bedingter Zugriff und Multi-Faktor-Authentifizierung (MFA), mit dieser älteren Authentifizierungsmethode von Office 365 nicht verfügbar.

Was ist moderne Authentifizierung?

Moderne Authentifizierung ist eine Kombination aus verschiedenen Authentifizierungs- und Autorisierungsmethoden für den Zugriff auf Microsoft Office-Cloudressourcen. Die moderne Authentifizierung basiert auf der Active Directory Authentication Library (ADAL) und OAuth 2.0.

  • Active Directory Authentication Library ist ein Authentifizierungstool für Apps, um über Sicherheitstoken auf gesicherte Ressourcen zuzugreifen. Mit ADAL erhalten Benutzer außerdem Single Sign-On (SSO) für nahtlosen Zugriff auf die ihnen zur Verfügung stehenden Office 365-Ressourcen.
  • OAuth 2.0 ist ein Autorisierungsprotokoll, mit dem Benutzer über eine Client-App mithilfe von Zugriffstoken auf Ressourcen zugreifen können. Dieses Framework umfasst die Zugriffsdelegierung, sodass die Anmeldeinformationen des Benutzers nicht mit dem Ressourcenserver geteilt werden.

Das moderne Authentifizierungsframework bietet zusätzliche Sicherheit für Benutzer, die sich über Client-Apps bei ihren Microsoft 365-Ressourcen anmelden. Darüber hinaus ermöglicht dieses Framework die Aktivierung der mehrstufigen Authentifizierung (MFA) und die Verwendung von Richtlinien für bedingten Zugriff .

So aktivieren Sie die moderne Authentifizierung in Office 365

Für Microsoft-Mandanten, die vor August 2017 erstellt wurden, gibt es verschiedene Methoden, um die moderne Authentifizierung in Office 365 zu aktivieren:

Verwenden des Microsoft 365-Verwaltungscenters

So aktivieren Sie die moderne Authentifizierung in Office 365 über das ADMIN Center:

  1. Melden Sie sich beim Microsoft 365-Admin Centeran.
  2. Erweitern Sie im linken Navigationsbereich Einstellungen und klicken Sie dann auf Org-Einstellungen.
  3. Unter Dienste, wählen Sie Moderne Authentifizierung.
  4. Wählen Sie die Aktivieren Sie die moderne Authentifizierung für Outlook 2013 für Windows und höher (empfohlen) Kontrollkästchen.
  5. Klicken Sie auf Speichern Sie.

enable modern authentication in office 365 from admin center

Verwenden von Exchange Online PowerShell

Führen Sie die folgenden Schritte aus, um die moderne Authentifizierung mit Exchange Online PowerShell zu aktivieren:

  1. Verbinden Sie sich mit Exchange Online PowerShell.
  2. Führen Sie den folgenden Befehl für Outlook 2013 oder spätere Clients aus:
    Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
  3. Überprüfen Sie mit diesem Befehl, ob die Änderung erfolgreich war und die moderne Authentifizierung aktiviert wurde:
    Get-OrganizationConfig | Format-Table Name,OAuth* -Auto

Beachten Sie, dass Sie dadurch nicht daran gehindert werden, die grundlegende Authentifizierungsmethode zu verwenden. Sie können jedoch die Verwendung der O365-Legacy-Authentifizierung in Outlook 2013 oder höher erzwingen, indem Sie den folgenden Befehl ausführen:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false

Deaktivieren der Office 365-Basisauthentifizierung

Nach der Aktivierung der modernen Authentifizierung in Office 365 können Sie nun die Basisauthentifizierungsprotokolle deaktivieren. Sie müssen jedoch sicherstellen, dass kein Benutzer davon profitiert. Führen Sie die folgenden Schritte aus, um zu überprüfen, ob jemand die Basisauthentifizierung verwendet:

  1. Öffnen Sie Ihr Microsoft Azure Konto.
  2. Greifen Sie auf das Azure Active Directory.

access azure active directory

  1. Wählen Sie Anmeldelogbücher im linken Navigationsbereich.
  2. Ändern Sie Bereich des Datums auf Letzte 7 Tage oder mehr.
  3. Klicken Sie auf Filter hinzufügen.
  4. Wählen Sie Client-App dann klicken Sie auf Anwenden.

finding users in sign-in logs

  1. Klicken Sie auf den neu erstellten Filter Client-App.
  2. Aktivieren Sie alle Kontrollkästchen unter Legacy-Authentifizierungsclients
  3. Klicken Sie auf Anwenden.

displaying users with basic authentication

Diese Liste enthält alle Anmeldeereignisse mit den entsprechenden Benutzern und Anwendungen. Bevor Sie die Basisauthentifizierung deaktivieren, können Sie alle diese Anwendungen auf die modernen Authentifizierungsprotokolle migrieren, damit Sie sie nicht verlieren.

So deaktivieren Sie die O365-Legacy-Authentifizierung:

  1. Rufen Sie das Microsoft 365-Admin-Centerauf.
  2. Erweitern Sie im linken Navigationsbereich „ <“ „>“ „Einstellungen“< „> “ und klicken Sie auf „ <“ „>“ „Org Einstellungen“< „>“.< „>
    <“ „>Wählen Sie Moderne Authentifizierung unter Dienste.
  3. Alle abwählen Erlauben Sie den Zugriff auf grundlegende Authentifizierungsprotokolle.
  4. Klicken Sie auf Speichern Sie.

disabling office 365 authentication

Moderne Authentifizierung in Outlook

Während die neuesten Outlook-Ausgaben die moderne Authentifizierung standardmäßig unterstützen, muss sie bei älteren Clients manuell konfiguriert werden. Verschiedene Versionen von Outlook haben unterschiedliche Anforderungen, wenn es um die Aktivierung der modernen Authentifizierung geht:

  • Outlook 2010 oder früher: Die moderne Authentifizierung wird nicht unterstützt, und Sie müssen Outlook aktualisieren, um diese Funktionalität nutzen zu können.
  • Outlook 2013: Die moderne Authentifizierung ist verfügbar, aber standardmäßig nicht aktiviert. Sie sollten Outlook zwingen, sie zu verwenden, sobald sie aktiviert ist.
  • Outlook 2016 oder höher + Outlook 365: Die moderne Authentifizierung ist verfügbar und standardmäßig aktiviert.

Die folgende Tabelle fasst die Anforderungen der einzelnen Versionen zusammen:

Outlook-Version Modern Auth EnableADAL-Registrierungsschlüssel Force Modern Auth
Outlook 2010 Nicht unterstützt Nicht verfügbar Nicht verfügbar
Outlook 2013 Unterstützt Erforderlich Erforderlich
Outlook 2016 Unterstützt Nicht erforderlich Nicht erforderlich
Outlook 2019 Unterstützt Nicht erforderlich Nicht erforderlich
Outlook 365 Unterstützt Nicht erforderlich Nicht erforderlich

Moderne Authentifizierung in Outlook 2013

Wie bereits erwähnt, unterstützt Outlook 2013 die moderne Authentifizierung, verwendet jedoch standardmäßig die Basisauthentifizierung. Sie können die moderne Authentifizierung manuell aktivieren.

Dazu müssen Sie die folgenden Schlüssel in der Windows-Registrierung hinzufügen:

Registrierungsschlüssel Typ Wert
HKCUSOFTWAREMicrosoftOffice15.0CommonIdentityEnableADAL REG_DWORD 1
HKCUSOFTWAREMicrosoftOffice15.0CommonIdentityVersion REG_DWORD 1

Nach dem Festlegen dieser Schlüssel empfiehlt Microsoft, einen weiteren Registrierungsschlüssel hinzuzufügen, um Outlook 2013 zu zwingen, die moderne Authentifizierung zu verwenden, damit es nicht zur Basisauthentifizierung zurückkehrt. Der Schlüssel, den Sie verwenden sollten, lautet:

Registrierungsschlüssel Typ Wert
HKEY_CURRENT_USERSoftwareMicrosoftExchangeAlwaysUseMSOAuthForAutoDiscover REG_DWORD 1

Moderne Authentifizierung in Outlook 2016 oder höher

Obwohl die moderne Authentifizierung in Outlook 2016 standardmäßig aktiviert ist, wird empfohlen, die moderne Authentifizierung mit dem folgenden Registrierungsschlüssel zu erzwingen:

Registrierungsschlüssel Typ Wert
HKEY_CURRENT_USERSoftwareMicrosoftExchangeAlwaysUseMSOAuthForAutoDiscover REG_DWORD 1

Skype for Business Modern Authentication

Da die moderne Authentifizierung für alle Microsoft-Mandanten, die vor dem 1. August 2017 erstellt wurden, standardmäßig deaktiviert ist, müssen Sie sie manuell aktivieren. Genau wie in Outlook können Sie die moderne Authentifizierung in Skype for Business mit den folgenden Registrierungsschlüsseln aktivieren:

Registrierungsschlüssel Typ Wert
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftOffice15.0Lync AllowAdalForNonLyncIndependentOfLync REG_DWORD 1
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftOffice16.0Lync AllowAdalForNonLyncIndependentOfLync REG_DWORD 1

Fazit

Microsoft stellt die O365-Legacy-Authentifizierung ein, da einfache Anmeldeinformationen den erforderlichen Schutz gegen Sicherheit nicht mehr gewährleisten können. Glücklicherweise stehen andere Sicherheitsmaßnahmen zur Verfügung, und es wird empfohlen, die moderne Authentifizierung in Office 365 zu aktivieren. Nach der Aktivierung können Sie die Multi-Faktor-Authentifizierung (MFA) aktivieren, Berechtigungen definieren und den Zugriff auf bestimmte Anwendungen für Benutzer einschränken.

Allerdings eine umfassende Backup-Lösung eines Drittanbieters optimalen Schutz für Office 365-Umgebungen. Eine vollständige Lösung für die Datensicherheit wie NAKIVO Backup & Replication enthält alle Tools, die Sie zum Schutz der Microsoft 365-Daten in Ihrem Unternehmen benötigen.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Empfohlene Artikel

Picture
VMware ESXi vs. Proxmox VE: Ein umfassender Vergleich
Picture
Physische Server vs. Virtuelle Maschinen: Wesentliche Unterschiede und Gemeinsamkeiten
Picture
Auswahl von Backup-Lösungen für den Bildungssektor