Exchange Online und moderne Authentifizierung

Update: Schonfristen

Laut einem Post aus diesem Jahr im Technet verkündet Microsoft, dass die globale Umstellung wohl erst Mitte 2021 erfolgen soll. Allerdings gilt dies nur für Tenants auf denen Microsoft Basic Authentifizierung feststellt, andere Tenants werden im Oktober umgestellt.

Im Oktober ist es soweit, Microsoft wird für die Exchange Dienste von der Basis Authentifizierung auf allen Tenants auf die moderne Authentifizierung umstellen. Neuere Tenants haben bereits per Default die moderne Authentifizierung aktiviert. Ältere Tenants hatten ggf. noch heute die Basis Authentifizierung aktiviert, man konnte aber jederzeit auf die moderne Authentifizierung umschalten. Mit dem Wechsel auf die moderne Authentifizierung verlieren beispielsweise Clients wie Office 2010 die Möglichkeit sich mit den online Maildiensten zu verbinden. Nicht betroffen ist das SMTP Auth Protokoll was sonst sicher für Chaos bei allen Multifunktionsgeräten sorgen würde.

Protkolländerungen sind immer mit Risiken verbunden

Der Wechsel von der Basis Authentifizierung auf die moderne ist eine globale Einstellung und gilt sofort für alle Benutzer. Aber was passiert im Hintergrund? Es gibt jede Menge technische Artikel die sich dem komplett im Detail widmen, ich möchte hier keinen neuen Technet Artikel aufmachen und die Änderung nur simpel erklären. Es gibt sogenannte Authentication Policies welche bspw regeln welche Authentifizierung ein Client durchführen darf oder auch muss. Die globale Einstellung findet in den sogenannten Organisationseinstellungen von Exchange Online statt. Mit dem Wechsel von der Basis- auf die Modern-Authentifizierung wird eine neue Einstellung als default definiert, in dieser Policy wird dann definiert das Basis Anmeldungen für alle Protokolle wie EWS als Beispiel nicht mehr erlaubt sind.

Wichtig! Hier zählt auch Active Sync dazu welches die Email Synchronisation auf die Smartphones steuert.

ActiveSync ist u.a. das Protokoll für die Email Synchronisation auf SmartPhones und Tablets

Aber wie kann man eine so globale Einstellung, mit so einem globalen Impact auf die Organisation vorab testen? Über die Exchange PowerShell haben wir die Möglichkeit eine Authentifizierungspolicy vorab zu erstellen und diese gezielten Benutzer zuzuweisen. Dabei ist zu beachten dass die Einstellung erst nach mehreren Stunden unter Umständen wirkt. Mit einem PowerShell-Befehl lässt sich aber auch dieser Zeitraum auf null setzen, die Einstellung wird somit sofort. Im Anschluss daran haben wir durch die moderne Authentifizierung eine Token-Basierte Authentifizierung.

Als Hilfe für erste Tests, um vor ab die Gegebenheiten zu prüfen, habe ich hier die wichtigsten PowerShell Befehle einmal gesammelt:

Start typing and press Enter to search