Exchange Online: Apple Mail App Clients für Modern Authentication ertüchtigen

[English]Kurzer Hinweis für Administratoren, die Apple-Geräte mit älteren iOS-Versionen in einer Exchange Online-Umgebung verwalten. Kümmert euch darum, dass diese Geräte für Modern Authentication vorbereitet sind, sonst gibt es bald Kommunikationsprobleme. Spätestens am 1. Oktober 2022 will Microsoft die Basic Authentication bei Exchange Online abschalten.


Das Ganze ist irgendwie unglücklich gelaufen und sollte längst vom Tisch sein. Ich hatte 2020 bereits im Blog-Beitrag Microsoft Office 365-Anmeldung wird überarbeitet gemeldet, dass Microsoft es ab dem 13. Oktober 2020 gravierende Änderungen bei der Exchange Online-Basisauthentifizierung gebe (kickt Outlook 2010 aus Exchange Online). Wegen der Coronavirus-Pandemie wurde das Vorhaben dann aber verschoben, siehe den Artikel Exchange Online: Abschaltung Basic Authentication in 2021. Aber in 2022 will Microsoft was ändern.

Office365 Authentification in iOS 12+

Die Tage bin ich auf obigen Tweet gestoßen, der daran erinnert, dass Apple Mail Clients ein Upgrade benötigen, um die Modern Authentication zu unterstützten. Die Details lassen sich in diesem Blog-Beitrag nachlesen. Ab Oktober 2022 dürfte die Basic Authentication in allen Exchange Online Tenants abgeschaltet werden.

Der Poster schreibt hier, dass er am 12. September die Message-Center-Benachrichtigungen MC284549 und MC284559 erhalten habe. Diese informierten ihn darüber, dass Microsoft die Basisauthentifizierung für POP3, IMAP4, Remote PowerShell, Exchange Web Services (EWS), das Offline-Adressbuch (OAB), Exchange ActiveSync (EAS), SMTP AUTH und MAPI deaktiviert habe.

Basic Authentification

Noch funktioniere alles. Mit der Entscheidung von Microsoft, dass diese "ab dem 1. Oktober 2022 die Basisauthentifizierung in allen Tenants unabhängig von der Nutzung dauerhaft deaktivieren werden", kommen die Dinge wohl in den Fluss. Spätestens In einem Jahr wird die Basisauthentifizierung für Exchange Online abgeschaltet, selbst wenn eine Organisation sie aus irgendeinem Grund beibehalten möchte. Auf diese Abschaltung sollte man vorbereitet sein, zumal der Vorgang bereits Anfang 2022 für einzelnen Dienste passieren könnte. Details lassen sich in den verlinkten Artikeln nachlesen.

Ergänzung: Martin P. hat mir per Mail folgende Information von Microsoft zukommen lassen.

Updated September 27, 2021: We have updated the content for additional clarity. Thank you for your feedback.

We're making some changes to improve the security of your tenant.  We announced in 2019 we would be retiring Basic Authentication for legacy protocols, and in early 2021 we announced we would begin to retire Basic Authentication for protocols not being used in tenants, but not disable Basic Authentication for any in-use protocols until further notice.

Today, we are announcing that, effective October 1, 2022, we will begin to permanently disable Basic Auth in all tenants, regardless of usage (with the exception of SMTP Auth, which can still be re-enabled after that).

We previously communicated this change via several Message Center posts: MC191153 (Sept. '19), MC204828 (Feb. '20), MC208814 (April '20) and MC237741 (Feb. '21) and you can always read the latest information about our plans to turn off Basic Authentication here.

Beginning early 2022, as we roll out the changes necessary to support this effort, we are also going to begin disabling Basic Auth for some customers on a short-term and temporary basis.
We selectively pick tenants and disable Basic Auth for all affected protocols except SMTP AUTH for a period of 12-48 hours. After this time, Basic Auth for these protocols will be re-enabled, if the tenant admin has not already re-enabled them using our self-service tools.
During this time all clients and apps that use Basic Auth in that tenant will be affected, and they will be unable to connect. Any client or app using Modern Auth will not be affected. Users can use alternate clients (for example, Outlook on the Web instead of an older Outlook client that does not support Modern Auth) while they upgrade or reconfigure their client apps.

How this will affect your organization: If you receive a Message Center post between now and October 2022, informing you that we are going to disable Basic Auth for a protocol due to non-usage, or you get one saying we know you are using Basic Auth, but we intend to proactively disable it for a short period of time, and you don't want us to disable specific protocols, you can use the new self-service feature in the Microsoft 365 admin center to opt-out and request that we leave specific protocols enabled until October 2022. We added this feature to help minimize disruptions as you transition away from using Basic Auth.
We will disable Basic Authentication beginning October 2022, and once that happens, users in your tenant will be unable to access their Exchange Online mailbox using Basic Authentication.

8 Antworten zu Exchange Online: Apple Mail App Clients für Modern Authentication ertüchtigen

  1. Stephan sagt:

    GMail macht doch schon seit Ewigkeiten ausschließlich OAuth und funktioniert auch. Warum braucht Microsoft überhaupt eine Extrawurst?

  2. Stefan sagt:

    Gibt es eigentlich Smarthosts die ModernAuth unterstützen? Das wird für viele MFP sonst ein richtiger Spass.

    • nocturn sagt:

      Das kommt drauf an, über welche Methode die MFPs Mails versenden.
      Nutzt man bislang SMTP-Relay-Konnektoren für MFP in O365, dann hat das keine Auswirkungen.


      "As far as I know, Modern Authentication (MA) is about communication between a client and a server, which means it works for Office client apps and the relative servers. And both of the SMTP relay methods are attempted to connect with the Office 365 mailbox rather than Microsoft server side. So enabling MA won't make influence on SMTP relay."

      Das wurde mir auch so von MS bestätigt.

      • Stefan sagt:

        Naja, uch weis nicht. Das die „Office Apps" keine Probleme damit haben ist mir schon klar. Modern Auth ist halt Microsofts oAuth mit Zertifikaten. Wie da jetzt der Windows SMTP-Server als Relay damit klarkommen soll steht da nicht. hMailserver scheint es auch nicht zu können 🤔 . Versteh ich hier was falsch?

      • Stefan sagt:

        Naja, "it works for office client apps" ist ein wenig schwammig aber ja, die Clientrogramme von Microsoft werden schon gehen.

        Das man anonymous über einen Connector mit IP-Einschränkung schicken kann wäre auch klar, hier würde ja keine Authentifizierung per se statt finden. Wie sich nun aber der Client authentifizieren soll, wenn er kein oAuth kann steht hier irgendwie nicht und wäre mir nun auch nicht klar. Mir geht es vorrangig um dem SMTP-Service in Windowsserver den ich für viele Relays nutze.

      • JohnRipper sagt:

        Nach der neuesten Ankündigung vom 24.9. wird SMTP Auth nicht deaktiviert.

        Siehe MC286990

  3. Jonny sagt:

    Nicht Microsoft, sondern Apple IOS.

    Wir sind frisch Richtung Exchange Online, bei uns laufen die Outlook App und die VMWARE Boxer völlig ohne etwas zu tun. Die Apple IOS steht.

