Microsoft 365 blockt alte Authentication-Protokolle ab Mitte Juni 2025

[English]Ich ziehe mal ein Themen in einem Beitrag heraus, das mir die Tage untergekommen ist. Microsoft versucht die Sicherheit bei MS 365 zu erhöhen. Dazu werden ab Mitte Juli 2025 "Secure by Default-Einstellungen" für veraltete Authentication-Protokolle in Microsoft 365 eingeführt. Administratoren müssen das berücksichtigen.

Microsoft 365 Secure by Default-Einstellungen

Microsoft will die Sicherheit unter Microsoft 365 erhöhen und führt dazu sogenannte Secure by Default-Einstellungen ein. Im Beitrag MC1097272 – Microsoft 365 Upcoming Secure by Default Settings Changes hat Microsoft zum 18. Juni 2025 diverse Änderungen für Microsoft 365 im MS365 Message Center angekündigt.

Im Rahmen der Microsoft Secure Future Initiative (SFI) und in Übereinstimmung mit dem Prinzip "Secure by Default" kündigt Microsoft eine Aktualisierung der Microsoft 365-Standardeinstellungen an.

In den Standardeinstellungen von Microsoft 365 sollen Authentifizierungsprotokolle, die veraltet sind, künftig blockiert werden. Dann ist die Zustimmung des Administrators für den Zugriff auf Drittanbieteranwendungen erforderlich.

Die Änderungen beginnen Mitte Juli 2025 und sollen bis August 2025 abgeschlossen sein. Microsoft gibt folgende Änderungen in den Einstellungen an:

• Block legacy browser authentication to SharePoint and OneDrive using RPS (Relying Party Suite): Die Legacy-Browser-Authentifizierung zu SharePoint und OneDrive mit RPS (Relying Party Suite) Legacy-Authentifizierungsprotokolle wie RPS (Relying Party Suite) ist aufgrund der nicht modernen Authentifizierung anfällig für Brute-Force- und Phishing-Angriffe. Durch das Blockieren dieser Protokolle wird verhindert, dass Anwendungen, die veraltete Methoden verwenden, über den Browser auf SharePoint und OneDrive zugreifen. Die Legacy-Browser-Authentifizierung lässt sich mittels PowerShell über Set-SPOTenant blockieren.
• Block FPRPC (FrontPage Remote Procedure Call) protocol for Office file opens: FrontPage Remote Procedure Call (FPRPC) ist ein Legacy-Protokoll, das für die Erstellung von Remote-Webseiten verwendet wird. Obwohl es nicht mehr weit verbreitet ist, können Legacy-Protokolle wie FPRPC anfälliger für Angriffe sein. Das Blockieren von FPRPC trägt dazu bei, die Anfälligkeit für Schwachstellen zu verringern. Mit dieser Änderung wird FPRPC zum Öffnen von Dateien blockiert, wodurch die Verwendung dieses nicht modernen Protokolls in Microsoft 365-Clients verhindert wird.
• Require admin consent for third-party apps accessing files and sites: Wird Drittanbieter-Apps der Zugriff auf Datei- und Website-Inhalte durch den Benutzer gestattet, kann dies zum Abfluss der Daten einer Organisation führen. Müssen Administratoren diesem Zugriff zustimmen, kann dies dazu beitragen, ungewollte Zugriffe auf Daten durch diese Apps zu vermeiden. Mit dieser Änderung werden die von Microsoft verwalteten App-Zustimmungsrichtlinien aktiviert, und die Benutzer können dem Zugriff von Drittanbieteranwendungen auf ihre Dateien und Websites nicht mehr standardmäßig zustimmen. Sie müssen Administratoren bitten, die Zustimmung zu erteilen. Administratoren können auch granulare Richtlinien für den App-Zugriff konfigurieren, z. B. die Beschränkung des Benutzerzugriffs auf die Anwendung für bestimmte Benutzer oder Gruppen.

Microsoft rät Unternehmen ihre Konfigurationen zu überprüfen, die Beteiligten  zu benachrichtigen, die Dokumentation zu aktualisieren und den Workflow für die Admin-Zustimmung zu konfigurieren. Details sind in der Mitteilung MC1097272 nachzulesen.