Cloudbrothers
Azure Attack Paths Posts Kategorien Über mich Talks Deutsch
Cloudbrothers

Inhalt

Legacy Authentication kontrolliert abschalten - Modern Authentication aktivieren

 enthalten in Microsoft 365 Security Azure AD Entra ID Identity and Access Conditional Access
   334 wörter   2 minuten 

Artikelübersicht

Dies ist Teil zwei der sechsteiligen Serie zum Thema “Legacy Authentication kontrolliert abschalten”.

  1. Vorwort
  2. Modern Authentication aktivieren
  3. Voraussetzungen schaffen
  4. Einblicke gewinnen
  5. Die ersten 90%
  6. Die nächsten 9%
  7. Abschaltung

Modern Authentication aktivieren

Dieser Schritt mag komisch anmuten, jedoch ist in alten Tenants (erstellt vor 01.08.2017) Modern Authentication für Exchange Online und Skype for Business Online nicht zwingend aktiviert.

Exchange Online

Für Exchange Online muss das Exchange Online PowerShell V2 module installiert werden um Modern Authentication zu aktivieren.

Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

Aktuelle Konfiguration prüfen

Connect-ExchangeOnline
Get-OrganizationConfig | Select OAuth2ClientProfileEnabled

Sollte der Wert für OAuth2ClientProfileEnabled nicht True stehen, muss Modern Auth noch aktiviert werden.

Aktivieren

Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
# Check if change was made
Get-OrganizationConfig | Select OAuth2ClientProfileEnabled

/legacy-authentication-kontrolliert-abschalten-modern-authentication-aktivieren/images/ExchangeOnlineModernAuthEnabled.png

Skype for Business Online

Warnung

Microsoft hat das cmdlet Get-CsOAuthConfiguration aus dem Microsoft Teams Module entfernt. Die letzte Version die das cmdlet noch beinhaltet was 4.5.0.

Leider ist es nicht genug die alte Version des Modules zu nutzen. Es wird folende Fehlermeldung ausgegeben:

Get-CsOAuthConfiguration: This cmdlet is no longer supported, please consult public documentation

Da Skype for Business Online am 31 Juli 2021 abgeschaltet wurde, sollte die aber kein Problem sein.

Danke an @renedelamotte für den Hinweis.

Info
Auch wenn Skype in der Umgebung nicht zum Einsatz kommt und ausschließlich Teams genutzt wird, sollte auch hier Modern Authentication aktiviert werden. Teams Room Systeme nutzen sonst standardmäßig Legacy Authentication was die spätere Analyse erschwert.

In der neusten Version des Microsoft Teams PowerShell Modules wird auch die Konfiguration von Skype for Business Online ermöglicht. Die separate Installation des Skype for Business Online Connectors ist daher nicht mehr notwendig.

Install-Module -Name MicrosoftTeams -Scope CurrentUser -RequiredVersion 4.5.0

Aktuelle Konfiguration prüfen

Import-Module -Name MicrosoftTeams -RequiredVersion 4.5.0
Connect-MicrosoftTeams
Get-CsOAuthConfiguration | Select-Object ClientAdalAuthOverride

Sollte der Wert für ClientAdalAuthOverride nicht Allowed sein, muss Modern Auth noch aktiviert werden.

Aktivieren

Set-CsOAuthConfiguration -ClientAdalAuthOverride Allowed
# Check if change was made
Get-CsOAuthConfiguration | Select-Object ClientAdalAuthOverride

/legacy-authentication-kontrolliert-abschalten-modern-authentication-aktivieren/images/Skype4BusinessModernAuthEnabled.png

Nächster Schritt

Jetzt wo die Clients auch wirklich Modern Authentication nutzen können, gilt es die Voraussetzungen zu schaffen Legacy Authentication zu deaktivern.

Aktualisiert am 2022-08-23
Zurück | Startseite