Inhalt

Legacy Authentication kontrolliert abschalten - Vorwort

In einer Azure AD Umgebung ist Legacy Authentication die Achillesferse der Security.

Während moderne Clients Conditional Access Policies und Multifaktor-Authentifizierung berücksichtigen, reißt der Einsatz von alte Clients und damit verbundenen Protokollen wie SMTP, IMAP oder Exchange ActiveSync eine gern übersehene Lücke in diese Absicherung.

Da diese Protokolle nicht mit Conditional Access kompatibel sind, “umgehen” Sie, wenn nicht anders definiert, die dort hinterlegten Regeln. Das ist keine Sicherheitslücke bei Microsoft, sondern eine Designentscheidung und die Auswirkungen auf die eigene Umgebung sollte man daher genau kennen.

Das Vorgehen in sechs Schritten

Diese Blogserie stellt einen Handlungsleitfaden für das Abschalten der Legacy Authentication dar und gibt dabei praxiserprobte Tipps.

  1. Vorwort
  2. Modern Authentication aktivieren
  3. Voraussetzungen schaffen
  4. Einblicke gewinnen
  5. Die ersten 90%
  6. Die nächsten 9%
  7. Abschaltung
Gefahr
Wie bei jeder Änderung an einem zentralen System wie dem Azure Active Directory sollten die Schritte sorgfältig geplant und getestet werden. Die Umsetzung dieser Tipps erfolgt daher auf eigenes Risko.

Anforderungen an die Umgebung

Die hier aufgelisteten Voraussetzungen sind für die Zielerreichung erforderlich.

Azure Active Directory Premium P1

Für eine Stufenweise Abschaltung von Legacy Authentication ist Contitional Access das Mittel der Wahl. Eine Abschaltung ist natürlich auch ohne Conditional Access möglich, jedoch nicht so granular steuerbar.
Conditional Access ist in der Azure Active Directory Premium P1 Lizenz enthalten und somit im Standard nicht in jedem Tenant verfügbar.

Azure Subscription

Eine Azure Subscription wird für die langfristige Speicherung und bequemere Auswertung der Anmeldelogs in einem Log Analytics Workspace benötigt. Daher sollte schon jetzt eine Subscription anlegt werden oder du verschaffst dir Berechtigungen auf eine vorhandene Subscription.

Los geht’s

Mit diesem Vorwissen geht es jetzt direkt in die Umsetzung. Schritt 1 bis 3 haben keine direkten Auswirkungen für die Endnutzer.

Schritt 2: Modern Authentication aktivieren