Ein erster Blick auf die moderne Authentifizierung für Outlook

Microsoft ändert die Art und Weise, wie Outlook-Benutzer eine Verbindung zu Exchange-Servern herstellen, weg von herkömmlichen Methoden, …

B. Windows-Authentifizierung oder Speichern eines Nur-Text-Benutzernamens und -Kennworts und Verschieben in Richtung Cloud.
Die moderne Authentifizierung ist eine neue Funktion, von der Unternehmen profitieren können, die eine echte einmalige Anmeldung im Outlook-Client oder eine echte Multifaktorauthentifizierung benötigen. Es integriert die browserbasierte Authentifizierung in Outlook und andere Office-Clients und ermöglicht dem Client die Verwendung der Open Authorization-basierten Authentifizierung für Office 365.

Die Verwendung der browserbasierten Authentifizierung innerhalb des Clients bietet eine Reihe von unmittelbaren Vorteilen.
Seit der ersten Verfügbarkeit von Office 365 konnte nicht vermieden werden, dass Endbenutzer bei der Konfiguration von Outlook mit Exchange Online ihre Kennwörter eingeben müssen. Dies ist zugegebenermaßen eine geringfügige Unannehmlichkeit, da das Kennwort auf dem Client gespeichert werden kann. Wenn Sie Endbenutzer niemals zur Eingabe von Anmeldeinformationen auffordern müssen, wird eine E-Mail-Migration zu Office 365 vereinfacht.

Verwenden der modernen Authentifizierung mit MFA

Per Definition erwartet MFA, dass Endbenutzer mehr als eine Form der Überprüfung bereitstellen, um zu beweisen, wer sie sind. Dies beinhaltet normalerweise etwas, das sie wissen und etwas, das sie haben. Dies ist häufig das Passwort und entweder ein Telefon, ein Token oder ein Zertifikat.
In Office 365 konnten Outlook-Clients keine echte MFA verwenden. Stattdessen wurden App-Passwörter verwendet – lange Passwörter, die generiert wurden, nachdem sich Endbenutzer mit MFA angemeldet hatten. App-Kennwörter können in einer Reihe von Clients wiederverwendet werden. Wenn Endbenutzer das App-Kennwort notiert haben, kann eine andere Person in einem Rich Client wie Outlook oder ActiveSync könnte es benutzen.
Die moderne Authentifizierung ermöglicht es dem Client schließlich, die richtige MFA zu verwenden. Die Erfahrung ist ähnlich, wenn Sie sich über einen Browser bei Outlook Web App anmelden. Nachdem sich ein Endbenutzer angemeldet hat, wird der Benutzer beispielsweise auf einer zweiten Seite aufgefordert, die Anmeldung über die mobile App zu bestätigen.

Wie funktioniert die moderne Authentifizierung?

Die moderne Authentifizierung verwendet die Active Directory-Authentifizierungsbibliothek (ADAL) in Office, um Zugriffsdaten zu authentifizieren und zu speichern. Das Öffnen Sie die Authentifizierung Das (OAuth) -Protokoll ist der Kern von ADAL. Dies ist der gleiche Mechanismus, den Facebook, Twitter und Google für den standortübergreifenden Zugriff verwenden, ohne Passwörter zu teilen.
Es werden zwei Informationen verwendet – ein Aktualisierungstoken und ein Zugriffstoken. Das Zugriffstoken ist von kurzer Dauer und nur etwa eine Stunde lang gültig. Das Aktualisierungstoken hat standardmäßig eine längere Lebensdauer von 14 Tagen. Das Aktualisierungstoken fordert Zugriffstoken an, und das Zugriffstoken wird Office 365 angezeigt.
Der Client kann entweder die Office 365 Azure AD-Anmeldeseiten verwenden, wenn Sie DirSync Password Sync oder reine Cloud-IDs oder AD FS verwenden. Beide erlauben die Verwendung von MFA, aber nur AD FS erlaubt eine echte einmalige Anmeldung mit den Anmeldeinformationen des angemeldeten Benutzers.
In einer AD FS-Umgebung können zwei verschiedene Erfahrungen bereitgestellt werden. Interne Endbenutzer mit Domänenbeitritt profitieren von AD Single Sign-On. Externe Benutzer, die zur Eingabe von MFA aufgefordert werden, verwenden dieselbe Konfiguration, die zum Sichern des browserbasierten Zugriffs auf Office 365 verwendet wird.
Abbildung 1 zeigt ein gutes Beispiel für den Anmeldefluss.

Moderner Authentifizierungsablauf

Aktivieren und Deaktivieren der modernen Authentifizierung

Administratoren müssen die moderne Authentifizierung manuell aktivieren. Stellen Sie dazu sicher, dass Sie über die folgenden Softwarevoraussetzungen verfügen:

  • Kumulatives Office 2013-Update für November 2014, das automatisch im neuesten Click-To-Run-Installationsprogramm und in der Office 2016-Vorschau enthalten ist. und
  • MS14-052: Kumulatives Sicherheitsupdate für Internet Explorer.

Nehmen Sie die folgenden Registrierungsänderungen vor und starten Sie den Outlook-Client neu:

PfadSchlüsselArtWert
HKCU SOFTWARE Microsoft Office 15.0 Common IdentityEnableADALDWORD1
HKCU SOFTWARE Microsoft Office 15.0 Common IdentityAusführungDWORD1
HKCU SOFTWARE Microsoft Office 15.0 Common DebugTCOTraceDWORD3
HKCU SOFTWARE Microsoft ExchangeMSOAuthDisabledDWORD0

Wenn Sie verwenden das Büro 2016 Vorschau, ändern Sie einfach die 15.0 im Pfad oben für 16.0.
Beim Starten von Outlook von einem Computer mit Domänenbeitritt, der AD FS zur Authentifizierung bei Office 365 verwendet, sollten Endbenutzer keine Eingabeaufforderung sehen. Sie sollten einfach ohne weitere Eingabeaufforderungen für Anmeldeinformationen auf Office 365 zugreifen.
Auf einem Computer ohne Domänenbeitritt sollte ein Login einmal für Outlook und ein zweites Mal für Outlook angezeigt werden andere Office-Apps (Figur 2).

Formularbasiertes Login

Derzeit gibt es einige Einschränkungen bei der Verwendung der modernen Authentifizierung. Für die moderne Authentifizierung aktivierte Office 365-Mandanten können nicht mit Mandanten gemischt werden, die für die moderne Authentifizierung nicht in einem einzelnen Outlook-Profil aktiviert sind. Wenn Sie nicht sicher sind, ob beide Mandanten aktiviert sind, führen Sie einfach die Clientfunktion aus und starten Sie Outlook. Funktionen wie Rights Management Services sind mit der modernen Authentifizierung nicht verfügbar. Der Office-Blog behandelt diese Einschränkungen ausführlicher.
Wenn Sie zur Standard-Office 365-Authentifizierung zurückkehren möchten, müssen Sie die Registrierungseinstellungen ändern. Die wichtigsten Änderungen zum Deaktivieren der modernen Authentifizierung lauten wie folgt:

PfadSchlüsselArtWert
HKCU SOFTWARE Microsoft Office 15.0 Common IdentityEnableADALDWORD0
HKCU SOFTWARE Microsoft Office 15.0 Common IdentityAusführungDWORD1
HKCU SOFTWARE Microsoft ExchangeMSOAuthDisabledDWORD1

Wenn Sie die Office 2016-Vorschau verwenden, ändern Sie einfach 15.0 für 16.0.
Über den Autor:
Steve Goodman ist ein Exchange MVP und arbeitet als technischer Architekt für einen der führenden Microsoft Gold-Partner in Großbritannien. Goodman hat seit Version 5.5 intensiv mit Microsoft Exchange und seit seinen Anfängen in Exchange Labs und mit Office 365 zusammengearbeitet [email protected]

Similar Posts

Leave a Reply