Was bedeutet OAuth 2.0 bzw. moderne Authentifizierung?
Microsoft hat im September 2021 angekündigt und im September 2022 bestätigt, dass „Basic Authentication“, d.h., Authentifizierung nur über Eingabe von Nutzernamen und Passwort, für die Microsoft Exchange Online Nutzer abgeschalten wird. Stattdessen wird nur noch die sogenannte „moderne Authentifizierung“ über OAuth 2.0 möglich sein.
Grund hierfür ist, dass diese „Basis-Authentifizierung“ nach wie vor ein häufiges Einfallstor für Angreifer ist — schließlich bemerkt man es nicht, wenn Nutzername und Passwort einem Fremden in die Hände fallen, der sich dann von überall auf der Welt Zugriff zum Postfach verschaffen kann.
Wen betrifft die Umstellung?
Betroffen sind Win-CASA Nutzer, die Microsoft Exchange Online für den E-Mail Verkehr benutzen sowie Win-CASA zum Empfangen von E-Mails nutzen (reines Versenden ist nicht betroffen).
Im Detail:
- Die betroffenen Microsoft Exchange Online Dienste sind MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS), und Remote PowerShell. Für den Software24-Kundenkreis dürften insbesondere die E-Mail Dienste relevant sein, d.h. POP und IMAP, die zum Empfangen von Emails dienen.
- Interessant hierbei ist, dass SMTP nicht in der Liste aufscheint, d.h. das reine Versenden von E-Mails über das SMTP Protokoll kann weiterhin erfolgen. Grund hierfür ist unserer Einschätzung nach, dass durch das reine Versenden von E-Mails weniger Schaden angerichtet werden kann bzw. kein Datenleck entstehen kann, und so könnte das Versenden von E-Mails noch länger ohne Umstellung funktionieren.
In welchem Zeitraum erfolgt die Umstellung?
Ab 1.10.2022 werden zufällig Exchange-Tenants ausgewählt und die „Basic-Authentification“ für die oben genannten Protokolle wird abgeschalten. Diese Abschaltung wird im Microsoft „Message Center“ 7 Tage vor Abschaltung gepostet, so dass die Nutzer vorab informiert sind. Die Umstellung soll mit Ende 2022 abgeschlossen sein, ab Januar 2023 soll die Basis-Authentifizierung nicht mehr verfügbar sein.
Was, wenn ich noch nicht bereit bin?
Nutzer bekommen laut dem letzten Update von Microsoft nochmals die Möglichkeit, die Basis-Authentifizierung einmalig zu verlängern. Die aktuell (Stand: September 2022) dafür kommunizierte Deadline ist der Dezember 2022. Die entsprechenden Einstellungen können vom Exchange-Online Administrator vorgenommen werden.
Warum ist es relevant für Win-CASA Benutzer?
Win-CASA benutzer haben die Möglichkeit, über Win-CASA E-Mails zu verschicken und auch zu empfangen. Neben anderen Mailservern benutzen viel unserer Kunden dafür Microsoft Exchange Online. Besonders betroffen sind Benutzer, die viele E-Mails über Win-CASA empfangen und versenden, z.B., weil sie das CRM (Objektmanagement) Modul vollumfänglich nutzen.
Doch keine Angst, mit Win-CASA funktioniert die Umstellung genau so einfach wie es über Outlook oder andere Mailprogramme der Fall wäre!
Wie funktioniert die OAuth 2.0 Einbindung in Win-CASA genau?
In Win-CASA muss die entsprechende Einstellung in den E-Mail Einstellungen gesetzt werden.
(1) Für Nutzer, die das CRM-Modul nicht benutzen
Aktivieren Sie das Kontrollkästchen „SMTP + Outlook OAuth 2.0“ in „Stammdaten Verwalter“ (VERWALTUNG – Objekte & Wohnungen – Verwalter – EMail Konto konfigurieren):
Beim Aktivieren des Kontrollkästchens werden bestimmte Standard-Konfigurationseinstellungen gesetzt und die Bearbeitung deaktiviert.
(2) Für Nutzer, die das CRM-Modul benutzen
Die entsprechenden Einstellungen können im Menü „Daten des E-Mail Kontos“ getroffen werden (VERWALTUNG-Verwalter-Mitarbeiter Bearbeiten-E-Mail Konto konfigurieren):
- Tippen Sie auf die Schaltfläche am unteren Rand der Seite „IMAP/POP3/SMTP + Outlook OAuth2.0 anwenden.
- Nach dem Tippen auf die Schaltfläche werden die Daten automatisch ausgefüllt, eine Bearbeitung ist möglich, wird jedoch nicht empfohlen.
(3) Alle Nutzer
Nachdem Sie das Kontrollkästchen aktiviert oder auf die Schaltfläche getippt haben, klicken Sie „Test E-Mail versenden“.
Win-CASA öffnet daraufhin den Webbrowser und fordert Sie auf, sich bei Outlook / Exchange Online anzumelden.
Melden Sie sich im Browser mit Ihrer E-Mail-Adresse und Ihrem Passwort sowie je nach Ihren Exchange-Einstellungen mit Multi-Faktor Authentifizierung an. Achtung: Sie müssen sich mit derselben E-Mail-Adresse anmelden, die Sie unter „E-Mail-Adresse“ in Win-CASA verwenden!
Wenn die Login-Daten korrekt sind, werden Sie um Bestätigung gebeten. Dies bedeutet, dass Sie der Anwendung Win-CASA erlauben, auf Ihr Exchange-Online zuzugreifen. Tippen Sie auf Zulassen. Falls Ihre Organisation dies so eingestellt hat, müssen Sie den Organisationsadministrator bitten, dies zuzulassen. Klicken Sie in diesem Fall auf „Genehmigungsanforderung“. Der Exchange-Adminstrator wird dann aufgefordert, die Genehmigung zu erteilen.
Sie erhalten in diesem Fall die Nachricht, dass die Anforderung ausstehend ist, und kommen zurück zu Win-CASA.
Für den Fall dass Ihr Administrator Ihrem Benutzer die Rechte zur Verwendung von IMAP und POP3 nicht erteilt hat, gibt Win-CASA einen Ausnahmefehler zurück („Authentication unsuccessful. Authentication is disabled for the Tenant“). Kontaktieren Sie ien diesem Fall Ihren Administrator.
Achtung: Sie können E-Mails erst dann empfangen, wenn Ihr Exchange-Administrator der Anwendung Win-CASA die Berechtigung erteilt hat!
Wenn alles funktioniert hat, speichert Win-CASA Ihr Login-Token (in verschlüsselter Form) und greift über dieses auf Exchange Online zu.
Erneute Anmeldung
Eine erneute Anmeldung ist alle 90 Tage erforderlich (je nach den Einstellungen Ihres Exchangen-Online Tenants gegebenenfalls auch in kürzeren Abständen).
Win-CASA bittet den Benutzer über ein PopUp-Fenster, sich mit Ihrer E-Mail Adresse und Passowort (bzw. ggf. Multi-Faktor-Authentifizierung) neu anzumelden:
Das entsprechende PopUp bzw. die Login-Aufforderung im Browser kann auch auf anderen Masken auftauchen (insbesondere im CRM-Posteingang und CRM – Neue E-Mail verfassen), je nachdem, an welcher Stelle ein Login erforderlich ist um weiter zu arbeiten.
Eine Antwort hinterlassen