Microsoft Entra: Legacy Authentication mit bedingtem Zugriff blockieren
Letzte Aktualisierung am 19. Juli 2025
Protokolle wie POP3, IMAP, SMTP oder MAPI basieren auf veralteten Authentifizierungsverfahren, der sogenannten Legacy Authentication. Diese unterstützt keine modernen Sicherheitsmechanismen wie die Multi-Faktor-Authentifizierung (MFA). Genau das macht sie zu einem bevorzugten Einfallstor für Angreifer.
Microsoft unterstreicht das Risiko mit eindrücklichen Zahlen:
- über 99 % der Passwort-Spraying-Angriffe verwenden ältere Authentifizierungsprotokolle
- über 97 % aller Angriffe mit gestohlenen Anmeldedaten (Credential Stuffing) erfolgen über Legacy-Authentifizierung.
- Organisationen mit deaktivierter Legacy Authentication verzeichnen 67 % weniger erfolgreiche Angriffe
Quelle: New tools to block legacy authentication in your organization | Microsoft Community Hub
Umso wichtiger ist es, die Verwendung von Legacy Authentication zu erkennen und zu unterbinden. Dieser Beitrag zeigt Schritt für Schritt, wie sich Legacy Authentication im Microsoft Entra Anmeldeprotokoll erkennen und mit dem bedingten Microsoft Entra-Zugriff blockieren lässt.
Voraussetzungen und Lizenzierung
Lizenzen
Zum Blockieren von Legacy Authentication wird das Feature bedingter Microsoft Entra-Zugriff benötigt. Dieses ist in folgenden Plänen enthalten:
- Microsoft Entra ID P1 oder höher
Eine aktuelle Übersicht der Microsoft 365 Pläne und deren Funktionsumfang bietet https://m365maps.com/.
Rollen
Zum Blockieren von Legacy Authentication eignen sich die folgenden Rollen nach dem Prinzip der geringsten Rechte:
| Rolle | Berechtigung |
| Berichtleseberechtigter | Microsoft Entra Anmeldeprotokoll lesen und filtern |
| Administrator für bedingten Zugriff | Einrichten und Verwalten von bedingtem Microsoft Entra-Zugriff |
Verwundbare Clientanwendungen identifizieren
Vor dem Blockieren von Legacy Authentication zeigt das Anmeldeprotokoll in Microsoft Entra ID, welche Konten noch veraltete Authentifizierungen für den Zugriff auf Clientanwendungen nutzen.
Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Benutzer > Anmeldeprotokolle
- Spalte Client-App zum Anmeldeprotokoll hinzufügen
- Zeitraum der Auswertung festlegen
- Filterkriterium Client-App hinzufügen
- Sämtliche Legacy-Authentifizierungsclients auswählen
Die gefilterte Ansicht zeigt, welche Zugriffe noch auf veraltete Authentifizierungsverfahren basieren und vor einer Blockierung durch den bedingten Microsoft Entra-Zugriff näher untersucht werden sollten.
Blockieren von Legacyauthentifizierungen
Sobald keine Abhängigkeiten zu Legacy Authentication mehr bestehen, kann der Zugriff mit veralteten Authentifizierungsverfahren durch den bedingten Microsoft Entra-Zugriff unterbunden werden.
Microsoft Entra Admin Center (https://entra.microsoft.com) > ID-Schutz > Risikobasierter bedingter Zugriff > Neue Richtlinie
Name für den bedingten Microsoft Entra-Zugriff vergeben.
Die Benennungskonventionen sind hier beschrieben: Planen einer Microsoft Entra-Bereitstellung für bedingten Zugriff – Microsoft Entra ID | Microsoft Learn
Benutzer für diese Richtlinie auswählen.
Die Richtlinie wird auf alle Benutzerkonten angewendet. In Ausnahmefällen können gezielte Ausschlüsse definiert werden.
Notfallzugriffskonten (Emergency Accounts) ausschliessen.
Die Zielressourcen auf Alle Ressourcen (früher Alle Cloud-Apps) setzen.
In den Bedingungen unter Client-Apps > Legacy-Authentifizierungsclients die Optionen Exchange ActiveSync-Clients und Andere Clients auswählen.
Unter Gewähren die Option Zugriff blockieren aktivieren.
Richtlinie mit Ein aktivieren und Erstellen speichern.
Die Richtlinie zum Blockieren von Legacy Authentication ist eingerichtet und aktiviert.
Neue Inhalte, praxisnah erklärt: Wer nichts verpassen möchte, bleibt über LinkedIn und Bluesky stets informiert.
Kein Marketing, kein Lärm, nur Inhalt.
Ein Kaffee bringt frisches Know-how in die Tasse des nächsten Beitrags.
