Ab Oktober 2022 deaktiviert Microsoft in Exchange Online Basic Authentication für veraltete Protokolle. Wurde auf einem iOS Gerät in der Vergangenheit ein Exchange Konto in der Mail App eingerichtet kann das Konto weiterhin Exchange ActiveSync einsetzen. Solche Konten müssen neu eingerichtet werden.
Seit September informiert Microsoft regelmässig über das Ende von Basic Authentication. Darunter fallen Protokolle wie Exchange ActiveSync, POP, IMAP, Exchange Web Services, Exchange Remote PowerShell und veraltete Versionen von Outlook für Windows / Mac.
Setzen M365 Tenants veraltete Protokolle ein publiziert Microsoft in betroffenen Tenants einen monatlichen Bericht über die Anzahl von Benutzerkonten. In meinem privaten Tenant bekam ich die Meldung eines meiner Benutzerkonten verbindet sich weiterhin über Exchange ActiveSync.
Über die Azure AD Sign-in Logs konnte ich die Anmeldungen über Exchange ActiveSync filtern. Ich nahm als Filter die Client App Exchange ActiveSync und erhalte Informationen über die letzten Anmeldungen von meinem Konto.
Öffne ich eines der Ergebnisse zeigt es div. Daten. Die Daten können helfen herauszufinden welches Gerät die Ursache ist. In meinem Fall ist für mich der User Agent ausschlaggebend um zu wissen mein iPhone kommuniziert weiterhin über das alte Protokoll.
Der Grund ist naheliegend. Mein Konto ist in der Mail App von iOS bereits lange eingebunden und wird bei einem Wechsel des Telefons über die Wiederherstellungsfunktion (Backup / Restore) übernommen. Die veraltete Kommunikation ist daher ein Relikt aus Zeiten als iOS Modern Authentication nicht unterstützte. Seit iOS 12 unterstützen iPhone und iPad Modern Authentication.
Für in iOS eingebundene Azure AD Konten ist es einfach das Problem zu beheben. Es muss iOS 12 oder höher sein.
- Öffne auf dem iOS Gerät die Einstellungen > Mail > Konten.
- Hier wird das Exchange Mailkonto gelistet sein. Öffne den Eintrag und entferne das Konto. Da die Daten online in Outlook gespeichert sind können lokale Daten entfernt werden.
- Füge ein neues Konto hinzu und wähle Microsoft Exchange.
- Ergänze die Angabe über Mailadresse und Bezeichnung für das Konto.
- Im nächsten Schritt wird dich iOS fragen ob du die Konfiguration automatisch oder manuell durchführen möchtest. Wähle Sign In (für die automatische Konfiguration).
- iOS öffnet eine Aufforderung um “Apple Internet Accounts” Zugriff auf Profildaten aus deinem Azure AD Benutzerkonto und vollen Zugriff auf deine Exchange Mailbox zu geben. Mit der Aufforderung möchte iOS Modern Authentication einsetzen. Es ist der Ersatz für das alte ActiveSync. Möchtest du das Mailkonto bei iOS einbinden musst der Aufforderung zustimmen, alternativ kannst du es ablehnen.
Ein Administrator könnte solche Aufforderungen deaktivieren und unkontrollierte Datenzugriffe verweigern. In dem Fall würde es dir signalisieren dich an einen Administrator der Organisation zu wenden.
- Danach kannst du mit deiner Konfiguration fortfahren und wie in der Vergangenheit Mails, Kontakte, Kalender und Notizen synchronisieren.
Nach der Neueinrichtung kann es in Azure AD an zwei Orten verifiziert werden ob die Umstellung von Basic auf Modern Authentication für das Konto erfolgreich war. Warte 30 – 60 Minuten bis zur ersten Überprüfung.
- iPhone setzt keine Basic Authentication mehr ein
In den Azure AD Sign-in Logs führst du erneut die Filterung von vorhin aus. Seit deiner Neueinrichtung dürfte kein neuer Eintrag hinzugekommen sein. Überprüfe es nach 24 Stunden erneut.
- iPhone hat auf Modern Authentication gewechselt
Im Schritt 6 hast du der Aufforderung für “Apple Internet Accounts” zustimmen müssen. Apple Internet Accounts ist eine von Apple publizierte Azure Enterprise App. Du findest die App in Azure AD > Enterprise Applications > Apple Internet Accounts.
Öffne die App und wechsle im Menü zu den Sign-in Logs der App. Ab dem Zeitpunkt der Neueinrichtung sollte es das betroffene Konto hier auflisten. In meinem Fall trennte ich die Verbindung nach 22:57 und fügte das neue Konto um 23:00 ein.
Das eine betroffene iPhone wurde damit umgestellt. Für Dezember sollte ich im M365 Message Center keinen Bericht über Basic Authentication mehr erhalten.