Am 28. März 2025 wird ein Update für SharePoint Online Management Shell veröffentlicht. Dabei wird das IDCRL (Identity Client Run Time Library) Authentifizierungsprotokoll durch OAuth ersetzt. Dadurch wird die Sicherheit verbessert.
IDCRL (Identity Client Run Time Library) is Microsoft’s proprietary authentication mechanism for accessing services like SharePoint Online and Office 365. However, it lacked flexibility, strong token security, and modern authentication features. It stored tokens locally, had limited access control, and was prone to security risks.
In contrast, OAuth 2.0 has become the industry standard for secure authentication and authorization. With short-lived access tokens, scoped permissions, multi-factor authentication (MFA) support, and Zero Trust alignment, OAuth provides a more secure and scalable solution. Its token-based model ensures better protection against credential theft and unauthorized access.
Source: ChatGPT
Zeitraum
Der Übergang zu OAuth tritt mit dem Update für SharePoint Online Management Shell am 28. März 2025 in Kraft.
IDCRL-Authentifizierung in deinem SharePoint-Tenant
Du verwendest die alte IDCRL-Authentifizierung, wenn du eine Situation wie die folgende mit SharePoint Online PowerShell hast.
- Du musst PowerShell 5 verwenden.
- Du verwendest Connect-SPOService ohne dem Parameter ModernAuth.
- Du verwendest Connect-SPOService mit dem Parameter Credential.
- Das Property LegacyAuthProtocolsEnabled ist in deinem SharePoint Tenant auf True gesetzt.
In der Dokumentation weist Microsoft darauf hin, dass LegacyAuthProtocolsEnabled standardmässig weiterhin auf True gesetzt ist.
LegacyAuthProtocolsEnabled
By default this value is set to $True, which means that authentication using legacy protocols is enabled.Setting this parameter to $False prevents Office clients using non-modern authentication protocols from accessing SharePoint Online resources.
- True – Enables Office clients using non-modern authentication protocols (such as, Forms-Based Authentication (FBA) or Identity Client Runtime Library (IDCRL)) to access SharePoint resources.
- False – Prevents Office clients using non-modern authentication protocols from accessing SharePoint Online resources.
This may also prevent third-party apps from accessing SharePoint Online resources.
Also, this will also block apps using the SharePointOnlineCredentials class to access SharePoint Online resources. For additional information about SharePointOnlineCredentials, see SharePointOnlineCredentials class.
Du findest die IDCRL-Authentifizierung in den Entra ID Non-interactive Sign-in logs als Client-App „Other clients“.
Wie sich diese Änderung auf deine Organisation auswirken wird
Im September 2022 hat Microsoft einen ModernAuth-Parameter zur Connect-SPOService Dokumentation hinzugefügt (siehe GitHub-Commit). Der Standardwert von ModernAuth ist weiterhin False. Standardmässig verwendet Connect-SPOService die IDCRL-Authentifizierungsmethode.
Um moderne Authentifizierung zu nutzen, musst du den ModernAuth-Parameter manuell hinzufügen (oder mit einer persönlichen SharePoint Verbindungsmethode).
# PowerShell 5 only
Import-Module Microsoft.Online.SharePoint.PowerShell
Connect-SPOService `
-Url "https://<Tenantname>-admin.sharepoint.com" `
-Credential <Credentials> `
-ModernAuth $true `
-AuthenticationUrl "https://login.microsoftonline.com/organizations"
In der kommenden SharePoint Online PowerShell-Version werden Verbindungen mit Connect-SPOService automatisch mit dem modernen OAuth-Protokoll authentifiziert. Der ModernAuth-Parameter wird nach der Installation des aktualisierten Moduls obsolet sein.
Du solltest deine PowerShell Scripts nach der Aktualisierung überprüfen und testen.
Nach dem Update informiert eine Warnmeldung Administratoren, dass IDCRL durch OAuth ersetzt wurde.
