SMTP-OAuth-Konfiguration für Microsoft 365

Einstellung der Standardauthentifizierung in Microsoft 365

Im Rahmen der fortlaufenden Sicherheitsverbesserungen von Microsoft wird die Standardauthentifizierung in Exchange Online (Teil von Microsoft 365) bis März 2026 bis März 2026 vollständig abgeschafft und deaktiviert. (Siehe offizielle Ankündigung von Microsoft.)

Auswirkungen auf Tenable Identity Exposure

Tenable Identity Exposure enthält eine Funktion zur Zustellung von Berichten und Warnungen per E-Mail. Wenn Sie sich zur Nutzung von SMTP derzeit per Standardauthentifizierung mit Microsoft 365 verbinden, erhalten Sie nach der Deaktivierung der Standardauthentifizierung keine E-Mail-Berichte oder Warnungen mehr von Tenable Identity Exposure.

Um Unterbrechungen zu vermeiden, unterstützt Tenable Identity Exposure OAuth, das moderne und sichere Authentifizierungsprotokoll von Microsoft 365. Tenable Identity Exposure empfiehlt dringend, sich auf diese Änderung vorzubereiten, damit Sie weiterhin E-Mail-Benachrichtigungen erhalten.

Anhand des folgenden Verfahrens können Sie die SMTP-OAuth-Authentifizierung in Microsoft 365 konfigurieren, um Funktionen zum sicheren Senden von E-Mails in Tenable Identity Exposure zu aktivieren.

Voraussetzungen

  • Microsoft 365-Administratorzugriff

  • PowerShell mit Administratorrechten

  • Aktiver Microsoft 365-Mandant

  • Installiertes PowerShell-Modul ExchangeOnlineManagement [siehe Schritt 6]

  • Installiertes PowerShell-Modul ExchangePowerShell [siehe Schritt 6]

OAuth-Konfiguration

    1. Melden Sie sich am Azure-Portal an.

    2. Navigieren Sie zu Microsoft Entra ID > App-Registrierungen.

    3. Klicken Sie auf + Neue Registrierung.

    4. Geben Sie einen Namen für Ihre Anwendung ein.

    5. Wählen Sie die entsprechenden unterstützten Kontotypen „Nur Konten in diesem Organisationsverzeichnis“ aus.

    6. Klicken Sie auf Registrieren.

    7. Kopieren Sie die Mandanten-ID und bewahren Sie sie als Referenz auf.

    8. Klicken Sie auf den Link unter „Verwaltete Anwendung in lokalem Verzeichnis“, um auf die Entreprise-Anwendung für diese neue App-Registrierung zuzugreifen:

    9. Kopieren Sie die Anwendungs-ID (AppID) und die Objekt-ID (ObjectID), um sie in den nächsten Schritten zu verwenden.

    1. Wählen Sie in Ihrer neu erstellten App-Registrierung im linken Menü die Option API-Berechtigungen aus.

    2. Klicken Sie auf + Berechtigung hinzufügen.

    3. Wählen Sie die Office 365 Exchange Online-API aus.

    4. Wählen Sie Anwendungsberechtigungen aus.

    5. Scrollen Sie nach unten und wählen Sie SMTP.SendAsApp aus.

    6. Klicken Sie auf Berechtigungen hinzufügen.

    7. Klicken Sie auf Administratoreinwilligung erteilen für [Ihre Organisation].

    1. Gehen Sie in Ihrer App-Registrierung im linken Menü zu Zertifikate und Geheimnisse.

    2. Klicken Sie unter Geheime Clientschlüsselauf + Neuer geheimer Clientschlüssel.

    3. Geben Sie eine Beschreibung für Ihren geheimen Schlüssel ein.

    4. Wählen Sie basierend auf Ihrer Sicherheitsrichtlinie einen Ablaufzeitraum aus.

      Wichtig: Achten Sie darauf, den geheimen Clientschlüssel zu ändern, bevor er abläuft, indem Sie einen neuen erstellen und ihn in Tenable Identity Exposure konfigurieren. Wenn die Anmeldeinformationen nicht rechtzeitig aktualisiert werden, schlägt das Senden von E-Mails in Tenable Identity Exposure fehl, sobald der Schlüssel abgelaufen ist.

    5. Klicken Sie auf Hinzufügen.

      Wichtig: Kopieren und speichern Sie den generierten geheimen Schlüssel, da er nicht noch einmal angezeigt wird. Sie benötigen ihn im nächsten Schritt. Es gibt keine Möglichkeit, ihn später erneut abzurufen.

    1. Gehen Sie zum Microsoft 365 Admin Center.

    2. Navigieren Sie zu Benutzer > Aktive Benutzer.

    3. Wählen Sie entweder einen vorhandenen Benutzer aus oder erstellen Sie ein neues freigegebenes Postfach, das für das Senden über SMTP verwendet werden soll.

    4. Stellen Sie sicher, dass dem Postfach eine entsprechende Office 365-Lizenz zugewiesen ist.

    1. Gehen Sie zum Microsoft 365 Admin Center.

    2. Navigieren Sie zu Benutzer > Aktive Benutzer.

    3. Wählen Sie das Benutzerpostfach aus, das Sie konfigurieren möchten.

    4. Klicken Sie auf E-Mail > E-Mail-Apps verwalten.

    5. Deaktivieren Sie alle Optionen und aktivieren Sie dann nur Authentifiziertes SMTP.

    6. Klicken Sie auf Speichern.

    • Öffnen Sie PowerShell und führen Sie die folgenden Befehle aus:

      Kopieren 
      Install-Module -Name ExchangeOnlineManagement
      Import-Module ExchangeOnlineManagement
      Install-Module -Name ExchangePowershell
      Import-Module -Name ExchangePowershell
      # Connect to Exchange Online (replace <Tenant ID> with your actual Tenant ID)
      Connect-ExchangeOnline -Organization <Tenant ID>

    • Führen Sie in Ihrer PowerShell-Sitzung (weiterhin mit Exchange Online verbunden) den folgenden Befehl aus, nachdem Sie die zu Beginn erhaltenen Werte angepasst haben:

      Kopieren 
      # Register the service principal
      New-ServicePrincipal -AppId "<AppID>" -ObjectId "<ObjectID>"

    • Gewähren Sie in derselben PowerShell-Sitzung dem Dienstprinzipal Ihrer Anwendung Zugriff auf das gewünschte Postfach:

      Kopieren 
      Add-MailboxPermission -Identity "<[email protected]>" -User "<APPID>" -AccessRights FullAccess
      Hinweis: Ersetzen Sie „<Benutzer@IhreDomäne.com>“ durch die tatsächliche E-Mail-Adresse des Postfachs, das Sie verwenden möchten, und <APPID> durch die Anwendungs-ID Ihres Dienstprinzipals.

  1. Damit Tenable Identity Exposure die OAuth-SMTP-Authentifizierung verwenden kann, geben Sie die folgenden zuvor erfassten Informationen an:

    • Mandanten-ID: Ihre Microsoft 365-Mandanten-ID

    • Client-ID: Die Anwendungs-ID (Client) Ihrer App-Registrierung

    • Wert des geheimen Clientschlüssels: Der Wert des geheimen Schlüssels, den Sie zuvor erstellt und gespeichert haben

    • E-Mail-Adresse des Absenders: Die E-Mail-Adresse des von Ihnen konfigurierten Postfachs