Skip to content
ViganoLabs Dokumentation

Conditional Access bricht Legacy Auth

Symptom

Section titled “Symptom”

Nach Einführung oder Verschärfung von Conditional Access schlagen Anmeldungen plötzlich fehl – typischerweise bei älteren Clients/Protokollen (IMAP/POP/SMTP AUTH, ältere Office-Clients, Drittanbieter-Mailclients).

Häufige Indikatoren:

  • Anmeldungen funktionieren im Browser, aber nicht im Mailclient.
  • Sign-in Logs zeigen “Legacy authentication” oder einen Client-App-Typ, der nicht modern authentifiziert.

Ursache

Section titled “Ursache”

Legacy Auth unterstützt moderne Controls (MFA, device compliance) entweder gar nicht oder nur unzureichend. Wenn du dann MFA/Compliance erzwingst oder Legacy explizit blockierst, scheitern diese Flows.

Diagnosepfad

Section titled “Diagnosepfad”

  1. Sign-in Logs prüfen

    • Client App / Authentication Protocol (Legacy vs Modern)
    • Welche CA-Policy hat geblockt?

  2. Betroffene Workloads identifizieren

    • Welche Benutzer/Service Accounts?
    • Welche Applikation/Protokolle?

  3. Ist es wirklich Legacy Auth?

    • Manche Clients nutzen “Modern Auth” nur, wenn korrekt konfiguriert.

Praktischer Zusatz:

  • Prüfe, ob der betroffene Flow überhaupt MFA/Device Controls “verstehen” kann. Viele Legacy-Protokolle können das nicht – dann ist der Block erwartbar.

Lösungswege (geordnet nach Nachhaltigkeit)

Section titled “Lösungswege (geordnet nach Nachhaltigkeit)”

1) Client/Flow auf Modern Auth umstellen

Section titled “1) Client/Flow auf Modern Auth umstellen”

Das ist fast immer der richtige Weg:

  • Aktuelle Clients verwenden, die OAuth/Modern Auth unterstützen.
  • Für Workloads: App-Auth sauber designen (z. B. App Registration, Zertifikate/Federation, Managed Identity je nach Kontext).

Wenn es um Mail-Protokolle geht: oft ist der eigentliche Fix “Client wechseln” oder “Protokoll abschalten” – nicht “Policy feiner einstellen”.

2) CA-Rollout sauber staffeln

Section titled “2) CA-Rollout sauber staffeln”

Wenn du noch nicht umstellen kannst:

  • Policy zunächst Report-only
  • Pilotgruppen und Ausnahmen gezielt, befristet
  • Explizite Policy “Block Legacy Auth” statt “MFA für alle” als impliziten Breaker

3) Temporäre Ausnahme (mit Ablaufdatum)

Section titled “3) Temporäre Ausnahme (mit Ablaufdatum)”

Nur als Übergang:

  • Ausnahmen mit Owner, Ticket-Referenz und Ablaufdatum
  • Monitoring auf diese Ausnahmen (sonst werden sie dauerhaft)

Ein guter Praxis-Ansatz ist, Ausnahmen mit messbarer Exit-Strategie zu verbinden: “Bis Datum X ist Client Y migriert”. Ohne Exit wird Legacy Auth zur dauerhaften Sicherheitslücke.

Prävention

Section titled “Prävention”
  • Vor Enforcement: Inventarisierung der Legacy Clients (Report-only Sign-in Daten).
  • Dokumentierte Baseline: Conditional Access Grundlagen.
  • Admin- und User-Policies getrennt halten, Break-Glass klar definieren.