Im Rahmen unserer fortlaufenden Sicherheitsmaßnahmen haben wir kürzlich eine Änderung im Verhalten der Zertifikatbasierten Authentifizierung (CBA) für Exchange ActiveSync vorgenommen. Die Verbesserung soll TLS 1.3 unterstützen und die Sicherheit sowie Zuverlässigkeit für unsere Kunden stärken.
Mit dieser Änderung wird sämtlicher Exchange ActiveSync CBA-Datenverkehr zu neuen, dedizierten Endpunkten basierend auf dem Standort des Mandanten geleitet.
Wie sich dies auf Ihre Organisation auswirkt:
Diese Änderung wird bereits weltweit in der Multi-Tenant-Cloud ausgerollt und beginnt ab November 2025 in anderen Clouds. Infolge dieser Änderung wird sämtlicher Exchange ActiveSync CBA-Datenverkehr zu neuen, dedizierten Endpunkten basierend auf dem Standort des Mandanten geleitet:
- Multi-Tenant (weltweit und GCC): outlook-cba.office365.com
- DoD: outlook-dod-cba.office365.us
- GCC-High: outlook-cba.office365.us
Was Sie zur Vorbereitung tun müssen:
Für die meisten Exchange ActiveSync-Clients erfolgt diese Änderung nahtlos. Der Client-Datenverkehr wird implizit zu den neuen CBA-Endpunkten umgeleitet, ohne dass vom Benutzer Maßnahmen erforderlich sind.
Falls Ihre Organisation jedoch ein Secure Email Gateway (SEG) oder ein ähnliches Gateway verwendet, das ActiveSync-Datenverkehr filtert oder überprüft, müssen Sie möglicherweise Ihre Firewall- oder Gateway-Konfiguration aktualisieren, um den Datenverkehr zu und von den oben genannten neuen CBA-Endpunkten zuzulassen.
Bei Fragen oder Bedenken zu dieser Änderung wenden Sie sich bitte an den Anbieter Ihres SEG. Wir danken Ihnen für Ihre Zusammenarbeit und Ihr Engagement für die Aufrechterhaltung einer sicheren Umgebung.
Weitere Informationen:
Upcoming TLS Changes for Certificate Based Auth ActiveSync Traffic.
RFC 8446 - The Transport Layer Security (TLS) Protocol Version 1.3
Definiert in [MS-ASHTTP]: Authorization | Microsoft Learn ActiveSync offizielle Dokumentation werden EAS-Anfragen ohne Autorisierungs-Header als CBA-Anfragen behandelt.