Microsoft schaltet alte SharePoint-Anmeldungen endgültig ab

Seit dem 1. Mai 2025 sind veraltete Authentifizierungsmethoden für SharePoint Online und OneDrive for Business Geschichte. Unternehmen müssen nun auf moderne Verfahren umsteigen.

Die Abschaltung der Identity Client Runtime Library (IDCRL) beendet eine mehrstufige Umstellung auf die modernen Standards OpenID Connect (OIDC) und OAuth 2.0. Für IT-Administratoren bedeutet das: Skripte, Drittanbieter-Integrationen und automatisierte Workflows brauchen dringend neue Verbindungen.

Der Wechsel auf moderne Authentifizierungsverfahren wie OIDC ist ein entscheidender Schritt für Ihre IT-Sicherheit und Compliance. Dieser kostenlose E-Book-Ratgeber unterstützt Sie dabei, neue gesetzliche Anforderungen zu erfüllen und Ihre Systeme effektiv vor aktuellen Bedrohungen zu schützen. Gratis E-Book: Cyber Security Trends 2024 herunterladen

Der Zeitplan war klar: Mitte Februar 2025 blockierte Microsoft alte Logins zunächst standardmäßig, gewährte aber eine Übergangsfrist per PowerShell. Diese endete am 30. April. Seitdem sind die alten Methoden dauerhaft deaktiviert – ein Zurück gibt es nicht.

Der Zwang zur modernen Authentifizierung

Hinter dem Schritt steckt Microsofts Initiative „Secure by Default". Das alte System speicherte oft direkt Benutzernamen und Passwörter – etwa in PowerShell-Skripten, Power-BI-Aktualisierungen oder Power-Automate-Flows. Diese Praxis galt als Sicherheitsrisiko, da Zugangsdaten abgefangen oder missbraucht werden konnten.

Die neuen Protokolle setzen auf tokenbasierte Authentifizierung. Anwendungen holen sich Zugriffstoken von der Microsoft-Identitätsplattform, statt mit Klartext-Passwörtern zu hantieren. Das ermöglicht feinere Berechtigungen und funktioniert nahtlos mit Multi-Faktor-Authentifizierung (MFA) und bedingten Zugriffsrichtlinien.

Besonders betroffen sind Firmen mit Eigenentwicklungen oder alten Drittanbieter-Tools. Jede Verbindung, die noch eingebettete Anmeldedaten oder die veraltete PowerShell-Klasse „SharePointOnlineCredentials" nutzt, läuft nun ins Leere. Administrator müssen auf unterstützte Connectors oder App-Registrierungen in Microsoft Entra ID umstellen.

SharePoint Server: OIDC-Automatisierung für On-Premises

Auch Betreiber lokaler SharePoint-Installationen sind betroffen. Microsoft hat die Einrichtung von OIDC für die Subscription Edition (SE) schrittweise vereinfacht. Ein Meilenstein war das Update Version 24H1, das OIDC enger mit dem SharePoint-Zertifikatsmanagement verknüpfte.

Bislang war die manuelle Verwaltung von „Nonce-Cookie-Zertifikaten" eine der größten Hürden. Diese Zertifikate sichern die OIDC-Authentifizierungstoken, mussten aber auf jedem einzelnen Server einer Farm manuell installiert werden. Das 24H1-Update automatisiert diesen Lebenszyklus nun vollständig.

IT-Profis können Zertifikate über die SharePoint-Zentraladministration oder PowerShell gleichzeitig auf alle Server einer Farm ausrollen. Das System konfiguriert zudem automatisch die nötigen Berechtigungen für private Schlüssel – eine häufige Fehlerquelle in der Vergangenheit. Eine neue Health-Analyzer-Regel überwacht den Status der Zertifikate und warnt bei Problemen.

Schritt-für-Schritt zur OIDC-Verbindung

Die Einrichtung einer funktionierenden OIDC-Verbindung erfordert mehrere abgestimmte Schritte zwischen SharePoint-Farm und Identitätsanbieter (IdP). Für die meisten Unternehmen ist das entweder Microsoft Entra ID oder Active Directory Federation Services (AD FS).

Der Prozess beginnt mit der Registrierung einer neuen Anwendung im Portal des Identitätsanbieters. Administratoren müssen die Redirect-URI definieren – in der Regel die URL der SharePoint-Webanwendung. Der IdP liefert daraufhin eine Client-ID und einen Metadaten-Endpunkt. Die Nutzung des Metadaten-Endpunkts wird empfohlen, da SharePoint so mehrere Parameter automatisch abrufen kann.

Innerhalb der SharePoint-Umgebung müssen die Farm-Eigenschaften angepasst werden, um den neuen OIDC-Anbieter zu erkennen. Dazu wird ein Trusted Token Issuer (SPTrustedTokenIssuer) angelegt, der die IdP-Daten speichert. In SharePoint Server SE mit aktiviertem Early-Release-Feature oder Update 24H2 kann der PowerShell-Befehl „UpdateNonceCertificate" die Farm mit den verwalteten Zertifikaten verknüpfen.

Abschließend muss die Webanwendung den neuen vertrauenswürdigen Identitätsanbieter nutzen. Voraussetzung: ein gültiges SSL-Zertifikat und die korrekte Zuordnung der OIDC-Ansprüche im „People Picker". Ohne diese Zuordnung können sich Nutzer zwar anmelden, aber keine Berechtigungen für andere vergeben.

Während Sie Ihre IT-Infrastruktur modernisieren, sollten Sie auch die rechtlichen Rahmenbedingungen für neue Technologien im Blick behalten. Dieser praxisnahe Umsetzungsleitfaden zum EU AI Act erklärt Ihnen kompakt alle relevanten Fristen und Pflichten für den Einsatz von KI-Systemen. Kostenloses E-Book zur EU-KI-Verordnung sichern

Sicherheitsstrategie mit Schattenseiten

Die Umstellung auf OIDC ist mehr als eine technische Pflichtübung. Sie verkleinert die Angriffsfläche für Passwort-Diebstahl und Brute-Force-Attacken erheblich. Unternehmen können nun dieselben Sicherheitsrichtlinien für SharePoint-Verbindungen nutzen wie für andere Unternehmensanwendungen.

Allerdings zeigt der Schritt auch eine wachsende Kluft zwischen Cloud und On-Premises. Microsoft investiert weiter in SharePoint Server SE, aber der Umfang ist deutlich geringer als bei SharePoint in Microsoft 365. Cloud-Nutzer profitieren von nativen, automatischen Übergängen – On-Premises-Administratoren müssen Feature-Updates wie 24H1 und 24H2 proaktiv einspielen.

Zudem naht ein weiterer Stichtag: SharePoint Server 2016 und 2019 erreichen am 14. Juli 2026 ihr endgültiges Support-Ende. Danach gibt es keine Sicherheitsupdates mehr. Für Unternehmen auf diesen Plattformen wird die Migration zur Subscription Edition oder zu Microsoft 365 zur dringenden Pflicht.

Ausblick: Die Zukunft der Unternehmens-Identität

Nach dem 1. Mai rückt die langfristige Pflege der OIDC-Umgebungen in den Fokus. Die Automatisierung von Zertifikatserneuerungen und die Integration fortschrittlicher Identitätsfunktionen wie Verifiable Credentials und dezentraler Identifikatoren gelten als nächste Schritte.

IT-Abteilungen sollten umgehend alle automatisierten Prozesse inventarisieren, die mit SharePoint interagieren. Monitoring-Tools helfen, verbliebene fehlgeschlagene Authentifizierungsversuche aufzuspüren, die auf das abgeschaltete IDCRL-Protokoll zurückgehen. Ziel ist nicht nur eine sicherere, sondern auch eine zuverlässigere Umgebung für das wachsende Ökosystem automatisierter Geschäftsprozesse.

de | wissenschaft | 69270618 |