Basis Authentication in Exchange Online nadert einde
In oktober schakelt Microsoft Basic Authentication uit en hiermee specifieke Exchange Online protocollen. We raden daarom aan om, indien je hier nog gebruik van maakt, maatregelen te nemen om niet verrast te worden na 1 oktober 2022. Je wilt voorkomen dat jouw medewerkers ineens geen mail meer kunnen kan ontvangen op de telefoon.
Op dit moment maken nog veel bedrijven gebruik van de Basic Authentication. Veel organisaties worden via Basic Authentication aangevallen door kwaadwillenden, omdat het aanwezige Multi-Factor Authentication (MFA) beleid hierop niet toegepast kan worden. Dit soort aanvallen nemen alleen maar toe. Elke dag dat je nog gebruikmaakt van Basic Authentication loop je het risico aangevallen te worden.
Willekeurige volgorde van uitschakelen
Vanaf 1 oktober 2022 begint Microsoft met het uitschakelen van Basic Authentication in haar wereldwijde multi-tenant service. Microsoft gaat de tenants op willekeurige volgorde af. Zeven dagen van tevoren ontvangt de organisatie een waarschuwing over het uitschakelen ervan en plaatst Microsoft een Service Health Dashboard notitie.
Microsoft schakelt de Basic Authentication uit voor de volgende protocollen: MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) en Remote PowerShell. Microsoft schakelt SMTP AUTH niet uit. Microsoft raadt aan SMPT AUTH op tenantniveau uit te schakelen en alleen opnieuw in te schakelen voor de gebruikersaccounts die het nog nodig hebben.
Wat moet ik doen om me voor te bereiden op deze verandering?
Elke organisatie die gebruikmaakt van Basic Authentication voor een van de betrokken protocollen, kan geen verbinding meer maken nadat het is uitgeschakeld. De applicatie ontvangt dan een HTTP 401 error: bad username or password. Elke applicatie die Modern Authentication gebruikt voor dezelfde protocollen, wordt niet beïnvloed.
Hieronder vind je een lijst met wat je kunt doen om je voor te bereiden.
- Als je Outlook voor Windows hebt, zorg er dan voor dat het up-to-date is, de juiste registersleutels hebt en, belangrijker nog, dat de enable switch voor de gehele tenant op True staat. Zonder die instelling gebruikt Outlook geen Modern Authentication. Als klanten al zijn aangemeld bij een andere Microsoft 365-app, zoals Teams, zijn ze al geverifieerd en is de kans groot dat ze geen enkele authentication prompt te zien krijgen. Microsoft schakelt deze instelling in voor klanten omdat ze Basic Authentication voor MAPI/RPC in de tenant uitschakelen. Microsoft wil ervoor zorgen dat Outlook verbinding kan maken met Modern Authentication zodra Basic Authentication is uitgeschakeld. Outlook ondersteunt geen OAuth met POP en IMAP. Als je POP en IMAP wilt gebruiken met een client-app, heb je een andere app nodig.
- POP/IMAP – Verschillende organisaties gebruiken deze protocollen voor toegang tot applicaties. POP en IMAP ondersteunen allebei OAuth voor interactieve applicaties en Microsoft introduceert ondersteuning voor non-interactive flows.
- EWS apps – Er zijn ook verschillende organisaties die gebruikmaken van EWS en Basic Authentication. EWS ondersteunt alleen app toegang en je kunt Application Access Policies gebruiken om te bepalen waartoe een app toegang heeft. Als je apps hebt die EWS gebruiken met Basic Authentication, moet je de code wijzigen. Veel partner apps hebben ondersteuning voor Modern Authentication, je hoeft alleen jouw configuratie aan te passen of bij te werken naar de nieuwste versie. Doe dat zo snel mogelijk!
- Exchange ActiveSync – Alle native apps op up-to-date apparaten ondersteunen Modern Authentication, maar veel apparaten van gebruikers gebruiken nog steeds Basic Authentication. Als je een MDM/MAM-oplossing gebruikt, gebruik deze dan om nieuwe profielen te implementeren. Hier lees je hoe je Intune kunt gebruiken om bijvoorbeeld het verificatiemechanisme voor een iPhone en iPad in te stellen. Als je geen MDM hebt, verwijder je het account en voeg je het opnieuw toe vanaf het apparaat, waarna het automatisch overschakelt naar Modern Authentication.
- PowerShell scripts – Als je script hebt die je moet uitvoeren, volg je deze handleiding om Modern Authentication in jouw scripts te gebruiken.
- Reporting Web Services – De ondersteuning voor OAuth wordt nu uitgerold (eind mei afgerond). Basic Authentication wordt vanaf 1 oktober uitgeschakeld.
- Microsoft Teams Rooms – Zorg ervoor dat iedereen Modern Authentication gebruikt door deze stappen te volgen.
Hoe weet je dat je nog steeds Basic Authentication gebruikt?
Azure AD sign-in events is de beste plek om te zoeken (filter op client app en schakel vervolgens in het filter van de client app de selectievakjes in voor de betrokken protocollen onder Legacy Authentication Clients). Bekijk dit bericht voor meer informatie.
Microsoft stuurt ook maandelijks berichten in het Berichtencentrum naar tenants die Basic Authentication gebruiken, waarin hun gebruik wordt samengevat. Deze zijn niet zo exact als de rapporten van Azure AD; ze zijn bedoeld als een indicatie van het gebruik, maar als je er een krijgt, moet je onderzoeken wat de oorzaak is.
Voor beheerders is in het Azure Portal de informatie beschikbaar om te zien welke gebruikers nog steeds Basic Authentication gebruiken.
Wat is de beste manier om Basic Authentication uit te schakelen als ik klaar ben?
De beste manier om Basic Authentication uit te schakelen, is door Authentication Policies te gebruiken om Basic Authentication te blokkeren. Het kan ook door Sec-CASMailbox of Conditional Access te gebruiken, deze verhinderen de toegang tot gegevens, maar ze stoppen de authenticatie niet aangezien ze beide na authenticatie actief zijn.
Microsoft schakelt op dit moment Autodiscover niet uit. Dat is iets wat ze zullen doen zodra de klanten die ervan afhankelijk zijn Modern Authentication gebruiken, maar het is ook iets dat je zelf kunt doen met Authentication Policies.
Update: Tijdelijke uitzondering aanvragen
Op 1 september 2022 heeft Microsoft aangekondigd dat het nog eenmaal mogelijk is om een tijdelijke uitzondering aan te vragen om de verandering uit te stellen. Tussen 1 oktober 2022 en 31 december 2022 mogen tenants een protocol eenmaal opnieuw inschakelen. Protocoluitzonderingen op opnieuw ingeschakelde protocollen worden begin januari 2023 uitgeschakeld, zonder mogelijkheid tot verder gebruik. Lees hier de volledige uitleg van Microsoft.
Wat als ik hulp nodig heb?
Als je hulp nodig hebt, kun je eenvoudig contact met ons opnemen. Wij hebben de kennis en ervaring om je te helpen met deze overgang.