Actueel — Blog
Microsoft heeft klanten al geruime tijd geïnformeerd over het feit dat ze Basic Authentication in Exchange Online willen uitfaseren. Dit is echter enkele keren uitgesteld. Met ingang van 1 oktober 2022 gaat Microsoft beginnen met het uitschakelen van Basic Authentication in de tenants. Dit gaat gefaseerd gebeuren. Microsoft brengt klanten, een week voordat het in hun tenant wordt uitgeschakeld, op de hoogte via het Message Center in Microsoft 365.
In deze blog leggen we uit wat de impact is en hoe u zich goed kunt voorbereiden als u Basic Authentication nog in gebruik heeft.
Wat is Basic Authentication?
Basic Authentication is een verouderde authenticatie-methode waarbij enkel gebruik gemaakt wordt van een gebruikersnaam en wachtwoord. Deze manier van authenticatie is onveilig en brengt bovendien risico’s met zich mee:
- De methode maakt gebruik van een niet-versleutelde verbinding;
- Inloggegevens worden in platte tekst ingevoerd zonder aanvullende verificatie;
- Kwetsbaar voor man-in-the-middle en bruteforce-aanvallen;
- Makkelijk te verkrijgen via social engineering of malware.
Hierdoor adviseert Microsoft al enkele jaren om van Basic Authentication af te stappen en over te gaan op Modern Authentication op basis van OAuth 2.0.
Welke protocollen gebruiken mogelijk Basic Authentication:
- Exchange Web Services (EWS)
- Exchange ActiveSync (EAS)
- Offline Address Book (OAB)
- POP
- IMAP
- MAPI
- RPC
- SMTP AUTH
- Remote PowerShell
De impact voor Exchange gebruikers
De uitfasering van Basic Authentication heeft impact op klanten die gebruik maken van Exchange Online en dan met name de mailboxen die zijn gemigreerd naar Exchange Online. Wanneer er met deze mailboxen nog gecommuniceerd wordt binnen Exchange Online door middel van de bovenstaande protocollen, gaat dit mogelijk niet meer werken vanaf 1 oktober 2022. Het betreft dus de protocollen POP, IMAP, Exchange ActiveSync (EAS), Exchange Online Powershell, Exchange Web Services (EWS) en oude versies van Outlook.
Voor SMTP AUTH geldt op dit moment nog een uitzondering vanwege het feit dat dit veelal gebruikt wordt door Multifunctional printers en die ondersteunen meestal geen Modern Authentication.
Voor Powershell en EWS is het al enige tijd mogelijk om gebruik te maken van Modern Authentication. Bij Powershell is daar de EXO V2 module voor nodig en voor EWS moet de applicatie die hier gebruik van maakt onder andere geregistreerd zijn in Azure Active Directory.
Voor Outlook geldt dat sinds Outlook 2016 Modern Authentication default aan staat. Outlook 2007 en 2010 kunnen geen gebruik maken van Modern Authentication en zullen daarom ook niet meer gebruikt kunnen worden en voor Outlook 2013 het gebruik van Modern Authentication zal handmatig aangezet moeten worden.
Betere methodes voor authenticatie in Exchange
- IMAP & POP: Sinds 2020 is het al mogelijk om Modern Authentication (OAuth 2.0 token-based authorization) te gebruiken voor IMAP en POP. Het is hierbij onder andere noodzakelijk om de applicatie in Azure te registreren.
- Exchange Active Sync: Microsoft adviseert om gebruik te maken van de Outlook app voor iOS en Android.
o De Android native email app ondersteunt geen Modern Authentication en moet dus gewijzigd worden voor 1 oktober. Het advies voor deze gebruikers is om over te stappen naar Outlook for Android.
o De native e-mail app voor iOS ondersteunt sinds iOS 11.3.1 wel Modern Authentication, echter kan het zijn dat mail accounts op iOS apparaten alsnog gebruik maken van Basic Authentication en deze zullen hoogstwaarschijnlijk opnieuw het email account moeten configureren op het apparaat om gebruik te kunnen maken van Modern Authentication. Voor apparaten die gemanaged worden via Intune kan op afstand OAuth enabled worden. - Exchange Online Powershell: wanneer er gebruik gemaakt wordt van Powershell om te verbinden met Exchange Online wordt daarbij waarschijnlijk ook gebruik gemaakt van de EXO V2 module, deze ondersteunt het gebruik van Modern authentication en MFA. Er kunnen echter nog geautomatiseerde scripts zijn die nog geen gebruik maken van de EXO V2 module en die zullen dan aangepast moeten worden.
- Exchange Web Services (EWS): EWS ondersteunt al jaren Modern Authentication en zal dus in veel gevallen gewoon blijven werken. Voor de applicaties die nog wel gebruik maken van Basic Authentication in combinatie met EWS geldt hetzelfde als bij POP en IMAP, deze applicatie zal ook geregistreerd moeten worden in Azure AD.
- Outlook: alle versies van Outlook sinds 2016 maken default gebruik van Modern Authentication. Voor oudere Outlook versies geldt het volgende:
o Outlook 2013 kan zonder problemen gebruik maken van Modern Authentication indien dit geconfigureerd wordt.
o Outlook 2010 en oudere versie kunnen geen gebruik maken van Modern Authentication.
Check of Basic Authentication nog in gebruik is
Wees voorbereid en controleer of Basic Authentication nog in gebruik is via Azure Active Directory admin center. Via de Sign-in logs in Azure Active Directory kan er uitgezocht worden welke mailboxen nog gebruik maken van Basic Authentication. Filter op Client App en selecteer Legacy Authentication om een overzicht te maken van accounts, gebruikers en applicaties.
Onderneem actie
Het advies is uiteraard om zo snel mogelijk van Basic Authentication af te stappen, omdat het een onveilige manier van authenticeren is en de beveiligingsrisico’s te groot zijn. Microsoft begrijpt echter dat dit in uitzonderingsgevallen niet eenvoudig is en daarom hebben klanten de mogelijkheid om uitstel te krijgen tot eind 2022. Klanten die uitstel willen, moeten dat aanvragen in de maand september 2022. Microsoft zal bij die klanten (zonder uitzondering) vanaf de eerste week van 2023 Basic Authentication alsnog uitschakelen.
Hulp nodig of advies?
De impact van het uitschakelen van Basic Authentication kan groot zijn en wellicht heeft u hulp of advies nodig om te achterhalen of het nog in gebruik is, bij het implementeren van de verbeteringen of om uitstel aan te vragen. De Microsoft specialisten van PQR kunnen hierbij helpen! Neem contact op voor meer informatie.
Eerder dit jaar brachten we een Whitepaper uit met de 13 minimale security eisen waaraan elke IT-omgeving moet voldoen. Daarin staat ook het uitschakelen van Basic Authentication. Bent u benieuwd naar de overige 12 eisen die ons security team heeft gedefinieerd? Download de whitepaper hier.
Geplaatst door
