Een tijdje terug heeft Microsoft aangekondigd dat het op 13 oktober 2020 Basic Authentication uitschakelt voor Exchange Online. Andere services dewelke basic authentication gebruiken (SharePoint Online, Skype For Business Online, Exchange On-premises) zijn niet geimpacteerd.
Veel systeembeheerders kunnen moeilijk inschatten of dit voor hen van toepassing is, of welke impact dit heeft voor de eindgebruikers binnen hun omgeving. Hieronder een kort overzicht
Basic wat?
Voor dat we verder gaan met het bekijken van hoe we Basic Authentication kunnen uitschakelen, bespreken we kort wat Basic Authentication net inhoudt.
Basic Authentication is een verouderde manier van authenticeren op een server aan de hand van enkel een username en een wachtwoord. Je kan Basic Authentication herkennen aan de onderstaande password prompt

Basic authentication prompt
Hoe werkt Basic Authentication binnen Exchange Online?
Er zijn 2 soorten authenticatiemethodes binnen Exchange Online
- Cloud Authentication (Met behulp van Azure Active Directory)
- Federated Authentication (On-premises authenticatie, bv ADFS)
Bij Cloud authenticatie doorloopt de authenticatie volgende flow

Cloud Authenticatie
- De email client verstuurt de username en bijhorend wachtwoord naar Exchange Online (bij het uitschakelen van basic authentication wordt de authenticatie hier geblokkeerd)
- Exchange Online verifieert deze gegevens bij Azure AD
- Azure AD stuurt een ticket naar Exchange Online en de gebruiker is geauthenticeerd
Bij Federated Authenticatie doorloopt de authenticatie de volgende flow

Federated Authenticatie
- De email client verstuurt de username en bijhorend wachtwoord naar Exchange Online (bij het uitschakelen van Basic Authentication wordt de authenticatie hier geblokkeerd)
- Exchange Online verstuurt de username en bijhorend wachtwoord naar de on-premises identity provider (ADFS)
- Exchange Online krijgt een SAML token terug van de on-premises identity provider
- Exchange Online verstuurt het SAML token naar Azure Active Directory
- Azure AD bezorgt een gevalideerd ticket aan Exchange Online
Wat houdt dit in voor mijn omgeving?
De impact van de maatregelen die Microsoft treft zijn de volgende
- Volgende protocollen zullen niet meer benaderbaar zijn via basic authentication
- EWS
- EAS
- IMAP & POP
- Remote PowerShell
- Oudere Android telefoons zullen niet meer werken met built-in applicaties
- Oudere mail clients (Outlook 2007, Outlook 2010) kunnen niet meer connecteren naar Exchange Online
- Toepassingen die enkel Basic Authentication ondersteunen stoppen met functioneren
Microsoft heeft bevestigd dat SMTP authenticatie voorlopig nog ondersteund blijft.
Hoe kan ik nagaan of ik geïmpacteerd ben?
Er zijn twee eenvoudige mogelijkheden om na te gaan of basic authenticatie actief is binnen je omgeving
- Azure AD Sign-in Reports
- Exchange Online tenant configuratie
Azure AD Sign-in Reports
Om na te gaan of Basic Authentication nog steeds van toepassing is in je omgeving, kan je onderstaande procedure volgen.
Momenteel is deze optie enkel beschikbaar voor tenants waarom de Azure Active Directory Premium licentie is geactiveerd.
- Meld je aan op het Azure portaal
- Nadat je bent aangemeld, select Azure Active Directory in het Azure Portaal
Azure Portaal
- Selecteer Gebruikers aan de linkerkant van het Azure Active Directory scherm
- Selecteer Sign-ins
Sign-ins
- Voeg een filter toe door op Add Filter te klikken
- Selecteer Client App
- Selecteer alles behalve Mobile Apps, Desktop Clients en Browser.
Client apps
- De lijst die je bekomt bevat alle aanmeldpogingen die met Basic Authentication zijn uitgevoerd
Sign-in overview
Nakijken Exchange Online tenant configuratie
Wanneer je Office 365 tenant werd aangemaakt vóór 1 augustus 2017 en modern authentication niet manueel werd geactiveerd op je tenant, is basic authenticatie nog actief als primair authenticatie protocol op je tenant. Dit kan je merken aan de grote hoeveelheid aan basic authenticatie requests in het sign-in overview rapport.
Om dit na te kijken op je Exchange Online tenant, dienen we na te kijken of het OAuth2ClientProfileEnabled attribuut op de Exchange Online tenant de waarde “True” heeft. Dit kan via Powershell met onderstaande commando’s
#Exchange Online Module importeren
if (Get-Module -ListAvailable -Name ExchangeOnlineManagement) {
Import-Module ExchangeOnlineManagement
}
else {
Install-Module ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
}
#Verbinden met Exchange Online
Connect-ExchangeOnline
#opvragen OrganizationConfig
Get-OrganizationConfig | Format-Table Name, OAuth2ClientProfileEnabled -AutoSize

Output PowerShell
Aangeraden wordt om modern authenticatie te activeren met onderstaand commando.
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Belangrijk: Door bovenstaand commando uit te voeren wordt basic authenticatie niet uitgeschakeld. Clients (Outlook 2013 en ouder) blijven nog steeds gebruik maken van basic authenticatie.
Hoe kan ik Basic Authenticatie uitschakelen in mijn omgeving?
Er zijn 3 mogelijke manieren om Basic Authentication uit te schakelen binnen je Office 365 omgeving
- Exchange Authentication policies
- Azure Conditional Access
- Uitschakelen legacy protocollen in de Office 365 console (per mailbox)
- Via de Office 365 portal
Hoewel Azure Conditional Access onderandere ook Skype For Business ondersteunt, zijn er toch ook enkele nadelen aan verbonden.
De Conditional Access policy wordt pas actief wordt na dat de gebruiker aangemeld is. Hierdoor worden de pogingen om aan te melden bij Exchange Online dus niet afgeblokt.
Het uitschakelen van legacy protocollen in de Office 365 console wordt uit beheersbaarheid overwegingen afgeraden.
Exchange Authentication Policies
Met behulp van onderstaand PowerShell script kan je Basic Authentication uitschakelen op je Office 365 tenant
# EXO Sessie aanmaken
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
# Wanneer je een proxy gebruikt kan je onderstaand commando toevoegen
# $ProxyOptions = New-PSSessionOption -ProxyAccessType <Value>, waar ProxyAccessType volgende waarden kan hebben: IEConfig, WinHttpConfig, of AutoDetect.
Import-PSSession $Session -DisableNameChecking
# Authentication policy aanmaken
New-AuthenticationPolicy -Name "Block Basic Auth"
# Policy toewijzen aan alle gebruikers
$AllUsers = Get-User -ResultSize unlimited -Filter "(RecipientType -eq 'UserMailbox')"
$Users = $AllUsers.MicrosoftOnlineServicesID
$Users | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
# Policy als default markeren
Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Basic Auth"
# EXO sessie sluiten
Remove-PSSession $Session
Basic Authenticatie uitschakelen via het O365 portaal
Recent heeft Microsoft de optie toegevoegd om op een eenvoudige en overzichtelijke manier basic authenticatie uit te schakelen voor verschillende onderdelen en protocollen van binnen Exchange Online
- Log aan op het Office 365 portaal
- Onder Settings en navigeer naar Org Settings
- Selecteer Modern Authentication
Basic Authenticatie O365 portal
De klok tikt
Omwille van COVID-19 heeft Microsoft besloten het uitschakelen van basic authenticatie in Exchange Online uit te stellen naar de 2de helft van 2021. Dit moet bedrijven genoeg tijd geven om bestaande scripts en applicaties aan te passen om modern authenticatie toe te passen.
Hulp nodig? Aarzel zeker niet om contact op te nemen via het contact formulier.