Blog

Basic authentication op Exchange Online: Een eindig verhaal

Door: Kristof Laerenbergh

Een tijdje terug heeft Microsoft aangekondigd dat het op 13 oktober 2020 Basic Authentication uitschakelt voor Exchange Online. Andere services dewelke basic authentication gebruiken (SharePoint Online, Skype For Business Online, Exchange On-premises) zijn niet geimpacteerd.

Veel systeembeheerders kunnen moeilijk inschatten of dit voor hen van toepassing is, of welke impact dit heeft voor de eindgebruikers binnen hun omgeving. Hieronder een kort overzicht

Basic wat?

 

Voor dat we verder gaan met het bekijken van hoe we Basic Authentication kunnen uitschakelen, bespreken we kort wat Basic Authentication net inhoudt.

Basic Authentication is een verouderde manier van authenticeren op een server aan de hand van enkel een username en een wachtwoord. Je kan Basic Authentication herkennen aan de onderstaande password prompt

Basic Authentication

Basic authentication prompt

Hoe werkt Basic Authentication binnen Exchange Online?

Er zijn 2 soorten authenticatiemethodes binnen Exchange Online

  • Cloud Authentication (Met behulp van Azure Active Directory)
  • Federated Authentication (On-premises authenticatie, bv ADFS)

Bij Cloud authenticatie doorloopt de authenticatie volgende flow

Cloud Authenticatie

Cloud Authenticatie

 

  1. De email client verstuurt de username en bijhorend wachtwoord naar Exchange Online (bij het uitschakelen van basic authentication wordt de authenticatie hier geblokkeerd)

  2. Exchange Online verifieert deze gegevens bij Azure AD

  3. Azure AD stuurt een ticket naar Exchange Online en de gebruiker is geauthenticeerd

Bij Federated Authenticatie doorloopt de authenticatie de volgende flow

Federated Authenticatie

Federated Authenticatie

 

  1. De email client verstuurt de username en bijhorend wachtwoord naar Exchange Online (bij het uitschakelen van Basic Authentication wordt de authenticatie hier geblokkeerd)

  2. Exchange Online verstuurt de username en bijhorend wachtwoord naar de on-premises identity provider (ADFS)

  3. Exchange Online krijgt een SAML token terug van de on-premises identity provider

  4. Exchange Online verstuurt het SAML token naar Azure Active Directory

  5. Azure AD bezorgt een gevalideerd ticket aan Exchange Online

Wat houdt dit in voor mijn omgeving?

 

De impact van de maatregelen die Microsoft treft zijn de volgende

  • Volgende protocollen zullen niet meer benaderbaar zijn via basic authentication
    • EWS
    • EAS
    • IMAP & POP
    • Remote PowerShell

  • Oudere Android telefoons zullen niet meer werken met built-in applicaties

  • Oudere mail clients (Outlook 2007, Outlook 2010) kunnen niet meer connecteren naar Exchange Online

  • Toepassingen die enkel Basic Authentication ondersteunen stoppen met functioneren

Microsoft heeft bevestigd dat SMTP authenticatie voorlopig nog ondersteund blijft.

Hoe kan ik nagaan of ik geïmpacteerd ben?

 

Er zijn twee eenvoudige mogelijkheden om na te gaan of basic authenticatie actief is binnen je omgeving

  • Azure AD Sign-in Reports
  • Exchange Online tenant configuratie
     

Azure AD Sign-in Reports

 

Om na te gaan of Basic Authentication nog steeds van toepassing is in je omgeving, kan je onderstaande procedure volgen.

Momenteel is deze optie enkel beschikbaar voor tenants waarom de Azure Active Directory Premium licentie is geactiveerd.

  • Meld je aan op het Azure portaal
  • Nadat je bent aangemeld, select Azure Active Directory in het Azure Portaal


    Azure Portaal

    Azure Portaal

     

  • Selecteer Gebruikers aan de linkerkant van het Azure Active Directory scherm
  • Selecteer Sign-ins
    Sign-ins

    Sign-ins

     


  • Voeg een filter toe door op Add Filter te klikken
  • Selecteer Client App
  • Selecteer alles behalve Mobile Apps, Desktop Clients en Browser.


    Clients

    Client apps

     

  • De lijst die je bekomt bevat alle aanmeldpogingen die met Basic Authentication zijn uitgevoerd


    sign-in overview

    Sign-in overview

     

Nakijken Exchange Online tenant configuratie

 

Wanneer je Office 365 tenant werd aangemaakt vóór 1 augustus 2017 en modern authentication niet manueel werd geactiveerd op je tenant, is basic authenticatie nog actief als primair authenticatie protocol op je tenant. Dit kan je merken aan de grote hoeveelheid aan basic authenticatie requests in het sign-in overview rapport.

Om dit na te kijken op je Exchange Online tenant, dienen we na te kijken of het OAuth2ClientProfileEnabled attribuut op de Exchange Online tenant de waarde “True” heeft. Dit kan via Powershell met onderstaande commando’s

 

#Exchange Online Module importeren

if (Get-Module -ListAvailable -Name ExchangeOnlineManagement) {
Import-Module ExchangeOnlineManagement
}
else {
Install-Module ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
}

#Verbinden met Exchange Online

Connect-ExchangeOnline

#opvragen OrganizationConfig

Get-OrganizationConfig | Format-Table Name, OAuth2ClientProfileEnabled -AutoSize

 

Output PowerShell

Aangeraden wordt om modern authenticatie te activeren met onderstaand commando.

Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Belangrijk: Door bovenstaand commando uit te voeren wordt basic authenticatie niet uitgeschakeld. Clients (Outlook 2013 en ouder) blijven nog steeds gebruik maken van basic authenticatie.

 

Hoe kan ik Basic Authenticatie uitschakelen in mijn omgeving?

 

Er zijn 3 mogelijke manieren om Basic Authentication uit te schakelen binnen je Office 365 omgeving

  • Exchange Authentication policies
  • Azure Conditional Access
  • Uitschakelen legacy protocollen in de Office 365 console (per mailbox)
  • Via de Office 365 portal

Hoewel Azure Conditional Access onderandere ook Skype For Business ondersteunt, zijn er toch ook enkele nadelen aan verbonden.

De Conditional Access policy wordt pas actief wordt na dat de gebruiker aangemeld is. Hierdoor worden de pogingen om aan te melden bij Exchange Online dus niet afgeblokt.

Het uitschakelen van legacy protocollen in de Office 365 console wordt uit beheersbaarheid overwegingen afgeraden.

Exchange Authentication Policies

Met behulp van onderstaand PowerShell script kan je Basic Authentication uitschakelen op je Office 365 tenant

# EXO Sessie aanmaken

$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

# Wanneer je een proxy gebruikt kan je onderstaand commando toevoegen

# $ProxyOptions = New-PSSessionOption -ProxyAccessType <Value>, waar ProxyAccessType volgende waarden kan hebben:  IEConfig, WinHttpConfig, of AutoDetect.

Import-PSSession $Session -DisableNameChecking

# Authentication policy aanmaken

New-AuthenticationPolicy -Name "Block Basic Auth"

# Policy toewijzen aan alle gebruikers

$AllUsers = Get-User -ResultSize unlimited -Filter "(RecipientType -eq 'UserMailbox')"
$Users = $AllUsers.MicrosoftOnlineServicesID
$Users | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}

# Policy als default markeren

Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Basic Auth"

# EXO sessie sluiten

Remove-PSSession $Session

Basic Authenticatie uitschakelen via het O365 portaal

 

Recent heeft Microsoft de optie toegevoegd om op een eenvoudige en overzichtelijke manier basic authenticatie uit te schakelen voor verschillende onderdelen en protocollen van binnen Exchange Online

  • Log aan op het Office 365 portaal
  • Onder Settings en navigeer naar Org Settings
  • Selecteer Modern Authentication

    Basic Authenticatie O365 portal

De klok tikt

 

Omwille van COVID-19 heeft Microsoft besloten het uitschakelen van basic authenticatie in Exchange Online uit te stellen naar de 2de helft van 2021. Dit moet bedrijven genoeg tijd geven om bestaande scripts en applicaties aan te passen om modern authenticatie toe te passen.

Hulp nodig? Aarzel zeker niet om contact op te nemen via het contact formulier.