Wanneer wordt basis authenticatie uitgeschakeld?

Vanaf 1 oktober 2022 begint Microsoft basis authenticatie uit te schakelen. Vanaf dat moment stoppen alle applicaties die gebruikmaken van basis authenticatie met werken. Het exacte moment dat Microsoft dit voor jullie specifieke Microsoft 365 tenant gaat doen is niet bekend. Wel is bekend dat Microsoft per 1 januari 2023 de uitschakeling op alle omgevingen heeft doorgevoerd.

Wat is basic authenticatie en waarom moet het weg?

Basis authenticatie is een eenvoudige authenticatie methode op basis van gebruikersnaam en wachtwoord. Daarnaast maakt het gebruik van oude en inmiddels onveilige protocollen. Dit maakt het helaas erg makkelijk voor cybercriminelen om in te breken.

Vele jaren hebben applicaties basis authenticatie gebruikt om te verbinden Echange Online van Microsoft. Basis authenticatie betekent dat de applicatie de gebruikersnaam en het wachtwoord met elk verzoek mee stuurt en deze vaak lokaal op het apparaat opslaat. Hierbij moet u denken aan mail applicaties, bedrijfsapplicaties die mailen of bijvoorbeeld printers.

Dit betekent dat organisaties over moeten stappen van applicaties die basis authenticatie gebruiken naar applicaties die moderne authenticatie (OAuth 2.0 token-based authorization) gebruiken. Dit heeft vele voordelen en verbeteringen vergeleken met basis authenticatie. OAuth access tokens hebben een beperkte geldigheid en zijn alleen geldig voor het doel waarvoor ze zijn uitgegeven zodat ze niet hergebruikt kunnen worden. Daarnaast is het op deze manier eenvoudiger om Multi Factor Authenticatie (MFA) af te dwingen bij het gebruik van moderne authenticatie.

Op welke plekken wordt basis authenticatie uitgeschakeld?

Microsoft verwijderd de mogelijkheid om basis authenticatie te gebruiken binnen Exchange Online voor Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook voor Windows, en Mac.

Microsoft heeft in 2020 OAuth ondersteuning toegevoegd aan POP, IMAP en SMTP authenticatie. Sinds het beschikbaar stellen zijn veel applicaties al aangepast om standaard OAuth te gebruiken of is er binnen de applicatie een optie toegevoegd om het gebruik van OAuth aan te zetten.

Applicaties kunnen vanaf 1 oktober 2022 nog steeds gebruikmaken van POP, IMAP en SMTP AUTH, maar alleen wanneer de applicatieontwikkelaars de applicatie hebben bijgewerkt om modern authenticatie (OAuth) te gebruiken of gebruikmaken van het Microsoft identity platform. Wilt u er zeker van zijn dat een applicatie die deze protocollen gebruikt blijft werken dan is het verstandig dit bij de leverancier van de applicatie te verifiëren. Het gaat hierbij om applicaties die mail ontvangen, versturen of verwerken.

SMTP authenticatie blijft wel beschikbaar na het uitschakelen van basis authenticatie omdat veel scanners die scan to mail gebruiken geen modern authenticatie ondersteunen. Wel kan het nodig zijn dat we het mailadres die wordt gebruikt om te scannen specifiek moeten toestaan om SMTP authenticatie te mogen gebruiken. Microsoft is namelijk wel bezig SMTP authenticatie selectief uit te schakelen op tenants waarvan ze denken dat SMTP authenticatie niet wordt gebruikt.

De meeste mobiele apparaten maken gebruik van Exchange ActiveSync. Als deze mobiele apparaten gebruikmaken van basis authenticatie heeft het uitschakelen impact.

Microsoft raad aan om de Outlook app voor iOS en Android te gebruiken. Deze app ondersteunt standaard moderne authenticatie en ander beveiligingsfuncties die worden ondersteund door Microsoft 365.

Wanneer er gebruik wordt gemaakt van de standaard mail app van iOS kan het zijn dat het ingestelde profiel gebruikmaakt van basis authenticatie. Het is belangrijk om te zorgen dat het apparaat minimaal iOS 15.6 heeft. In dat geval krijgen gebruikers de vraag om de mail app toegang te geven tot Office 365 en wordt het profiel automatisch omgezet naar een profiel met moderne authenticatie. Een handmatige oplossing wanneer deze melding niet in beeld komt of de iOS-versie ouder is dan iOS 15.6 is het verwijderen van het mailprofiel en opnieuw toevoegen van het account. Het nieuwe profiel zal dan moderne authenticatie gebruiken.

Mocht het mailprofiel vanuit Intune (MDM) worden ingesteld, dan kan het zijn dat de optie moderne authenticatie aan moet worden gezet in het configuratieprofiel. Wij kunnen hierbij op jullie verzoek ondersteunen.

Bij Android zijn er verschillende mail apps per merk en soms zelfs per model. Om de meeste kans te hebben dat het blijft werken is het belangrijk zowel de geïnstalleerde apps en Android tot de laatste versie bij te werken. Het kan nodig zijn om uw mail profiel te moeten verwijderen uit de app en het account opnieuw toe te voegen. Mocht dat niet werken raden we aan over te stappen naar de Microsoft Outlook app voor Android.

De protocollen MAPI, RPC, and Offline Address Book (OAB) en Autodiscover worden gebruikt door Outlook. De Outlook applicaties van versie 2016 of nieuwer ondersteunen standaard moderne authenticatie.

  • Outlook 2010 en ouder: Ondersteunen geen moderne authenticatie en stoppen met werken. Deze versies zullen vervangen moeten worden.
  • Outlook 2013: Ondersteund alleen moderne authenticatie als de versie 15.0.4971.1000 of hoger is en op het apparaat een register key is toegevoegd om modern authenticatie te activeren. Toch raden we aan deze niet meer te gebruiken en over te gaan naar een recentere versie.
  • Outlook 2016 of hoger: Zowel de Windows als Mac versie ondersteund standaard moderne authenticatie

Applicaties die Exchange Web Services (EWS) gebruiken blijven werken, maar alleen wanneer de applicatieontwikkelaars de applicatie heeft bijgewerkt om modern authenticatie te gebruiken of gebruikmaken van de Graph API in combinatie met moderne authenticatie. Wilt u er zeker van zijn dat een applicatie die dit protocol gebruikt blijft werken dan is het verstandig dit bij de leverancier van de applicatie te verifiëren.

De Exchange Online Remote PowerShell Module V1 zal niet meer werken en zal moeten worden vervangen door de Exchange Online V2 PowerShell module. Eindgebruikers zullen hier niet direct wat van merken, maar het kan er wel voor zorgen dat PowerShell scripts niet meer kunnen verbinden met Exchange Online.

Software applicaties

Waar moet je rekening mee houden?

Wanneer er in uw omgeving gebruik gemaakt wordt van uniFLOW mobileprint i.c.m. met EWS, heeft de Microsoft-wijziging als gevolg dat mobileprint na datum niet meer via EWS kan werken.
Als alternatieve methode om toch met exchange Online te communiceren zal de mobile print verbinding via POP3S OAUTH 2.0 geconfigureerd moeten worden.
Om gebruik te maken van deze alternatieve verbindingsmethode zal uw omgeving aan de volgende randvoorwaarden moeten voldoen.

  1. Vereiste versie van uniFLOW moet minimaal versie 2020 V3 of hoger zijn *;
  2. Vervolgens zal de configuratie van de mobile print functie gezamenlijk met een Integration Specialist van PCI en uw IT Afdeling ingericht worden;

* Mocht uw uniFLOW omgeving niet voldoen aan de minimale versie dan kunnen wij u hierbij helpen via ons change proces. Om d.m.v. een RFC (Request For Change) de huidige server te updaten naar de geschikte versie van uniFLOW.

Aanvullende opmerking: deze actie valt buiten het reguliere support van PCI Nederland en zal op basis van nacalculatie gefactureerd worden.

Voor het relayen via uniFLOW zal basic authenticatie weer ingeschakeld moeten worden voor het account dat gebruikt word voor deze functie. Zoals beschreven word in punt 2.1 is het wel mogelijk om gebruik te blijven maken van Basic authenticatie aangezien multifunctionals nog niet beschikken over moderne authenticatie methodes.

Zie onderstaande URL voor meer informatie: How to set up a multifunction device or application to send email using Microsoft 365 or Office 365 | Microsoft Docs

Voor het relayen via PaperCut MF zal basic authenticatie weer ingeschakeld moeten worden voor het account dat gebruikt word voor deze functie. Zoals beschreven word het wel mogelijk om gebruik te blijven maken van Basic authenticatie aangezien multifunctionals nog niet beschikken over moderne authenticatie methodes.

Zie onderstaande URL voor meer informatie:

How to set up a multifunction device or application to send email using Microsoft 365 or Office 365 | Microsoft Docs

Voor Microsoft/Office 365-klanten: de mogelijkheid om MS Office 365 te gebruiken met e-mail om af te drukken (zonder basisverificatie) is beschikbaar in PaperCut MF en NG versie 22.0.0 en hoger. Dit doet u door het nieuwe IMAP OAUTH voor Microsoft 365, Office 365, Outlook.com-protocol te selecteren in de vervolgkeuzelijst bij het configureren van Email to Print ( ‘Een mailbox instellen’ Email to Print | PaperCut )

Voor Google/ Workspace-klanten: de mogelijkheid om Gmail/ Google Workspace te gebruiken met e-mail om af te drukken (zonder basisverificatie) is beschikbaar in PaperCut MF en NG versie 22.0.3 en later. Deze id wordt gedaan door het nieuwe Gmail OAuth2-protocol te selecteren in de vervolgkeuzelijst bij het configureren van e-mail om af te drukken. Voor meer informatie over het configureren van E-mail om af te drukken met Google mail, zie Google OAuth2 instellen voor uw Gmail-account voor E-mail om af te drukken. ( Setting Up Google OAuth2 for your Gmail account for Email to Print | PaperCut )

Wanneer er in uw omgeving gebruik gemaakt wordt van MyQ Basis Authentication voor SMTP, heeft de Microsoft-wijziging als gevolg dat Basis Authentication voor SMTP na datum niet meer gaat werken.
Als alternatieve methode om toch met exchange Online te communiceren zal SMTP verbinding via OAUTH 2.0 (for IMAP.POP3 en SMTP) geconfigureerd moeten worden.
Om gebruik te maken van deze alternatieve verbindingsmethode zal uw omgeving aan de volgende randvoorwaarden moeten voldoen.

  1. Vereiste versie van MyQ moet minimaal versie 8.2 of hoger zijn *;
  2. Vervolgens zal de configuratie van de SMTP functie gezamenlijk met een Integration Specialist van PCI en uw IT Afdeling ingericht worden;

* Mocht uw MyQ omgeving niet voldoen aan de minimale versie dan kunnen wij u hierbij helpen via ons change proces. Om d.m.v. een RFC (Request For Change) de huidige server te updaten naar de geschikte versie van MyQ.

Aanvullende opmerking: deze actie valt buiten het reguliere support van PCI Nederland en zal op basis van nacalculatie gefactureerd worden.

Wanneer u Drivve gebruikt in combinatie met Office365/Azure als gegevensbron (met behulp van Graph.api) in plaats van de basisverificatie voor: scannen naar OneDrive, Teams en e-mails wens te gebruiken dan dient u hiervoor de laastste versie 9.10.275 van Drivve te installeren. Voor SharePoint is alleen de basisauthenticatie beschikbaar en te gebruiken.

Hoe kan ik zien welke authenticatie methode word gebruikt?

Het is niet altijd duidelijk te zien of je moderne authenticatie gebruikt of basis authenticatie. Toch is er tijdens het inloggen vaak wel verschil te zien.

Daarnaast is het als beheerder van een Microsoft omgeving te achterhalen welke gebruikersaccounts momenteel gebruik maken van basis authenticatie. Hierdoor kan je als beheerder proactief schakelen met medewerkers en leveranciers om te voorkomen dat per 1 oktober 2022 de e-maildienst niet meer gebruikt kan worden.

Afbeelding1

Hoe kunnen we helpen?

Wij kunnen het ons voorstellen dat u vragen heeft en zelf niet de kennis of mogelijkheden heeft dit op te lossen, dan kunt u contact opnemen met de Customer Service op tel.: 088 543 0808.

Ook is het verstandig uw applicatie leverancier(s) te vragen of er nog gebruik gemaakt wordt van basis authenticatie.

Customer Service

Waar kunnen we je mee helpen?

Customer Service Klantenservice

Inschrijfformulier nieuwsbrief PCI

Ik ben geïnteresseerd in:(Vereist)
Op de hoogte
Contact opnemen
Voorwaarden(Vereist)

"*" geeft vereiste velden aan

Op de hoogte
Contact opnemen
Voorwaarden*