Legacy authenticatie: hoe schakel ik het uit? (2024)

In mijn eerste blog van deze reeks heb ik uitgelegd wat Legacy Authenticatie inhoudt. Vervolgens ben ik in een volgend blog verder ingegaan waarom je Legacy Authenticatie uit wilt schakelen, voordat Microsoft dit doet. Hier heb ik ook high-level de stappen omschreven om dit voor elkaar te krijgen. Nu in deel 3, deze blogpost, “the final chapter” komt dan ook the (technical) good stuff aan bod. Hoe pakken we het stoppen met Legacy Authenticatie concreet aan?

Legacy Authenticatie vs. moderne authenticatie

Ik merk dat er vaak nog wat onduidelijkheid is over Legacy Authenticatie en wat het inhoudt. Daarom even een opmerking om het misverstand wat ik vaker hoor de wereld uit te helpen:

Legacy authenticatie is niet “de authenticatie middels gebruikersnaam en wachtwoord”, maar juist de manier waarop authenticatie wordt overgebracht. Wat ik daarmee wil zeggen is dat hoewel moderne authenticatie je in staat stelt om bijvoorbeeld MFA te doen, moderne authenticatie een volledig andere manier van authentiseren is. Dit gaat over de volledige verkeersstroom en de protocollen die op de achtergrond gebruikt worden, waarbij veel meer mogelijk is en security centraal staat. Maar moderne authenticatie is dus niet per definitie “MFA”, het kan je wel in staat stellen om bijvoorbeeld MFA te gaan gebruiken en bijvoorbeeld password-less te gaan werken!

Belangrijk, maar toch uitgesteld

Microsoft heeft aangegeven het uitschakelen van Legacy Authenticatie voor Exchange Online vanuit hun kant te hebben uitgesteld naar de 2e helft van 2021, waarbij ze Corona aangrijpen als reden. Maar het is wel belangrijk, toch? Jazeker! De risico’s die we eerder omschreven hebben, worden er niet minder op, dus het is van belang alsnog op zo kort mogelijke termijn actie te ondernemen.

Top, gaan we doen! Maar hoe?

In de vorige blogs heb ik omschreven wat de overkoepelende stappen zijn om Legacy Authenticatie uit te (kunnen) schakelen. Hieronder nog even dat lijstje ter naslag:

Hieronder zal ik een aantal bovenstaande stappen in meer detail uitleggen.

Schakel Moderne authenticatie in

Voorheen kon dit (alleen) via Powershell, tegenwoordig kan dit ook via de Microsoft 365 Admin portal pagina.

Open hiervoor het Microsoft 365 admin center en klik “Settings” > “Org settings” > “Modern Authentication” en zet het vinkje aan bij “Enable Modern authentication” zoals hieronder weergegeven.

Legacy authenticatie: hoe schakel ik het uit? (1)

Je maakt hiermee de moderne manier van authentiseren mogelijk, wat normaal gesproken geen (negatieve) impact heeft op clients of beschikbaarheid. Houd er wel rekening mee dat, wanneer je Conditional Access gebruikt en bepaalde zaken afdwingt voor Moderne Authenticatie clients, deze policies (ineens) van kracht zullen worden. Is dat in jouw organisatie het geval, controleer even goed wat je kunt verwachten. Twijfels? Laat het ons weten en we denken met je mee.

Verder hebben, zoals eerder aangegeven, Office 2013 clients nog een extra wijziging nodig om geforceerd moderne authenticatie te gaan gebruiken, naast dat zij een minimale versie nodig hebben.

Zijspoor: Security Defaults

Ik wil je graag even wijzen op een nieuwe feature die Microsoft beschikbaar heeft gemaakt: de security defaults. Je kunt via deze defaults met 1 druk op de knop (de) gro(ots)te risico’s in jouw Office 365 en Azure mitigeren:

Legacy authenticatie: hoe schakel ik het uit? (2)

Ken je de “Baseline policies” nog in Conditional Access? Die worden binnenkort weggehaald (tenzij jij ze ingeschakeld hebt) en worden vervangen voor deze baseline policies.

Let even op; deze baseline policy is krachtig en easy-to-use, maar niet bedoeld voor grote organisaties, tenzij jij precies weet wat je aan het doen bent kun je dit in jou omgeving aanzetten. Microsoft en InSpark bevelen dan ook zeker aan de punten die deze security baseline oplost, ook aan te pakken. Maar voor grote organisaties is het goed dit stap-voor-stap te doen en goed te kijken wanneer je welke functionaliteit uitrolt. Dus door gelijksoortige (Conditional Access) policies aan te maken en die gecontroleerd door te voeren. Lees meer over wat deze security defaults inhouden.

Validatie applicatie-ondersteuning voor moderne authenticatie

Er zijn weinig organisaties die een overkoepelend overzicht hebben van exact welke applicaties gebruikt worden en waar zij mee integreren, heeft jouw organisatie dat wel? Mijn complimenten!

Maar hoe krijg je nou inzicht in welke applicaties integreren met Office 365 en hoe zij authenticeren? Dat inzicht krijgen we de door logging aan te zetten binnen Conditional Access. Om volledig van Conditional Access gebruik te kunnen maken heb je Azure AD Premium P1 licenties nodig “of hoger” (zoals Enterprise Management + Security, EMS, E3 of -E5). Even verderop vertel ik je hoe je de verzameling van deze logging met Conditional Access inschakelt. Houdt er rekening mee dat, wanneer je de “security defaults” gebruikt je niet gaat kijken welke applicaties verbinden met legacy authenticatie, maar dit per direct glashard uit zet. Super om te doen als je weet wat je doet en dat het geoorloofd is, maar misschien een stap te ver om ineens te doen?

Laten we beginnen met loggen wat er nu daadwerkelijk via Legacy Authenticatie verbindt.

Zet logging aan via conditional access

Je kunt deze logging op meerdere manieren doen, maar in dit voorbeeld doen we de logging op basis van een Conditional Access Report-Only policy, gecombineerd met de Azure Sign-In logs.

We gaan via Conditional Access de logging aanzetten voor alles wat middels legacy authenticatie verbindt. We gaan dus nog niks blokkeren maar alleen de analyse starten. Dat doen we als volgt:

  1. Log in op de Azure-portal (of het Intune-portaal) en open Conditional Access

Legacy authenticatie: hoe schakel ik het uit? (3)

2. Maak een nieuwe Conditional Access-policy aan met een logische, herkenbare naam. Zoals “[ORGNAAM]-CONDACC-EMS-LOG-LEGACYAUTH” binnen onze eigen naam conventie

Legacy authenticatie: hoe schakel ik het uit? (4)

3. Creëer de policy volgens de onderstaande configuratie:

Legacy authenticatie: hoe schakel ik het uit? (5)

Let op!: Belangrijk is dat je deze policy instelt op “Report-only” zodat we statistieken gaan loggen, maar niet daadwerkelijk verbindingen gaan blokkeren

  1. Voilà! De policy is aangemaakt en gaat bijhouden welke verbindingen via Legacy Authenticatie worden geauthentiseerd. We blokkeren die op dit moment nog niet.

Analyseer logging en onderneem actie

De volgende stap is om de logging te gaan analyseren (je verwacht het niet! 😉).

Dit doe je door de volgende stappen te doorlopen:

  1. Open de Azure Active Directory in de Azure-portal kies de “Sign-ins” onder het kopje Monitoring:Legacy authenticatie: hoe schakel ik het uit? (6)
  2. Kies bij het veld “Date” het tijdbereik waarin je je analyse wilt doen
  3. Kies de optie “Add filters” en selecteer “Client app”. Druk vervolgens “Apply”
  4. Doe nogmaals hetzelfde en kies ook “Conditional Access”
  5. Selecteer nu in de Client App-filter alle Legacy Authentication Clients, en daarnaast bij Conditional Access de “Not Applied” optie:Legacy authenticatie: hoe schakel ik het uit? (7)
  6. De query ziet er nu ongeveer zo uit:Legacy authenticatie: hoe schakel ik het uit? (8)
  7. Dit zorgt ervoor dat je alle legacy authenticatie clients te zien krijgt, waarbij je de tabbladen onderaan iedere entry kunt gebruiken om details te zien over welk apparaat, welke app etc. zich schuldig maakt aan legacy authenticatie
  8. Selecteer een entry en kies het “Report-only” tabblad, hierbij kun je verifiëren dat je applicatie inderdaad geraakt wordt door de report-only policy
  9. Verifieer de boosdoeners en houdt hiervan een lijstje bij. Kijk of je de applicaties om kunt zetten naar Moderne Authenticatie of er nieuwere versie beschikbaar zijn die dit kunnen. Nog mooier: kijk naar een mogelijke SaaS-variant die je aan de Azure AD kunt koppelen voor authenticatie

Wil je dieper ingaan op de analyse? Dan kun je dat doen door Conditional Access Insights aan te zetten, waarbij je specifiekere query’s kunt doen op de verzamelde gegevens. Hier kun je meer lezen over hoe je dit kunt doen.

It’s an imperfect world

Soms krijg je het helaas niet waterdicht… Die ene Office add-in die ooit door die oud-collega ontworpen is en toch wel ècht moet blijven werken. Het officiële en eerlijke antwoord: Zoek een alternatief, deze app levert nu een beveiligings-risico op. Maar wat als je de app toch ècht, voor nu, nog nodig hebt?

Dan kun je een uitzondering maken op de Conditional Access regel waarbij je een zo specifiek mogelijke uitzondering maakt. Denk hierbij aan een uitzondering voor het specifieke account dat Legacy Auth doet, waarbij je het account uitzondert van de eerder gemaakt Conditional Access regel, die nu nog rapporteert maar straks echt gaat blokkeren (tijdelijk, totdat je de bron hebt kunnen aanpakken).

Zoals gezegd, maak die uitzondering zo specifiek en beperkt mogelijk. Kijk of je wellicht (tijdelijk) een extra Conditional Access policy wilt aanmaken die specifiek op dat account gericht is en alléén toegang verschaft vanaf het IP-adres van jouw datacenter/bedrijfslocatie, en specifiek voor de Cloud App: Exchange Online. Zo zorg dat er niet meer dan het strikt noodzakelijk openstaat.

All done! En nu?

Klaar? Alles om naar Moderne Authenticatie? Helemaal top! Dan wordt het nu tijd voor de proef op de som: de blokkade oprichten. Je kunt dat simpelweg doen door de eerder aangemaakte Conditional Access policy “[ORGNAAM]-CONDACC-EMS-LOG-LEGACYAUTH” om te zetten van “Report-only” naar “On”. Pas direct even de naam aan waarbij je van “LOG” schakelt naar “BLOCK”, voor de netheid.

Houdt uiteraard goed je sign-ins in de gaten dat het gedrag is zoals je verwacht.

Authentication Policies op Exchange (Online)

Je wilt starten met het uitzetten van Legacy authenticatie, maar dat gaat niet over 1 nacht ijs. Toch wil je “wagenwijd openstaande voordeur” alvast een kier zetten? Dat kan!

In de praktijk zien we dat de risico’s die het gebruik van Legacy authenticatie met zich meebrengt met name uitgebuit worden bij gebruik van Exchange (Online). Daarom heeft Microsoft Authentication Policies op Exchange in het leven geroepen. Het concept is vrij rechttoe, rechtaan: Je maakt een policy die aangeeft op wat voor manieren er geauthenticeerd/verbonden mag worden met een mailbox, zie hieronder een voorbeeld:

Legacy authenticatie: hoe schakel ik het uit? (9)

Dit stelt je in staat om zonder het gebruik van Conditional Access alsnog Legacy Authenticatie uit te schakelen op Exchange Online en op de laatste versie van Exchange on-premises, Exchange 2019 vanaf CU2 (wat vaak over het hoofd gezien wordt, maar waarbij het risico net zo groot is).

Waarschijnlijk weet je al dat je in Exchange altijd al per mailbox losse protocollen kan enablen en disablen (met het Set-CASMailbox commando). Wordt er geen IMAP/POP3 meer gebruikt in jouw organisatie? Zet dit dan ook voor alle mailboxes hard uit, dan wel per mailbox, dan wel via een authentication policy (als je die optie al hebt binnen jouw Exchange-versie). Schakel daarnaast de gerelateerde services op de Exchange-servers uit, en zorg dat de gerelateerde poorten ook niet beschikbaar/ge-NAT zijn, neem daarin geen risico.

Goed; Authentication policies. Deze kun je creëren op zowel Exchange Online als op Exchange 2019 vanaf CU2. Je maakt een policy welke je toe kunt kennen per user, of als standaard voor jouw organisatie.

De stappen zijn grofweg als volgt:

  1. Verbind naar Exchange (Online) met Powershell en maak een nieuwe Authentication policy aan. Bijvoorbeeld met het volgende commando:
    New-AuthenticationPolicy -Name “Blokkeer Legacy Authenticatie” -BlockLegacyAuthImap -BlockLegacyAuthPop
  1. Ken de policy mailbox voor mailbox toe, of in batches (waarbij je uiteraard goed eventuele klachten die binnenkomen in de gaten houdt):
    Set-User -Identity jop.gommans@inspark.com -AuthenticationPolicy “Blokkeer Legacy Authenticatie”
  1. Alle mailboxes omgezet, of dit direct op alle mailboxes instellen als standaardpolicy? Gebruik het volgende commando:
    Set-OrganizationConfig -DefaultAuthenticationPolicy “Blokkeer Legacy Authenticatie”

Zie dit artikel voor een uitgebreide uitleg van Authentication policies.

Let op!: Heeft jouw organisatie nog een on-premises Skype for Business omgeving, dan communiceert die ook met je Exchange-omgeving. Valideer de benodigde acties die er nodig zijn om dit proces niet te laten breken in deze actie hier.

Exchange on-premises en modern authentication?

Stel, je organisatie is zo gehecht aan haar Exchange on-premises omgeving dat ze die graag behoudt. Toch is wel de wens qua security Legacy authenticatie uit te schakelen. Ook dat kan.

Er bestaat de mogelijkheid de authenticatie van Exchange (on-premises) te “integreren” met Azure/Office 365. Dat betekent dat de authenticatie van connecties naar jouw on-premises Exchange-omgeving wordt gedelegeerd naar de Azure AD, waardoor je ook gebruik kunt maken van Conditional Access, een groot voordeel!

De authenticatie-stroom ziet er dan als volgt uit:

Legacy authenticatie: hoe schakel ik het uit? (10)

(Bovenstaande afbeelding met dank aan het Microsoft Exchange Team)

Dit wordt ondersteund op Exchange 2013 (vanaf CU19) -2016 (CU8) en -2019 (CU1), in combinatie met Outlook 2013 of hoger. Hierdoor kun je Legacy authenticatie uitbannen in jouw omgeving en je beveiligingsniveau een grote stap laten nemen! Je kunt gebruik gaan maken van de Azure AD back-end en Conditional Access, daar heb je wel de nodige licenties voor nodig.

Geïnteresseerd? Lees hier meer en neem met ons contact op om te kijken naar de mogelijkheden.

Nieuws: moderne authenticatie voor interactieve IMAP & POP3 authenticatie

Microsoft heeft gezien dat er nog behoefte is aan Moderne Authenticatie (bij bestaande/verouderde apps) voor apps die nog protocollen gebruiken als IMAP en POP3. Daarom werkt Microsoft aan het beschikbaar maken van interactieve authenticatie met POP3 en IMAP. Let op! Dit is dus niet voor applicaties die op de achtergrond willen authentiseren.

Conclusie

Legacy authenticatie vormt tegenwoordig een groot risico voor organisaties. Helaas zien we in de praktijk nog steeds (en steeds meer) succesvolle aanvallen door middel hiervan. Zonde! Want je kunt zelf actie ondernemen om dit (zoveel mogelijk) uit te bannen. We hopen niet dat de put pas gedempt wordt als het kalf verdronken is bij jouw organisatie, dus onderneem actie!

Security gaat vaak ten koste van gebruiksgemak, maar dat is geval van het uitzetten van Legacy authenticatie niet het geval. Integendeel: Door gebruik van moderne authenticatie zet je ook de eerste stap in de reis om password-less te gaan werken.Hopelijk helpen we je met dit artikel goed op weg om zelf actie te ondernemen. Loop je vast, zoek je hulp in de details of juist de overkoepelende aanpak? Geënthousiasmeerd door Password-less, of gewoon benieuwd naar de laatste ontwikkelingen op de moderne werkplek of Azure? Laat het ons weten! We helpen je erg graag 😀

Legacy authenticatie: hoe schakel ik het uit? (2024)

FAQs

Legacy authenticatie: hoe schakel ik het uit? ›

Zet logging aan voor alle Legacy Authenticatie die plaatsvindt richting je Office 365 tenant; Creëer “authentication policies” op Exchange (Online) die Legacy Authenticatie blokkeren; Je bent nu klaar met het uitfaseren met Legacy authenticatie.

Hoe schakel je authenticatie uit? ›

Verificatie in twee stappen uitschakelen
  1. Open uw Google-account.
  2. Selecteer Verificatie in twee stappen in het gedeelte 'Beveiliging'. U moet wellicht inloggen.
  3. Selecteer Uitschakelen.
  4. Er wordt een pop-upvenster weergegeven waarin u kunt bevestigen dat u verificatie in twee stappen wilt uitschakelen.

Waarom moet ik oude authenticatie uitschakelen? ›

Vanwege het verhoogde risico dat gepaard gaat met verouderde authenticatieprotocollen , raadt Microsoft organisaties aan om authenticatieaanvragen die gebruikmaken van deze protocollen te blokkeren en moderne authenticatie te vereisen.

Wat is Legacy-authenticatie? ›

Wat is legacy authentication

Legacy authentication is het inloggen op een dienst of service met slechts alleen een gebruikersnaam en wachtwoord. Deze verouderde manier van inloggen kan niet omgaan met nieuwe methodes zoals oAuth (moderne authenticatie).

Welke apps gebruiken oude authenticatie? ›

Dit authenticatiepatroon omvat basisauthenticatie, een veelgebruikte industriestandaardmethode voor het verzamelen van gebruikersnaam- en wachtwoordinformatie. Voorbeelden van applicaties die vaak of alleen verouderde authenticatie gebruiken, zijn: Microsoft Office 2013 of ouder. Apps die gebruikmaken van e-mailprotocollen zoals POP, IMAP en SMTP AUTH .

Hoe zet je Authenticator uit? ›

Verificatie in twee stappen uitschakelen
  1. Open de app Instellingen op je apparaat en tik op Google. Je Google-account beheren.
  2. Tik bovenaan op Beveiliging.
  3. Tik onder 'Hoe u inlogt bij Google' op Verificatie in twee stappen. ...
  4. Tik op Uitschakelen.
  5. Bevestig dit door nogmaals op Uitschakelen te tikken.

Kan twee-factor-authenticatie niet uitzetten? ›

Nadat je twee-factor-authenticatie hebt ingeschakeld, heb je twee weken de tijd om het uit te schakelen. Na die periode kun je twee-factor-authenticatie niet meer uitschakelen. Om het uit te schakelen, open je de e‑mail met de bevestiging en klik je op de link om je vorige beveiligingsinstellingen weer in te schakelen.

Wat wordt bedoeld met legacy-protocol? ›

Wat zijn Legacy Protocols? Legacy Protocols zijn processen die basisverificatie gebruiken om verbinding te maken met e-mailclients, agenda's en webservices . Basisverificatie betekent simpelweg dat de applicatie bij elke aanvraag een gebruikersnaam en wachtwoord verstuurt, en die inloggegevens worden vaak ook opgeslagen of bewaard op het apparaat.

Hoe controleer ik of er gebruik wordt gemaakt van oude authenticatie? ›

Als u "moderne mobiele/desktopclient" of "browser" ziet voor een client in de Microsoft Entra-logs, gebruikt deze moderne authenticatie. Als deze een specifieke client- of protocolnaam heeft, zoals "Exchange ActiveSync", gebruikt deze legacy-authenticatie om verbinding te maken met Microsoft Entra ID .

Hoe schakel ik basisverificatie uit in Microsoft Office 365? ›

Beheer basisverificatie in het Microsoft 365-beheercentrum. Ga in het Microsoft 365-beheercentrum op https://admin.microsoft.com naar Instellingen > Organisatie-instellingen > Moderne authenticatie . In de vervolgpagina Moderne authenticatie die verschijnt, kunt u de protocollen identificeren waarvoor geen basisauthenticatie meer nodig is.

Wat is een authenticatie probleem? ›

Waarom krijg ik de melding 'authenticatieprobleem' als ik het wachtwoord invoer? Dit betekent dat het wachtwoord verkeerd is ingevoerd. Klik op het netwerk en kies dan voor Vergeet. Daarna kun je opnieuw verbinding maken met het netwerk.

Hoe werkt authenticatie? ›

Authenticatie is de techniek waarmee een systeem kan vaststellen wie een gebruiker is. Het bekendste voorbeeld van authenticatie is inloggen met een gebruikersnaam en wachtwoord. Hiermee krijgt een gebruiker toegang tot gegevens en kan hij of zij werken op een systeem.

Is 2 factor authenticatie verplicht? ›

Het gebruik van twee-factor-authenticatie (2FA) wordt vanaf 1 september verplicht. Alle gebruikers moeten vanaf dan inloggen met een wachtwoord, en een wisselende code die met een smartphone wordt gegenereerd.

Wat is verouderde authenticatie versus moderne authenticatie? ›

“Legacy-authenticatie” is een term die Microsoft soms gebruikt om basisauthenticatie te beschrijven wanneer deze wordt gebruikt met zijn cloudgebaseerde services. Dit staat in contrast met de term ‘moderne authenticatie’ die meer veiligheid en mogelijkheden biedt .

Welke authenticatie app is gratis? ›

Microsoft Authenticator is een gratis app waarmee u zich kunt aanmelden bij al uw accounts zonder een wachtwoord te gebruiken.

Hoe werkt moderne authenticatie? ›

Moderne authenticatie is een sterkere methode van identiteitsbeheer die veiligere gebruikersauthenticatie en toegangsautorisatie biedt. Het geeft een gebruiker toegang vanaf een clientapparaat zoals een laptop of een mobiel apparaat tot een server om gegevens of informatie te verkrijgen .

Hoe verwijder ik de authenticator van mijn account? ›

Wat de reden ook is, hier is hoe je het uitschakelt. Open de Microsoft Authenticator-app op je apparaat en ga naar het instellingenmenu. Selecteer de optie om de authenticator uit te schakelen of te verwijderen uit je account .

Hoe schakel je Microsoft Authenticator uit? ›

Verificatie in twee stappen in- of uitschakelen
  1. Meld u aan bij uw Microsoft-account Geavanceerde beveiligingsopties. Aanmelden.
  2. Kies onder Extra beveiliging en verificatie in twee stappende optie Inschakelen of Uitschakelen.
  3. Volg de instructies op het scherm.

Hoe verwijder je Authenticator? ›

De authenticator-app verwijderen

Als de authenticator-app uw standaardmethode is, wordt de standaardinstelling gewijzigd in een andere beschikbare methode. Open de verificator-app op uw mobiele apparaat, selecteer Accounts bewerken en verwijder vervolgens uw werk- of schoolaccount uit de verificator-app.

Hoe kan ik Authenticator ontgrendelen? ›

  1. Open de App en vul de code in. Open de Microsoft Authenticator App. ...
  2. Drie verticale stipjes. Druk op de drie verticale stipjes. ...
  3. App vergrendeling aan of uitzetten. Onder het kopje Beveiliging staat 'App Vergrendeling'.

References

Top Articles
Latest Posts
Recommended Articles
Article information

Author: Reed Wilderman

Last Updated:

Views: 5889

Rating: 4.1 / 5 (52 voted)

Reviews: 91% of readers found this page helpful

Author information

Name: Reed Wilderman

Birthday: 1992-06-14

Address: 998 Estell Village, Lake Oscarberg, SD 48713-6877

Phone: +21813267449721

Job: Technology Engineer

Hobby: Swimming, Do it yourself, Beekeeping, Lapidary, Cosplaying, Hiking, Graffiti

Introduction: My name is Reed Wilderman, I am a faithful, bright, lucky, adventurous, lively, rich, vast person who loves writing and wants to share my knowledge and understanding with you.