Basisverificatie versus moderne verificatie en hoe dit in te schakelen in Office 365

Volgens een Verizon-rapport worden de meeste datalekken mogelijk gemaakt door gecompromitteerde referenties, vooral op e-mailservers. Social engineering, credential phishing en brute force-aanvallen zijn enkele van de methoden die door kwaadwillende actoren worden gebruikt om referenties te stelen.

Om de beveiliging van Office-logins te verbeteren en gegevenslekken te helpen voorkomen, heeft Microsoft de moderne authenticatiemethode geïntroduceerd. Deze methode vereist extra gebruikersauthenticatie en autorisatie bij het verbinden met online Office 365-bronnen.

Vanwege de aanzienlijke voordelen is moderne authenticatie standaard ingeschakeld in alle Office 365-tenants die zijn gemaakt sinds 2017. Het is de enige aanmeldingsmethode die beschikbaar is voor Office 365-apps en -services. In hybride on-premises-cloudkantoorimplementaties moet u echter moderne authenticatie handmatig inschakelen voor oudere Office-clientversies en basisauthenticatie uitschakelen waar mogelijk.

Deze blog biedt een kort overzicht van de basis- en moderne authenticatiemethoden voor hybride kantoorimplementaties en biedt de stappen om moderne authenticatie in Office 365 in te schakelen.

Moderne Authenticatie versus Basisauthenticatie

Tot aan de afschaffing van basisverificatie gepland voor eind 2022, zal Microsoft twee soorten verificatie bieden voor hybride implementaties van Exchange en Skype voor Bedrijven: basisverificatie en moderne verificatie. Let op dat voor het verbinden met SharePoint Online met behulp van een client, alleen moderne verificatie en Microsoft Online Aanmeldingsassistent beschikbaar zijn.

Deze twee verificatiemethoden verschillen aanzienlijk qua beschermingsmogelijkheden. Hoewel basisverificatie later dit jaar zal worden afgeschaft, is het belangrijk om de verschillen tussen de twee opties te begrijpen.

Wat is basisverificatie?

Basisverificatie is het proces van verbinding maken met Office 365-toepassingen met alleen een gebruikersnaam en wachtwoord. Wanneer u uw gebruikersnaam en wachtwoord invoert in een e-mailclient, worden deze naar Exchange Online verzonden voor verificatie en authenticatie voordat u wordt verbonden met de cloudservice.

Dit is een verouderde methode die niet langer voldoende bescherming biedt tegen bedreigingen van referenties. Een van de belangrijkste kwetsbaarheden van basisverificatie is dat toepassingen gebruikersreferenties op het apparaat opslaan, wat meer mogelijkheden creëert voor hackers die wachtwoorden proberen te stelen. Bovendien zijn veel van de identiteits- en toegangsbeheerfuncties van Microsoft, zoals Voorwaardelijke Toegang en multi-factor authenticatie (MFA), niet beschikbaar bij deze verouderde verificatie van Office 365.

Wat is moderne verificatie?

Moderne authenticatie is een combinatie van verschillende authenticatie- en autorisatiemethoden om toegang te krijgen tot Microsoft Office-cloudresources. Moderne authenticatie is gebaseerd op de Active Directory Authentication Library (ADAL) en OAuth 2.0.

• Active Directory Authentication Library is een authenticatietool voor apps om beveiligde resources te openen via beveiligingstokens. Met ADAL krijgen gebruikers ook éénmalige aanmelding (SSO) voor naadloze toegang tot de beschikbare Office 365-resources.
• OAuth 2.0 is een autorisatieprotocol waarmee gebruikers toegang kunnen krijgen tot resources via een client-app met behulp van toegangstokens. Dit framework omvat toegangsdelegatie en als zodanig worden gebruikersreferenties niet gedeeld met de resource-server.

Het moderne authenticatieframework voegt een extra beveiligingslaag toe voor gebruikers die inloggen op hun Microsoft 365-resources vanuit client-apps. Bovendien maakt dit framework de activering van multi-factor authenticatie (MFA) en het gebruik van Conditional Access beleid mogelijk.

Hoe moderne authenticatie inschakelen in Office 365

Voor Microsoft-tenants die vóór augustus 2017 zijn aangemaakt, zijn er verschillende methoden om moderne authenticatie in te schakelen in Office 365:

Gebruik van het Microsoft 365-beheercentrum

Om moderne authenticatie in te schakelen in Office 365 via het beheercentrum:

1. Meld u aan bij het Microsoft 365-beheercentrum.In het linkernavigatievenster, vouw Instellingen uit en klik vervolgens op Org-instellingen.
2. In het linkernavigatiedeelvenster, uitbreiden Instellingen en klik vervolgens op Organisatie-instellingen.
3. Onder Diensten, kies Modern verificatie.
4. Selecteer het selectievakje Schakel moderne verificatie in voor Outlook 2013 voor Windows en later (aanbevolen).
5. Klik op Opslaan.

Gebruikmakend van Exchange Online PowerShell

Volg de onderstaande stappen om moderne verificatie in te schakelen met Exchange Online PowerShell:

1. Verbinding maken met Exchange Online PowerShell.
2. Voer de volgende opdracht uit voor Outlook 2013 of later clients:
   Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
3. Controleer of de wijziging succesvol was en moderne verificatie is ingeschakeld met deze opdracht:
   Get-OrganizationConfig | Format-Table Name,OAuth* -Auto

Het is belangrijk op te merken dat dit u niet stopt met het gebruik van de basisverificatiemethode. U kunt echter de O365-verouderde verificatie in Outlook 2013 of later afdwingen door de opdracht uit te voeren:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false

Uitschakelen Office 365 basisverificatie

Nadat u moderne verificatie in Office 365 hebt ingeschakeld, kunt u nu de basisverificatieprotocollen uitschakelen. U moet echter ervoor zorgen dat geen enkele gebruiker ervan profiteert. Volg deze stappen om te controleren of iemand basisverificatie gebruikt:

1. Open je Microsoft Azure account.
2. Open de Azure Active Directory.

3. Kies Aanmeldingslogboeken in het linker navigatiepaneel.
4. Verander Datumbereik in Laatste 7 dagen of meer.
5. Klik op Filters toevoegen.
6. Selecteer Client-app en klik op Toepassen.

7. Klik op het zojuist gemaakte filter Client-app.
8. Vink alle vakjes onder Legacy Authenticatie Clients
9. Klik op Toepassen.

Deze lijst bevat alle aanmeldgebeurtenissen met hun corresponderende gebruikers en toepassingen. Voordat je basisauthenticatie uitschakelt, kun je al deze toepassingen migreren naar de moderne authenticatieprotocollen, zodat je ze niet verliest.

Om O365 legacy authenticatie uit te schakelen:

1. Open de Microsoft 365 beheercentrum.
2. In het linker navigatiepaneel, breid Instellingen uit en klik op Organisatie-instellingen.
3. Kies Moderne authenticatie onder Services.
4. Schakel alle selectievakjes onder Toegang toestaan tot basisauthenticatieprotocollen uit.
5. Klik op Opslaan.

Outlook Moderne Authenticatie

Terwijl de nieuwste Outlook-edities moderne authenticatie ondersteunen als standaard, vereist het toevoegen ervan aan oudere clients een handmatige configuratie. Verschillende versies van Outlook hebben verschillende eisen wanneer het gaat om het inschakelen van moderne authenticatie:

• Outlook 2010 of eerder: Moderne authenticatie wordt niet ondersteund en u moet Outlook upgraden om te profiteren van deze functionaliteit.
• Outlook 2013: Moderne authenticatie is beschikbaar, maar niet standaard ingeschakeld, en u moet Outlook dwingen om deze te gebruiken zodra deze is ingeschakeld.
• Outlook 2016 of later + Outlook 365: Moderne authenticatie is beschikbaar en standaard ingeschakeld.

De onderstaande tabel geeft de eisen van elke versie weer:

Outlook Versie	Moderne Auth	EnableADAL regel	Forceer Moderne Auth
Outlook 2010	Niet ondersteund	Niet beschikbaar	Niet beschikbaar
Outlook 2013	Ondersteund	Vereist	Vereist
Outlook 2016	Ondersteund	Niet vereist	Niet vereist
Outlook 2019	Ondersteund	Niet vereist	Niet vereist
Outlook 365	Ondersteund	Niet vereist	Niet vereist

Moderne authenticatie in Outlook 2013

Zoals eerder vermeld, ondersteunt Outlook 2013 moderne authenticatie, maar gebruikt standaard basisauthenticatie. U kunt moderne authenticatie handmatig inschakelen.

Om dit te doen, moet u de volgende sleutels toevoegen in het Windows-register:

Register Sleutel	Type	Waarde
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL	REG_DWORD	1
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version	REG_DWORD	1

Na het instellen van deze sleutels, raadt Microsoft aan dat u nog een register sleutel toevoegt om Outlook 2013 te dwingen om moderne authenticatie te gebruiken, zodat het niet terugvalt op de basis authenticatie. De sleutel die u moet gebruiken is:

Register Sleutel	Type	Waarde
HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover	REG_DWORD	1

Moderne authenticatie in Outlook 2016 of later

Hoewel moderne authenticatie standaard is ingeschakeld in Outlook 2016, is het aanbevolen om moderne authenticatie te forceren met de onderstaande register sleutel:

Register Sleutel	Type	Waarde
HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover	REG_DWORD	1

Skype voor Bedrijven Moderne Authenticatie

Omdat moderne authenticatie standaard uit staat voor alle Microsoft-tenants die zijn gemaakt vóór 1 augustus 2017, moet u deze handmatig aanzetten. Net als in Outlook kunt u moderne authenticatie in Skype voor Bedrijven inschakelen met de volgende register sleutels:

Register Sleutel	Type	Waarde
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync\ AllowAdalForNonLyncIndependentOfLync	REG_DWORD	1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync\ AllowAdalForNonLyncIndependentOfLync	REG_DWORD	1

Conclusie

Microsoft is het uitfaseren van de O365-erfgoedverificatie omdat een eenvoudige reeks referenties niet langer de vereiste beveiligingsbescherming kan garanderen. Gelukkig zijn er andere beveiligingsmaatregelen beschikbaar, en het inschakelen van moderne verificatie in Office 365 wordt aanbevolen. Eenmaal ingeschakeld, kunt u multi-factor authenticatie (MFA) activeren, machtigingen definiëren en de toegang tot specifieke toepassingen voor gebruikers beperken.

Dat gezegd hebbende, zorgt het hebben van een allesomvattende back-upoplossing van derden voor optimale bescherming van Office 365-omgevingen. Een complete gegevensbeschermingsoplossing zoals NAKIVO Backup & Replicatie omvat alle tools die u nodig hebt om Microsoft 365-gegevens in uw organisatie te beschermen.