L1 BIO 09.04.02 ISO A.9.4.2 CIS 1.3.1

Modern Authentication Ingeschakeld Voor Exchange Online

📅 2025-10-30
⏱️ 6 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Modern Authentication (OAuth 2.0) voor Exchange Online maakt multifactorauthenticatie, Conditional Access beleidsregels en token-based authentication mogelijk, ter vervanging van legacy Basic Authentication die alleen username en password ondersteunt.

Aanbeveling
Implementeer
Risico zonder
High
Risk Score
8/10
Implementatie
3u (tech: 1u)
Van toepassing op:
M365
Exchange Online

Legacy Basic Authentication (gebruikersnaam + wachtwoord) omzeilt essentiële beveiligingsmechanismen: multifactorauthenticatie wordt niet ondersteund (geen second factor mogelijk), Conditional Access beleidsregels worden genegeerd, credentials worden onbeperkt gecached (geen token expiratie), en het is kwetsbaar voor credential stuffing en brute force aanvallen. Modern Authentication daarentegen maakt MFA mogelijk voor email toegang, dwingt Conditional Access beleidsregels af, gebruikt short-lived tokens die automatisch expiren, en ondersteunt phishing-resistente authenticatiemethoden. Dit is een essentiële security upgrade die moet worden geïmplementeerd.

PowerShell Modules Vereist
Primary API: Exchange Online PowerShell
Connection: Connect-ExchangeOnline
Required Modules: ExchangeOnlineManagement

Implementatie

Deze control verifieert dat Modern Authentication is ingeschakeld voor de Exchange Online organization. Alle Outlook clients (2013 en nieuwer), mobile apps, en derde partij applicaties moeten OAuth 2.0 tokens gebruiken in plaats van Basic Authentication credentials. Modern Authentication is standaard ingeschakeld sinds 2020, maar kan per ongeluk zijn uitgeschakeld. Na het inschakelen van Modern Auth moet Basic Authentication worden geblokkeerd via een Conditional Accesssbeleid.

Vereisten

Voor het Implementeereren van Modern Authentication zijn de volgende vereisten van toepassing:

  1. Exchange Online licentie (deel van M365)
  2. Exchange Administrator rol of Globale beheerder rechtenistrator
  3. Outlook clients versie 2013 of nieuwer
  4. Modern Auth-capable email applicaties
  5. Azure AD met voorwaardelijke toegang licenties (Azure AD P1 of hoger)
  6. Communicatieplan voor gebruikers met oude Outlook versies

Implementeeratie

Modern Authentication kan worden geïmplementeerd via PowerShell:

Gebruik PowerShell-script modern-authentication-exchange.ps1 (functie Invoke-Monitoring) – PowerShell script voor verificatie van Modern Authentication status.

Handmatige verificatie en activering:

  1. Stap 1: Verbind met Exchange Online PowerShell: Connect-ExchangeOnline
  2. Stap 2: Controleer huidige status: Get-OrganizationConfig | Select-Object -Property OAuth2ClientProfileSchakel ind
  3. Stap 3: Als False, schakel in: Set-OrganizationConfig -OAuth2ClientProfileSchakel ind $true
  4. Stap 4: Verifieer per protocol: Get-AuthenticationPolicy
  5. Stap 5: Communiceer naar gebruikers om Outlook te updaten indien oude versies worden gebruikt
  6. Stap 6: Blokkeer Basic Authentication via Conditional Accesssbeleid

Let op: Modern Authentication is standaard ingeschakeld sinds oktober 2020. Controleer of het niet per ongeluk is uitgeschakeld.

monitoring

Gebruik PowerShell-script modern-authentication-exchange.ps1 (functie Invoke-Monitoring) – Controleert of Modern Authentication correct is geConfigureererd.

monitor regelmatig:

  1. OAuth2ClientProfileSchakel ind status via Get-OrganizationConfig
  2. sign-in logs in Azure AD voor legacy authentication pogingen
  3. Client app usage statistics om oude client versies te identificeren
  4. Failed authentication logt voor blocked Basic Auth pogingen
  5. User feedback over authentication issues na Implementeeratie

Remediatie

Als Modern Authentication uitgeschakeld blijkt:

Gebruik PowerShell-script modern-authentication-exchange.ps1 (functie Invoke-Remediation) – Automatische activering van Modern Authentication.

  1. Activeer onmiddellijk via Set-OrganizationConfig -OAuth2ClientProfileSchakel ind $true
  2. Verifieer dat alle services Modern Auth ondersteunen
  3. Update legacy Outlook clients (versies ouder dan 2013)
  4. Implementeereer Conditional Accesssbeleid om Basic Auth te blokkeren
  5. monitor sign-in logs voor problemen na activering

Compliance en Auditing

Deze control voldoet aan de volgende compliance frameworks:

  1. CIS Microsoft 365 Foundations Benchmark - control 1.3.1 (zorg ervoor dat modern authentication voor Exchange Online is Schakel ind)
  2. BIO 09.04.02 - Veilige authenticatiemechanismen
  3. ISO 27001:2022 A.9.4.2 - veilige log-on procedures
  4. ISO 27001:2022 A.9.4.3 - Wachtwoordbeheersysteem
  5. NIS2 Artikel 21 - Authenticatie en toegangscontrole
  6. OWASP Top 10 A07:2021 - Identification en Authentication Failures

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Modern Authentication Exchange .DESCRIPTION Ensures modern authentication (OAuth2) is enabled for Exchange Online .NOTES NL Baseline v2.0 #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param([switch]$Monitoring, [switch]$Remediation, [switch]$Revert, [switch]$WhatIf) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Modern Authentication Exchange" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Invoke-Monitoring { try { Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop $orgConfig = Get-OrganizationConfig $oauth2Enabled = $orgConfig.OAuth2ClientProfileEnabled Write-Host " Modern Authentication (OAuth2): $(if($oauth2Enabled){'ENABLED'}else{'DISABLED'})" -ForegroundColor $( if ($oauth2Enabled) { 'Green' }else { 'Red' } ) Write-Host "`n Benefits:" -ForegroundColor Cyan Write-Host " • Supports MFA" -ForegroundColor Gray Write-Host " • More secure than basic auth" -ForegroundColor Gray Write-Host " • Token-based authentication" -ForegroundColor Gray Write-Host " • Conditional Access support" -ForegroundColor Gray if ($oauth2Enabled) { Write-Host "`n[OK] COMPLIANT - Modern auth enabled" -ForegroundColor Green exit 0 } else { Write-Host "`n[FAIL] NON-COMPLIANT - Legacy auth only!" -ForegroundColor Red exit 1 } } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Remediation { try { Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Set-OrganizationConfig -OAuth2ClientProfileEnabled $true -ErrorAction Stop Write-Host "`n[OK] Modern authentication enabled" -ForegroundColor Green Write-Host "OAuth2 now supported for all clients" -ForegroundColor Cyan exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Revert { try { Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Set-OrganizationConfig -OAuth2ClientProfileEnabled $false -ErrorAction Stop Write-Host " ⚠️ Disabled - only basic auth available!" -ForegroundColor Yellow exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "Use: -Monitoring | -Remediation | -Revert" -ForegroundColor Yellow } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Hoog beveiligingsrisico: Basic Authentication omzeilt multifactorauthenticatie en Conditional Access beleidsregels, waardoor accounts kwetsbaar zijn voor Diefstal van inloggegevens, phishing aanvallen, en brute force attacks. Zonder Modern Authentication kunnen MFA en CA beleidsregels niet worden afgedwongen op Exchange Online, wat leidt tot verhoogd risico op account compromise en email datalekes. Legacy protocols hebben geen token expiration waardoor credentials onbeperkt gecached blijven.

Management Samenvatting

Schakel Modern Authentication in voor Exchange Online om MFA en voorwaardelijke toegang ondersteunen mogelijk te maken. Vervangt onveilige Basic Authentication met OAuth 2.0 tokens. Standaard ingeschakeld sinds 2020 - verifieer dat het niet is uitgeschakeld. Voldoet aan CIS 1.3.1 L1 en BIO 09.04. Verificatie en activering: 1-3 uur inclusief testing.