Blokkeer legacy authentication

Leestijd: 3 minuten
Wat is legacy authentication

Legacy authentication is het inloggen op een dienst of service met slechts alleen een gebruikersnaam en wachtwoord. Deze verouderde manier van inloggen kan niet omgaan met nieuwe methodes zoals oAuth (moderne authenticatie). Deze nieuwe manier van inloggen kan in combinatie met MFA worden gebruikt. Daarom is het belangrijk dat deze verouderde manieren van inloggen geblokkeerd worden. Dit kan gedaan worden door een Conditional Access policy.

Risico: Door legacy authenticatie toe te staan is het voor kwaadwillende gemakkelijker om toegang te krijgen tot de M365 omgeving en daarbij MFA te omzeilen.

Identificeer welke gebruikers legacy authentication gebruiken

De eerste stap voor het uitschakelen van legacy authentication zou moeten zijn om gebruikers en services te identificeren die hier nog gebruik van maken. Een rapport kan worden gemaakt via de Sign-in Monitoring van Azure AD (Azure AD Premium P1 licentie).

Navigeer naar portal.azure.com, ga naar Azure Active Directory en scrol omlaag naar ‘Sign-ins’. Dit is een overzicht van alle aanmeldingen die plaatsvinden binnen de tenant. Voeg de kolom ‘Client-app’ toe en filteer dan op de verschillende ‘Other Clients’ (dit zijn de verouderde protocollen). Gebruik dit overzicht om de gebruikers te identificeren die nog steeds legacy authentication gebruiken en probeer ze over te laten stappen naar moderne authenticatie.

Maak een policy aan

De beste manier om legacy authentication te blokkeren is via Conditional Access. Navigeer naar portal.azure.com en ga naar ‘Conditional Access’ en klik op ‘New Policy’.

Voer een naam in voor je policy en selecteer ‘Users and groups’ en kies ‘All users’.
Let op dat je eventueel (service) accounts die nog verouderde protocollen gebruiken en echt noodzakelijk zijn op dit moment kan excluden.

Wij willen de toegang voor legacy clients blokkeren voor alle cloud apps. Selecteer daarom ‘All Cloud apps’

Configureer nu de condition. Selecteer ‘Conditions’, ‘Client apps’ en selecteer yes en vink daarbij ‘Mobile apps and desktop clients’ en ‘Other Clients’ aan.



Dit is de laatste stap. Kies ‘Block Access’ in de Access Controls en sla daarna de policy op. Er kan ook gekozen worden om eerste deze policy op te slaan op report-only. Via deze manier kun je eerst inzicht krijgen wie of welke service nog gebruikt maakt van legacy authentication.