Microsoft stopt binnenkort met de ondersteuning van ouderwetse authenticatie voor Exchange Online. De nieuwere inlogprocedure is veiliger, maar wordt niet door alle toestellen ondersteund.
In 2018 kondigde Microsoft al aan dat het in 2020 wilde stoppen met de ondersteuning van ouderwetse authenticatie voor Excange Web Services (EWS) voor Office 365. Vandaag volstaat een combinatie van gebruikersnaam en wachtwoord nog om in te loggen op Exchange Online om bijvoorbeeld mails te ontvangen. Voor Exchange ActiveSync (EAS), POP, IMAP en Remote PowerShell wil Microsoft OAuth 2.0 verplichten. Dat weet The Register.
OAuth 2.0
Via OAuth 2.0 verloopt de inlogprocedure via een toegangstoken verkregen via Azure Active Directory. Dat is veiliger en laat onder andere tweefactorauthenticatie toe. Sommige toepassingen en toestellen zijn daar echter niet compatibel mee. Zo verbindt e-mailsoftware van derden met Exchange Online over het POP of IMAP-protocol via de oude procedure, aangezien OAuth 2.0 daarvoor nog niet ondersteund wordt door Microsoft.
Microsoft geeft intussen aan dat het werkt aan de OAuth 2.0-API voor die protocollen en met de uitrol gestart is. Ondersteuning voor de klassieke manier van inloggen eindigt echter op 13 oktober van dit jaar, wat betekent dat de softwarereus bedrijven niet zoveel tijd geeft om een alternatief te implementeren. Bovendien is niet alle software compatibel met Modern Auth, zelfs na de implementatie van Microsoft.
Problemen met oude software en mobiel
Wie nog een oudere versie van Office gebruikt, kan onder andere in de problemen komen. Outlook 2013 kan wel gebruik maken van OAuth 2.0 om te verbinden met de Exchange, maar enkel nadat je in het register duikt om aanpassingen door te voeren. Op Mac zijn versies voor Outlook 2016 niet compatibel. Legacy-toestellen die met Exchange verbinden om mail in het oog te houden, zullen volgens Microsoft eveneens in de problemen komen. Redmond lijkt te suggereren dat soft- en hardware die OAuth 2.0 niet ondersteunt om veiligheidsredenen toch aan vervanging toe is.
De grootste problemen zullen zich op Android voordoen. Op de app van Samsung na is geen enkele standaard-mailcliënt op Android compatibel met de nieuwe inlogprocedure zodat mail synchroniseren onmogelijk wordt. De apps van Microsoft zelf werken natuurlijk wel. Ook voor iOS zouden zich problemen voordoen. Microsoft suggereert vanzelfsprekend dat je overstapt op de applicaties van de softwaregigant zelf, al klinkt dat vervaarlijk als een poging tot vendor lock-in in naam van veiligheid. In principe hebben appontwikkelaars wel nog enkele maanden de tijd om hun toepassingen compatibel te maken.
Voorbeelden van toestellen waar problemen mogelijk zijn, zijn oudere printers. Microsoft beseft dat die toestellen vaak op een ouderwetse manier inloggen op Exchange, en laat het versturen van mails via SMTP en de oude inlogprocedure daarom voorlopig intact.
Laat in actie
Dat Microsoft inzet op OAuth 2.0 is een goede zaak. Het is niet onlogisch dat legacy-toepassingen aangepast of vervangen dienen te worden in naam van veiligheid en Microsoft was in eerste instantie ruim op tijd met zijn waarschuwing. Vreemd genoeg bleef het daarbij, en schoot Redmond pas recent in actie met het aanpassen van de API’s. Dat betekent dat bedrijven en app-ontwikkelaars zich plots alsnog moeten haasten om alles in orde te krijgen.