L1 BIO 09.04 ISO A.9.4.2 CIS 3.1.2

SharePoint Online: Modern Authentication Verplicht Stellen

📅 2025-10-29
⏱️ 4 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Modern Authentication verplicht stellen voor SharePoint Online blokkeert legacy authenticatieprotocollen die Multi-Factor Authentication en Conditional Access policies omzeilen. Deze maatregel zorgt ervoor dat alle SharePoint-toegang onderworpen is aan moderne beveiligingscontroles en is essentieel voor het afdwingen van MFA op SharePoint en OneDrive.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
2u (tech: 1u)
Van toepassing op:
M365
SharePoint

Legacy authenticatieprotocollen zoals basic authentication en WebDAV without OAuth2 omzeilen fundamenteel alle moderne beveiligingscontroles. Wanneer legacy authentication is toegestaan voor SharePoint Online, kunnen clients verbinden zonder Multi-Factor Authentication ongeacht tenant-level MFA-policies, Conditional Access policies worden volledig genegeerd waardoor locatie-restricties en device compliance-eisen niet worden afgedwongen, modern security features zoals risk-based access en Identity Protection niet van toepassing zijn, en er geen zichtbaarheid is in sign-in logs over het gebruik van legacy protocols wat security monitoring bemoeilijkt. Deze bypasses maken SharePoint een zwakke schakel in de security posture waarbij aanvallers met gestolen credentials direct toegang krijgen tot alle SharePoint-sites en OneDrive-bestanden zonder additional verification. Vooral problematisch is dat oudere SharePoint-clients en third-party applicaties vaak default naar legacy protocols, wat betekent dat deze bypass mogelijk blijft tenzij expliciet wordt geblokkeerd. Modern Authentication elimineert deze risico's door OAuth 2.0 en OpenID Connect protocols af te dwingen die inherent MFA en Conditional Access ondersteunen, token-based authentication te gebruiken in plaats van username/password transmission, refresh tokens mogelijk te maken voor seamless user experience zonder credential re-entry, en volledige integratie te bieden met Microsoft Entra ID security features zoals risk detection en adaptive access. Voor compliance met CIS Microsoft 365 Foundations control 3.1.2, BIO 09.04 authentication requirements, en ISO 27001 controle A.9.4.2 voor secure authentication is het blokkeren van legacy authentication voor SharePoint verplicht.

PowerShell Modules Vereist
Primary API: SharePoint Online PowerShell
Connection: Connect-SPOService
Required Modules: Microsoft.Online.SharePoint.PowerShell

Implementatie

Deze maatregel configureert de SharePoint Online tenant-level setting om legacy authenticatieprotocollen te blokkeren door de LegacyAuthProtocolsEnabled property op false te zetten. De implementatie gebeurt via SharePoint Online PowerShell door te verbinden met de SharePoint admin center met Connect-SPOService -Url https://tenant-admin.sharepoint.com (waarbij 'tenant' vervangen moet worden door de actual tenant-naam), gevolgd door Set-SPOTenant -LegacyAuthProtocolsEnabled $false om legacy protocols te blokkeren. Verificatie gebeurt met Get-SPOTenant | Select LegacyAuthProtocolsEnabled wat $false moet retourneren na succesvolle configuratie. Na deze change kunnen alleen clients die Modern Authentication (OAuth 2.0) ondersteunen verbinding maken met SharePoint Online en OneDrive for Business, wat betekent dat moderne OneDrive sync clients (Files On-Demand), SharePoint mobile apps, en browser-based toegang blijven werken, maar zeer oude clients zoals SharePoint Designer 2010 of oude WebDAV-implementaties worden geblokkeerd. De impact op eindgebruikers is minimaal omdat vrijwel alle moderne clients sinds 2016 Modern Authentication ondersteunen. Voor organisaties met legacy applications die SharePoint-toegang vereisen via oude protocols moet een migratieplan worden opgesteld om deze applicaties te moderniseren of te vervangen. De implementatie kost 1 uur technisch werk voor configuratie en testing plus 1 uur organizational work voor user communication. Deze maatregel is kosteloos, heeft geen negatieve impact op moderne clients, en is een critical security control die vereist is voor effectieve MFA-enforcement op SharePoint en OneDrive. Dit is een must-have voor alle M365-tenants en voldoet aan CIS Microsoft 365 Foundations control 3.1.2 Level 1.

Vereisten

  1. SharePoint Administrator
  2. Modern clients (OneDrive sync, SharePoint apps)

Implementatie

  1. Connect-SPOService -Url https://tenant-admin.sharepoint.com
  2. Set-SPOTenant -LegacyAuthProtocolsEnabled $false
  3. Verify: Get-SPOTenant | Select LegacyAuthProtocolsEnabled

Compliance en Auditing

  1. CIS M365 - control 3.1.2
  2. BIO 09.04
  3. ISO 27001 A.9.4.2

Monitoring

Gebruik PowerShell-script modern-auth-required.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Gebruik PowerShell-script modern-auth-required.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Modern Authentication Required .DESCRIPTION Disables legacy authentication protocols in SharePoint for enhanced security .NOTES NL Baseline v2.0 #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph [CmdletBinding()] param([switch]$Monitoring) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Modern Auth Required SharePoint" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Invoke-Monitoring { try { Connect-MgGraph -Scopes "Domain.Read.All" -NoWelcome -ErrorAction Stop $domain = (Get-MgDomain | Where-Object { $_.IsDefault }).Id $tenantName = $domain.Split('.')[0] Connect-SPOService -Url "https://$tenantName-admin.sharepoint.com" -ErrorAction Stop $tenant = Get-SPOTenant $result = @{ isCompliant = (-not $tenant.LegacyAuthProtocolsEnabled) legacyAuthBlocked = (-not $tenant.LegacyAuthProtocolsEnabled) } Write-Host " Legacy Auth Protocols: $(if($result.legacyAuthBlocked){'DISABLED'}else{'ENABLED'})" -ForegroundColor $( if ($result.legacyAuthBlocked) { 'Green' }else { 'Red' } ) Write-Host "`n Security Benefits:" -ForegroundColor Cyan Write-Host " • Prevents weak authentication methods" -ForegroundColor Gray Write-Host " • Enforces modern security standards" -ForegroundColor Gray Write-Host " • Reduces attack surface" -ForegroundColor Gray Write-Host " • Improves security posture" -ForegroundColor Gray if ($result.isCompliant) { Write-Host "`n[OK] COMPLIANT - Legacy auth protocols disabled" -ForegroundColor Green exit 0 } else { Write-Host "`n[FAIL] NON-COMPLIANT - Legacy auth protocols enabled!" -ForegroundColor Red exit 1 } } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } try { if ($Monitoring) { Invoke-Monitoring } else { Write-Host "Use: -Monitoring" -ForegroundColor Yellow } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
High: High - Legacy SharePoint auth bypasses MFA/CA.

Management Samenvatting

Require Modern Auth voor SharePoint. Blokkeer legacy protocols. Voldoet aan CIS 3.1.2 L1. Setup: 1u.