Xerox & Microsoft OAuth 2.0: de beste combinatie voor uw scan naar e-mail

Sinds de definitieve uitschakeling van de basisauthenticatie door het Amerikaanse bedrijf op Exchange Online en Microsoft 365, worden veel bedrijven geconfronteerd met een operationele uitdaging: hun multifunctionele printer verzendt geen scans meer via e-mail. De Xerox-machines, op grote schaal ingezet in Belgische en Europese bedrijven, hebben op deze overgang gereageerd met native compatibiliteit en een vereenvoudigde configuratie rond het OAuth 2.0-protocol (définition et info Microsoft). Als (gecertificeerde Xerox-partner) begeleidt D&O Partners zijn klanten bij deze technische migratie met deskundigheid en flexibiliteit.

Waarom het einde van basis-SMTP-authenticatie alles veranderd heeft

Jarenlang was de functie ‘Scannen naar e-mail’ gebaseerd op een eenvoudig mechanisme: het multifunctionele apparaat maakte verbinding met de e-mailserver van het bedrijf door een gebruikersnaam en wachtwoord in leesbare tekst door te sturen. Dit mechanisme, Basic Auth, werkte wel, maar bracht aanzienlijke veiligheidsrisico’s met zich mee: het onderscheppen van inloggegevens, het ontbreken van contextuele controle en onverenigbaarheid met moderne beleidsregels voor voorwaardelijke toegang.

In oktober 2022, en vervolgens definitief in de loop van 2023, werd Basic Auth op alle M365-huurders uitgeschakeld. Gevolg: veel printapparaten die via de servers smtp.office365.com scanden, werkten van de ene dag op de andere dag niet meer, waardoor de hele documentworkflow stil kwam te liggen.

Volgens een rapport van Xerox uit 2024 heeft 68% van de Europese instellingen problemen ondervonden bij de overstap naar OAuth 2.0.

Drie alternatieven zijn naar voren gekomen: een extern relais (minder veilig), directe verbinding zonder authenticatie (onderworpen aan strenge IP-beperkingen), of OAuth 2.0 – de moderne standaard aanbevolen door Microsoft. Het is deze derde optie die Xerox standaard heeft geïntegreerd in zijn AltaLink-, VersaLink- en PrimeLink-series. Ons Xerox-gecertificeerde techniciteam kan u helpen bij het bepalen van de beste aanpak voor uw infrastructuur.

OAuth 2.0: het moderne authenticatieprotocol eenvoudig uitgelegd

OAuth 2.0 is een gestandaardiseerd autorisatieprotocol (RFC 6749) waarmee een applicatie – in dit geval uw Xerox multifunctionele printer – toegang krijgt tot een dienst van een derde partij – in dit geval Microsoft 365 – zonder ooit rechtstreeks met gebruikersgegevens te werken. Het mechanisme is tijdelijk gebaseerd op een toegangstoken, uitgegeven door Microsoft Entra ID (voorheen Azure Active Directory).

Bij het scannen naar e-mail op een Xerox-apparaat verloopt het OAuth 2.0-proces als volgt:

• De beheerder registreert de machine als “applicatie” in Microsoft Entra ID, waarbij een Client ID en een Client Secret worden gegenereerd.
• De machine gebruikt deze inloggegevens om via de Client Credentials-workflow een toegangstoken aan te vragen bij het Microsoft-eindpunt.
• Microsoft Entra ID controleert de toegekende machtigingen (waaronder Send via de Microsoft Graph API) en verstrekt een token met een beperkte geldigheidsduur.
• De Xerox -machine gebruikt dit token om zich te authenticeren bij de Microsoft Graph API en de scan als bijlage te verzenden.
• Zodra het token verloopt (meestal na 1 uur), vraagt de machine automatisch een nieuw token aan via het refresh-token, zonder dat er menselijke tussenkomst nodig is.

Dit mechanisme voorkomt volledig dat wachtwoorden in leesbare vorm worden verzonden en stelt beheerders in staat om de toegang tot het apparaat via het Azure-portaal in te trekken, zonder dat de instellingen van de printer hoeven te worden gewijzigd. Neem bij vragen over de implementatie contact op met ons technische team.

Compatibiliteit van Xerox met OAuth 2.0: welke modellen zijn hiermee geschikt?

Xerox heeft ondersteuning voor OAuth 2.0 geïntegreerd in zijn belangrijkste professionele productlijnen. Bekijk onze volledige Xerox-catalogus om te controleren of deze functie beschikbaar is op uw model:

Het is belangrijk om de firmwareversie op uw apparaat te controleren en aan te passen. Xerox brengt regelmatig updates uit die de compatibiliteit met OAuth 2.0 verbeteren. In het kader van onze onderhoudscontracten zorgt D&O Partners voor een proactieve opvolging van de firmware voor uw volledige apparatenpark.

Stapsgewijze installatie: OAuth 2.0 inschakelen op een Xerox-apparaat met Microsoft 365

De installatie bestaat uit twee delen: het registreren van de applicatie in Azure AD en het configureren via de webinterface van het apparaat (ingebouwde webserver).

Stap 1 — Aanmelden bij Microsoft Entra ID

• Meld u aan bij het Azure-portaal (portal.azure.com) met een account van een globale beheerder.
• Ga naar Microsoft Entra ID > Applicatieregistraties > Nieuwe registratie.
• Geef de app een naam (bijv. “Xerox-Scan-Email”) en selecteer het accounttype (alleen huurder)
• Noteer de applicatie-ID (client-ID) en de directory-ID (tenant-ID) die na het aanmaken worden weergegeven.
• Maak onder ‘Certificaten en geheimen’ een ‘Client Secret’ aan en noteer de waarde onmiddellijk (deze kan later niet meer worden opgehaald).
• Ga naar API-machtigingen > Microsoft Graph > Applicatiemachtigingen, voeg Mail.Send toe en verleen vervolgens de beheerderstoestemming.

Stap 2 — Instellingen op de Xerox Embedded Web Server

Ga naar de webinterface van uw multifunctionele printer (voer het IP-adres in de browser in) > Toepassingen > E-mail > SMTP-instellingen:

• Server: smtp.office365.com | Poort: 587 (STARTTLS)
• Verificatiemethode: OAuth 2.0
• Verzend-e-mailadres: Microsoft 365-adres van waaruit de scans worden verzonden
• Client-ID / Client-geheim: waarden gekopieerd uit Entra ID
• Tenant-ID: uw Azure Directory-ID
• Token-URL: https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token
• Scope: https://graph.microsoft.com/.default

Zodra u bent aangemeld, kunt u de ingebouwde testknop gebruiken om de verbinding te controleren. Als er een fout optreedt, vindt u de exacte foutcodes in de logbestanden van de Embedded Web Server (Probleemoplossing > Logboeken). Onze technici van D&O Partners kunnen op afstand inloggen om eventuele storingen snel op te lossen.

De concrete voordelen voor uw bedrijf

Naast technische conformiteit biedt de implementatie van OAuth 2.0 op uw Xerox-apparatuur meetbare voordelen:

• Verbeterde beveiliging: er worden geen wachtwoorden meer in leesbare vorm op het apparaat opgeslagen of via het netwerk verzonden. De tokens zijn tijdelijk en kunnen op elk moment worden ingetrokken.
• Compatibiliteit met Conditional Access: pas regels toe op basis van locatie, apparaattype of risiconiveau, zelfs voor uw afdrukstromen.
• Traceerbaarheid en audit: elke toegang wordt geregistreerd in Entra ID, wat uw audits voor ISO 27001-, AVG- en NIS2-conformiteit vergemakkelijkt.
• Vereenvoudigd onderhoud: als een medewerker vertrekt, kunt u de toegang vanuit Azure intrekken zonder de instellingen van het apparaat te wijzigen.
• Toekomstbestendigheid: OAuth 2.0 is de Microsoft-standaard voor alle applicatietoegang. Uw infrastructuur is klaar voor toekomstige ontwikkelingen van M365.

D&O Partners: uw partner voor een migratie zonder onderbrekingen

De overstap naar OAuth 2.0 is perfect beheersbaar met de juiste begeleiding. Als gecertificeerde Xerox-reseller en -integrator beschikt D&O Partners over de nodige expertise om alle productlijnen — AltaLink, VersaLink, PrimeLink — te ondersteunen in diverse M365-omgevingen: hybride tenants, Exchange on-premises met connector, geavanceerde beleidsregels voor voorwaardelijke toegang.

Wij bieden een volledige audit van uw printerpark aan, waarmee we kunnen vaststellen welke apparaten een firmware-update nodig hebben, welke direct kunnen worden geconfigureerd en welke een alternatieve aanpak vereisen (beveiligde SMTP-relay voor apparatuur die het einde van de levensduur nadert). Deze audit is geïntegreerd in ons aanbod van diensten en onderhoud.

Onze belofte: uw documentinfrastructuur blijft operationeel, beveiligd en conform — zonder dat uw IT-teams alleen de complexiteit van deze ontwikkelingen hoeven te dragen.

Conclusie

De compatibiliteit van Xerox-apparaten met de OAuth 2.0-authenticatie van Microsoft biedt een concrete en betrouwbare oplossing voor een moderne beveiligingsvereiste. Of u nu een paar printers beheert of tientallen multifunctionele apparaten, deze overstap is onontkoombaar om de functie ‘scannen naar e-mail’ met M365 te kunnen blijven gebruiken.

Xerox heeft ervoor gekozen om dit protocol standaard te integreren, waardoor de configuratie eenvoudig is en het onderhoud duurzaam. Met D&O Partners aan uw zijde wordt deze migratie een kans om uw volledige documentinfrastructuur te beveiligen en te optimaliseren.

FAQ – Veelgestelde Vragen

Waarom werkt het scannen naar e-mail plotseling niet meer?

Dit is de meest gestelde vraag sinds 2023. De belangrijkste oorzaak is de geleidelijke uitschakeling van Basic Auth (basis-SMTP-authenticatie) op Exchange Online en M365. Tot nu toe gebruikte uw multifunctionele printer een gebruikersnaam en wachtwoord in leesbare tekst om zijn scans te verzenden — deze methode wordt niet langer geaccepteerd door het cloudplatform. De aanbevolen oplossing is om over te stappen naar OAuth 2.0. Als uw Xerox-apparaat recent is (AltaLink, VersaLink, PrimeLink), is deze migratie mogelijk zonder vervanging van de hardware. Neem contact op met D&O Partners voor een onmiddellijke diagnose.

Mijn Xerox-printer is al wat ouder en biedt geen OAuth 2.0-optie in de instellingen. Is hij nu onbruikbaar?

Niet noodzakelijk. Er zijn twee alternatieven voor apparaten die OAuth 2.0 niet standaard ondersteunen. Eerste optie: controleren of een recente firmware-update deze compatibiliteit toevoegt — Xerox heeft updates uitgebracht voor veel modellen die nog in gebruik zijn. Tweede optie: een SMTP-relay configureren via een Exchange Online-connector, waarmee verzending vanaf een vast IP-adres zonder OAuth-authenticatie mogelijk is. Deze tweede aanpak werkt wel, maar vereist een statisch openbaar IP-adres en een nauwkeurige DNS/SPF-configuratie. Onze technici van D&O Partners helpen u bij het vinden van de juiste oplossing voor uw apparatuur.

Wat is het verschil tussen de Device Code Flow en de Client Credentials Flow bij het configureren van OAuth 2.0 op een Xerox?

Xerox biedt twee OAuth 2.0-workflows aan, afhankelijk van het model. Bij de Device Code Flow (DCF) moet een beheerder zich eenmalig via een browser authenticeren om het apparaat te autoriseren: dit is de eenvoudigste methode om in te stellen, omdat er geen applicatie handmatig in Entra ID hoeft te worden aangemaakt. De Client Credentials Flow (CCF), die in dit artikel wordt beschreven, is geavanceerder: het apparaat verifieert zichzelf volledig zelfstandig met behulp van een Client ID en een Client Secret, zonder enige menselijke tussenkomst. De CCF heeft de voorkeur in bedrijfsomgevingen waar strenge beleidsregels voor voorwaardelijke toegang gelden. Vraag advies aan onze experts.

De OAuth 2.0-verbindingstest slaagt op mijn Xerox, maar het verzenden van de scan mislukt toch. Waarom?

Dit is een veelgemeld probleem op IT-forums. De meest voorkomende oorzaken zijn: (1) de machtiging Mail.Send heeft geen toestemming van de beheerder gekregen in Entra ID — de test slaagt, maar het daadwerkelijke verzenden wordt geblokkeerd; (2) een beleid voor voorwaardelijke toegang blokkeert apparaten die niet aan de vereisten voldoen (Intune, geolocatie); (3) het gebruikte e-mailadres behoort tot een Business- of School-account waarvoor voorafgaande toestemming van de tenantbeheerder vereist is via xerox.com/OAuth2-email-admin-consent. De logbestanden van de Embedded Web Server (sectie Probleemoplossing) geven de exacte foutcode weer. Ons team kan deze logbestanden op afstand analyseren.

Is er een actieve M365-licentie nodig voor het e-mailaccount dat door de Xerox-scanner wordt gebruikt?

Ja, bij het gebruik van de Client Credentials Flow met Mail.Send via de Graph API moet de gebruikte mailbox beschikken over een actieve Exchange Online-licentie (minimaal Exchange Online Plan 1). Een account zonder actieve mailbox kan niet als afzender worden gebruikt. Een voordelig alternatief is het gebruik van een gedeelde mailbox (shared mailbox), waarvoor geen aparte licentie nodig is als deze is gekoppeld aan een tenant die al over actieve licenties beschikt — dit is een gangbare praktijk voor printfleets met meerdere gebruikers. Bekijk onze Xerox-oplossingen voor meer informatie.

Mijn Xerox verstuurt scans wel intern, maar niet naar externe e-mailadressen. Hoe los ik dit probleem op?

Dit gedrag is kenmerkend voor een Direct Send-configuratie, die poort 25 zonder authenticatie gebruikt en alleen e-mails toestaat naar domeinen die in uw tenant worden gehost. Om naar externe ontvangers te verzenden, moet u ofwel overschakelen naar geauthenticeerde SMTP-relay via OAuth 2.0 (poort 587), ofwel een Exchange-e-mailconnector configureren die expliciet relay naar buiten toestaat. In het laatste geval moet het openbare IP-adres van de machine in de connector worden opgegeven. Onze D&O Partners experts configureren deze connectoren tijdens onze bezoeken ter plaatse.

Kan D&O Partners de volledige OAuth 2.0-migratie voor ons Xerox-park verzorgen?

Ja, dat is inderdaad een van onze belangrijkste diensten. D&O Partners verzorgt het hele traject van A tot Z: een voorafgaande audit van het machinepark, het updaten van de firmware, het configureren van elke machine via de Embedded Web Server, validatietests en documentatie. Voor grote machineparken bieden wij batchimplementaties aan om de impact op uw bedrijfsvoering tot een minimum te beperken. Deze dienst kan worden opgenomen in een algemeen onderhoudscontract of als eenmalige interventie worden uitgevoerd. Vraag een gratis offerte aan.

Wilt u de compatibiliteit van uw Xerox-apparatuur met OAuth 2.0 laten beoordelen? Neem dan contact op met D&O Partners voor een gratis audit van uw printinfrastructuur.