Je kunt inkomende e-facturen inlezen vanuit Exchange Azure AD. Dit heeft te maken met de door Microsoft geplande uitfasering van POP3 vanaf 13 oktober 2022.

De inrichting bestaat uit de volgende stappen:

1. Applicatie maken in Azure AD
2. Profit inrichten
3. Afzenders/gebruikers controleren in Azure AD

Stap 1: Applicatie maken in Azure AD

Je maakt in Azure AD een applicatie die de juiste rechten heeft.

1. Ga naar https://portal.azure.com en log in als beheerder.
2. Klik op Azure Active Directory.
3. Klik op App registrations.
4. Klik op New registration.
5. Geef de nieuwe registratie een logische naam zoals Profit e-mail.
6. Klik op Register.

   

7. Klik op API permissions.
8. Klik op Add a permission.
9. Klik op Microsoft Graph.
10. Klik op Application permissions.
11. Vink Mail.ReadWrite aan.
12. Klik op Add permissions.

    Om te verzenden met Profit e-mails moet tenminste de permission Mail.ReadWrite en aan de registratie zijn toegekend. De overige permissions mogen indien gewenst verwijderd worden.

    Let op:

    Dit is een 'grove' instelling, want deze staat namelijk toe dat Profit namens elke gebruiker van je Azure-omgeving mag mailen. Microsoft biedt hiervoor een betere (meer fijnmazige) oplossing: je kan namelijk een policy toevoegen aan je Azure-appregistratie en deze koppelen aan een groep met een beperkt aantal users. Voor meer uitleg, zie https://learn.microsoft.com/en-us/graph/auth-limit-mailbox-access.

13. Klik op Grant admin consent for ….

    

14. Klik op Certificates & secrets.
15. Klik op New client secret.
16. Geef de nieuwe secret een logische naam en geef aan hoe lang de secret geldig blijft.
17. Klik op Add.
18. Je ziet in de weergave nu de secret. Sla deze op in bijvoorbeeld een wachtwoord-kluis. Na het afsluiten van dit scherm kun je de secret niet meer zien. Als je de secret niet meer weet moet er een nieuwe gemaakt worden. Je hebt deze later nodig bij het inrichten van Profit in het veld Application secret.

    

19. Klik op Overview
20. Je ziet de waarden Application (client) ID en Directory (tenant) ID. Deze heb je later nodig bij het inrichten van Profit voor de velden Application id en Directory id.

    Let op:

    Als het onderstaande scherm getoond wordt, moet je de waarde in het veld Waarde (Value) overnemen als Application Secret in Profit (dus niet de waarde in Geheim-id).

Stap 2: Profit inrichten

1. Vink E-mailbijlagen als e-factuur inlezen aan.
2. Selecteer Exchange Azure AD.
3. Vul de waarden Directory id, Application id en Application secret (op basis van de inrichting van de Azure AD App in stap 1).
4. Vul het e-mailadres in van de mailbox in.
5. Vul de naam in van de map uit de mailbox waarin de e-facturen staan, dit kan bijvoorbeeld Postvak IN zijn. De naam van de map is hoofdlettergevoelig.

   

Stap 3: Afzenders/gebruikers controleren in Azure AD

In Profit kunnen er op verschillende momenten e-mails verstuurd worden door verschillende afzenders. Mailen via Exchange Azure AD zal alleen succesvol zijn als de gebruikte afzender een gebruiker is in Azure AD. Om een Azure AD gebruiker te maken gaat je in de Azure AD beheer omgeving (stap 1) naar Users en kies je voor New user. Zie ook dit artikel van Microsoft: https://learn.microsoft.com/nl-nl/azure/active-directory/manage-apps/add-application-portal-assign-users

Let op:

Als je Microsoft (Exchange Online) gebruikt, stopt de POP e-mailbox per 1-10-2022. Vanaf deze datum schakelt Microsoft de (oude) Basic Authentication methode namelijk uit.

Andere systemen op basis van POP, zoals Google, blijven nog wel werken. Is deze wijziging van Microsoft ook voor jouw organisatie van toepassing? Dan heb je hier 23 augustus 2022 deze mail over ontvangen.

Update 26-07-2022: We zien dat Microsoft op willekeurige basis al is gestart om Basic Authentication tijdelijk uit te schakelen voor een deel van hun klanten. Als systeembeheerder kan je de Basic Authentication weer inschakelen, waardoor dit tot 01-10-2022 blijft werken. Zie voor meer informatie het artikel van Microsoft onder kopje Limited Opt Out.

1. Vink E-mailbijlagen als e-factuur inlezen aan als je e-facturen wilt inlezen.
2. Selecteer POP3 bij Type e-mailserver.

   De communicatieservice haalt de e-mailberichten op en slaat de berichten op in het communicatiebericht van de communicatieservice. Hiermee kun je berichten ophalen via een POP-dienst, maar dit moet bij de betreffende dienst wel zijn ingeschakeld.

3. Vul Gebruikersnaam, Wachtwoord en Server inkomende e-mail (POP3) in.
   • Gebruik je hiervoor Gmail? Als je two-factor gebruikt voor je Gmail-account, dan moet je een app-password aanmaken voor in Profit (two-factor is verplicht).

     Hiermee voorkom je de volgende foutmelding: Er is een fout opgetreden bij het communicatieprofiel 'E-facturen verwerken via de e-mail of uit een map'.

   • Gebruik je een eigen mailserver? Je firewall moet verkeer via de ingestelde poort toestaan.
4. Poort en ‘Veilige communicatie afdwingen’.

   Wat je hier invult is afhankelijk van de instellingen en mogelijkheden van je mailserver. Twijfel je, controleer dan de documentatie van de mailserver(-dienst) of neem contact op met de beheerder hiervan. De veiligste instelling (en daarom de door AFAS aangeraden optie) is om poort 995 te gebruiken in combinatie met de optie ‘Veilige communicatie afdwingen’.

   • Toegestane poorten: 110 en 995.
   • Als 'Veilige communicatie afdwingen is ingeschakeld dan wordt een correct geconfigureerde mailserver afgedwongen. De servernaam moet dus overeenkomen met de CN (of 1 van de alternatieve namen) in het certificaat, het certificaat moet geldig zijn en afkomstig zijn van een vertrouwde uitgever. (Een self-signed certificaat is dus niet geldig.) Voor poort 995 wordt met deze instelling een 'Implicit SSL/TLS'-verbinding gestart. Voor poort 110 wordt er een verbinding gestart met StartTLS.
   • Als 'Veilige communicatie afdwingen' is uitgeschakeld dan wordt er een poging gedaan om een veilige verbinding op te zetten. Hierbij worden juiste certificaatgegevens niet afgedwongen. Aan deze methode zitten veiligheidsrisico’s, een 'man in the middle' aanval is hierbij bijvoorbeeld mogelijk. Als de server geen SSL-certificaat heeft geconfigureerd, wordt er in 'plain text' gecommuniceerd. Dit geldt voor zowel poort 995 als 110.
   • Profit gebruikt voor communicatie met de mailserver TLS 1.2. Of als dat niet beschikbaar is, TLS 1.1 of anders TLS 1.0.
5. Klik op: OK.