MFA gebruiken met Microsoft 365 voor Bedrijven.
Met Microsoft 365 voor Bedrijven heb je 2 mogelijkheden om MFA (2 staps verificatie) te gebruiken. Dit kan met de standaard instellingen van Microsoft of doormiddel van voorwaardelijke toegang.
Waarom is het zo belangrijk om MFA te gebruiken?
Met 2 staps verificatie krijg je een extra beveiligingslaag om jouw account en die van jouw medewerkers of gasten extra te beschermen. Het beheren en maken van sterke wachtwoorden wordt vaker omzeild dan goed geimplenteerd, mede omdat de meeste eindgebruikers gewoon geen zin hebben om moeilijke wachtwoorden te onthouden.
Al blijft het verstandig om sterke wachtwoorden te blijven gebruiken of bijv. een wachtwoord manager te gebruiken om het voor iedereen makkelijker te maken biedt MFA een handige oplossing voor dit probleem.
Gebruikers krijgen na het invoeren van hun wachtwoord een extra verificatie via hun telefoon of sms code om zich aan te melden bij hun account.
Default instellingen van MFA voor Microsoft 365 voor Bedrijven.
Als je de standaard instellingen gebruikt dan worden er een aantal voorwaardelijke toegang instellingen toegepast door Microsoft om jouw omgeving en account te beschermen. Deze instellingen kan je niet aanpassen en wordt volledig door Microsoft beheert.
De volgende instellingen worden automatisch toegepast.
- Alle gebruikers en beheerders moeten zich registreren voor MFA met behulp van de Microsoft Authenticator-app of een toepassing van derden die OATH TOTP gebruikt.
- Gebruikers uitdagen met MFA, meestal wanneer ze op een nieuw apparaat of app verschijnen, maar vaker voor kritieke rollen en taken.
- Verificatie uitschakelen van verouderde verificatieclients die geen MFA kunnen uitvoeren.
- Beheerders beschermen door extra verificatie te vereisen telkens wanneer ze zich aanmelden.
Deze standaard instellingen zijn voor zelfstandigen en kleine bedrijven prima te gebruiken. Het is belangrijk voordat je deze instellingen aanzet. Dat eerst alle gebruikers geregistreerd zijn voor 2 staps verificatie.
Gebruikers dienen in te loggen via office.com (mijn account) en hun beveiliging gegevens in te vullen. Dit is hun werk telefoonnummer, privé e-mail, mobielnummer en de authenticatie app activeren.
Let op: Als een gebruiker deze stappen nog niet heeft doorlopen en je zet MFA aan hebben ze geen toegang tot hun account. Het zelfde geldt voor beheerders (of als je zzp’er bent.)
Let op: uitschakelen van verouderde verificatie betekent dat oude mail clients (alternatieve e-mail apps bijv. Samsung mail) of printers met een scan to e-mail functie niet meer kunnen worden gebruikt.
Voorwaardelijke toegang met MFA instellen en gebruiken.
Optie 2: is MFA zelf configureren met voorwaardelijke toegang, eigenlijk kan je dan op maat gaan bepalen hoe jouw organisatie MFA (2 staps verificatie) gaat gebruiken.
Deze methode wordt gebruikt als je bijvoorbeeld op app niveau beveiligins maatregelingen wilt toepassen. Als je bijv. gebruik maakt van een Windows 365 cloud-pc dan kan een van de vereisten zijn dat je wilt dat na 1 dag de gebruiker zich opnieuw moet aanmelden bij de Windows 365 app met MFA.
Dit kan heel handig zijn met bijv. thuiswerkplekken die een cloud-pc gebruiken, mede omdat je geen controle hebt over de thuiscomputers of laptops.
Omdat deze methode op maat wordt toegepast is het raadzaam om dit altijd samen met een IT partner te doen. Als hier fouten in worden gemaakt loop je het risco toegang tot de gehele omgeving kwijt te raken.
Het is daarom ook belangrijk als je MFA eenmaal gebruikt de beveiliging gegevens van eindgebruikers elke half jaar te controleren of deze up-to-date zijn. Alternatief is bijv. een extra beheerders account die je beveiligt met een Fido sleutel.
Dit is een speciale usb sleutel die gebruikt kan worden met MFA voor beheerders. Zie het maar als een reserve back-up als e-mail, telefoonnummers niet meer up-to-date zijn.
Via mijn blog over globale beheerders en fido sleutels kan je hier mee over lezen.
