Deze handleiding is bedoeld voor de beheerder en noodaccount voor Microsoft 365 voor Bedrijven, we gaan meerdere beveiliging methodes instellen om er zeker van te zijn dat jouw beheerder en/of noodaccounts niet zomaar worden uitgesloten.
Vereisten voor beheerders en noodaccounts.
Deze accounts zijn vrijwel altijd globale beheerders met alle rechten om alles te kunnen aanpassen in jouw Microsoft 365 voor bedrijven omgeving. Dit mogen geen accounts die door eindgebruikers dagelijks wordt gebruikt.
Beheerder account gebruik je alleen als het nodig is om bepaalde instellingen te beheren of aan te passen in jouw Microsoft 365 voor Bedrijven omgeving.
Benodigdheden:
- Microsoft Authenticator app.
- Reserve Authenticator app (bijvoorbeeld via Keeper Security)
- FIDO2 Sleutel (Voorkeur Yubikey 1x USB-A en 1x USB-C
Aantal beheerders, noodaccounts voor Microsoft 365 voor Bedrijven.
Voor zelfstandige ondernemers heb je meestal 1x beheerder account, 1x noodaccount en jouw eigen gebruikersaccount. Jouw eigen gebruikers account hoort geen beheerder rechten te hebben.
Voor MKB heb je meestal 2x beheerder accounts, 2x nood accounts en normale gebruikers accounts (zonder beheer rechten) of specifieke accounts met iets hogere rechten.
Ik raad je aan om het MKB voorbeeld altijd toe te passen ook voor zelfstandige ondernemers, als jouw bedrijf groeit dan heb je die basis alvast op orde. Dit verschilt uiteraard per organisatie, overleg dit uiteraard altijd met jouw ICT Partner om hier zeker van te zijn.
Documentatie voor beheerder, noodaccounts.
Zorg ervoor dat je documenteert hoe jouw beheerder en noodaccounts zijn beveiligd, met bijhorende methodes en pincodes van de FIDO2 Sleutels. Dit kan relatief eenvoudig
| Beheerder 1 | (gebruikersnaam) onmicrosoft.com | Wachtwoordsleutel (iphone) | Pincode: ( ) FIDO Sleutel USB-A Kleur blauw. |
| Beheerder 2 | (gebruikersnaam) onmicrosoft.com | Wachtwoordsleutel (Samsung) | Pincode: ( ) FIDO Sleutel USB-A Kleur blauw. |
| Noodaccount 1 | (gebruikersnaam) onmicrosoft.com | Wachtwoordsleutel (ipad) | Pincode: ( ) FIDO Sleutel USB-C Kleur geel. |
| Noodaccount 2 | (gebruikersnaam) onmicrosoft.com | Wachtwoordsleutel (Fairphone) | Pincode : ( ) FIDO Sleutel USB-C Kleur geel. |
Bewaar deze documentatie alleen in een wachtwoord manager zoals Keeper Security en/of print (minimaal 2 exemplaren) en bewaar deze in een afgesloten la of kluis bij de FIDO2 Sleutels.
M365 beheerder accounts beveiligen.
Als het beheerder account is aangemaakt wordt je verzocht bij de eerste keer aanmelden om een sterk wachtwoord in te stellen. Gebruik hiervoor een goede wachtwoord manager zoals Keeper Security op het wachtwoord aan te maken.
Gebruik een wachtwoord van minimaal 35 tekens of meer.
2 staps verificatie instellen.
Je zal bij de eerste keer aanmelden de melding ontvangen: Laten we uw account veilig houden. Tijdens deze korte setup gaan we de Microsoft Authenticator app toevoegen, een mobiel nummer of alternatief e-mailadres.
Download de Microsoft Authenticator vanuit de Google Play Store of de Apple App store.
Als je de Microsoft Authenticator nog niet eerder hebt gebruikt krijg je de optie om aan te melden met jouw werk account. Als je al gebruik maakt van de Microsoft Authenticator app (grote kans) dan kan je klikken op volgende in jouw browser. Er zal een QR Code verschijnen die je kan scannen met jouw Microsoft Authenticator app.
Klik op het + symbool > werk, school account > QR Code scannen of rechtsonder op het blauwe icon met de QR Code.
Als je de QR Code hebt gescant verschijnt het account in de Microsoft Authenticator met een code die elke 60 seconden verandert. Op het venster in jouw browser kies je volgende en je zal een melding ontvangen om goed te keuren.
Eenmaal goedgekeurd, zal je de melding op jouw browser venster krijgen dat de Microsoft Authenticator succesvol is toegevoegd.
Hierna wordt er gevraagd om een telefoonnummer toe te voegen, dit mag een vast of mobiel nummer zijn. Bij voorkeur vul je hier jouw mobiele nummer in, je zal een sms code ontvangen die je kan invullen om de verificatie te voltooien.
Telefoonnummer toevoegen lukt niet: Het kan voorkomen dat je geen telefoonnummer kan toevoegen, dit kan een tijdelijke storing zijn of je gebruikt het nummer al in een andere tenant of account.
Alternatief e-mailadres toevoegen. (indien mobiel nummer toevoegen niet lukt.)
Kies voor de optie: Een andere manier instellen om u aan te melden. Kies daarna voor de optie e-mail, vul een alternatief e-mailadres in. Je zal een e-mail code ontvangen om in te vullen, eenmaal gelukt is de standaard setup afgerond.
Vervolgstappen rondom beheerder account.
Nu je de basis setup hebt voltooit ga je naar https://mysigns.microsoft.com/security-info (of klik op je account in het portaal > Mijn account > Beveiliging gegevens.
In het overzicht zie je de methodes die je had toegevoegd, jouw wachtwoord, de Microsoft Authenticator en jouw mobiele nummer of alternatieve e-mailadres.
Als het niet gelukt was om een telefoonnummer toe te voegen kan je dit hier nogmaals proberen en voeg ook een vast nummer toe of voeg het alternatieve e-mailadres toe indien deze er nog niet in staat.
Reserve authenticator toevoegen.
Kies methode toevoegen en daarna Microsoft Authenticator (normaal niet de wachtwoord sleutel.)
Kies: Een andere authenticatie-app instellen.
Er verschijnt automatisch een QR Code, ga naar jouw wachtwoord manager (bijvoorbeeld Keeper Security) zoek het betreffende record van het account die je aan het instellen bent. Klik op bewerken en 2FA code scannen.
Scan de QR code en klik op opslaan in jouw wachtwoord manager (of een vinkje waardoor het record wordt opgeslagen.) Vul de code in vanuit de wachtwoord manager op jouw browser venster door op volgende te klikken en daarna voltooien.
De reserve authenticator is nu toegevoegd.
FIDO2 Sleutel toevoegen (USB-A)
Zoals eerder aangegeven raad ik je aan om verschillende FIDO2 sleutels te gebruiken, voor beheerder account(s) bijvoorbeeld met USB-A en voor noodaccount(s) USB-C of NFC.
Voor de FIDO2 Sleutel ga je een pincode aanmaken, zorg ervoor dat je deze vooraf verzonnen hebt, opgeslagen in jouw wachtwoord manager en uitgeprint die je straks samen met de FIDO2 Sleutel bewaard in een afgesloten la of kluis.
Kies voor methode toevoegen en daarna beveiliging sleutel.
In vrijwel alle gevallen kies je USB-apparaat en zorg ervoor dat jouw FIDO2 Sleutel is aangesloten. NFC wordt alleen gebruikt als je een apparaat gebruikt met een ingebouwde NFC chip zoals de recente Microsoft Surface apparaten.
Zoals de melding aangeeft zodra je op volgende klikt begint de configuratie, zorg ervoor dat de FIDO2 Sleutel aangesloten is. Het zal enkele momenten duren en daarna wordt er gevraagd om een pincode aan te maken.
Voordat je op volgende klikt, controleer of je de pincode goed hebt ingevuld. Je kan deze niet later opvragen. Mede hierdoor is het belangrijk dat je deze beveiliging gegevens vooraf hebt genoteerd.
Eenmaal ingevuld kan je op volgende klikken, er wordt gevraagd om de FIDO2 sleutel aan te raken, je zal een groen lampje zien knipperen om rustig op te drukken. (je hoeft niks door te drukken, een lichte aanraking is voldoende)
De FIDO2 Sleutel is nu toegevoegd en er wordt gevraagd om deze een naam te geven, bijvoorbeeld Yubikey 5 USB-A. Geef het in ieder geval een naam waardoor jij altijd weet om welke FIDO2 Sleutel het gaat als je deze moet gebruiken.
Zie hier ook de reden om FIDO2 Sleutels met andere aansluitingen te gebruiken of gebruik een speciale houder zoals deze hieronder met verschillende kleuren.
Microsoft Authenticator wachtwoordsleutel instellen.
Neem er de tijd voor als je deze methode gaat toevoegen, je zal instructies opvolgen via jouw browser scherm en via de Microsoft Authenticator app.
Om een wachtwoord sleutel aan te maken moet het betreffende Microsoft 365 voor bedrijven account zijn toegevoegd aan de Microsoft Authenticator app. Dit hebben wij gedaan in de voorgaande stappen.
Open je Microsoft Authenticator app en navigeer naar het betreffende beheerders account. Klik deze aan en je ziet het gehele overzicht met die mooie code die elke 60 seconden verandert.
Klik op jouw browser venter op volgende, er zal gevraagd worden om in de Microsoft Authenticator app bij het account die je voor je hebt om op wachtwoordsleutel aanmaken te klikken.
Klik op wachtwoordsleutel aanmaken.
Je krijgt een verzoek om aan te melden bij het betreffende account, vaak is dit een melding die je moet goedkeuren en daarna wordt de wachtwoord sleutel aangemaakt.
Als het is gelukt zie je in de Microsoft Authenticator bij het betreffende account dat de optie wachtwoord sleutel aanmaken is verdwenen er staat enkel wachtwoord sleutel in beeld. Als je hierop klikt zie je jouw aangemaakte wachtwoord sleutel met bijhorende informatie.
Op je browser venster kan je op volgende, voltooien klikken om de setup af te ronden. In het gehele overzicht zie je dat de wachtwoord sleutel is toegevoegd.
Microsoft 365 noodaccount beveiliging methodes instellen.
Voor het noodaccount volg je eigenlijk dezelfde stappen, alleen je kies dit keer voor de FIDO2 USB-C sleutel of de FIDO2 Sleutel met een ander kleur hoesje.
FIDO2 Sleutel toevoegen (USB-C of een andere kleur hoesje.)
Zoals eerder aangegeven raad ik je aan om verschillende FIDO2 sleutels te gebruiken, voor beheerder account bijvoorbeeld met USB-A en voor noodaccounts USB-C of NFC.
Voor de FIDO2 Sleutel ga je een pincode aanmaken, zorg ervoor dat je deze vooraf hebt verzonnen hebt opgeslagen in jouw wachtwoord manager en uitgeprint die je straks samen met de FIDO2 Sleutel bewaard in een afgesloten la of kluis.
Kies voor methode toevoegen en daarna beveiliging sleutel.
In vrijwel alle gevallen kies je USB-apparaat en zorg ervoor dat jouw FIDO2 Sleutel is aangesloten. NFC wordt alleen gebruikt als je een apparaat gebruikt met een ingebouwde NFC chip zoals de recente Microsoft Surface apparaten.
Zoals de melding aangeeft zodra je op volgende klikt begint de configuratie, zorg ervoor dat de FIDO2 Sleutel aangesloten is. Het zal enkel momenten duren en daarna wordt er gevraagd om een pincode aan te maken.
Voordat je op volgende klikt, controleer of je de pincode goed hebt ingevuld. Je kan deze niet later opvragen. Mede hierdoor is het belangrijk dat je deze beveiliging gegevens vooraf hebt genoteerd.
Eenmaal ingevuld kan je op volgende klikken, er wordt gevraagd om de FIDO2 sleutel aan te raken, je zal een groen lampje zien knipperen om rustig op te drukken. (je hoeft niks door te drukken, een lichte aanraking is voldoende)
De FIDO2 Sleutel is nu toegevoegd en er wordt gevraagd om deze een naam te geven, bijvoorbeeld Yubikey 5 USB-A. Geef het in ieder geval een naam waardoor jij altijd weet om welke FIDO2 Sleutel het gaat als je deze moet gebruiken.
Zie hier ook de reden om FIDO2 Sleutels met andere aansluitingen te gebruiken of gebruik een speciale houder zoals deze hieronder met verschillende kleuren.
Microsoft Authenticator wachtwoordsleutel instellen.
Neem er de tijd voor als je deze methode gaat toevoegen, je zal instructies opvolgen via jouw browser scherm en via de Microsoft Authenticator app.
Om een wachtwoord sleutel aan te maken moet het betreffende Microsoft 365 voor bedrijven account zijn toegevoegd aan de Microsoft Authenticator app. Dit hebben wij gedaan in de voorgaande stappen.
Open je Microsoft Authenticator app en navigeer naar het betreffende beheerders account. Klik deze aan en je ziet het gehele overzicht met die mooie code die elke 60 seconden verandert.
Klik op jouw browser venter op volgende, er zal gevraagd worden om in de Microsoft Authenticator app bij het account die je voor je hebt om op wachtwoordsleutel aanmaken te klikken.
Klik op wachtwoordsleutel aanmaken.
Je krijgt een verzoek om aan te melden bij het betreffende account, vaak is dit een melding die je moet goedkeuren en daarna wordt de wachtwoord sleutel aangemaakt.
Als het is gelukt zie je in de Microsoft Authenticator bij het betreffende account dat de optie wachtwoord sleutel aanmaken is verdwenen er staat enkel wachtwoord sleutel in beeld. Als je hierop klikt zie je jouw aangemaakte wachtwoord sleutel met bijhorende informatie.
Op je browser venster kan je op volgende, voltooien klikken om de setup af te ronden. In het gehele overzicht zie je dat de wachtwoord sleutel is toegevoegd.
Aanmelden testen en controleren.
Het is belangrijk om te testen of alles goed is ingesteld, zeker als het gaat om de FIDO2 Sleutel en Wachtwoordsleutel.
Als je aanmeld met het beheerder account of noodaccount zal je bovenstaande melding krijgen.
Als je gaat aanmelden met de FIDO2 Sleutel, dan kies je beveiliging sleutel. Zorg ervoor dat je de FIDO2 Sleutel hebt aangesloten en er wordt gevraagd om de pincode van de bijhorende FIDO2 sleutel in te vullen (deze had je van te voren genoteerd en opgeslagen in je wachtwoord manager)
Er wordt gevraagd om de FIDO2 sleutel aan te raken, daarna wordt je automatisch aangemeld bij jouw account.
Als je gaat aanmelden met jouw wachtwoord sleutel vanuit de Microsoft Authenticator app, kies je voor iPhone, iPad of Android-apparaat. Open de Microsoft Authenticator app en navigeer naar het betreffende account, klik deze aan en klik op wachtwoord sleutel, rechts onder zie je de blauwe QR code scan knop, Scan de QR Code op jouw browser venter om aan te melden, er zal gevraagd worden om een vingerafdruk, gezicht herkenning of pincode (van jouw smartphone)
Hierna wordt je automatisch aangemeld bij het betreffende account.
Microsoft Authenticator app back-up activeren.
Mits deze nog niet aan staat, kan je via de Microsoft Authenticator app bij instellingen de cloud back-up activeren. Voor Android apparaten heb je hiervoor een persoonlijk Microsoft account voor nodig en voor iOS apparaten gaat dit met de nieuwste versie van iOS tegenwoordig via iCloud.
Let wel op bij iCloud dat je in de iCloud instellingen hebt aangegeven dat er een back-up gemaakt mag worden van Authenticator apps.
Regelmatig controleren en testen.
De beheerder en noodaccounts dien je regelmatig te testen op z’n minst elke 6 maanden (voorkeur elke 3 maanden) om er zeker van te zijn dat alle aanmelding methodes nog steeds werken en up-to-date zijn.
Als je deze accounts gaat testen maak gebruik van een aparte browser of inprivate venster en zorg ervoor dat het account niet wordt opgeslagen in de browser. Je ziet meestal een venster account of account gegevens opslaan en hier kies je nee.
