© 2020 SolidOffice  ICT - KvK 64017052
Algemene voorwaarden

  • Facebook Basic Square
  • Twitter Basic Square

Beveilig de office 365 login met MFA!

January 23, 2016


Microsoft doet enorm veel aan de beveiliging van data die door bedrijven wordt opgeslagen.

 

Maar voor security geldt ook: Begin bij jezelf…
 

Eén van de maatregelen die je zelf kunt treffen om ongeoorloofd toegang tot bedrijfsinformatie in de cloud te voorkomen, is het gebruik van Multi Factor Authentication (hierna MFA genoemd).

 

MFA houdt in, dat je naast het gebruik van user-id en wachtwoord nog een extra verplichte technische verificatie gebruikt. Dit kan zijn het gebruik van een smartphone, smartcard of biometrische technieken, zoals een irisscan of vingerafdruk scan. Een hacker die op de één of andere manier achter het wachtwoord is gekomen zal daar nog niet veel aan hebben, omdat hij/zij niet over bijv. jouw smartphone beschikt.   
 

Hieronder bespreek ik de basis MFA opties die Microsoft biedt en standaard (zonder extra kosten)  in het office 365 voor bedrijven abonnement beschikbaar zijn. Het is een relatief eenvoudig te configureren optie, die de beveiliging op een hoger niveau brengt. Een oplossing die tot kort geleden alleen voor de grote bedrijven betaalbaar was!
 

De standaard MFA verificatie opties bestaan uit:

 

  • Verificatie met behulp van een mobiele app. De gebruiker krijgt bij het inloggen op office 365 een berichtje met een bevestigings verzoek. Dit verzoek kan vervolgens vanuit de app met één druk op de knop bevestigd worden.

  • Verificatie via een SMS. De gebruiker kijgt een sms met daarin een code.

  • Verificatie via een voice call. De gebruiker krijgt een gesproken boodschap te horen en moet bevestigen met een #.
     

In deze post beschrijf ik de ‘mobiele app’ optie en de volgende onderdelen:

 

  1. Aanpassingen aan de office 365 kant die de beheerder uitvoert.

  2. Registratie en configuratie van MFA door de gebruiker.

  3. Een voorbeeld van een volledig login proces bij een actief MFA en verificatie via een android smartphone

  4. Aanpassing van de desktopversie van Office voor ondersteuning van MFA.   

  5. Toevoegen van een office 365 outlook account met MFA ondersteuning.

  6. Overige interessante feitjes over MFA…

  7. Conclusies.

 

1. Office 365 aanpassingen door beheerder:

 

 Activeer MFA voor de user(s):
 

  • Login als beheerder op de office 365 admin center

  • Ga naar users -> active users)

  • Klik bovenin het scherm bij  ‘Set-Multifactor authentication requirements’ op ‘setup’. Zie onderstaand voorbeeld.

 

 

 

Selecteer in onderstaand scherm de betreffende user(s), en klik ‘enable’.

 

 

 
Geen echte verrassing, maar klik in het volgende scherm op ‘enable multi-factor authentication.

 

 

 

 

 

 

 

 

 

Activeer ‘Modern authentication’ voor Exchange. 


Als je een account toevoegt aan outlook, en voor dat account is MFA ingesteld, moest tot voor kort een lang app password van 16 karakters ingevoerd worden. Sinds eind 2015 is de desktop Office suite geschikt om volledig van MFA gebruik te maken. Als je een outlook account toevoegt, zal daarbij éénmalig om de extra verificatie worden gevraagd, waarna het account wordt toegevoegd.
Om dit te kunnen gebruiken, moet wel eerst in de exchange online omgeving een aanpassing gedaan worden met behulp van powershell. Connect hiervoor met powershell aan exchange online en geef  het volgende  commando:

Set-OrganizationConfig -OAuth2ClientProfileEnabled:$true

Check of de setting is doorgevoerd met:

Get-OrganizationConfig | ft name, *OAuth*

 

 

2. Registratie en configuratie van MFA door de gebruiker (eenmalig)

Log in op https://portal.office.com met de user die is geconfigureerd voor MFA in de vorige stappen. Nu verschijnt de volgende melding: 

 

 


 

 

Klik op Nu instellen:

 

In het volgende schermgebruik ik de derde optie ‘Mobiele app’. Klik vervolgens op ‘Instellen’.

 

 

 

 

Dan krijg je het volgende scherm waarin de procedure beschreven staat voor installeren van de Azure Authenticator app en het toevoegen van de account binnen de app:

 

 

 

 

Als de Azure authenticator app op je smartphone de melding ‘Het account is toegevoegd’heeft gegeven, klik dan op ‘Gereed’.

Je komt dan terug in onderstaand scherm. De status gaat van ‘activeringstatus controleren’ naar ‘Mobiele app is geconfigureerd’.

 

 

 

 

Klik nu op ‘Neem contact met mij op’. In de volgende stap moet namelijk nog het mobiele nummer worden opgegeven, in het geval de authenticator niet werkt of niet beschikbaar is. Of voor het geval geen wifi/dataverbinding op de smartphone beschikbaar is.

 

 

Keur op de smartphone in de authenticator app de aanmelding goed. Vul daarna in het volgende scherm je mobiele nummer in:

 

 

 

 

Klik op ‘Volgende’.

 

In het volgende scherm wordt het app-wachtwoord gegenereerd (16 karakters) dat gebruikt kan worden, in het geval met een niet-MFA geschikt programma een office365 resource benaderd wordt (bijv. mailbox).  Zie voor uitleg ook onderdeel ‘aanpassing van desktopversie Office voor ondersteuning MFA’.

 

 

 

Noteer het wachtwoord en bewaar deze op een veilige plek…

Klik op gereed.

MFA is nu volledig geconfigureerd voor toegang tot de portal.

 

 

 

3. Een voorbeeld van een volledig login proces

 

Hieronder wordt het inlogproces aan de office365 portal weergegeven, zoals dit verloopt met de bovengenoemde instellingen:

  • Start office 365 voor bedrijven: https://portal.office.com en geef userid en password

 

 De login constateert dat MFA aanstaat, en vraagt om de extra verificatie:

 

We gaan nu even verder op de Android telefoon (of tablet). De Authenticator start automatisch op met de vraag om goedkeuring van de aanmelding.
Het nummer dat in het scherm wordt getoond is in de gekozen MFA optie niet nodig. De knop ‘goedkeuren’ gebruiken is voldoende.
 

 

 

 

 

 

 

 

 

 

 

 

 

 

Als de extra verificatie goed gaat verschijnt de office 363 portal. Missie geslaagd!

 

 

 

 

4. Aanpassing van desktopversie Office voor ondersteuning MFA.  

 

Voor applicaties die geen MFA ondersteunen, is in de vorige stappen een App-wachtwoord gemaakt. Applicaties kunnen hiermee toch office365 resources bereiken.  Het is een workaround, maar het liefst gebruiken we natuurlijk helemaal geen extra passwords met alle nadelen van dien.  Applicaties die MFA wel ondersteunen, moeten daarvoor gebruik kunnen maken van ADAL (Active Directory Authentication Library). Voor Office 2013/2016 is dit sinds december 2015 mogelijk! Helaas voor de MAC-versie nog niet, maar die gaat binnenkort komen.

 

Voor Office 2013 zijn wel een paar registry entries nodig binnen windows, om gebruik te kunnen maken van MFA:

 

Registry key                                                                                                               Type                 Value

 

HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL        REG_DWORD     1

HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version                REG_DWORD     1

 

Klusje voor de beheerder...

N.B. Voor office 2016 zijn deze aanpassingen NIET nodig. Office 2016 is standaard al MFA voorbereid.

 

5. Toevoegen van een office 365 outlook account met MFA

 

Toevoegen van een outlook account gaat in eerste instantie op dezelfde manier als het toevoegen van een ‘normaal’  account. Alleen verschijnt tijdens het validatieproces nu ook het extra validatiescherm, identiek aan hetgeen je bij inloggen op de webportal krijgt:

 

 

 

Klik Next.

 

 

 

 

 

Nu weer op de telefoon op ‘goedkeuren’ klikken en de mailbox wordt toegevoegd!

 

 

 

6. Overige interessante feitjes over MFA:

 

  • Ook Office 2016 voor de MAC wordt sinds kort ondersteund voor MFA.

  • Apple mail is in de nieuwste versie MFA ondersteund!

  • MFA is verder te configureren via de office 365 portal (die je daarvoor doorstuurt naar de Azure portal). Ook auditrapportages over MFA gebruik zijn daar beschikbaar. Wel is hiervoor een azure ad premium of Mobility suite licentie nodig.

  • De authenticator app is beschikbaar voor Android, ios en windows mobile.

  • Als onverhoopt de authenticator app niet beschikbaar is kun je tijdens het inloggen aangeven dat je op een andere manier gevalideerd wil worden (bijv. door gebeld te worden, of via een sms).

  • Iedere gebruiker kan 2 mobiele nummers en een vast nummer opgeven voor sms of telefonische validatie. Slechts één mobiele device kan met de authenticator app worden gebruikt. In  ieder geval genoeg alternatieven voor het geval de mobiel zoek is...

  • Het is mogelijk om fysieke locaties in de MFA management console toe te voegen als ‘vertrouwd’ (trusted ip's). Dus als je binnen het ‘eigen’ fysieke bedrijfsnetwerk inlogt op office 365 wordt niet om extra verificatie gevraagd.

  • App-passwords voor apps die geen MFA ondersteunen, kunnen niet gebruikt worden om online op de office365 webportal in te loggen.   

 

7. Conclusies

 

Office 365 login is standaard alleen beveiligd met userid/password. In het algemeen blijft alleen een userid/password combinatie een kwetsbare schakel in de beveiliging. Microsoft heeft met Multi Factor Authentication een belangrijke extra beveiligingslaag beschikbaar gesteld. Het is in combinatie met de smartphone vooral ook een laagdrempelige methode, die gebruikersvriendeljk is opgezet.
Sinds december 2015 zijn ook de de desktop versies van Office geschikt voor MFA. Dus aanleiding genoeg voor alle office365 gebruikers om beveiliging serieus te nemen en deze optie te gaan gebruiken!
 

Vergeet niet ook de organisatie er goed op in te richten. Test eerst met een kleine gebruikersgroep en leg uit aan gebruikers wat het belang van deze maatregel is. Maak ook een handleiding en spreek noodprocedures af, voor het geval er iets mis gaat in de MFA techniek.

 

Nog vragen of aanvullende informatie naar aanleiding van dit artikel? Of hulp nodig bij implementatie? ik hoor het graag!

 

Met vriendelijke groet,

 

Cyril Mullink

Eigenaar/Consultant

Solidoffice ICT

 

M: +316 3465 6259 | Email: cmullink@solidoffice.nl | W: http://www.solidoffice.nl 

 



Handige links

 

What is Azure Multi-factor Authentication?

 

Over Active directory Authentication Library (ADAL) support / MFA applicatie support

 

How to troubleshoot sign-in issues with Office modern authentication when you use AD FS 

 

Office 365 voor bedrijven - Beveiliging en privacy (Microsoft Trust-center) 

 

Over het gebruik van app-passwords voor apps die geen MFA ondersteunen

 

 

 

 

Please reload

Uitgelichte berichten

I'm busy working on my blog posts. Watch this space!

Please reload

Recente berichten
Please reload

Archief
Please reload

Zoeken op tags
Please reload

Volg ons
  • Facebook Basic Square
  • Twitter Basic Square