Nieuw in Office 365: Multifactor Authentication

Door ralpje op maandag 17 februari 2014 18:59 - Reacties (1)
Categorie: Office365, Views: 6.518

GMail kon het al langer, maar binnen Office 365 was het een tijd lang alleen voorbehouden aan administrators: multifactor authentication. Gebasseerd op het 'something you know, something you have' principe biedt MFA meer veiligheid dan een one-step authentication: als je password gecompromitteerd is (bijvoorbeeld omdat je overal hetzelfde wachtwoord gebruikt en er ergens een databaseje met niet encrypted passwords is gelekt) dan heeft men nog steeds geen toegang tot je account zonder dat men ook je mobiele telefoon in handen heeft. Eigenlijk een must voor elke cloud-dienst waar potentieel kostbare data zoals e-mail is opgeslagen.

Sinds een weekje is dat dus mogelijk, in Office 365. De dienst is gratis beschikbaar voor alle Office 365 abbonnees, met uitzondering van de SMB- en dedicated plans.

Wel zijn er een paar kleine drawbacks, zoals op de O365 community blog duidelijk wordt: users die MFA gebruiken kunnen niet inloggen in OWA for iPhone en de Windows Azure Module voor Powershell.

Op dit moment werken alle browser-toepassingen van Office 365 met MFA. Voor overige applicaties, zoals de desktop applicaties van Outlook en Lync, kun je een 'App Password' genereren. Dit is vergelijkbaar met bijvoorbeeld GMail, waar je bij gebruik van two factor authentication een sterk wachtwoord kon genereren voor gebruik in je mailclient. Een volledig lijst met applicaties die 'App Password' ondersteunen is hier te vinden.
Overigens heeft Microsoft al aangekondigd te werken aan een update van Office 2013 die dit jaar nog uitkomt, waarin de desktop applicaties ook ondersteuning bieden voor MFA.

Microsoft maakt voor MFA onder andere gebruik van technologie van PhoneFactor , het bedrijf dat in 2012 door Microsoft werd ingelijfd.
De gebruiker heeft een aantal mogelijkheden om als 'tweede factor' in MFA te gebruiken. Er kan een spraakoproep worden gestart naar zowel een mobiel als een vast nummer of een SMS met One Time Password worden verstuurd. Veruit de coolste optie is echter de Multi-Factor Authentication App. Deze app is beschikbaar voor (uiteraard) Windows Phone, maar ook voor Android eniOS en kan op twee manieren gebruikt worden.
Als eerste kan een push-notificatie worden verstuurd naar het toestel zodra er op het account wordt ingelogd. Door de push-notificatie te open en op 'accepteren' te klikken wordt de inlogsessie voltooid. Hiervoor hoeft de gebruiker dus geen code over te tikken waar mogelijk fouten bij gemaakt worden; een klik op de knop is voldoende.
De tweede mogelijkheid vanuit de app is een One Time Password. Bij het openen van de app wordt een 6-cijfigerige code getoond die regelmatig wijzigt. Deze code dient bij het inloggen dan als tweede vorm van authenticatie ingevuld wordt. Dit zou een logische keuze kunnen zijn voor gebruikers die wel een smartphone hebben, maar geen databundel. Op deze manier kan er ook geauthenticeerd worden als er geen WiFi beschikbaar is.

Maar de hamvraag: hoe werkt multifactor authentication in Office 365. Antwoord: zoals je zou verwachten. Microsoft heeft met Wave15 van Office 365 een duidelijk en makkelijk te beheren pakket neergezet en gaat verder op die ingeslagen richting.

Multifactor authentication kan via de O365-portal door de beheerder worden ingesteld. Onder 'users and groups' is de link naar het instellen van MFA te vinden.
Set multi-factor authentication
Na het aanklikken van de link kan door een zoekactie worden bepaald voor welke accounts MFA moet worden geactiveerd.
User instellen voor MFA

De beheerder kan niet veel meer dan MFA aan- of uitschakelen. De rest van de configuratie wordt door de gebruiker zelf gedaan. Tijd dus om in te loggen met het account waarop zojuist MFA ingeschakeld is.
Aanmelden met user account
Na de reguliere inlogprocedure meldt de O365-site dat MFA moet worden geconfigureerd voor we verder mogen gaan.
Prompt om MFA te configureren
Default staat MFA ingesteld om gebruik te maken van het mobiele nummer van de gebruiker. Uiteraard kan het mobiele nummer hier gewijzigd worden door de gebruiker en kan er worden gekozen voor een SMS of een spraakoproep.
Instellen van MFA
Ik wil graag hip zijn, dus ik kies voor authenticatie via de mobiele app.
Instellen voor 'mobile app'
Door op 'configure' te klikken kan de app op je telefoon worden geconfigureerd. Dit kan door de url en code uit het pop-up venster over te nemen, of door simpelweg de QR-code met je telefoon te scannen.
Configureren mobile app via QR code
Als de app is ingesteld wordt geverifieerd of authenticatie ook daadwerkelijk werkt.
VerifiŰren van applicatie
Als de verificatie succesvol is uitgevoerd kan het instellen van MFA worden afgerond.
Verificatie succesvol
EÚn van de laatste stappen is het achterlaten van het mobiele nummer. Op deze manier kun je altijd terugvallen op een andere manier van authenticatie als de app niet beschikbaar is.
Mobiele nummer voor geval van nood
De vierde en laatste stap bij het instellen van je MFA-account is het genereren van een App-Password. Dit wordt, zoals gezegd, gebruikt bij het authenticeren vanuit desktop apps zoals Outlook en Lync.
Configureren van App Passwords
Er wordt ÚÚn App Password gegenereerd. Uiteraard is het op een later moment alitjd mogelijk om App Passwords bij te maken of juist te verwijderen.
App Password

Als het configureren van MFA voltooid is en het account is ingelogd, kunnen we op de reguliere O365-settings pagina zelf nog zaken aanpassen.
User settings na inloggen
De link 'update my phone numbers' is wellicht wat misleidend, maar hier kan ook de default instelling voor MFA worden ingesteld.
Verschillende beschikbare opties
En op de tab App Passwords kunnen passwords worden aangemaakt over verwijderd.
Aanmaken extra app passwords

Als bij het inloggen de mobiele app om wat voor reden dan ook niet gebruikt kan worden, kan eenvoudig worden gekozen voor een andere vorm van authenticatie.
Mogelijkheid om andere activatie te kiezen
Er verschijnt een lijst mogelijke opties. Alle eerder besproken opties zijn hier beschikbaar.
Keuzemogelijkheden
Ik kies in dit geval voor authenticatie via SMS. Ik ontvang vrijwel direct een SMS op mijn mobiele telefoon met daarin de code die ingevoerd dient te worden.
Authenticatie via SMS

Relatief simpel dus. Eenvoudig in te stellen door te beheerder via de GUI, maar ook via Powershell. De gebruikers kunnen na activatie een mail krijgen waarin netjes staat uitgelegd wat ze moeten doen om hun account correct in te stellen en kunnen zelf bepalen welke form van authenticatie ze willen gebruiken. En uiteraard heeft Microsoft ook nog een handige video waarin het allemaal nog eens wordt uitgelegd.

Met deze multi-factor authentication heeft Microsoft weer een goede stap gezet om Office 365 ook voor meer grootschaliger gebruik goed in de markt te zetten. Op het gebied van security is dit uiteraard een hele grote stap voorwaards en het instellen en beheren is net zo eenvoudig als alle andere functies binnen de Office 365-portal.

Volgende: Stop stero´den in je PoSH ISE 10-'14 Stop stero´den in je PoSH ISE
Volgende: Exchange-taken automatiseren met cmdlet extenstion agents 10-'13 Exchange-taken automatiseren met cmdlet extenstion agents

Reacties


Door Tweakers user Eagle Creek, dinsdag 18 februari 2014 16:49

Ik snap de vergelijking met Gmail en Office365 niet helemaal. Office365 is veel meer dan mail, Gmail is geen online Office (bv Google Docs). Outlook (online) heeft dit ook al langer en als je zegt "het kon al in Outlook maar nu ook in Office365" vind ik dat logischer.

Verder interessant :).

[Reactie gewijzigd op dinsdag 18 februari 2014 16:50]


Reageren is niet meer mogelijk