Vraagstelling
Ik krijg wekelijks de vraag hoe het mogelijk is om wachtwoord loos te leven in de omgeving van Microsoft 365.
Windows Hello
Er zijn in dit traject een aantal zaken om rekening mee te houden. Microsoft heeft Windows Hello for Business ontwikkeld. Hiermee is het mogelijk om van je apparaat een soort hardware token te maken. Door gebruik te maken van : vingerafdruk, gezichtsherkenning of een pincode is het mogelijk om een Windows 10 werkplek te ontgrendelen en hierbij horende alle benodigde apps.
Windows Hello for Business verbind dan de medewerker aan het apparaat. Dit werkt niet zo handig wanneer er meerdere medewerkers dienen in te loggen op hetzelfde apparaat. Ook betekend dit dat als het apparaat vervangen dient te worden dit nieuwe apparaat opnieuw verbonden dient te worden aan de medewerker. Gelukkig komt dit laatste niet zo vaak voor want in de praktijk zien we dan dat de medewerker gemiddeld zo’n 30 minuten bezig is om zijn apparaat opnieuw te koppelen.
Yubico
Nu ben ik natuurlijk voorstander om dit met Yubico op te lossen. Nadeel van het gebruik van Yubico is dat je additionele hardware dient aan te schaffen om toegang te geven tot je computer. Hiernaast is 1 = geen, want het verlies van deze sleutel betekend dat je niet meer kan inloggen. Kijk hier naar welke Verschillende Yubikeys er beschikbaar zijn.
In dit document beschrijf ik hoe je de Yubikey activeer in Microsoft 365. Op het moment van schrijven is deze functie nog in Public Preview bij Microsoft en nog niet General Available. Hierdoor zijn er bepaalde functies nog niet volledig beschikbaar. Naar verwachting wordt tijdens Ignite 2021 bekend gemaakt en is het product dan wel GA.
Microsoft 365
De volgende stappen dienen door een global admin te worden uitgevoerd binnen M365:
login op: portal.azure.com (wanneer dit de eerste keer is dan wordt dit portaal voor je aangemaakt
Selecteer -> Azure Active Directory -> Security -> Authentication methods
Klik op FIDO2 Security Key (preview)
Selecteer -> Enable – Yes -> Target – All users