Multifactor-authenticatie (MFA) is momenteel een hot topic. Nu het aantal cyberaanvallen op cloud-identiteiten elke dag toeneemt, is het van grootste belang om onze identiteiten te beveiligen. Multifactor-authenticatie speelt een grote rol in dit proces.
Nu kan het implementeren van MFA in een Microsoft 365-omgeving behoorlijk verwarrend zijn. In deze blog zal ik uitleggen wat de best practices zijn van het instellen van MFA via Conditional Access.
User based versus Conditional Access
Multifactor-authenticatie kan op twee verschillende manieren worden ingeschakeld;
- User Based
- Conditional Access
De eerste manier is de oudste en meest bekende. Navigeer naar https://account.activedirectory.windowsazure.com/UserManagement/MultifactorVerification.aspx en selecteer de gebruiker voor wie MFA ingeschakelt moet worden. De volgende keer dat de gebruiker zich aanmeldt, wordt hem gevraagd om verificatie met meerdere factoren te configureren.
Als MFA via Conditional Access wordt inschakeld, kan MFA op groepsbasis en met veel fijnere controles ingeschakeld worden. Het is mogelijk om MFA alleen te eisen van apparaten die niet van het bedrijf zijn, alleen wanneer u SharePoint gebruikt of wanneer de gebruiker niet op kantoor is.
Maak een policy aan
Ga naar portal.azure.com en selecteer Conditinal Access en klik op ‘New Policy’.
Vul hier een gewenste naam in en selecteer ‘Users and groups’.
Kies hier de gebruikers die je wilt includen/excluden in deze policy
In dit voorbeeld kies ik ervoor om alle gebruikers te includen en het admin account te excluden. Let ook op dat je hier elk (service) account exclude die geen moderne authenticatie ondersteund.
Selecteer nu de cloud apps waarvoor je de policy wilt configureren. Hier kun je allerei gedetaileerde policies instellen voor verschillende cloud apps.
Bijvoorbeeld: Gebruik alleen MFA wanneer gebruikers ingelogd zijn op een niet-bedrijfsapparaat, behalve wanneer de Azure portal wordt gebruikt, dan is MFA altijd verplicht.
Het volgende is het instellen van de condities. In dit voorbeeld moeten alle locaties include worden behalve de locaties die gemarkeerd zijn als trusted (vaak is dit de locatie van het hoofdkantoor).
Ten slotte hebben we MFA nodig door ‘Grant access’ te selecteren en het een vikje te plaatsen bij ‘Require multi-factor authentication’. Nu kan de policy opgeslagen worden.