"Steeds meer van onze klanten geven de voorkeur aan biometrische methoden, omdat ze sterke beveiligingsbescherming bieden, gemakkelijker en sneller in te loggen zijn dan een wachtwoord. Yubico heeft bij het ontwerpen van de biometrische sleutel zorgvuldig rekening gehouden met de behoeften van de klant om deze veilig en eenvoudig genoeg te maken voor iedereen om te gebruiken. Een FIDO2 YubiKey met een biometrische sensor is een reden tot feest."

Sue Bohn

VP of Program Management, Microsoft

Elimineer wachtwoordzwaktes en verbeter de compliance: Ontdek de voordelen van passwordless inloggen op Microsoft Services voor uw bedrijf.

Onderstaande procedures leggen uit hoe security keys zoals de YubiKeys gebruikt kunnen worden voor de online services van Microsoft op een wijze waarop er geen wachtwoord meer ingevuld hoeft te worden en het verliezen van het wachtwoord d.m.v. phishing, shoulder surfing, keyloggers, etc. een minimale risico vormt (zolang het wachtwoord niet hergebruikt wordt voor andere non-Microsoft services waarbij MFA niet afgedwongen kan worden).

Passwordless sign-in voor Microsoft Entra ID

Beperken van security key registraties tot de zakelijke (publieke) IP-adressen

  1. Zorg ervoor dat u bent ingelogd op het Microsoft Entra admin center met ten minste de rechten van een Conditional Access Administrator. Deze rol is nodig om beleidsregels te beheren voor Conditional Access.
  2. Ga naar het tabblad Protection en selecteer Conditional Access. Hier kunt u Conditional Access configureren.
  3. Navigeer naar Protection > Conditional Access.
  4. Klik op + New Policy om een nieuwe policy te creëren dat specifiek gericht is op het beperken van Security Key-registraties tot Corporate (publieke) IP-adressen.
  5. Geef de policy een duidelijke naam, bijvoorbeeld "Combined Security Info Registration on Trusted Networks".
  6. Onder Assignments, kies Users en selecteer de specifieke gebruikers en groepen waarop deze policy van toepassing moet zijn.
  7. Ga naar User actions in Cloud apps or actions. Zorg ervoor dat de optie Register security information is aangevinkt en klik vervolgens op Done.

register-security-informationn.jpeg

  1. Configureer de volgende opties in Conditions > Locations:
    1. Selecteer Yes.
    2. Kies Any location included.
    3. Kies All trusted locations excluded.
  2. Ga naar Access Controls > Grant, kies Block access en klik op Select.
  3. Schakel de policy in door Enable policy op On te zetten.
  4. Klik op Create om de configuratie van het Conditional Access-beleid te voltooien. Hiermee wordt het beleid geactiveerd en wordt de registratie van Security Keys alleen toegestaan vanuit Corporate (publieke) IP-adressen.

Bron: Enable combined security information registration

Configuratie van FIDO2 security keys in het Microsoft Entra Admin Center

  1. Zorg ervoor dat u zich aanmeldt bij het Microsoft Entra Admin Center met de vereiste rechten, minimaal als Authentication Policy Administrator. Deze rol biedt de benodigde bevoegdheden om authenticatiemethoden te beheren.
  2. Ga naar het tabblad Protection en selecteer Authentication methods en vervolgens Authentication method policy. Hier vindt u een overzicht van de beschikbare authenticatiemethoden.
  3. Klik op de specifieke authenticatiemethode FIDO2 Security Key. U heeft nu de optie om deze methode toe te passen op alle gebruikers door op All users te klikken, of u kunt specifieke groepen selecteren door op Add groups te klikken. Houd er rekening mee dat alleen security groups worden ondersteund voor deze configuratie, waardoor een gerichte implementatie mogelijk is.
  4. Zodra u de gewenste gebruikersgroepen heeft geselecteerd, slaat u de configuratie op. Hierdoor worden de instellingen toegepast en zijn FIDO2 security keys geconfigureerd als een geavanceerde authenticatiemethode voor de geselecteerde gebruikersgroepen.

Optionele configuratie:

optional-settings.jpeg

Bron: Passwordless security key sign-in


Registratie en beheer van FIDO2 security keys via Microsoft Account Portal

  1. Bezoek https://myprofile.microsoft.com om toegang te krijgen tot het Microsoft Account Portal.
  2. Meld u aan met uw gebruikersnaam en wachtwoord als u dit nog niet hebt gedaan. Zorg ervoor dat u de benodigde rechten heeft om security keys te registreren.
  3. Eenmaal ingelogd, klik op Security info. Hier vindt u de opties voor het beheren van uw beveiligingsinformatie.
    1. Als u al minstens één MFA-methode hebt geregistreerd, kunt u direct een FIDO2 security key toevoegen.
    2. Als er nog geen MFA-methode is geregistreerd, voeg er dan een toe.
    3. Een Authentication Policy Administrator kan ook een Temporary Access Pass uitgeven voor het registreren van een passwordless verificatiemethode.
  4. Om een FIDO2 security key toe te voegen, klik op Add method en selecteer Security key. Kies vervolgens tussen USB device of NFC device afhankelijk van uw voorkeur.
  5. Kies USB device of NFC device.
  6. Houd uw security key bij de hand en volg de instructies. Als u Chrome of Edge gebruikt, let op de mogelijkheid dat de browser prioriteit geeft aan het registreren van een wachtwoordsleutel opgeslagen op een mobiel apparaat boven een wachtwoordsleutel op een security key.
    1. Vanaf Windows 11 versie 23H2 wordt de volgende prompt weergegeven tijdens het aanmelden. Kies onder More choices de optie Security key en klik op Next.

save-security-key.jpeg

  1. U wordt gevraagd een pincode voor uw security key te maken of in te voeren en vervolgens de vereiste beweging voor de sleutel uit te voeren.
  2. Keer terug naar de gecombineerde registratie-ervaring en geef uw security key een betekenisvolle naam voor eenvoudige identificatie. Klik op Next.
  3. Klik op Done om het registratieproces voor de FIDO2-security key succesvol af te ronden.

Het inloggen ziet er dan voor de gebruiker als volgt uit: