4 minute read
Authenticatie-in-Microsoft-365
Als je de Custom banned password list inschakelt, geef je hier kernwoorden op die je werknemers niet mogen gebruiken in het wachtwoord. Handelt je bedrijf bijvoorbeeld in riemen, dan zou je: leer, riemen en gespen in de lijst kunnen opnemen. Microsoft monitort dan allerlei variaties op deze kernwoorden die door werknemers worden gebruikt en legt die vast. Je moet echter helemaal onderaan de pagina bij Mode wel Enforced aanvinken zodat de wachtwoorden ook daadwerkelijk niet meer mogen. En vergeet niet op Save te klikken voor je de pagina in het portaal verlaat. Op de pagina van deze link lees je hoe Microsoft die banned password probeert te herleiden en samen te stellen. Het ziet er heel artificial intelligence-achtig uit! Hou je logboek bij Als je dadelijk wachtwoorden gaat aanpassen, hou deze dan bij in je logboek. Zorg dat de wachtwoorden actueel blijven, anders ben je voortdurende aan het resetten. Opdracht 6 MS365 - Banned wachtwoorden en lockout a. Login op www.office.com als Coen op de werknemer pc. Verander het wachtwoord in bijvoorbeeld Contoso123. b. Verander de Lockout Threshold van 60 naar 15 seconden. Wat is het effect? c. Ga op de werknemer-pc naar office.microsoft.com als Coen. Log uit als je al ingelogd bent, Log nu in met een fout wachtwoord, doe dat tien keer en verklaar wat er gebeurt. d. Voeg als eigen banned wachtwoorden enkele kernwoorden in, eentje per regel, bijvoorbeeld Contoso, Nederland, Elektronica. Probeer op de werknemer-pc als Harrie in te loggen en je wachtwoord te veranderen in iets wat hierop lijkt, bijvoorbeeld Contoso123. Verklaar wat er gebeurt. e. Open op je smartphone de Microsoft 365 Admin app. Verander het wachtwoord van Harrie in Contoso123. Verklaar wat er gebeurt. Authenticatie in Microsoft 365 Inkijkexemplaar Authenticatie is een veelgebruikte term in de ICT. De Nederlandse vertaling bij Microsoft is "verificatie", maar wij gebruiken de Engelse term. Authenticatie heeft alles te maken met het digitaal aantonen wie je bent om in te loggen op een netwerk of cloud-omgeving. Authenticatie bestaat uit minimaal een loginnaam en een wachtwoord.
Met de beleidsinstellingen uit de vorige paragrafen zorg je voor moeilijkere wachtwoorden, maar deze manier om toegang te krijgen is niet voldoende veilig. Werknemers moeten veel wachtwoorden onthouden, intern op het netwerk maar zeker extern op allerlei webportalen, want elke afdeling heeft een diversiteit van dit soort webapplicaties. Het is lastig om veel wachtwoorden te onthouden, dus soms worden ze op meerdere plekken gebruikt (wat niet slim is) of worden ze opgeschreven. Wachtwoorden zijn relatief gemakkelijk te ontfutselen door een werknemer uit te lokken op een phising mailbericht of phishing WhatsApp bericht te laten klikken. Het toevoegen van een extra authenticatiemethode is sterk aan te raden. De video van Microsoft helpt je bij het kiezen van de juiste authenticatiemethodes bij een bedrijf en legt deze kort uit (duur: 3'46"). Microsoft 365 ondersteunt de volgende authenticatiemethodes: • een loginnaam met een wachtwoord; • de Microsoft Authenticator app, met een popup waar je op moet klikken; • de Microsoft Authenticator app, met een verificatie code die je moet overtypen; Inkijkexemplaar • een code die je via een SMS-bericht ontvangt en moet invoeren; • een code die je door een stem aan de telefoon wordt voorgelezen; • een emailbericht met een code die je moet overtypen; • beveiligingsvragen die je moet beantwoorden.
Andere authenticatiemethodes
Microsoft 365 ondersteunt nog drie andere authenticatiemethode. Deze vallen buiten de scope van dit lesboek. 1. Je kunt werknemers laten inloggen met een token. Dat token moet dan voldoen aan de OATH-standaard (https://openauthentication.org/). Er wordt op het token bijvoorbeeld elke minuut een code getoond, die je moet invoeren om in te loggen. 2. Je kunt werknemers gebruik laten maken van een security key die moet voldoen aan de FIDO2 standaard (https://fidoalliance.org/). De key is een USB-sleutel, of een token, pasje of druppel die gebruik maakt van Near Field Communication (NFC). 3. Je kunt gebruik maken van biometrische authenticatie. Je kent dit van je smartphone. Windows 11 noemt dit Windows Hello. Je legt een vinger op een vingerafdruklezer of scant je gezicht met een camera. Als beheerder is dit in te schakelen bij de werknemers, maar denk daar niet te simpel over. Sommige werknemers vinden het allemaal erg complex, en andere werknemers willen misschien geen apps voor het werk op hun privé smartphone installeren ook al kunnen ze deze app ook voor privé doeleinden gebruiken. Werkt niet overal! Niet elke authenticatiemethode is te gebruiken op elke plek binnen Microsoft 365. Sommige methodes werken als je primair inlogt (als eerste factor), andere werken alleen als extra methode (als tweede factor) of werken alleen als een werknemer probeert zijn wachtwoord te veranderen. Opdracht 7 MS365 - Enkele authenticatievragen a. Waar wordt je vingerafdruk of gezichtsscan bewaard als je Windows Hello gebruikt op je laptop? Als je er goed over nadenkt, weet je het antwoord zonder te googlen. Op een token Op je smartphone Op de laptop In de cloud b. Google heeft ook een authenticator app die je met Microsoft 365 kunt gebruiken. Inkijkexemplaar Hoe heet die app (even Googlen of in de Play Store zoeken)? Google Play Authenticator Google Authenticator Google 2-factor Verificator Google MFA
