3 minute read
Self-Service-Password-Reset-en-MFA-voor-werknemers
Opdracht 10 MS365 - Test met MFA voor de global admin
a. Zet voor je global admin account MFA aan. Je had eerder al drie authenticatiemethodes toegevoegd, deze worden nu ook gebruikt voor MFA. b. Log nu in alle browser sessies uit. Log opnieuw in via de browser op de beheerder-pc op het admin center als global admin. Typ of kies je loginaam en voer het wachtwoord in. Wat gebeurt er nu? Valt er iets op aan de authenticatiemethodes? c. Open de Microsoft 365 Admin app op je smartphone. Na enige tijd moet je hier opnieuw inloggen, je moet dan naast je loginnaam en wachtwoord, ook een extra factor invoeren. Gebruik de Authenticator app. Self-Service Password Reset en MFA voor werknemers Voor een Microsoft bedrijfsaccount met een licentie, kun je instellen dat het voor de werknemer mogelijk is om zelf zijn wachtwoord te resetten zonder een beheerder hiervoor te moeten bellen. Deze mogelijkheid wordt selfservice password reset genoemd.Self-Service Password Resetwordt afgekort totSSPR. Mocht een werknemer zijn wachtwoord vergeten, dan kan hij dit zelf herstellen. Global admin SSPR Voor de globale admin staat self-service password reset ingeschakeld. Er zijn altijd twee authenticatie methodes nodig om een wachtwoord te herstellen mits er aan een paar voorwaarden is voldaan. Je hebt dit eerder al ingesteld. Bekijk de online video met de uitleg over SSPR (duur: 6'41"). AD DS Werk je bij een bedrijf dat ook een on-premise Active Directory DS heeft, dan is het niet mogelijk de gewijzigde cloud wachtwoorden ook binnen het bedrijfsnetwerk te veranderen. Daarvoor is een uitgebreidere licentie en aanvullende software op de server bij het bedrijf nodig. Inkijkexemplaar SSPR is in te stellen voor een groep werknemers of voor alle werknemers. Wij willen de optie testen voor een enkele werknemer. We vinden de optie SSPR in het Azure AD admin center bij Password Reset. Selected is actief en bij moederbedrijf Contoso is al een groepSSPRSecurityGroupUsersgemaakt om de werknemers aan toe te voegen.
Als je SSPR inschakelt voor alle werknemers, heeft dit grote gevolgen voor de manier waarop ze inloggen, ze krijgen allemaal vragen die ze moeten beantwoorden (zoals het opgeven van een telefoonnumer of mailadres). Bedrijfsbreed SSPR inschakelen betekent dat je vooraf goed over moet communiceren en moet uitleggen wat er verandert en waarom.
SSPR bij moederbedrijf Contoso Klik je op de groep, dan zie je dat er twee Amerikaanse werknemers al aan zijn toegevoegd. Om een werknemer toe te voegen aan die groep, open je in het admin center Teams and Groups, en daarna Active teams and groups. Ga naar de tab Security. Zoek de betreffende groep, open deze, klik op de tab Member, klik op View all and edit members. Klik op Add members om een werknemer toe te voegen. In hoofdstuk 5 gaan we wat dieper op groepen in Microsoft 365 in. Authentication methods We zijn er nog niet, we moeten nog opgeven op welke wijze de werknemer geauthentiseerd wordt. Hij kan bijvoorbeeld een mail krijgen met een link of een SMS bericht. We stellen dit in het Azure AD admin center in bij Password reset onder Authentication methods. Er zijn zes keuzes zoals je in de afbeelding ziet. Email en Mobile phone zijn standaard gekozen en bruikbaar, en er is één authenticatie methode nodig om daadwerkelijk het wachtwoord te resetten. Voor extra beveiliging en fallback zou je twee authenticatiemethodes kunnen kiezen maar dan wordt het voor de werknemer wat lastiger. Inkijkexemplaar
Voor elke authenticatiemethode is extra informatie nodig van de werknemer. Deze kun je als beheerder vooraf invullen bij de eigenschappen van de werknemer (de informatie bij de account). Vul je niets in, dan is de werknemer verplicht zelf deze contactgegevens de eerstvolgende keer in te vullen tijdens inloggen. In het menu Registration in het Password reset venster geef je aan dat werknemers zichzelf dienen te registreren (default keuze) of dat jij als beheerder de juiste contactgegevens vooraf invoert. De gegevens die werknemers invoeren zijn standaard 180 dagen geldig, daarna dienen ze opnieuw de gegevens te bevestigen. Het aantal dagen is aan te passen. Het is belangrijk dat de gegevens actueel blijven. Als de werknemer een nieuw telefoonnummer krijgt, werkt de aan het oude nummer gekoppelde authenticatiemethode natuurlijk niet meer. Notifications Standaard krijgt de werknemer een bevestiging per mail, dit kun je uitschakelen onder Notifications in het Password reset venster. Hier stel je ook in als je als beheerder geïnformeerd worden als een andere beheerder een wachtwoordreset uitvoert. De eerste keer als een werknemer inlogt, moet hij de aanvullende gegevens invullen die nodig zijn voor de wachtwoord reset. Hij wordt doorgestuurd naar het registratie Inkijkexemplaar webportaal https://aka.ms/ssprsetup. Zo is bij SMS-authenticatie bijvoorbeeld een mobiel telefoonnummer nodig.
