image

Microsoft beschermt beheerdersportalen met Conditional Access-policies voor MFA

dinsdag 7 november 2023, 12:07 door Redactie, 8 reacties

Microsoft wil het gebruik van multi-factor authentificatie (MFA) bij zijn beheerdersportalen vergroten. Het rolt daarom nieuwe Conditional Access-policies voor MFA uit, die het standaard toevoegt aan de beheerdersportalen van onder meer Microsoft Entra, Microsoft 365, Azure en Exchange. Beheerders bepalen zelf of zij de policies willen omarmen.

De Amerikaanse techgigant wijst in een blogpost op eerder onderzoek waaruit blijkt dat MFA het risico op overgenomen accounts met 99% terugdringt. Microsoft stelt zichzelf daarom als doel tot 100% MFA te komen. De nieuwe Conditional Access-policies die het nu introduceert moeten hieraan bijdragen.

Drie policies beschikbaar

De policies zijn afgestemd op verschillende gebruikssituaties en bieden op basis daarvan een variërend veiligheidsniveau. Drie policies zijn beschikbaar:

Require multifactor authentication for admin portals (gericht op alle gebruikers) - Dit beleid is onder meer gericht op beheerders functies met verhoogde rechten en vereist MFA indien een beheerder op een Microsoft beheerdersportaal wil inloggen.

Require multifactor authentication for per-user multifactor authentication users (gericht op bestaande per-user MFA klanten) - Dit beleid is van toepassing op gebruikers met per-user MFA en vereist MFA voor alle cloudapps. Dit beleid helpt organisaties volgens Microsoft bij de overstap naar Conditional Access.

Require multifactor authentication for high-risk sign-ins (gericht op Microsoft Entra ID Premium Plan 2-klanten) - Dit beleid van toepassing op alle gebruikers en vereist MFA en herauthentificatie bij risicovolle inlogpogingen.

Opt-out

Beheerders bepalen zelf welke Conditional Access-policy zij willen omarmen. Microsoft adviseert voor de eerste optie te gaan en MFA in te schakelen voor alle beheerdersportalen. Microsoft rolt de policies als opt-out uit. Beheerders bepalen dan ook zelf of zij hiermee aan de slag willen. Wel merkt Microsoft op dat teams binnen Microsoft in toenemende mate MFA vereisen bij specifieke interactie, wat al langer het geval is bij onder meer het beheer van Azure-abonnementen en het Partner Center van Microsoft.
Reacties (8)
07-11-2023, 12:33 door Anoniem
Voor bedrijven is het makkelijk om MFA te gebruiken. Die hebben een helpdesk waar een gebruiker naar toe kan gaan voor een nieuwe factor.

Voor thuisgebruikers is MFA alleen maar ellende als je je telefoon kwijtraakt of als daar iets mee is. Dan moet je een recovery code ergens hebben opgeschreven en goed hebben bewaard. Anders is het einde Microsoft Account.

Met Hello is het ook lastig om met meerdere huisgenoten dezelfde computer te gebruiken. Of je moet elkaars PIN weten want gezichtsherkenning en vingerafdrukherkenning werken natuurlijk niet tussen huisgenoten. Ik heb het over één account voor bijvoorbeeld een vader en een moeder zoals het vroeger ook was. Bijvoorbeeld MS-DOS 6.22 en Windows 3.1. Die hadden geen gebruikersaccounts. Behalve internet kon je daar alles op doen wat nu ook kan.
07-11-2023, 14:02 door Anoniem
Door Anoniem: Met Hello is het ook lastig om met meerdere huisgenoten dezelfde computer te gebruiken. Of je moet elkaars PIN weten want gezichtsherkenning en vingerafdrukherkenning werken natuurlijk niet tussen huisgenoten. Ik heb het over één account voor bijvoorbeeld een vader en een moeder zoals het vroeger ook was. Bijvoorbeeld MS-DOS 6.22 en Windows 3.1. Die hadden geen gebruikersaccounts. Behalve internet kon je daar alles op doen wat nu ook kan.

MS-DOS en Windows 3.1 hadden dan ook geen Hello of ook maar enige andere vorm van bescherming :-)
07-11-2023, 16:37 door Anoniem
Door Anoniem: Voor bedrijven is het makkelijk om MFA te gebruiken. Die hebben een helpdesk waar een gebruiker naar toe kan gaan voor een nieuwe factor.

Voor thuisgebruikers is MFA alleen maar ellende als je je telefoon kwijtraakt of als daar iets mee is. Dan moet je een recovery code ergens hebben opgeschreven en goed hebben bewaard. Anders is het einde Microsoft Account.

Met Hello is het ook lastig om met meerdere huisgenoten dezelfde computer te gebruiken. Of je moet elkaars PIN weten want gezichtsherkenning en vingerafdrukherkenning werken natuurlijk niet tussen huisgenoten. Ik heb het over één account voor bijvoorbeeld een vader en een moeder zoals het vroeger ook was. Bijvoorbeeld MS-DOS 6.22 en Windows 3.1. Die hadden geen gebruikersaccounts. Behalve internet kon je daar alles op doen wat nu ook kan.

Waarom niet iedereen een eigen profiel geven, zo doen wij het al jaren hier. Iedereen op op dezelfde computer maar allemaal een eigen omgeving? Windows Hello herkent zonder probleem welke gezicht of vingerafdruk bij welk profiel hoort.
07-11-2023, 18:33 door Anoniem
Door Anoniem: Waarom niet iedereen een eigen profiel geven, zo doen wij het al jaren hier. Iedereen op op dezelfde computer maar allemaal een eigen omgeving? Windows Hello herkent zonder probleem welke gezicht of vingerafdruk bij welk profiel hoort.

Mijn ouders zijn begonnen met een map voor alle documenten met ieder daarin een mapje met zijn/haar eigen naam. Dat werkte goed, hoewel er ook wel eens documenten terecht kwamen in bijvoorbeeld de Windows directory (daar had Windows 3.1 geen beveiliging voor).

Later hadden mijn moeder, ik en mijn vader ieder een eigen account in Windows XP. En mijn vader had nog een account voor zijn vrijwilligerswerk. Ik herinner mij dat mijn vader vaak bij de gezinscomputer langs kwam om te vragen of hij nog mail had (voor zichzelf of voor zijn vrijwilligerswerk). Dat was toen wel een probleem omdat computers toen nog niet zoveel geheugen hadden en niet zo snelle harddisks. Meerdere accounts tegelijk ingelogd houden kostte veel resources.

Sinds Windows 7-10 is er gewoon één account op de hele computer voor iedereen en dat werkt het best voor mijn ouders. Maar met Windows 11 wordt dat expres moeilijk gemaakt door het verplichten van een Microsoft account bij het in gebruik nemen van de computer. Met MFA natuurlijk. Je gaat zo'n Microsoft account niet aanmaken en dan niet gebruiken.

In Windows 95 was er een hack om op te starten naar het bureaublad. Officieel van Microsoft. Ik denk/hoop dat we hier weer naar terug gaan. Niet ieder gezin heeft plek voor een eigen computer voor iedereen in het huishouden. Als je samen doet, is inloggen met iedereen zijn eigen account wel omslachtig. Vooral als je eerst een lang en uniek e-mail adres moet opgeven als gebruiker. Maar ik begrijp dat dat alleen bij PIN is en niet bij vingerafdruk of gezichtsscan. Moet je wel een camera of vingerafdruklezer hebben op je desktop. Dat was vroeger niet standaard.
08-11-2023, 12:44 door Anoniem
Door Anoniem:

Met Hello is het ook lastig om met meerdere huisgenoten dezelfde computer te gebruiken. Of je moet elkaars PIN weten want gezichtsherkenning en vingerafdrukherkenning werken natuurlijk niet tussen huisgenoten. Ik heb het over één account voor bijvoorbeeld een vader en een moeder zoals het vroeger ook was. Bijvoorbeeld MS-DOS 6.22 en Windows 3.1. Die hadden geen gebruikersaccounts. Behalve internet kon je daar alles op doen wat nu ook kan.
Wat maakt dit er lastig aan? Gewoon een simple PIN die gedeelt is. Postcode + huisnummer?

Het is maar wat je lastig vind....
08-11-2023, 15:51 door Anoniem
Door Anoniem: Voor bedrijven is het makkelijk om MFA te gebruiken. Die hebben een helpdesk waar een gebruiker naar toe kan gaan voor een nieuwe factor.

Voor thuisgebruikers is MFA alleen maar ellende als je je telefoon kwijtraakt of als daar iets mee is. Dan moet je een recovery code ergens hebben opgeschreven en goed hebben bewaard. Anders is het einde Microsoft Account.

Met Hello is het ook lastig om met meerdere huisgenoten dezelfde computer te gebruiken. Of je moet elkaars PIN weten want gezichtsherkenning en vingerafdrukherkenning werken natuurlijk niet tussen huisgenoten. Ik heb het over één account voor bijvoorbeeld een vader en een moeder zoals het vroeger ook was. Bijvoorbeeld MS-DOS 6.22 en Windows 3.1. Die hadden geen gebruikersaccounts. Behalve internet kon je daar alles op doen wat nu ook kan.
Valt wel mee, ik werk gewoon netjes op een computer met het gehele gezin en ze hebben allen een eigen account op de computer i.c.m. Windows Hello.
09-11-2023, 01:59 door Anoniem
Door Anoniem:
Door Anoniem: Waarom niet iedereen een eigen profiel geven, zo doen wij het al jaren hier. Iedereen op op dezelfde computer maar allemaal een eigen omgeving? Windows Hello herkent zonder probleem welke gezicht of vingerafdruk bij welk profiel hoort.

Mijn ouders zijn begonnen met een map voor alle documenten met ieder daarin een mapje met zijn/haar eigen naam. Dat werkte goed, hoewel er ook wel eens documenten terecht kwamen in bijvoorbeeld de Windows directory (daar had Windows 3.1 geen beveiliging voor).

Later hadden mijn moeder, ik en mijn vader ieder een eigen account in Windows XP. En mijn vader had nog een account voor zijn vrijwilligerswerk. Ik herinner mij dat mijn vader vaak bij de gezinscomputer langs kwam om te vragen of hij nog mail had (voor zichzelf of voor zijn vrijwilligerswerk). Dat was toen wel een probleem omdat computers toen nog niet zoveel geheugen hadden en niet zo snelle harddisks. Meerdere accounts tegelijk ingelogd houden kostte veel resources.

Sinds Windows 7-10 is er gewoon één account op de hele computer voor iedereen en dat werkt het best voor mijn ouders. Maar met Windows 11 wordt dat expres moeilijk gemaakt door het verplichten van een Microsoft account bij het in gebruik nemen van de computer. Met MFA natuurlijk. Je gaat zo'n Microsoft account niet aanmaken en dan niet gebruiken.

In Windows 95 was er een hack om op te starten naar het bureaublad. Officieel van Microsoft. Ik denk/hoop dat we hier weer naar terug gaan. Niet ieder gezin heeft plek voor een eigen computer voor iedereen in het huishouden. Als je samen doet, is inloggen met iedereen zijn eigen account wel omslachtig. Vooral als je eerst een lang en uniek e-mail adres moet opgeven als gebruiker. Maar ik begrijp dat dat alleen bij PIN is en niet bij vingerafdruk of gezichtsscan. Moet je wel een camera of vingerafdruklezer hebben op je desktop. Dat was vroeger niet standaard.

Je kan ook alle accounts enumeraten bij opstarten. Staat ergens onder gpedit “enumerate local users on domain joined computer” heet het geloof ik
09-11-2023, 12:43 door Anoniem
Door Anoniem: Je kan ook alle accounts enumeraten bij opstarten. Staat ergens onder gpedit “enumerate local users on domain joined computer” heet het geloof ik

Ja, zo was het in Windows XP. Een lijst met icoontjes voor elke gebruiker op de lokale computer. Je kon zelf een plaatje uitkiezen.

Vrees wel dat hier Windows Pro voor nodig zal zijn. En op een domein zitten mijn ouders ook niet aangesloten ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.