Microsoft verplicht MFA: wat met Breakglass accounts?

Microsoft heeft recent aangekondigd dat Multi-Factor Authenticatie (MFA) binnenkort verplicht wordt voor alle accounts, inclusief service- en breakglass-accounts. Om de veiligheid van deze accounts te waarborgen, raadt Microsoft aan om gebruik te maken van FIDO2- of certificaatgebaseerde authenticatie, in plaats van uitsluitend te vertrouwen op een sterk wachtwoord. 

In deze blogpost loodsen we u doorheen de stappen voor het implementeren en configureren van FIDO2-authenticatie op break glass-accounts, om je zo optimaal voor te bereiden op de aankomende veranderingen.

Stap 1: instellen van authenticatiebeleid

Voordat je begint met het configureren van het authenticatiebeleid, is het belangrijk om te zorgen dat je een ondersteunde FIDO2-beveiligingssleutel hebt. Controleer of je de juiste sleutel bezit, want dit is essentieel voor het verdere proces. Zodra je dit hebt bevestigd, kun je beginnen met de configuratie via de Microsoft Entra admin portal.

In de Entra admin portal navigeer je naar "Protection" -> "Authentication Methods" en selecteer je "Passkey (FIDO2)", zoals te zien is in de afbeelding:

Figure 1

Als je nog niet eerder FIDO2-authenticatie hebt geconfigureerd in je tenant, zal deze authenticatiemethode standaard zijn uitgeschakeld. Deze dient ingeschakeld te worden.

Optioneel: Om FIDO2-authenticatie specifiek voor je breakglass-accounts in te schakelen, moet je eerst een nieuwe securitygroep aanmaken die alleen deze accounts bevat. Vervolgens gebruik je de optie "Select Groups" om deze groep toe te voegen, zoals weergegeven in de tweede afbeelding. Hierdoor beperk je de FIDO2-authenticatie tot je breakglass-accounts.

Image2

Op de configuratie-tab stel je de opties als volgt in:

  • Allow self-service setup: YES 
    • Schakel deze optie in, zodat gebruikers hun FIDO2-sleutel zelf kunnen instellen.
  • Enforce attestation: YES
    • Zet dit aan om de beveiligingssleutel te valideren tegen de FIDO Alliance Metadata Service, wat de betrouwbaarheid van de sleutel garandeert.
  • Enforce key restrictions: YES
    • Schakel deze optie in om het gebruik van sleutels te beperken tot specifieke AAGUID’s (Authenticator Attestation GUID). Let op: als je gebruikmaakt van een authenticator-app, wordt deze mogelijk niet ondersteund bij gebruik van deze instelling.
  • OPTIONEEL - Restrict specific keys: ALLOW 
    • Als je deze optie inschakelt, moet je de AAGUID’s van je beveiligingssleutel(s) toevoegen aan de lijst met toegestane sleutels. Deze AAGUID’s kun je verkrijgen via je FIDO2-leverancier. Voor YubiKey, bijvoorbeeld, zijn de AAGUID’s meestal te vinden in de documentatie of direct bij de leverancier.
Image 3

Stap 2: Registreer je FIDO2 Key

Om je FIDO2-sleutel te registreren, log je in op mysignins.microsoft.com/security-info met je Breakglass-account. 

Op deze pagina selecteer je de optie "Add Sign-in method" en kies je vervolgens "Security key", zoals weergegeven in de afbeelding.

Image 4

In de volgende stap selecteer je het type sleutel dat je hebt aangeschaft: USB of NFC. Maak de keuze op basis van het type FIDO2-sleutel dat je gebruikt.

Image 5

In de pop-up die verschijnt, kies je voor de optie "Security key" om verder te gaan met het registratieproces.

Afbeelding 6

De FIDO2-sleutel begeleidt je nu door het installatieproces op je pc. Dit omvat het instellen van een pincode voor de sleutel en het aanraken van de sensor om te verifiëren dat je fysiek aanwezig bent. Nadat je deze stappen hebt voltooid, kun je de sleutel een naam geven om deze gemakkelijk te herkennen in de toekomst. Klik ten slotte op "Next" om de registratie af te ronden.

Image 7

Stap 3: Inloggen

Het is cruciaal om je breakglass-accounts te testen, zodat je zeker weet dat ze beschikbaar zijn wanneer je ze nodig hebt. Bij je volgende inlogpoging, kies je de optie om een beveiligingssleutel te gebruiken. Volg de instructies om in te loggen met je FIDO2-sleutel, zoals weergegeven in de bijbehorende stappen.

Testing van je breakglass-accounts zorgt ervoor dat ze correct functioneren en klaar zijn voor gebruik in noodgevallen.

Image 8

Tot slot

Het instellen van Multi-Factor Authenticatie (MFA) voor je breakglass-account is cruciaal om toegang te behouden in noodsituaties. Door de stappen te volgen die we hebben beschreven, zorg je ervoor dat je accounts goed beveiligd en toegankelijk blijven wanneer het erop aankomt.

Recap en best practices:

Resilix raadt organisaties aan om hun emergency-policy te herzien en te updaten volgens de volgende best practices:

  • Implementeer FIDO2-sleutels voor noodtoegangsaccounts, waarbij je minimaal twee accounts en twee sleutels instelt voor redundantie. Zorg ervoor dat deze accounts uitsluitend in de cloud bestaan en niet worden gesynchroniseerd met je on-premises Active Directory (AD).
  • Bewaar je FIDO2-sleutels in een fysieke kluis om de beveiliging verder te verhogen.
  • Stel detectieregels in je SIEM in om meldingen te ontvangen wanneer je noodaccounts worden gebruikt.
  • Test je accounts periodiek om te garanderen dat ze correct functioneren en beschikbaar zijn wanneer nodig.
  • Documenteer het proces in je disaster recovery plan, zodat iedereen weet hoe te handelen in geval van een noodgeval.
  • Migreer naar managed identities voor service-authenticatie en verwijder de oude gebruikersaccounts zodra de migratie is voltooid. Neem contact op met je leveranciers die nog gebruik maken van de oude methoden.

Nog steeds hulp nodig?

Aarzel niet om contact met ons op te nemen. We staan klaar om je te ondersteunen.