Microsoft 365 maakt het eenvoudiger om documenten te delen of om bij je e-mail te kunnen waar je dan ook bent. Gebruikers kunnen dus inloggen vanuit elke locatie en kunnen eenvoudig allerlei bedrijfsgegevens inzien. Dit is allemaal prachtig, maar hoe veilig is dit? Alles wat hiervoor nodig is, is een gebruikersnaam en een wachtwoord. De vraag is hoe kunnen we dit veiliger maken. Om de veiligheid te verhogen kan gedacht worden aan Multi Factor Authentication (MFA). Een simpele stap, waarmee je volgens Microsoft maar liefst 99.9% van de accounthacks voorkomt! MFA is een authenticatie methode waarbij je meerdere stappen succesvol moet doorlopen om ergens toegang toe te krijgen. De extra authenticatie stap kan bijvoorbeeld een telefoontje of een autorisatie via een mobiele app zijn.
Voor Microsoft 365 zijn er verschillende mogelijkheden voor MFA. Microsoft biedt een mogelijkheid, maar er kan ook voor een andere MFA partij gekozen worden, een voorbeeld hiervan is PING. In dit artikel houden we ons bij de Microsoft mogelijkheden.
Multi Factor Authentication
Er zijn verschillende manieren om MFA af te dwingen, via een User-portal en via Conditional Acces.
1. Voor het afdwingen van MFA bij gebruikers is een aparte portal beschikbaar, die je via users in Office 365 kunt bereiken. Hierin kun je per gebruiker aangeven of MFA benodigd is om in te loggen. Ook kun je hier aangeven vanaf welke locaties MFA overgeslagen kan worden (bijvoorbeeld interne netwerken).
Een nadeel van deze methode is dat de MFA niet per applicatie uitgezet kan worden. Het geldt dus voor alle applicaties of voor geen enkele.
2. Een andere manier om MFA af te dwingen is via Conditional Access in Azure Active Directory (Azure AD). Conditional Access maakt het mogelijk in te stellen onder welke voorwaarden gebruikers toegang hebben tot applicaties. Dit kun je vanaf één plek instellen voor de verschillende Office 365 onderdelen en voor andere gefedereerde applicaties. Het is hierbij mogelijk voor verschillende applicaties verschillende voorwaarden in te stellen. Bijvoorbeeld dat een gebruiker zijn e-mail alleen mag benaderen op een trusted device via MFA, maar dat voor toegang tot OneDrive het gebruik van een trusted device volstaat.
Een ander voordeel van Conditional Access is de mogelijkheid om te controleren of de Conditional Access regel doet wat je verwacht. Hiervoor is de “What-IF” optie waarmee je een login kunt simuleren.
Let op: Mocht er in het verleden gekozen zijn om MFA af te dwingen via de portal (optie 1) en wil je over op conditional access dan zal de MFA-registratie opnieuw gedaan moeten worden.
Licenties voor Conditional Access en MFA bij Microsoft
Om gebruik te mogen maken van Conditional Access en MFA voor gewone users is de Azure AD premium P1 license benodigd. Deze licentie kost los € 5 per maand, maar is ook verkrijgbaar in het Enterprise Mobility and Security (EMS) E3 abonnement. Dit kost € 7,69 per maand maar omvat meerdere beveiligingsproducten.
Ook is het mogelijk om de P2 versie van Azure AD premium abonnement te nemen. Hierdoor komen er nog meer mogelijkheden beschikbaar, zoals het gebruiksvriendelijker registreren van de MFA-opties. De Azure AD premium P2 licentie is ook los en in het EMS E5 pakket beschikbaar. De kosten voor een Azure Active Directory premium P2 licentie zijn € 7,59 per gebruiker per maand en voor een EMS E5 licentie betaalt u € 12,98 per gebruiker per maand.
Hier kun je de actuele prijzen vinden voor Azure Active Directory Premium en voor Enterprise Mobility and Security.
Wil je meer weten over hoe u de werkomgeving van uw medewerkers zo veilig mogelijk maakt zonder hun productiviteit te beperken? Bekijk dan hier het webinar on demand Office 365 en de balans tussen security en gebruikersvriendelijkheid.
Heb je vragen over Multi Factor Authenticatie of de bijbehorende licenties? Neem dan contact met ons op via 085 – 487 52 00.
Jamie Greeve, Cloud Engineer