2 april 2015

Multi Factor Authenticatie in Office ProPlus

BlogMulti Factor Authenticatie in Office ProPlus

Office 365 is voorzien van Multi Factor Authenticatie. Hiermee kunnen organisaties ervoor zorgen dat gebruikers bij het inloggen in Office 365 naast een gebruikersnaam en wachtwoord tevens een derde vorm van authenticatie moeten opgeven. Een voorbeeld hiervan is de code die in een SMS naar een mobiele telefoon gestuurd wordt, een telefoontje door Microsoft (geautomatiseerd) dat bevestigd dient te worden of de code vanaf een Virtuele Smart Card (op een mobiele telefoon).

Aangezien Office 365 een cloud dienst is die in principe vanaf elke computer met Internet toegang benaderd kan worden, biedt dit een extra vorm van beveiliging. Indien een gebruiker bijvoorbeeld onzorgvuldig et zijn wachtwoord omgaat, biedt dit een extra drempel voor onwelwillende derden om toegang te verkrijgen tot iemand zijn gegevens. Daarnaast is het voor gebruikers in de zorg tevens belangrijk om deze vorm van authenticatie te kunnen gebruiken. De NEN7510 norm die op zorginstellingen van toepassing is vereist dit immers.

Een belangrijk nadeel van Multi Factor Authenticatie (MFA) in Office 365, is dat ze alleen werkt met applicaties die geopend worden in de browser. Denk daarbij aan Exchange Online, SharePoint Online, OneDrive for Business en Yammer. Voor lokaal geïnstalleerde applicaties, zoals het Microsoft Office pakket en de mailclients op mobiele telefoons, kan Multi Factor Authenticatie niet gebruikt worden.

Voor deze applicaties werkt Microsoft met een zogenaamd App Password. Bij het instellen van MFA in Office 365 kan een gebruiker een wachtwoord aanvragen voor iedere applicatie waarmee ze werkt. Indien een gebruiker dus bijvoorbeeld een mailclient wil gebruiken op de mobiele telefoon kan voor die specifieke mailapp een eigen wachtwoord aangemaakt worden. Zo ook voor Outlook op de normale computer alsmede de Office ProPlus applicaties die lokaal geïnstalleerd zijn.

Hoewel App passwords een mooie alternatieve inlogmethode bieden, omzeilen ze echter het hele principe achter Multi Factor Authenticatie. Er hoeft immers niet telkens met een extra authenticatie ingelogd te worden.

Modern Authentication in plaats van Multi Factor Authenticatie

Microsoft brengt hier nu verandering in aan. Ook de Microsoft Office ProPlus applicaties die op een lokale computer uit Office 365 geïnstalleerd worden, kunnen nu gebruik maken van Multi Factor Authenticatie. De dezelfde Mutli Factor Authenticatie kan ook gebruikt worden voor de Office-applicatie die op een iPad geïnstalleerd zijn.

Multi Factor Authentication in Office ProPlus

Voor het gemak heeft Microsoft voor deze manier van aanmelden een andere naam bedacht, Modern Authentication.

Bij het invoeren van dit scenario is het overigens mogelijk om alleen om Multi Factor Authenticatie te vragen indien vanaf specifieke locaties gewerkt wordt. Bijvoorbeeld indien de computer zich niet op het bedrijfsnetwerk bevindt. Hier zijn veel verschillende configuratiemogelijkheden, die te ver gaan voor dit specifieke artikel. Ook is het bijvoorbeeld mogelijk om aan te geven dat gebruikers alleen via de browser mogen inloggen.

Wat is de impact van het inschakelen van Modern Authentication?

Zodra deze optie aangezet wordt, zullen eindgebruikers elke keer als zij een Microsoft Office-applicatie op hun lokale computer openen, gevraagd worden om hun inlognaam, wachtwoord en een derde authenticatievorm (SMS, Telefoon, Smart Card code) op te geven. Hiermee is zeker dat ongewenste derden niet zomaar toegang krijgen tot de bestanden op OneDrive for Business of bijvoorbeeld de e-mails in een Outlook cliënt.

Dit verbetert de beveiliging enorm.

Voor gebruikers zal dit echter ook een enorme extra druk geven. Indien gebruikers zich immers elke keer dat ze een Office-applicatie opstarten extra moeten authentiseren, zal dit een negatieve gebruikerservaring opleveren. Er dient dus veel aandacht besteed te worden aan communicatie en uitleg rondom deze wijziging.

Ook is het van belang dat iedere gebruiker voor wie deze manier van aanmelden geselecteerd wordt, ook daadwerkelijk de mogelijkheid bestaat om de codes te ontvangen. Ze zullen dus een Smart Phone (SMS, App), mobiele telefoon (SMS) of vaste telefoon (automatische telefoonverificatie) moeten hebben. Indien niet alle gebruikers deze mogelijkheid hebben, is het instellen van deze optie niet mogelijk.

Verder lezen