fbpx

Stap voor stap: Inschakelen Multi-factor authentication in Office 365 (handmatig en in Powershell)

Door onze collega: João Carlos Mosso

Zoals de meeste Microsoft partners waarschijnlijk wel te horen hebben gekregen, heeft Microsoft aanpassingen doorgevoerd in hun beleid ten aanzien van de vereisten richting partners. De top 3 kritieke acties staat hier beschreven. In punt 2 waar de nieuwe veiligheidsvereisten staan, wordt genoemd dat de partners de Multi-Factor Authenticatie (MFA) moeten inschakelen om beveiligd te zijn tegen cyberaanvallen. In dit blog wordt beschreven hoe je dat doet.

Verschillende manieren om MFA in te schakelen
In Office365 kun je op een aantal manieren MFA inschakelen. Als je op Internet zoekt naar de step-by-step of How To guides, krijg je een hoop sites waar het nodige wordt uitgelegd. Maar hoe vaak kom je niet informatie tegen waar alles in het Engels staat of waar verouderde screenshots staan en je alsnog moet gaan zoeken naar de locatie waar de opties verborgen staan. En wat heeft de inschakeling van MFA voor invloed op bestaande accounts, gedeelde mailboxen en service accounts? Dit soort vragen krijgen ook wij als Microsoft Partner op dagelijkse basis.

In dit blog zal ik de stappen tonen om de inschakeling van MFA te realiseren in een aantal smaken. Ook zal ik laten zien wat de gebruikers vervolgens te zien krijgen en welke acties zij moeten nemen.

Voor de implementatie van MFA hebben we 3 smaken:

  • Activatie per gebruiker
  • Activatie voor organisatie (beleid)
  • Conditional Access

Ik zal in dit blog de eerste smaak, de implementatie voor gebruikers, beschrijven. Reden hiervoor is dat men een O365 Business Premium nodig heeft om het als beleid in te stellen en die hebben we niet in deze omgeving. Wel zal ik een opmerking plaatsen daar waar het als beleid ingeschakeld zou kunnen worden (zie verderop bij de **).

Implementatie Multi-Factor Authenticatie (stap voor stap)

Om de implementatie te realiseren moet het account in O365 voldoende rechten hebben, anders zullen sommige opties niet getoond worden of zijn bepaalde opties grijs.

Toegang tot beheercentrum
Open de volgende pagina in de browser: https://admin.microsoft.com en login met het account dat rechten heeft binnen de organisatie:

We gaan, aangezien we voorbereid willen zijn op de toekomst, gebruik maken van het nieuwe beheer centrum. Pas deze eventueel aan.

Oude beheer centrum:

Schakel om naar de nieuwe:

Breid het menu uit door te klikken op Alles weergeven:

Klik op Instellingen en daaronder weer op Instellingen:

Nu verschijnt een menu. Schuif naar beneden tot de optie Modern authentication:

Klik deze aan en schakel het in:

** In een Premium editie kun je nu de instelling aanzetten voor het bedrijf door te gaan naar Installatie:

Onder Sign-in and security zou de optie moeten staan om multi-factor in te schakelen. Maar zoals ik al zei, die omgeving heb ik hier niet. Daarom gaan we nu de individuele gebruikers configureren om MFA te gebruiken.

Klik op Gebruikers:

Klik op Actieve Gebruikers:

Selecteer Multi-factor authentication:

Het scherm opent waar multi-factor authenticatie geactiveerd of gedeactiveerd kan worden:

Bulksgewijs
Nu kan men bulksgewijs bijwerken -> Klik op de knop bulksgewijs bijwerken. Upload een bestand met de juiste instellingen per user:

Indien het bestand nog niet bestaat, dan kun je een voorbeeldbestand downloaden en deze aanpassen naar het gewenste resultaat:

Pas de Username aan en verander de status van Disabled naar Enabled. Dit bestand kan daarna geüpload worden:

Meerdere users
Selecteer de gebruikers met een gelijke status:

Klik daarna op inschakelen:

Als je meerdere gebruikers selecteert met ongelijke status, dan zal de optie Inschakelen niet beschikbaar zijn.

MFA inschakelen met Powershell

Deze stappen kunnen ook met Powershell worden gerealiseerd.

Inschakelen MFA
Connect-MsolService

Voer de credentials in voor de beheerder:

Maak het StrongAuthenticationRequirement object aan:

$mf= New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement $mf.RelyingParty = “*” $mfa = @($mf)

MFA inschakelen voor een specifieke gebruiker

Set-MsolUser -UserPrincipalName testuser@testdomein.nl -StrongAuthenticationRequirements $mfa

MFA inschakelen voor alle gebruikers

Get-MsolUser -All | Set-MsolUser -StrongAuthenticationRequirements $mfa

Wat krijgt de gebruiker te zien en wat moet hij of zij doen?

Ga naar het office 365 portaal https://login.microsoftonline.com en voer het wachtwoord in.

Je krijgt dan de volgende melding en je wordt gebeld:

Indien je informatie niet bekend is, dan zal je hierom worden gevraagd.

Andere opties voor verificatie
Als je op bovenstaande scherm klikt op Meld u op een andere manier aan, verschijnt de volgende optie:

Gebruik van de app
Ga naar de AppStore, PlayStore of Microsoft Store en download en installeer de Microsoft Authenticator:

Open nu de Authenticator:

Bevestig de aanvraag:

Start met je applicaties
Als je nu probeert in te loggen op een O365 gerelateerde applicatie (Outlook Web Access, lokale client die verbindt met O365, Teams of Yammer), dan zal je de toegang moeten bevestigen met je telefoon. Hetzij via SMS, bellen of authenticator. De voorkeur kun je zelf aangeven. Met de app geeft de volgende melding:

Dit zijn de complete stappen om MFA te implementeren per gebruiker in O365. Veel succes!

Over ResultaatGroep

ResultaatGroep levert expertise aan bedrijven die behoefte hebben aan het succesvol uitvoeren van IT projecten of behoefte hebben aan tijdelijke inzet van resultaatgerichte specialisten. Wij hebben als Cloud Platform Partner van Microsoft uitgebreide expertise op het gebied van Azure oplossingen en Office 365. Wilt u hier meer over weten, of persoonlijk geïnformeerd worden over de laatste ontwikkelingen, neem dan vrijblijvend contact op met één van onze Cloud consultants.