{"id":20930,"date":"2024-04-11T12:21:07","date_gmt":"2024-04-11T12:21:07","guid":{"rendered":"https:\/\/www.inspark.nl\/?p=20930"},"modified":"2024-04-11T12:52:17","modified_gmt":"2024-04-11T12:52:17","slug":"microsoft-entra-device-bound-passkeys","status":"publish","type":"post","link":"https:\/\/www.inspark.nl\/microsoft-entra-device-bound-passkeys\/","title":{"rendered":"Microsoft Entra device-bound Passkeys"},"content":{"rendered":"<h1>Microsoft Entra device-bound Passkeys: De sleutel tot veilige &amp; eenvoudige authenticatie<\/h1>\n<p>Passkeys zijn de nieuwste innovatie in authenticatie die door Microsoft omarmt is.<\/p>\n<p>Met Microsoft Entra ID Passkeys wordt het beleid voor authenticatiemethoden uitgebreid door de toevoeging van passkeys, waardoor je de Microsoft Authenticator-app kunt gebruiken als een FIDO2-sleutel, vergelijkbaar met een Yubikey.<\/p>\n<p>Het is een breder gedragen standaard die door Microsoft is geadopteerd om ook met deze nieuwe manier je identiteit te beveiligen. In plaats van een aparte beveiligingssleutel te gebruiken zoals een Yubikey, kun je vanaf nu je eigen mobiele device registreren en gebruiken als een Passkey. Dit maakt het aanzienlijk moeilijker voor hackers om je identiteit te stelen, omdat er geen wachtwoorden meer bestaan die gestolen kunnen worden. Het biedt dus een extra laagje bescherming tegen phishing.<\/p>\n<p>Binnen Microsoft Entra is de bestaande FIDO2 Authenticatie methode dan ook hernoemd naar \u201cPasskeys (FIDO2)\u201d, waaraan de nieuwe methodes herkent kunnen worden.<\/p>\n<h1>Waarom zijn Passkeys populair en hoe veilig zijn ze?<\/h1>\n<p>Passkeys winnen aan populariteit vanwege hun eenvoud en gebruiksgemak, terwijl ze tegelijkertijd een hoog niveau van beveiliging handhaven. Ze zijn zo ontworpen om zo gemakkelijk mogelijk wachtwoorden te vervangen.\u00a0 Een bijkomend voordeel hier van is:<\/p>\n<ul>\n<li>Het elimineren van complexe wachtwoorden.<\/li>\n<li>Device-Bound: Passkeys zijn cryptografisch versleuteld met Public en Private keys, waarbij de laatstgenoemde het device niet kan verlaten.<\/li>\n<li>Het gebruik van Passkeys vereist een extra authenticatie voor gebruik, zoals PIN, Face scan, of vingerafdruk.<\/li>\n<li>Phishing Resistent: Het risico van het verkrijgen van toegang met wachtoorden door middel van phishing is verleden tijd.<\/li>\n<\/ul>\n<h1>Instellen van Entra ID Passkeys<\/h1>\n<p>Om Microsoft Entra Passkeys te implementeren, moet Enforce Attestation uitgeschakeld zijn in de Authenticatie Methodes Policy van Entra ID. Het is ook raadzaam om Key restrictions in te schakelen maar dit is geen verplichting voor de functionaliteit. Met key restrictions kan je specifieke Passkeys met de bijbehorende AAGUID toelaten in de Policy. Op deze manier zorg je ervoor dat er alleen sleutels worden toegelaten die voldoen aan je eigen beveiligingseisen en het beperken van je beheerlast.<\/p>\n<p>Dit doe je door AAGUID op te geven, een 128 bit unieke identifier die de specifieke passkey identificeert. De Microsoft Authentticator app op Android &amp; iOS, maar ook Windows Hello For Business hebben bijvoorbeeld een unieke AAGUIDs die je kan toevoegen.<\/p>\n<p>Hieronder een voorbeeld hoe het er uit zou kunnen zien in de configuratie:<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/www.inspark.nl\/app\/uploads\/2024\/04\/FIDO2-security-key-settings-voorbeeld.png\" alt=\"\" width=\"335\" height=\"586\" class=\"aligncenter wp-image-20931 size-full\" srcset=\"https:\/\/www.inspark.nl\/app\/uploads\/2024\/04\/FIDO2-security-key-settings-voorbeeld.png 335w, https:\/\/www.inspark.nl\/app\/uploads\/2024\/04\/FIDO2-security-key-settings-voorbeeld-172x300.png 172w\" sizes=\"(max-width: 335px) 100vw, 335px\" \/><\/p>\n<h1>Gebruik Passkeys door Users en Admins<\/h1>\n<p>Het registreren van Passkeys kan eenvoudig uitgevoerd worden op de My Account page via update security info of direct vanuit de Authenticator App door een \u201cWork or School Account\u201d toe te voegen. Volg simpelweg de vereiste stappen waarna het direct ingezet kan worden.<\/p>\n<p>Hoewel Passkeys het inlogproces aanzienlijk vereenvoudigen voor gebruikers, is het van cruciaal belang om ook admin-accounts op een meer rigoureuze manier te beveiligen. Een doeltreffende methode hiervoor is het inzetten van Passkeys als vereiste authenticatie methode die afgedwongen wordt op bijvoorbeeld specifieke applicaties, of PIM rollen door het gebruiken van Conditional Access Authentication Strengths.<\/p>\n<p>Denk bijvoorbeeld aan High Privileged rollen zoals een Conditional Access Administrator of zelfs Global Administrator die je middels PIM alleen mag activeren met een Passkey. Op deze manier loop je verplicht door een extra en veiligere authenticatie proces voordat je de rol mag gebruiken.<\/p>\n<h1>Voordelen van Microsoft Entra ID Passkeys<\/h1>\n<ul>\n<li><span>Volledige Passwordless Experience<\/span><\/li>\n<li>Verbeterde Beveiliging voor zowel users als admins<\/li>\n<li><span>Gebruiksgemak<\/span><\/li>\n<li>Delen van wachtwoorden niet meer mogelijk omdat deze simpelweg niet meer bestaan<\/li>\n<li><span>Extra Authenticatielaag voor hogere Beveiliging<\/span><\/li>\n<li><span>Makkelijk te implementeren als extra Authenticatie laag voor Conditional Access en Privileged Identity Management door middel van het gebruik van Authentication Strengths. <\/span><\/li>\n<\/ul>\n<p><strong><span>Aandachtspunten en Lessons Learned:<\/span><\/strong><\/p>\n<ul>\n<li>Adoptie is beperkt tot de Microsoft Authenticator App<\/li>\n<li>Zowel voor Android als iOS moet de Microsoft Authenticator app als de primaire Passkey ingesteld zijn op de smartphone.<\/li>\n<li>Vanwege een limitering binnen iOS kan er maar \u00e9\u00e9n additionele wachtwoordoptie aangezet worden naast de iCloud keychain.<\/li>\n<li>Registratieproces heeft veel stappen, wat als storend ervaren kan worden voor de niet technische gebruiker.<\/li>\n<li>Verschil in het authenticatieproces van Android en iOS devices, waar het bij iOS aanzienlijk korter is.<\/li>\n<\/ul>\n<h1>Implementatie van Entra ID Passkeys<\/h1>\n<p>Fysieke Passkeys zoals FIDO2 keys bieden sterke authenticatie, maar kunnen complex en kostbaar zijn in de aanschaf, implementatie en uitgifte, daarnaast verplichten organisaties veelal nog geen phishing resistant authenticatiemethoden. Door de gebruikers hun eigen smartphone in te zetten als een Passkey in combinatie met de Microsoft Authenticator app kan een enorm voordeel gehaald worden zonder te hoeven investeren in fysieke FIDO2-Keys en toch gebruik te maken van phishing resitant authenticatie. Bovendien zou juist je (High Privileged) Administrators en Power Users kunnen verplichten om voortaan Passkeys te gebruiken.<\/p>\n<p>Een uitdaging hierin blijft is de vervanging van telefoontoestellen, hierbij moet je het gehele registratieproces opnieuw doorlopen en in geval van diefstal tijdelijk gebruik maken van een andere phishing resitant methode (of in geval van nood een Temporary Access Pass). Helaas is het dus net zoals met de huidige Authenticator App Experience nu niet mogelijk om een backup te maken van jouw Passkey via Microsoft Cloud, waarmee de user experience, her-registratie sterk verbeterd had kunnen worden.<\/p>\n<p>Kort gezegd zorgt Entra ID Passkeys voor een veiligere en gebruiksvriendelijkere methode dan het gebruik van Authenticator App number matching of Passwordless Phone Sign-in en is daarnaast goedkoper dan het aanschaffen van FIDO2 keys. Daarbij komt dat ook op Android toestellen meerdere accounts van Passkeys kan voorzien, wat met Phone Sign-in tot op de dag van vandaag beperkt is op het iOS platform.<\/p>\n<p>Hulp of advies nodig bij jouw implementatie? Wij helpen je graag en staan voor je klaar!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft Entra device-bound Passkeys: De sleutel tot veilige &amp; eenvoudige authenticatie Passkeys zijn de nieuwste innovatie in authenticatie die door Microsoft omarmt is. Met Microsoft Entra ID Passkeys wordt het beleid voor authenticatiemethoden uitgebreid door de toevoeging van passkeys, waardoor je de Microsoft Authenticator-app kunt gebruiken als een FIDO2-sleutel, vergelijkbaar met een Yubikey. Het is &hellip; <a href=\"https:\/\/www.inspark.nl\/microsoft-entra-device-bound-passkeys\/\">Continued<\/a><\/p>\n","protected":false},"author":39,"featured_media":20933,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[7389],"tags":[7502,7444],"acf":[],"_links":{"self":[{"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/posts\/20930"}],"collection":[{"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/users\/39"}],"replies":[{"embeddable":true,"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/comments?post=20930"}],"version-history":[{"count":10,"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/posts\/20930\/revisions"}],"predecessor-version":[{"id":20944,"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/posts\/20930\/revisions\/20944"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/media\/20933"}],"wp:attachment":[{"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/media?parent=20930"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/categories?post=20930"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/tags?post=20930"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}