{"id":20930,"date":"2024-04-11T12:21:07","date_gmt":"2024-04-11T12:21:07","guid":{"rendered":"https:\/\/www.inspark.nl\/?p=20930"},"modified":"2024-04-11T12:52:17","modified_gmt":"2024-04-11T12:52:17","slug":"microsoft-entra-device-bound-passkeys","status":"publish","type":"post","link":"https:\/\/www.inspark.nl\/microsoft-entra-device-bound-passkeys\/","title":{"rendered":"Microsoft Entra device-bound Passkeys"},"content":{"rendered":"
Passkeys zijn de nieuwste innovatie in authenticatie die door Microsoft omarmt is.<\/p>\n
Met Microsoft Entra ID Passkeys wordt het beleid voor authenticatiemethoden uitgebreid door de toevoeging van passkeys, waardoor je de Microsoft Authenticator-app kunt gebruiken als een FIDO2-sleutel, vergelijkbaar met een Yubikey.<\/p>\n
Het is een breder gedragen standaard die door Microsoft is geadopteerd om ook met deze nieuwe manier je identiteit te beveiligen. In plaats van een aparte beveiligingssleutel te gebruiken zoals een Yubikey, kun je vanaf nu je eigen mobiele device registreren en gebruiken als een Passkey. Dit maakt het aanzienlijk moeilijker voor hackers om je identiteit te stelen, omdat er geen wachtwoorden meer bestaan die gestolen kunnen worden. Het biedt dus een extra laagje bescherming tegen phishing.<\/p>\n
Binnen Microsoft Entra is de bestaande FIDO2 Authenticatie methode dan ook hernoemd naar \u201cPasskeys (FIDO2)\u201d, waaraan de nieuwe methodes herkent kunnen worden.<\/p>\n
Passkeys winnen aan populariteit vanwege hun eenvoud en gebruiksgemak, terwijl ze tegelijkertijd een hoog niveau van beveiliging handhaven. Ze zijn zo ontworpen om zo gemakkelijk mogelijk wachtwoorden te vervangen.\u00a0 Een bijkomend voordeel hier van is:<\/p>\n
Om Microsoft Entra Passkeys te implementeren, moet Enforce Attestation uitgeschakeld zijn in de Authenticatie Methodes Policy van Entra ID. Het is ook raadzaam om Key restrictions in te schakelen maar dit is geen verplichting voor de functionaliteit. Met key restrictions kan je specifieke Passkeys met de bijbehorende AAGUID toelaten in de Policy. Op deze manier zorg je ervoor dat er alleen sleutels worden toegelaten die voldoen aan je eigen beveiligingseisen en het beperken van je beheerlast.<\/p>\n
Dit doe je door AAGUID op te geven, een 128 bit unieke identifier die de specifieke passkey identificeert. De Microsoft Authentticator app op Android & iOS, maar ook Windows Hello For Business hebben bijvoorbeeld een unieke AAGUIDs die je kan toevoegen.<\/p>\n
Hieronder een voorbeeld hoe het er uit zou kunnen zien in de configuratie:<\/p>\n
<\/p>\n
Het registreren van Passkeys kan eenvoudig uitgevoerd worden op de My Account page via update security info of direct vanuit de Authenticator App door een \u201cWork or School Account\u201d toe te voegen. Volg simpelweg de vereiste stappen waarna het direct ingezet kan worden.<\/p>\n
Hoewel Passkeys het inlogproces aanzienlijk vereenvoudigen voor gebruikers, is het van cruciaal belang om ook admin-accounts op een meer rigoureuze manier te beveiligen. Een doeltreffende methode hiervoor is het inzetten van Passkeys als vereiste authenticatie methode die afgedwongen wordt op bijvoorbeeld specifieke applicaties, of PIM rollen door het gebruiken van Conditional Access Authentication Strengths.<\/p>\n
Denk bijvoorbeeld aan High Privileged rollen zoals een Conditional Access Administrator of zelfs Global Administrator die je middels PIM alleen mag activeren met een Passkey. Op deze manier loop je verplicht door een extra en veiligere authenticatie proces voordat je de rol mag gebruiken.<\/p>\n
Aandachtspunten en Lessons Learned:<\/span><\/strong><\/p>\n Fysieke Passkeys zoals FIDO2 keys bieden sterke authenticatie, maar kunnen complex en kostbaar zijn in de aanschaf, implementatie en uitgifte, daarnaast verplichten organisaties veelal nog geen phishing resistant authenticatiemethoden. Door de gebruikers hun eigen smartphone in te zetten als een Passkey in combinatie met de Microsoft Authenticator app kan een enorm voordeel gehaald worden zonder te hoeven investeren in fysieke FIDO2-Keys en toch gebruik te maken van phishing resitant authenticatie. Bovendien zou juist je (High Privileged) Administrators en Power Users kunnen verplichten om voortaan Passkeys te gebruiken.<\/p>\n Een uitdaging hierin blijft is de vervanging van telefoontoestellen, hierbij moet je het gehele registratieproces opnieuw doorlopen en in geval van diefstal tijdelijk gebruik maken van een andere phishing resitant methode (of in geval van nood een Temporary Access Pass). Helaas is het dus net zoals met de huidige Authenticator App Experience nu niet mogelijk om een backup te maken van jouw Passkey via Microsoft Cloud, waarmee de user experience, her-registratie sterk verbeterd had kunnen worden.<\/p>\n Kort gezegd zorgt Entra ID Passkeys voor een veiligere en gebruiksvriendelijkere methode dan het gebruik van Authenticator App number matching of Passwordless Phone Sign-in en is daarnaast goedkoper dan het aanschaffen van FIDO2 keys. Daarbij komt dat ook op Android toestellen meerdere accounts van Passkeys kan voorzien, wat met Phone Sign-in tot op de dag van vandaag beperkt is op het iOS platform.<\/p>\n Hulp of advies nodig bij jouw implementatie? Wij helpen je graag en staan voor je klaar!<\/p>\n","protected":false},"excerpt":{"rendered":" Microsoft Entra device-bound Passkeys: De sleutel tot veilige & eenvoudige authenticatie Passkeys zijn de nieuwste innovatie in authenticatie die door Microsoft omarmt is. Met Microsoft Entra ID Passkeys wordt het beleid voor authenticatiemethoden uitgebreid door de toevoeging van passkeys, waardoor je de Microsoft Authenticator-app kunt gebruiken als een FIDO2-sleutel, vergelijkbaar met een Yubikey. Het is … Continued<\/a><\/p>\n","protected":false},"author":39,"featured_media":20933,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[7389],"tags":[7502,7444],"acf":[],"_links":{"self":[{"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/posts\/20930"}],"collection":[{"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/users\/39"}],"replies":[{"embeddable":true,"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/comments?post=20930"}],"version-history":[{"count":10,"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/posts\/20930\/revisions"}],"predecessor-version":[{"id":20944,"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/posts\/20930\/revisions\/20944"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/media\/20933"}],"wp:attachment":[{"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/media?parent=20930"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/categories?post=20930"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.inspark.nl\/wp-json\/wp\/v2\/tags?post=20930"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Implementatie van Entra ID Passkeys<\/h1>\n