Windows AD logon 2FA mogelijk met yubikey?

Mijn vraag
In een relatief kleine kantooromgeving, met een basaal ingerichte Windows Server Essentials 2016, willen we 2FA bij inloggen op het netwerk introduceren. Dat heeft te maken met een normeringseis waar we aan moeten voldoen. Het is mogelijk de 2FA te verplaatsen naar een extern systeem, maar ik wil de mogelijkheid onderzoeken om dit voor een aantal gebruikers te implementeren. Ik heb gedacht aan een Yubikey op één of andere wijze. Het is niet de bedoeling er een project van te maken met terugkerende dure licenties. De vraag is dus of iemand ervaring heeft met yubikey als 2e factor in te zetten voor een windows logon in de AD omgeving. Of een andere eenvoudige oplossing. Wat ook een denkrichting is, is het openen van de specifieke applicatie beschermen met een 2 factor, als dat mogelijk is.

Relevante software en hardware die ik gebruik
Zie hierboven.

Wat ik al gevonden of geprobeerd heb
Ik heb informatie gevonden van yubikey zelf: https://support.yubico.co...ubikey-piv-authentication

Het lijkt dus wel te kunnen, maar ik vind het nog wat complex, en kan er verder niet heel veel documentatie over vinden. Ben erg benieuwd naar jullie gedachten/ervaringen met betrekking tot implementatie van 2 FA in deze omgeving. Misschien zie dan het licht

Duo heb ik wel gezien inderdaad. Bevalt dat goed? Is wel afhankelijk van externe systemen als ik het goed heb begrepen.
Azure laat ik liever voor wat het is. Het systeem/domein draait gewoon lokaal, en dat houden we ook het liefst zo. Misschien vinden jullie dat ouderwets, maar op dit moment willen we niet het Azure systeem in.

Rolfie schreef op woensdag 26 augustus 2020 @ 12:25:
Misschien een rare vraag. Waarom wil je precies MFA introduceren? Wat denk je hiermee op te lossen? Je hebt het over "normeringseis". Maar dat is een heel globaal iets, wat eigenlijk niet zoveel zegt.

Je hebt het later over een specifieke applicatie, maar wat voor een authenticatie gebruikt deze applicatie?

Ik mis al wat informatie/requirements, om eigenlijk iets te kunnen adviseren of bedenken.

Ja dat snap ik. Even toelichten:

Eigenlijk wil ik helemaal geen MFA introduceren, Dit komt van buiten op ons af. Het gaat om een kleine zorginstelling waarin men een aansluiting heeft op een beveiligde mail omgeving . Er is een normering “veilig mailen in de zorg”
https://www.nen.nl/Alles-over-NEN-7510/NTA-7516.htm

Het idee is dat e-mail met privacy gevoelige inhoud op het zorg-netwerk alleen toegankelijk mag zijn middels MFA. Dat kan evt via webmail. Wil je de mail in Outlook, dan kan dat wel mits de toegang tot Outlook ook is afgedekt middels MFA. (De toegang tot de mailserver gebeurt met een eenmalig uitgeven sleutel als password in Outlook.....dat is dus weer geen 2FA , maar wel een sterke sleutel........)

De webmail optie is qua implantatie het makkelijkst, maar de mail gewoon bij je andere accounts in Outlook heeft ook een voordeel, maar dan moeten we 2FA implementeren op 1 of andere manier. Zat me dus af te vragen wat jullie ervaringen zijn daarmee. Ik ga voorlopig nog maar even voor de webmail route.....