MFA voor RDS Server

basvaningen schreef op donderdag 12 november 2020 @ 07:55:
Wie heeft hier meer info over?

Microsoft... Remote Desktop Services - Multi-Factor Authentication

Dit is wel een erg magere topicstart op deze manier. Geef eens aan welke opties je zelf al gevonden hebt, wat je mening over deze opties is, en waarom je twijfelt over de ene of de andere methode?

Het is wel de bedoeling dat je zelf wat onderzoek en moeite gaat doen.

Zelf gebruik ik Duo op een RDS Gateway, werkt perfect!

basvaningen schreef op donderdag 12 november 2020 @ 07:55:
Ik zag dat de gratis Azure AD variant het al aanbied, maar heb nog geen idee hoe de online AD te koppelen met de on-premis AD.

https://docs.microsoft.co.../active-directory/hybrid/

Veel leesplezier (heb je eigenlijk wel gezocht?)

Wij gebruiken ook duo. Zijn top.
Indien je enkel de app gebruikt om te authenticeren is het ook wel goedkoop.

Mits wat gepruts ook via adfs te doen. Maak je wel klaar voor een extra server (role) met een uitgebreide configuratie.

Gratis (inclusief calls, sms’en) heb ik nog niet gezien

Xelefim schreef op donderdag 12 november 2020 @ 23:04:
Gratis (inclusief calls, sms’en) heb ik nog niet gezien

Als je al Office365 gebruikt, is er een grote kans dat Azure MFA al gedekt is door je bestaande licenses.

Hier ook Duo. Werkt top!

Question Mark schreef op vrijdag 13 november 2020 @ 11:29:
[...]

Als je al Office365 gebruikt, is er een grote kans dat Azure MFA al gedekt is door je bestaande licenses.

Helaas, je hebt Azure AD Premium nodig en dat zit er niet in.

@basvaningen ik ben toevallig een week geleden met hetzelfde begonnen, ook alle stappen uitgezocht. Microsoft heeft zeer uitgebreide stap voor stap handleidingen online staan.
Globaal is het:
- lokale AD koppelen met Azure AD via Azure AD Connect
- RDS Gateway opzetten
- Azure AD Premium assignen aan accounts die MFA moeten krijgen en access policy maken
- NPS relay (via Azure NPS extension) opzetten en koppelen aan RDS Gateway - https://docs.microsoft.co...wto-mfa-nps-extension-rdg

Ben zelf met de laatste stap bezig

Korakal schreef op vrijdag 13 november 2020 @ 18:05:
[...]

Helaas, je hebt Azure AD Premium nodig en dat zit er niet in.

It depends...

EMS E3, Microsoft 365 E3, and Microsoft 365 Business Premium includes Azure AD Premium P1. EMS E5 or Microsoft 365 E5 includes Azure AD Premium P2. You can use the same Conditional Access features noted in the following sections to provide multi-factor authentication to users.

Available versions of Azure Multi-Factor Authentication

Office365 E3, geeft recht op Auzre AD Premium P1, een E5 license zelfs Azure AD Premium P2. Afhankelijk van je Office365 licenses heb je dus al "recht" op Azure MFA.

Overigens kun je zelfs met Azure AD free al gebruik maken van Azure MFA, met de beperking dat je alleen kunt authenticeren via de Microsoft Authenticator App.

Haal je nou niet Office365 en Microsoft365 door elkaar? Bij de laatste zit het erin, maar bij Office365 niet voor zover ik kon vinden. Wij hebben iedereen op Office365 E3 zitten, ik kreeg de juiste onderdelen niet enabled zonder upgrade naar Azure AD premium. Maar misschien mis ik de grote truc ergens, dus ik ben ook benieuwd!

Ik zit nog even goed te kijken:

https://azure.microsoft.c...details/active-directory/

Office 365 subscriptions include the Free edition, but Office 365 E1, E3, E5, F1 and F3 subscriptions also include the features listed under the Office 365 apps column.

Met een Office 365 license heb je volgens de tabel in bovenstaande link dus recht op Azure MFA, waarbij de features afhankelijk zijn van je subscription.

Authentication methods and configuration capabilities may vary by subscription, please see here for more details.

Als die link weer gevolgd wordt, zie ik in de tabel onder "Office 365 apps" dat Azure MFA gebruikt mag worden, met authenticatie via de app.

Zoals ik het interpreteer zou je dan ook Azure MFA moeten mogen doen. Volgens de eerste link heb je met een Office 365 licentie recht op de features van "Office 365 apps".

Microsoft licensing blijft soms een drama...

[ Voor 40% gewijzigd door Question Mark op 15-11-2020 16:54 ]

Inderdaad, Office 365 e3 biedt alleen mfa voor Office apps.

Helaas is de losse mfa licentie niet meer af te nemen, alleen via bundel in Azure Ad premium p1, die meteen weer een stuk duurder is.

https://docs.microsoft.co...ion/concept-mfa-licensing

DUO, zitten maandelijkse kosten aan verbonden of een eenmalige aanschaf van Rohos (werkt met Google Authenticator).
Qua gebruikersgemak is DUO aan te raden.

AuthLite software is er als optie om eenmalig aan te schaffen. Weliswaar iets minder fraai zoals Microsoft MFA of DUO implementatie met een app.