Toon posts:

FIDO2 key vraag over werking met Azure

Pagina: 1
Acties:

Vraag


  • erwin26
  • Registratie: Januari 2015
  • Laatst online: 02-02 12:01
Mijn vraag
Momenteel ben ik opzoek naar een andere manier van inloggen voor Azure/O365 zaken. Ik wil afstappen van wachtwoord + MFA en overstappen naar passwordless of wachtwoord en MFA door middel van 1 key in plaats van een app.

Nu loop ik alleen tegen een limiet aan dat FIDO2 max 25 users lijkt te ondersteunen per key? Is het mogelijk om onbeperkte users/MFA zaken te ondersteunen met Azure/O365?

Relevante software en hardware die ik gebruik
Yubico Gen5 key

Wat ik al gevonden of geprobeerd heb
Op de website van Yubico zeggen ze dat FIDO2 max 25 users ondersteunt en Microsoft geeft aan alleen met FIDO2 te werken en geen FIDO U2F. Ik kan nergens echt iets vinden hoe ik dit kan omzeilen via welke weg dan ook, behalve meer keys kopen. Ik hoop dat er toch een manier is, die ik zelf over het hoofd zie.

Iemand een idee?

Alvast bedankt.

Alle reacties


  • br00ky
  • Registratie: Januari 2014
  • Laatst online: 06:58

br00ky

Moderator Harde Waren
Ik gooi deze naar Privacy en beveiliging. Daar past je vraag imo beter.

  • oak3
  • Registratie: Juli 2010
  • Laatst online: 02-02 15:59
Ik ken deze limiet niet, maar waarom zou je meerdere users op 1 key willen?
Het idee is dat die key persoonlijk is en per gebruiker je een key uitgeeft.

En voor AzureAD kun je af met de blauwe security keys. Die kosten ongeveer de helft. https://www.yubico.com/products/security-key/

Daarnaast kun je de key gewoon instellen als MFA optie en daarna de rest van je MFA opties verwijderen. Voor passwordless zal je misschien nog wat stappen moeten ondernemen.

Ps, je wilt echt niet met maar 1 key werken. Als je die key kwijt raakt kun je nergens meer bij. Of meerdere admins die allemaal 1 key hebben en het van elkaar kunnen opvangen. Of voor jezelf minimaal twee keys hebben waarbij je er eentje veilig opbergt voor het geval je de primaire kwijt raakt.

T.a.v. AzureAD zou ik daarnaast ook een break glass account inrichten met een sterk wachtwoord, zonder MFA en met alerting als die gebruikt wordt. Alles om te voorkomen dat je jezelf buiten sluit.

[Voor 72% gewijzigd door oak3 op 20-12-2022 14:49]


  • erwin26
  • Registratie: Januari 2015
  • Laatst online: 02-02 12:01
oak3 schreef op dinsdag 20 december 2022 @ 14:46:
Ik ken deze limiet niet, maar waarom zou je meerdere users op 1 key willen?
Het idee is dat die key persoonlijk is en per gebruiker je een key uitgeeft.

En voor AzureAD kun je af met de blauwe security keys. Die kosten ongeveer de helft. https://www.yubico.com/products/security-key/

Daarnaast kun je de key gewoon instellen als MFA optie en daarna de rest van je MFA opties verwijderen. Voor passwordless zal je misschien nog wat stappen moeten ondernemen.

Ps, je wilt echt niet met maar 1 key werken. Als je die key kwijt raakt kun je nergens meer bij. Of meerdere admins die allemaal 1 key hebben en het van elkaar kunnen opvangen. Of voor jezelf minimaal twee keys hebben waarbij je er eentje veilig opbergt voor het geval je de primaire kwijt raakt.

T.a.v. AzureAD zou ik daarnaast ook een break glass account inrichten met een sterk wachtwoord, zonder MFA en met alerting als die gebruikt wordt. Alles om te voorkomen dat je jezelf buiten sluit.
Het gaat om meerdere accounts waarbij MFA ingesteld moet worden en meerdere collega's bij moeten kunnen. Nu hebben we allemaal de MS app hiervoor, maar als je vrij bent krijg je elke keer een pop-up voor goedkeuren van MFA. Hier willen we vanaf en willen we iets anders hebben, bijvoorbeeld een key. En we nemen er dan 2 voor het geval dat.

Een break-glass account maken wij gelukkig ook aan :). Stel beide keys zijn kwijt of kapot etc. dan hebben we uiteraard dit account nog.

Zover ik begreep van Microsoft en Yubico ondersteunt Microsoft alleen FIDO2. Kan goed dat ik het verkeerd begrijp wat ze zeggen hoor. Ik wil namelijk niet passwordless inloggen, ik wil de key gebruiken als MFA inderdaad. Dus de FIDO2 U2F optie.

https://www.microsoft365....ection-met-een-fido2-key/ << Dit heb ik gevolgd om in te stellen. Dit is passwordless en dat werkt prima, maar dan kan ik max 25 users op 1 key zetten.

Wat ik dus zoek is de FIDO U2F optie/Key gebruiken als MFA en niet als passwordless sign in optie. Mits dit kan natuurlijk of via andere key etc. Als we, maar van die APP af kunnen op een gemakkelijke manier.

  • oak3
  • Registratie: Juli 2010
  • Laatst online: 02-02 15:59
Dit lijkt op een MSP / IT dienstverlener waar accounts gedeeld worden.

Puur vanuit security zou iedereen een eigen persoonlijk account moeten hebben, maar goed dat zal al wel afgeschoten zijn vanwege kosten of haalbaarheid.

Alternatief: richt een goede wachtwoord manager in, zet daar MFA op met een persoonlijk yubikey en sla in die wachtwoord manager de TOTP van de mfa op.

Pré van een yubikey t.o.v. een totp is vooral dat je beter bestand bent tegen phishing. Maar als jullie toch al accounts delen, dan maakt dat niet zoveel meer uit. Dan lijkt me bovenstaande oplossing veel beter werkbaar. En je hebt ook nog eens een audit log m.b.t. wie welk account op welk moment geraadpleegt heeft, mits je wachtwoord manager dat ondersteund.

Hoe je hem configureert als extra MFA optie ipv passwordless durf ik niet te zeggen, maar volgens mij maakt dat weinig verschil tussen FIDO2 en FIDO2 U2F.

Ps hardware keys zijn bedoeld voor persoonlijk gebruik. Ik zou de grenzen niet op willen zoeken met dit soort toepassingen.

[Voor 10% gewijzigd door oak3 op 20-12-2022 15:51]


  • erwin26
  • Registratie: Januari 2015
  • Laatst online: 02-02 12:01
oak3 schreef op dinsdag 20 december 2022 @ 15:42:
Dit lijkt op een MSP / IT dienstverlener waar accounts gedeeld worden.

Puur vanuit security zou iedereen een eigen persoonlijk account moeten hebben, maar goed dat zal al wel afgeschoten zijn vanwege kosten of haalbaarheid.

Alternatief: richt een goede wachtwoord manager in, zet daar MFA op met een persoonlijk yubikey en sla in die wachtwoord manager de TOTP van de mfa op.

Pré van een yubikey t.o.v. een totp is vooral dat je beter bestand bent tegen phishing. Maar als jullie toch al accounts delen, dan maakt dat niet zoveel meer uit. Dan lijkt me bovenstaande oplossing veel beter werkbaar. En je hebt ook nog eens een audit log m.b.t. wie welk account op welk moment geraadpleegt heeft, mits je wachtwoord manager dat ondersteund.

Hoe je hem configureert als extra MFA optie ipv passwordless durf ik niet te zeggen, maar volgens mij maakt dat weinig verschil tussen FIDO2 en FIDO2 U2F.

Ps hardware keys zijn bedoeld voor persoonlijk gebruik. Ik zou de grenzen niet op willen zoeken met dit soort toepassingen.
Iedereen heeft zijn eigen persoonlijke account met X rechten op de Azure tenants. Echter wordt het hoofd account gedeeld en daar willen we MFA op, maar zonder de app.

TOPT zonder MFA op het account is een no go, aangezien je niet kan zien wanneer het account is ingelogd in Azure. Tenzij je monitoring wilt hebben op dat account, maar dit staat bij onze meeste tenants uit, in verband met beveiliging. Geen Azure plan aanwezig als het niet nodig is. Zo kan een aanvaller nooit de subscriptie over zetten naar zijn eigen tenant en op onze kosten de VM's aanmaken en bitcoins etc gaan minen. Je hebt een Azure Plan nodig voor VM's aan te maken, die dan weer gekoppeld is aan jou.


Jammer, hopelijk hebben andere mede tweakers ook nog goede ideeën :)
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee