Personal iCloud account TOTP

We hebben een klein aantal Intune tenants waar geen ABM aan is gekoppeld en dus een personal iCloud account voor de certificates. Ik begrijp dat dit niet gewenst is. Ik ben bekend met alle nadelen van het niet gebruiken van ABM, maar dit is de keuze klant en het staat op de roadmap om ABM wel te gaan verplichten.

Hoe beheren jullie deze personal iCloud accounts? Ik weet ook dat TOTP niet de meest veilige vorm van MFA is, maar vooralsnog krijg ik alleen Phone/Text voor elkaar, wat nog onveiliger is. En bovendien onbruikbaar voor een Personal iCloud account dat shared is tussen meerdere mensen (ook geen best practice, maar wederom: de risico's zijn gedocumenteerd en ABM staat op de roadmap).

Een generiek telefoonnummer is ook geen optie. Je kunt een telefoonnummer maar een beperkt aantal keer gebruiken voor verschillende iCloud accounts. Mis ik iets of ondersteunt Apple geen TOTP?

[ Voor 5% gewijzigd door ibmpc op 06-02-2025 21:09 ]

talin schreef op vrijdag 7 februari 2025 @ 16:54:
dit iets voor je: https://duo.com/support#enduserresources

Zou je dat misschien iets kunnen elaboreren? Kan een personal iCloud account aan een externe IDP worden gefedereerd?

talin schreef op vrijdag 7 februari 2025 @ 17:40:
[...]


dat is iets wat je met eigen inzet moet uitzoeken, dit is best wel een zakelijke vraag en ik/wij worden er niet voor betaald om zakelijke dingen op te lossen.
als ik begrijp wat je in je eerste post zet kan dit een oplossing zijn, een mail adres koppelen aan een telefoonnummer voor authenticatie.

eigenlijk zou je naar een MDM oplossing moeten maar je zal ook eerst beleid moeten maken maar ik ken de praktijk ook goed genoeg soms groeit er iets tot een monster wat achteraf niet meer te controleren is.

Euhm, ik stel gewoon een vraag hoe anderen dit hebben opgelost en dat lijkt mij toch wel discussiewaardig om kennis uit te wisselen? Ik zal toch niet de enige zijn die een personal iCloud voor de MDM certificates gebruikt? Ik begrijp dat het niet optimaal is. Het is op onze roadmap om 100% op ABM te krijgen, maar nu zitten we nou eenmaal op 5% van de tenants die nog niet op ABM zit. Een ABM verplichting staat op onze roadmap, alleen kan alleen de klant dit aanvragen (DUNS) dus zijn we ook daarvan afhankelijk. Voor nieuwe klanten is het bij ons al verplicht, deze 5% heeft uit het verleden een uitzonderingspositie verkregen en zijn gewoon nog niet over.

Gr4mpyC3t schreef op vrijdag 7 februari 2025 @ 17:44:
En een YubiKey of andere hardwaresleutel? Gebruik het privé al een aantal maanden en dat werkt eigenlijk vlekkeloos.

About Security Keys for Apple Account

Ja, ben ik mee bekend. We hebben de break glass accounts voor onze tenants op Yubikeys en iedere medewerker heeft toegang tot de kluis. Toen ik een Yubikey had getest ontsloeg het mij nog niet van de vereiste om een telefoonnummer in te stellen naast de Yubikey.

Ik ga het wel testen voor het ABM breakglass account. Goeie tip om de ABM breakglass op een Yubikey te zetten. Maar ontslaat een Yubikey ook de ABM accounts van een telefoonnummerverplichting?

talin schreef op zaterdag 8 februari 2025 @ 15:15:
[...]


oftewel je zal beleid moeten gaan handhaven anders kom je er nooit.
ook de losse eindjes zullen over moeten.
"ja maar vroeger" is dan geen goede reden meer. nee is dan het juiste antwoord.

ik heb dit ooit opgelost met Maas360 dit is tegenwoordig overgenomen door IBM.
persoonlijke accounts zijn uit den boze in een zakelijke omgeving als je beheer wil gaan doen.

Ik begrijp niet zo goed wat je probeert te zeggen. Ik schets een probleem en vraag hoe anderen een technische oplossing implementeren voor dit probleem, en je komt ineens met beleid. Ik heb al eerder aangegeven, 5% van onze tenants is simpelweg nog niet op ABM. Zo werkt het in de realiteit nu eenmaal, je zit soms met oud zeer. En wat @Gr4mpyC3t al zegt, alles moet opnieuw worden uitgerold. Ga jij 25 staten af reizen om een handjevol telefoons opnieuw uit te rollen? Ik wil je de opdracht best gunnen, maar dan moet ik er op vertrouwen dat het goed gaat en het budget is beperkt

Gr4mpyC3t schreef op vrijdag 7 februari 2025 @ 19:29:
Oh, zonder telefoonnummer mag kennelijk niet.

[Afbeelding]

Ik ga het ook proberen volgende week. Mijn eigen persoonlijke Apple ID is al op een Yubikey, maar ik heb even geen extra Yubikey bij de hand. Misschien kan ik met Apple Support alsnog het telefoonnummer eruit krijgen.

Gr4mpyC3t schreef op zaterdag 8 februari 2025 @ 17:33:
[...]


Mocht het niet mogelijk zijn om het te verwijderen of via Apple Support te verwijderen, dan is er wellicht nog een telefoonnummer te koppelen dat enkel een noodnummer is of zo? Nou ja, we gaan het meemaken.

Ik zit eraan te denken om buiten ons eigen platform een set telefoonnummers aan te schaffen. Zoom ondersteunt namelijk het ontvangen van text/SMS op hun nummers en we hebben al een tijdje de wens om naast Teams ook Zoom te hebben. Uitdaging is dat telefoonnummers echt heel makkelijk weg te porteren zijn en text/phone MFA dus eigenlijk geen extra veiligheid biedt. En een andere uitdaging is dat de ABM breakglass accounts ook een telefoonnummer moeten hebben en dat dus in de praktijk weleens een persoonlijk telefoonnummer van iemand kan zijn.