Inloggen zonder wachtwoord

Inloggen zonder wachtwoord

Microsoft heeft het ‘password-less’ tijdperk aangekondigd. Daarmee wil men een eind brengen aan het onnodig gebruik van wachtwoorden. Iedereen kent het wel; onnodig lange lijsten met wachtwoorden voor allerlei accounts, websites, apps en online diensten.

Ervoor kiezen om hetzelfde wachtwoord voor elk account te gebruiken is onwijs (ik ga hier niet eens uitleggen waarom!) En lijsten aanmaken in boekjes, passwordmanagers of digitale notitieblokjes is ook niet ideaal. Denk alleen maar aan de administratie die je hier voor moet bijhouden. Ik heb even geteld en ik kom op dit moment op zo’n 135 verschillende accounts. Denk eens aan het werk wat je er van hebt als je om de 45 dagen je wachtwoorden moet wijzigen.

Daarom is het mooi dat Microsoft dit initiatief heeft genomen. Door huidige technieken te combineren kan dit ook steeds beter.

Belangrijke onderdelen hierin zijn de biometrische authenticatie en de PIN authenticatie via Microsoft Hello.

Eenvoudig te foppen?

De biometrische herkenning is nog niet op alle devices optimaal. Iedereen kent de verhalen van de iPhone FaceID die toch makkelijk te foppen was. Maar volgens mij is het beter dan het alternatief. Ik moet meer moeite doen om iemand zijn gezichtsherkenning te omzeilen dan iemand zijn wachtwoord af te kijken. En de technieken worden steeds beter.

Biometrische identificatie biedt meer zekerheid over de identiteit van een gebruiker dan alleen een gebruikersnaam en wachtwoord. Wachtwoorden zijn nog altijd eenvoudiger te achterhalen dan een vingerafdruk.

 

Inloggen via de telefoon

Momenteel heeft Microsoft het inloggen met de telefoon in preview beschikbaar gesteld voor zakelijke Office 365 accounts.

Hiervoor wordt de Microsoft Authenticator App gebruikt.

Eerst moet Multifactor Authenticatie geconfigureerd zijn en dan kan de gebruiker de ‘Aanmelding via telefoon inschakelen’ binnen de App. Ook moet de gebruiker zijn apparaat kunnen registeren bij het bedrijf: Microsoft Intune.

 

Overal waar nu ingelogd wordt zal het aanmeldscherm er voortaan anders uit zien. In plaats van een wachtwoord wordt gevraag om de aanmelding goed te keuren via de MS Authenticator App.

 

 

Instellen

Instellen op Tenant niveau is eenvoudig. Er zijn twee PowerShell commando’s voor nodig:

Connect-AzureAD

New-AzureADPolicy -Type AuthenticatorAppSignInPolicy -Definition '{"AuthenticatorAppSignInPolicy":{"Enabled":true}}' -isOrganizationDefault $true -DisplayName AuthenticatorAppSignIn

Na het inschakelen op Tenant niveau geldt dit niet direct voor elke gebruiker. Immers de gebruiker moet dit zelf nog activeren binnen de Authenticator App.

Denk er om, het is nog in Preview. Voor uitzonderingen en voorwaarden zie de documentatie online.

 

Telefoon vergeten

Mocht je je telefoon vergeten zijn mee te nemen of op te laden dan kun je alsnog je wachtwoord opgeven…. ja dat is eigenlijk gek. Zit je toch nog aan een wachtwoord vast. Hoe gaan we dat oplossen Microsoft?

 

Meer informatie: https://docs.microsoft.com/nl-nl/azure/active-directory/authentication/howto-authentication-phone-sign-in

Consumers ready to switch from passwords to biometrics, study shows

https://usa.visa.com/visa-everywhere/security/how-fingerprint-authentication-works.html

 

Microsoft Whats that App? Kaizala…

Help – ik ben nog alleen op Kaizala!
Kaizala ja, een Office 365 module die ik al een tijdje in de gaten houdt, maar wat tot nu toe nog niet echt is doorgedrongen. Het is een App om mee te chatten en lijkt verdacht veel op WhatsApp.

Daarmee hebben we nu een alternatief voor WhatsApp, eentje waar we vanuit Office 365 meer controle over hebben. Bij deze raad ik ieder bedrijf aan waar WhatsApp groepen gebruikt worden om Kaizala eens te gaan proberen.

De App is groot geworden in India en komt nu wereldwijd beschikbaar, maar voor hoelang? Microsoft heeft al integraties aangekondigd met Teams. Ik ben benieuwd hoe lang deze twee Apps naast elkaar blijven draaien of dat Kaizala op den duur volledig in Teams wordt opgenomen. Wel is het bijzonder dat er zo veel functionaliteit in zit. Kennelijk is het de moeite waard geweest. Ook vanuit beheersoogpunt en security is goed nagedacht.

Functionaliteit

De basis is gewoon chatten, vergelijkbaar met WhatsApp. Het heeft geen zin om dit hier dan ook uitgebreid toe te lichten. Chatten, Smiley’s, Groepen en Spraakoproepen zijn allemaal aanwezig. Maar Kaizala biedt wel wat extra’s, welke in het begin wel wat overweldigend kunnen over komen.

Acties

Met Kaizala kun je acties toevoegen aan de Chat. Dit zijn bijvoorbeeld Aankondigingen, Taken of Checklijsten. Uiteraard kun je ook Foto’s, Video’s en Documenten uploaden. Taken kun je toewijzen aan medewerkers en blijven in je lijst beschikbaar.

Met je zelf Appen?

Met Kaizala kun je je zelf App berichten sturen. Je kunt dit heel handig gebruiken om je zelf even een notitie te sturen.

 

Webversie

Net als bij WhatsApp heb je ook bij Kaizala een webversie die verbonden moet worden met je App op de telefoon.

 

 

Groepen ontdekken

Met Groepen ontdekken kun je lid worden van een publieke groep. De functie “Groepen in de buurt” is interessant, hier worden andere groepen weergegeven die bij jou in de buurt zijn – op basis van je GEO locatie.

 

Beheer

De beheersinterface biedt allerlei functies voor het onderhouden en definiëren van groepen.

Ook de Analyse mogelijkheid is hierin bijzonder uitgebreid. De rapportages worden weergeven via PowerBI.

En net als we in Teams of Office gewend zijn kun je hier ook plugins van derden toevoegen.

 Help, ik ben (nog) alleen in Kaizala

Hoe lang zal het duren, of gaat deze hype aan Nederland voor bij? Want in je eentje een nieuwe App gebruiken werkt niet.

 

Meer informatie:

https://products.office.com/en/business/microsoft-kaizala

 

Legacy Apps in de nieuwe virtuele Desktop van Microsoft

Zoals al in een eerder blog geschreven is de nieuwe Microsoft Virtual Desktop een uitkomst voor het aanbieden van Legacy applicaties in de Modern Workplace.

Eindelijk is de nieuwe Azure Service dan in Public Preview gegaan (aangekondigd tijdens de Ingite on Tour in Amsterdam). Microsoft Partners hebben al een tijdje de nieuwe service kunnen uitproberen, maar nu is hij ook voor het grote publiek beschikbaar.

Benodigdheden

AD domain

Allereerst heb je op dit moment nog een AD domein nodig, dit kan een VM zijn met een Domain Controller of je maakt gebruik van de Azure Active Directory Domain Services. Op termijn zal je de Virtual Desktop ook met de Azure Active Directory kunnen verbinden, maar Legacy applicaties kunnen een AD nodig hebben.

Azure Subscription Tenant

Uiteraard heb je een Azure Subscription nodig waar je je virtuele desktop gaat hosten.

VM Host pool

Binnen Azure maak je een Windows Virtual Desktop Host pool aan. Hierbij loop je een aantal instellingen door en je kiest een Virtual Machine voor het hosten van je Windows sessies.

Afhankelijk van het aantal gebruikers en het soort gebruik (licht, gemiddeld of zwaar) zul je één of meerdere VM’s nodig hebben. Microsoft doet hierbij een voorstel die je natuurlijk naar eigen inzicht kunt aanpassen. Voor 25 gebruikers is een D8s V3 machine voldoende bij licht tot gemiddeld gebruik.

Licenties

Voor de toegang tot Windows Virtual Desktop moet je in het bezit zijn van één van de volgende licenties:

  • Microsoft 365 E3/A3 of E5/A5
  • Microsoft 365 F1
  • Microsoft 365 Business
  • Windows 10 Enterprise E3/A3 of E5/A5
  • Windows 10 VDA licentie

Image

Uiteraard heb je een Image nodig voor de machine die je gaat hosten. Voorheen koos men voor een Windows Server image om meerdere sessies op één machine te kunnen voorzien. Maar met de acquisitie van FSLogix (zie verderop) heeft men ook een Windows 10 Multisessie image kunnen realiseren.

Uiteraard kun je ook je eigen image kiezen.

 

Windows 10 Multi sessie

Met Remote Desktop was het tot nu toe een uitdaging om een Multi sessie virtuele desktop aan te bieden met goede moderne office 365 ondersteuning (ook wel de ‘modern desktop’ genoemd) vooral gericht op OneDrive en Outlook. Officieel ondersteund Microsoft dit OneDrive en Outlook caching namelijk niet op een Remote Desktop. De techneuten van het bedrijf FSLogix hebben hier een slimme toepassing voor ontwikkeld. Deze oplossing werkte zo goed dat Microsoft het bedrijf heeft opgekocht en de oplossing in de Windows Virtual Desktop heeft geïntegreerd.

FSlogix

Wat FSlogix in feite doet is het aanmaken van een persoonlijke virtuele schijf waar je outlook.ost file en je OneDrive profiel wordt opgeslagen. Dit gebeurt onder water op een slimme manier voordat je de toepassing gebruikt en dus nodig hebt. Het is dus een persoonlijke opslag die alleen voor jou toegankelijk is en op een hele andere locatie staat dan de host sessie. Deze oplossing kan dus ook nu al in lokale Terminal server omgevingen gebruikt worden.

Zie voor meer informatie: https://fslogix.com/products/fslogix-apps

Legacy Applicaties

Je kunt de Legacy applicaties vervolgens als een Remote App aanbieden en zelfs laten integreren in het startmenu van de Client-pc. Voor de gebruiker is het dan het alsof hij gewoon zijn applicatie opstart.

 

Meer informatie? Zie https://docs.microsoft.com/nl-nl/azure/virtual-desktop/overview

 

Office 365 Portal op je Desktop

Microsoft haalt de Office 365 portal die via de webbrowser te openen is op het adres portal.office.com of www.office.com naar de desktop.

Sinds kort is de Office App beschikbaar in de Windows App Store. Met deze centrale applicatie is het niet langer meer nodig om de webbrowser te starten om je Office 365 Apps te starten en je recente documenten terug te vinden.

De Apps kun je hier direct starten. De Client-toepassing wordt hierbij gestart, op een enkele na: Agenda, Personen, Sway en Forms openen nog steeds via de webbrowser.

Wat opvalt is dat een aantal Apps die alleen als clienttoepassing beschikbaar zijn hier nu ook tussen staan: Publisher en Access. Verder is het bijzonder dat Skype hier tussen staat; dit is niet de Skype voor Bedrijven App die je zou verwachten. Waarschijnlijk komt Microsoft binnenkort met een update waar de Teams App in wordt aanbevolen.

Zie meer info op de Windows Store

Blokkeren downloads van OneDrive en SharePoint

Een van de speerpunten van Office 365 is het online samenwerken en delen van documenten. ‘Delen in plaats van Mailen’ is het nieuwe credo.
Bij het delen van SharePoint sites en individuele documenten in OneDrive of SharePoint kun je daarbij ongeoorloofd downloaden voorkomen. Dit is één van de beveiligingsmaatregelen die je kunt toepassen bij het samenwerking aan documenten met externen. Bij het delen wil je n.l. bepaalde voorwaarden stellen.

Uiteraard zijn DLP en AIP hierna belangrijke vervolgstappen.

Externe gebruikers krijgen een melding dat downloaden, afdrukken en synchroniseren is geblokkeerd.
Men kan nog wel in Office Online werken, maar downloaden en bewerken in de lokale client is dan niet mogelijk…. tenminste is de bedoeling.

De instellingen en configuratie hiervoor zijn onlangs echter behoorlijk aangepast. Hierdoor zijn er verschillen ontstaan in de werking die afhankelijk zijn van hoe er gedeeld wordt en of de gebruiker een ‘ad-hoc’ account of een ‘Guest’ account heeft…
Daarnaast werkt de toegangsbeperking voor niet-beheerde apparaten anders dan je zou verwachten.

De instellingen

In SharePoint Admin (New experience) onder Toegangsbeheer zijn drie instellingen die we kunnen configureren:

  • Niet-beheerde apparaten
  • Apps die niet gebruik maken van moderne verificatie
  • Niet-actieve sessie afmelden

De instelling voor beperken netwerklocatie is niet van toepassing bij extern delen. Deze instelling is enkel interessant in situaties waar extern delen juist niet gewenst is.

De instelling ‘Niet-actieve sessie afmelden’ is bij omgevingen van belang waar veel buiten kantoor gewerkt wordt, denk aan thuiswerkers en aan willekeurige openbare of onbeheerde pc’s. Als iemand zijn werkplek verlaat, dan is het wel fijn dat de sessie na verloop van tijd wordt afgesloten.

De instelling ‘Niet-beheerde apparaten’ is verantwoordelijk van de gele balk in Office Online en moet het downloaden blokkeren op onbeheerde apparaten.

Zoals de waarschuwing in onderstaand voorbeeld aangeeft is de instelling ‘Apps die niet gebruik maken van moderne verificatie’ ook van belang. Kennelijk kan de controle niet plaatsvinden bij klassieke authenticatie. Dit is van belang voor gebruikers die een oudere versie van Office hebben. Vanaf Office 2013 is moderne authenticatie beschikbaar.

 

Licentie EMS

Met bovenstaande instellingen blokkeren we downloaden, afdrukken en synchroniseren op onbeheerde apparaten.
‘Beperkte webtoegang toestaan’ houdt in dat men wel online het document mag lezen en/of bewerken.
Uiteraard heb je hiervoor wel de Enterprise Mobility + Security Suite nodig:


De consequenties

Gebruikers krijgen de volgende melding als een link naar een document openen.

Door de recente aanpassingen zijn er verschillende situaties hoe dit proces werkt.

De documentatie op docs.microsoft.com (bijgewerkt op 14-01-2019) is hierin niet volledig.

Voorheen werden alle externe ‘gasten’ toegevoegd aan de Azure Active Directory (AAD) en moest men inloggen met een Microsoft account of een Office 365 account. Nu hangt het af van de procedure.

Als je een document deelt met iemand die nog niet in de AAD staat ontvangt deze een ‘one-time’ passcode om zijn of haar identiteit te verifiëren.

Bij het delen van een SharePoint site (zonder Office 365 Groep) wordt er echter nog steeds een ‘gast account’ voor de gebruiker aangemaakt. De gastgebruiker moet dan inloggen met een Microsoft account of een Office 365 werk of school account. Deze gast gebruiker heeft dan toegang tot de hele site.

Nu zou je verwachten dat de ‘gast’ documenten niet mag downloaden, maar dat hangt er van af!

Een Gast gebruiker die werkt op een apparaat dat door zijn organisatie is beheerd, kan dit wel. Ook al heeft jou organisatie niet de mogelijkheid om zijn/haar apparaat te wissen of te beheren. En daarbij kan de gast organisatie wel heel andere beveiligingseisen ingesteld hebben voor het apparaat.

Het is dus belangrijk om de documentatie juist te interpreteren!

Samengevat:

  Ad-hoc ontvanger Gast account Gast account Managed device
Delen van enkel document Ja Ja Ja
Delen van een map Ja Ja Ja
Delen van hele site Nee Ja Ja
Toegang tot gedeelde mappen en bestanden Ja Ja Ja
Verificatie door Verificatiecode Inloggen op Office365 Inloggen op Office365
Online bewerken Ja Ja Ja
Offline bewerken Nee Nee Ja

 

Shared Mailboxen en Office 365 groepen

Een veelvoorkomende situatie is dat er met gedeelde mailboxen gewerkt wordt, denk aan: info@…, secretariaat@…, etc.

Bij gedeelde mailboxen log je als het ware in met je eigen account en krijg je toegang tot de mail in de mailbox. Wat als je dan een document deelt naar een emailadres wat hoort bij een gedeelde mailbox?

De eindgebruiker zal moeten inloggen op de omgeving en doet dit met zijn eigen account. Omdat dit emailadres afwijkt van het emailadres waarmee is gedeeld, zal de gebruiker geen toegang krijgen tot het document. De eindgebruiker krijgt een melding “Deze koppeling is niet voor u beschikbaar”.

Bij Office 365 groepen is dit anders. Mits een gebruiker lid is van deze groep dan kan de ingelogde gebruiker netjes toegang tot het document.

Een reden om Office 365 groepen te gaan gebruiken i.p.v. gedeelde mailboxen?

Gastgebruiker verwijderen

In het geval dat men gast gebruikers verwijdert, bijvoorbeeld omdat men liever AdHoc toegang verleent, is één ding belangrijk: het duurt even voordat accounts definitief zijn verwijderd. Standaard is dit 30 dagen en eventueel kun je een account handmatig permanent verwijderen.
Tot die tijd kan deze externe gebruiker niet bij het document:

Wat gebeurt er ‘onder water’

Bij het instellen van de toegangsbeheer in SharePoint Admin worden er 2 regels aangemaakt bij ‘Conditional Access’ in Azure Intune.

De eerste regel beperkt toegang vanuit Desktop applicaties en Apps.

De tweede regel handelt de toegang af voor webbrowsers.

Meer info:

https://techcommunity.microsoft.com/t5/SharePoint-Support-Blog/Coaching-your-guest-users-through-the-External-Sharing/ba-p/182739#New%C2%A0

https://docs.microsoft.com/en-us/sharepoint/external-sharing-overview

https://docs.microsoft.com/en-us/sharepoint/create-b2b-extranet

https://docs.microsoft.com/nl-nl/sharepoint/what-s-new-in-sharing-in-targeted-release?redirectSourcePath=%252farticle%252fcc78357c-6d48-499c-9cc7-dae447d0d391

Begeleiding Office 365 projecten

Begeleiding eindgebruikers bij implementatie projecten naar Office365 – OneDrive en SharePoint

In de projecten die ik de afgelopen 10 jaar als Microsoft Office 365 consultant en Projectleider bij klanten heb mogen begeleiden en de projecten die ik aan de zijlijn bij andere organisatie heb meegemaakt zie ik het steeds terugkomen: de grote onderlinge verschillen tussen eindgebruikers.

Het wordt als een grote stap gezien waarbij veel van de gebruikers gevraagd wordt. Aan de andere kant mag je ook wel wat meer van de eindgebruiker verwachten.

Ja, het is even wennen en het is een andere werkwijze, maar kom op! Het is je werk. Als het je lukt om een App op een telefoon te installeren, dan mag je toch ook verwachten dat je een nieuwe product snel leert kennen?

Sorry dit is misschien wat kort door de bocht als ICt-er. De een interesseert zich nou eenmaal wat meer voor de techniek dan de ander en de een pakt het daardoor sneller op.

Bedrijven proberen dit op te lossen door er een opleidingsbudget tegen aan te gooien. Een opleider wordt dan binnengehaald en komt dan met standaard trainingen. Afhankelijk van het budget gaat men dan op een 3-5 daagse training, waar vooral de lunch tussen de middag belangrijk is.

Een docent heeft daarbij maar beperkte tijd en kan niet iedereen individueel aandacht geven.

Na de training gaat men weer over tot de orde van de dan en wordt verwacht dat men zijn werk kan doen in de nieuwe omgeving.

Moet je dan als organisatie er meer opleidingsbudget tegen aan gooien? Nee, niet per definitie, het gaat juist om de samenwerking tussen Opleider en ICT organisatie. Veranderen van werkwijze is niet zo moeilijk, als je je er maar voor interesseert. De medewerker moet betrokken worden.

De trainingen moeten daarbij korter en op maat afgestemd worden. Liever 5 trainingen (met tussenposes) van een halve dag, dan één 5 daagse training over een bepaald onderwerp. Er moet naar de individuele medewerker gekeken worden en de ICT consultant die de organisatie kent geeft hierbij de input van de onderwerpen.

In de praktijk heb ik maar een paar opleiders leren kennen die dit zien en eerder de integratie opzoeken met de ICT organisatie. Het ideale plaatje is een samenspel dat gedurende het hele traject en na die tijd een rol speelt. Daarbij is die ICT consultant een onmisbare factor in het opleidingstraject.

Dan zal er meer acceptatie op de werkvloer zijn en kunnen gebruikers ook de voordelen ervaren en zal er veel effectiever mee gewerkt worden.