2FA voor Exchange en Office

Het gebruik van 2FA (two-factor authentication, oftewel tweestapsverificatie) voor elk type account is enorm belangrijk en zou altijd moeten worden gebruikt.
Een account zonder 2FA maakt een veel grotere kans om te worden misbruikt dan wanneer wél 2FA is ingesteld. Dat geldt ook voor de e-mail, vandaar deze uitleg. De onderstaande handleiding is gemaakt voor de opzet van een door ons beheerd Exchange Hybrid Mail of Office account i.c.m. 2FA middels een Windows of Mac systeem. De procedure is eenmalig, per account.

De opties zijn onder andere:

  • SMS
    Je ontvangt een SMS op de mobiele telefoon voor verificatie in twee stappen.
  • Telefoongesprek via (mobiele of vaste) apparaatnummer
    Je ontvangt een telefoongesprek voor verificatie in twee stappen.
  • Beveiligingssleutel via Microsoft Authenticator
    Het koppelen van een Microsoft compatibele beveiligingssleutel met de MS Authenticator app zodat een push melding of een pincode wordt verkregen voor voor de verificatie in twee stappen.
  • Beveiligingssleutel via externe applicatie (zoals 1Password, Dashlane, DUO, Google Authenticator, Authy, etc.)
    Het koppelen van een Microsoft compatibele beveiligingssleutel zodat een pincode wordt verkregen voor voor verificatie in twee stappen (zonder push melding).

Wanneer er assistentie benodigd is nadat er met deze handleiding geen koppeling tot stand kan worden gebracht, dan kan het supportteam verder helpen (tegen standaard uurtarief).

Advies

Ons advies is om twee of meer opties in te stellen (bijvoorbeeld een beveiligingssleutel en een telefoon-koppeling).

Wanneer er via de webinterface (browser) wordt ingelogd op de Office- of mailomgeving, dan kan het voorkomen dat deze op een willekeurig moment vraagt om je aanmelding te verifiëren of in te stellen.

Bij het verifiëren bestaat de koppeling natuurlijk al en kun je volstaan met het invoeren van de code welke je via één van bovenstaande 4 manieren hebt ontvangen.

Bij het instellen krijg je de volgende melding en volg je de procedure (klik op volgende):

Klik dan op Volgende/Next

We gaan de applicatie Microsoft Authenticator koppelen. Hiervoor is het noodzakelijk dat die app wordt gedownload uit de Apple of Google Play Store (afhankelijk van het mobiele apparaat dat gebruikt wordt), mits deze al is geïnstalleerd uiteraard.

Voor Apple (iPhone, iPad): https://apps.apple.com/nl/app/microsoft-authenticator/id983156458
Voor Android systemen: https://play.google.com/store/apps/details?id=com.azure.authenticator&hl=nl

Zodra de applicatie is geïnstalleerd, klik op Next/Volgende

Klik dan Next/Volgende.

Open de applicatie Microsoft Authenticator op de mobiele telefoon en voeg een nieuwe koppeling toe.
Scan hiervoor de opgegeven code (NIET die van het voorbeeld hierboven) met de QR-codelezer van de Microsoft Authenticator-app, die op uw mobiele apparaat wordt weergegeven.

De authenticator-app moet het werk- of schoolaccount toevoegen zonder dat er aanvullende informatie vereist is. Als de QR-codelezer de code echter niet kan lezen komt dat meestal omdat de weergegeven QR code wat klein is. Het advies is dan om iets in te zoomen (met Control +).

Selecteer dan Volgende op de pagina ‘De QR-code scannen’ op de computer. Er wordt een melding verzonden naar de Microsoft Authenticator-app op het mobiele apparaat om het account te testen.

Zodra de push melding op de mobiele telefoon is geaccordeerd, is de test in orde en wordt de volgende melding getoond:

De app is nu juist ingesteld en het (eerste) apparaat is succesvol met 2FA gekoppeld.

Voor een ‘achter-de-handje’ zou je nog kunnen kiezen om een extra 2FA methode toe te voegen als de eerste niet zou werken -bijvoorbeeld als een telefoon defect of vervangen is.
De volgende procedure beschrijft dan de handelingen voor die extra opzet.

Extra 2FA methode toevoegen

Klik rechtsboven in de webpagina op het icoon (het eigen profiel). Kies daar dan, onder de eigen naam, voor ‘Mijn account weergeven’. Of klik op deze link: https://myaccount.microsoft.com/. Je komt dan op de volgende pagina (let op, de hieronder weergegeven naam is fictief).

Klik dan in de linkerbalk op Beveiligingsgegevens (Security Info). In plaats van een lege opzet zal de opzet minstens gevuld staan met de in de eerste stappen toegevoegde 2FA-opzet. We gaan daar nu een extra 2FA-koppeling aan toevoegen, namelijk de bevestiging middels telefoongesprek.

Klik op de + voor de ‘Aanmeldingsmethode toevoegen’ optie.

Kies voor (alternatief) telefoonnummer en voer het eigen 06-nummer in.

Klik op volgende. Het nummer wordt gebeld of er komt een SMS. Bevestig dat gesprek of voer de code welke in de SMS vermeld staat in het veld op het scherm in. Daarna is ook deze koppeling weer geslaagd. Er is geen verdere test.

Gefeliciteerd, er zijn nu twee actieve 2FA-koppelingen.

Standaard 2FA-instelling

Nu de koppelingen afgerond zijn kan er nog worden gekozen welke van de verschillende 2FA-koppelingen het liefst als standaard methode moet worden gebruikt. Wij adviseren eigenlijk altijd de PUSH melding vanuit de Microsoft Authenticator app, die werkt wat handiger en is sneller (vereist geen verdere invoer).

Tenzij er nog andere apparaten aan dit account moeten worden toegevoegd voor 2FA-koppelingen is het nu verder klaar.

Gefeliciteerd met de extra beveiligde opzet!