Veilige toegang tot Office 365

NB: Deze blog is op 1/10/2019 aangepast aan de nieuwe naam van SURFconext Sterke Authenticatie, namelijk SURFsecureID. Daarnaast is de client/platform compatibiliteits tabel aangepast.

Office 365 is een steeds belangrijker onderdeel van de IT-voorzieningen van onze instellingen. Nagenoeg alle instellingen gebruiken het of overwegen het te gaan gebruiken. Office 365 bevat een reeks diensten gericht op productiviteit en het delen van informatie. Je kan het gebruiken om te mailen (met Outlook en Exchange), voor persoonlijke dataopslag (OneDrive), om documenten te delen (SharePoint) en te communiceren (Skype). En dat moet natuurlijk veilig want misbruik van een Office 365 account geeft direct toegang tot al deze gegevens en communicatiekanalen. Bij veel instellingen leeft dan ook de behoefte om de toegang tot Office 365 beter te beveiligen.

Office 365 en SURFsecureID

SURFnet heeft een dienst die hierbij kan helpen. Met SURFsecureID kan de toegang tot Office 365 extra beveiligd worden. Dan wordt de normale login met gebruikersnaam en wachtwoord uitgebreid met een extra verificatie stap; de 2e factor. Deze 2e factor is iets wat de gebruiker heeft, namelijk een mobiele telefoon, een app of een USB-sleutel. Zo is de toegang tot Office 365 veel beter beveiligd, zelfs als het wachtwoord bij een onbevoegde bekend is.

In tegenstelling tot de Microsoft Multi Factor Authenticatie (MS MFA) oplossing die ook een 2e factor biedt, wordt met SURFsecureID een hoger betrouwbaarheidsniveau en betere beveiliging bereikt. Met SURFsecureID hebben we namelijk niet voor zelf-registratie gekozen maar wordt de identiteit van de gebruiker en de gekozen 2e factor eerst gecontroleerd voordat deze gebruikt kan worden. Dit is meer in lijn met internationale standaarden en de beveiligingsrichtlijnen van de overheid en de EU. De ondersteunde 2e factor-middelen zijn daarnaast ook nog eens minder phishing-gevoelig en SURF zorgt voor de vertrouwde ondersteuning in Nederland.

Verder zijn er geen wijzigingen aan Office 365 nodig en de instelling hoeft geen extra software te draaien, SURFsecureID wordt as-a-service voor alle instellingen aangeboden. Genoeg redenen dus om SURFsecureID te overwegen voor Office 365 of andere diensten.

Testresultaten

Om de Office 365 login met SURFsecureID te kunnen laten zien hebben we een test-omgeving opgezet waarin we met diverse clients de login konden testen. In het filmpje hieronder laten we dit samengevat zien:

NB: in het filmpje wordt nog gesproken over SURFconext Sterke Authenticatie, de oude naam van SURFsecureID

Een volledig overzicht van de clients en de platforms waarop we deze getest hebben, inclusief het resultaat, staat in onderstaande tabel. We hebben iedere client/platform combinatie getest met meerdere SURFsecureID middelen zoals SMS en de mobiele app Tiqr.

Overzicht van geteste clients en platforms.

Wat we eigenlijk al vermoedde klopt: het werkt goed voor alle Microsoft-clients zoals Outlook en de diverse MS Office-programma’s voor Windows, OSX, iOS of Android, maar ook bijvoorbeeld Skype for Business en Apple mail. Algemeen gesteld: programma’s die Microsoft Modern Authentication ondersteunen ondervinden geen problemen. Je kunt gewoon bij Office 365 inloggen met SMS, Tiqr of Yubikey via SURFsecureID. Ook het gebruik van Office 365 vanuit een browser werkt uitstekend.

Net als bij MS MFA, is het voor clients die geen Microsoft Modern Authentication ondersteunen (zoals Thunderbird) niet mogelijk met een 2e factor in te loggen. Een work-around is om de Application Specific Passwords feature in Azure AD te gebruiken. Dit maakt het mogelijk om voor deze clients een specifiek wachtwoord in te stellen in Azure AD. Let op: de Application Specific Passwords feature kun je alleen aanzetten als je MFA in Azure AD aan zet. En als dit voor een gebruiker wordt aangezet, moet hij voor zijn andere clients twee keer sterk authenticeren, met SURFsecureID en met MS Azure MFA. Dit zal niet werkbaar zijn voor alle gebruikers. Gelukkig kan dit voor specifieke gebruikers of groepen aangezet worden. Zonder deze feature aan te zetten kunnen dit type clients geen gebruik maken van Office 365.

SURFsecureID en 0365 architectuur

Architectuur

De testomgeving is gebaseerd op een Office 365 instantie die voor de login gekoppeld is aan ADFS. Dit is zoals de meeste instellingen Office 365 gebruiken. De Office 365 instantie doet dus niet zelf de login, dit wordt door de ADFS van de instelling gedaan. Met een ADFS-plugin is dat ook de plek waar we SURFsecureID geïntegreerd hebben. Deze ADFS-plugin is ontwikkeld door SURF en maakt gebruik van de standaard plugin interface van ADFS zodat we verzekerd zijn van een optimale integratie. Overigens kan deze plugin ook voor andere diensten die op ADFS zijn aangesloten worden gebruikt. Dat is wat we nu bij veel instellingen zien gebeuren.

Als eerste zoekt de gebruiker toegang tot Office 365 via de browser of bijvoorbeeld via een Office applicatie (Outlook of Word). Door het ingeven van de gebruikersnaam weet Office 365 waar de gebruiker naar toe gestuurd moet worden voor de login. In dit geval is dat de ADFS van zijn instelling en hier authentiseert hij zich met zijn gebruikersnaam en wachtwoord (1e factor). De ADFS valideert deze bij de Active Directory (AD). Vervolgens zal de ADFS de ingestelde Authentication Policies nagaan of er voor deze login een Sterke Authenticatie nodig is. Dit kan afhankelijk zijn van de dienst (in dit geval Office 365), de gebruiker, de gebruikte client, enz. Als blijkt dat er een policy is zal via de ADFS-plugin SURFsecureID aangeroepen worden. De gebruiker wordt dan gevraagd met zijn 2e factor (SMS, Tiqr app of Yubikey) te authenticeren. Na validatie is de login geslaagd en krijgt de gebruiker toegang tot Office 365.

Conclusie

We hebben gezien hoe SURFsecureID ingezet kan worden om de toegang tot Office 365 extra te beveiligen. Daarbij kunnen policies in ADFS gebruikt worden om dit aan te zetten voor specifieke gebruikers of groepen (bijvoorbeeld alleen voor medewerkers) of clients. In vergelijking met de Microsoft MFA-oplossing bieden we hiermee een hogere betrouwbaarheid en veiligere 2e factor middelen.

Interesse?

Denk je na het lezen van dit blog dat SURFsecureID meerwaarde kan hebben voor jouw instelling of heb je vragen? Neem dan contact op met mij via support@surfconext.nl.

Meer informatie

Bekijk de resultaten van de Office 365 testen (pdf)
Lees meer over SURFsecureID

Auteur

Reacties

Dit artikel heeft 1 reactie

Reactie van Peter Clijsters

De tabel met email clients die MS Modern Authentication ondersteunen is wat verouderd. Ondertussen ondersteunt de Gmail app en Thunderbird (vanaf versie 77.0b1) dit ook. De work-around met Application Specific passwords is daarmee grotendeels overbodig geworden.