We willen FIDO2 of passkeys uitrollen, hoe pak je dat klein?

Begin niet bij iedereen tegelijk. Begin bij admins en de mensen met toegang tot bank, boekhouding en source-code. Daarna een vrijwillige uitrol bij de rest. Zonder push komt het er nooit van, met te grote push leg je de helpdesk plat.

Probeer dit eerst zelf

1. 1Activeer FIDO2 als methode in Entra, Protection, Authentication methods, FIDO2 security key. Zet 'Allow self-service set up' op Yes en kies of je AAGUID-restricties wilt (alleen YubiKey, alleen Feitian, etc).
2. 2Begin met een pilot van vijf tot tien mensen: alle Global Admins, de financieel verantwoordelijke, een power-user, jezelf. Geef ze elk minimaal twee sleutels (een voor de tas, een voor het bureau).
3. 3Bouw een Conditional-Access-policy met Authentication Strengths 'Phishing resistant MFA' voor admin-rollen. Vanaf dat moment kunnen admins niet meer met Authenticator-push inloggen, alleen met FIDO2 of Windows Hello for Business.
4. 4Voor de bredere organisatie: zet passkey in Authenticator aan (dat is de gratis optie zonder hardware-key) en laat gebruikers zelf registreren via aka.ms/mysecurityinfo.
5. 5Documenteer de break-glass-route: als de FIDO2-keys verloren zijn, hoe komt iemand er weer in? Een tweede backup-key in een kluis op kantoor is praktischer dan een herstel-procedure die niemand getest heeft.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.