We willen smartcard- of YubiKey-login op werkstations.
Smartcard- of FIDO2-login (YubiKey, Feitian) op Windows-workstations vervangt wachtwoorden door fysieke key. Vereist een PKI of Entra-FIDO2 setup, en een proces voor uitgifte en verlies.
Probeer dit eerst zelf
- 1Kies pad: traditional smartcard met AD CS PKI (kerberos PKINIT), of moderner FIDO2/Passkeys via Entra ID met hybrid Windows-login.
- 2Voor FIDO2 (Yubikey): Entra ID, Security, Authentication methods, FIDO2 aan. Workstations moeten Windows 10 21H1+ en Entra-joined of hybrid joined zijn.
- 3Hardware: gebruikers krijgen een hoofdsleutel en bij voorkeur een backup-key (verlies van enige key = lockout). Documenteer serial-nummers per gebruiker.
- 4Provisioning: gebruiker registreert key zelf via aka.ms/MySecurityInfo, of helpdesk doet onboarding via Temporary Access Pass.
- 5Communicatie: 'wat als ik mijn key verlies' is dé vraag. Helpdesk-procedure, backup-key, en eventueel een korte Microsoft Authenticator als noodval-back.
Wanneer ons inschakelen
Voor klantomgevingen met legacy line-of-business apps die geen smartcard/FIDO2 begrijpen: zorg dat die apps via een aparte authentication-flow lopen, anders krijg je 'half MFA' wat erger is dan geen MFA.
Zie ook
- Eén DC of twee DC's voor een MKB-kantoor?Twee is bijna altijd het juiste antwoord; één DC is een single point of failure voor logon, DNS en GPO.
- Moet ik FSMO-rollen verdelen over twee DC's?Voor een klein domein mag alles op één DC; bij twee DC's is verdelen netter maar geen must.
- Hoe weet ik of mijn AD-replicatie gezond is?Replicatie-fouten sluipen er stilletjes in; ze worden pas zichtbaar als logins of GPO's gek doen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.