Een FIDO2-uitrol valt of staat bij logistiek en proces, niet bij techniek. De hardware werkt out of the box, Microsoft Entra ondersteunt FIDO2 al sinds 2020, maar de meeste mislukte projecten lopen vast op verloren sleutels, ontbrekende back-ups en helpdesk die het registratieproces niet aankan.

Hardware-keuze

YubiKey van Yubico is de defacto standaard met de breedste compatibiliteit en FIPS 140-2 certificering voor regulated industries. Voor de meeste organisaties is YubiKey 5 NFC of 5C NFC de juiste keuze: USB-A of USB-C plus NFC voor mobiel gebruik. SoloKeys en Token2 zijn open-source alternatieven die goedkoper zijn maar minder helpdesk-mindshare hebben. Voor kantoorgebruik op pc kunt u ook security keys overwegen die als USB-stick in de machine blijven.

Microsoft Entra-configuratie

Activeer in Entra ID onder Authentication Methods de FIDO2 security key-methode. Stel "Allow self-service set up" aan zodat gebruikers hun eigen sleutel kunnen registreren via aka.ms/mysecurityinfo. Configureer Attestation enforcement op Enforced en upload eventueel een AAGUID-allowlist als u alleen specifieke modellen wilt accepteren. Combineer met Conditional Access "Authentication Strength" Phishing-resistant MFA voor de rollen die u wilt afdekken.

Gefaseerde groepen

Fase 1: alle admin-accounts en break-glass-identities. Klein, beheersbaar, hoge impact. Fase 2: high-value users zoals directie, finance-controllers, HR-managers, en developers met productietoegang. Fase 3: rollen met klantdata en gevoelige systemen. Fase 4: de rest van de organisatie. Reken op een maand per fase voor een middelgrote organisatie, inclusief registratiesessies.

Back-up sleutels

Lever altijd twee sleutels per gebruiker. Één in gebruik, één thuis of in een afgesloten lade op kantoor. Registreer beide in Entra tijdens dezelfde sessie, anders gebeurt het nooit. Bij break-glass-accounts gaan beide sleutels in een fysieke kluis met dual control: twee senior beheerders moeten samen aanwezig zijn om eraan te komen.

Verloren-sleutel-proces

Definieer vooraf wat er gebeurt als een gebruiker zijn sleutel verliest. Stap 1: melding bij helpdesk via een geverifieerd kanaal (videoidentificatie of fysieke verschijning, geen mail). Stap 2: revoke van de verloren sleutel in Entra. Stap 3: Temporary Access Pass van 24 uur voor registratie van een vervangende sleutel. Stap 4: nieuwe sleutel uitleveren en registreren in dezelfde sessie. Een verloren sleutel mag geen dag werkverlies opleveren, maar ook geen achterdeur openen.

Verwant: Freelance cybersecurity consultant, Freelance Microsoft 365 consultant.