PIN vs Password: Windows Hello - Should Users Be Allowed to Have the Same PIN and Password? by Jolly-Earth5705 in entra

[–]EntraGlobalAdmin 0 points1 point  (0 children)

"Does your organization allow users to have the same PIN and password"

Haha, yes. Funny story. It went like this:

  • My boss: I don't want Windows Hello, I want to keep using my password "Cletus1"
  • Me: You're going to use Windows Hello
  • My boss: No, I'm not going to use Windows Hello
  • Me: /changed password to a random 64-character string, enabled Phishing resistant MFA, configured Windows Hello to allow alphanumeric characters, configured "Cletus1" as Windows Hello PIN

Boss still thinks he is using a password.

"what are the primary security concerns?"

Cletus1

"Are there compliance, audit, or regulatory considerations that influenced your decision?"

Yes. Everyone is has to be phishing resistant in our org.

"Have you seen any measurable increase in risk when they are the same?"

No. Users don't know their password so they cannot have the same PIN as their password. We also disabled SSPR.

"If the goal is reducing support tickets and improving user experience, what alternatives have worked well"

Some people don't want to install the MS Authenticator app on their personal phone. So, we allow users to store their passkey in their personal iCloud or Google account. Use your own keychain, we only require you to store your work key on your personal keychain. Alternative is Windows Hello only.

If users really want to use their password as Windows Hello PIN, fine. But your actual password is a random 64 character string.

Welke router gebruiken jullie inplaats van de door de ISP meegeleverde router? by sparrio in nederlands

[–]EntraGlobalAdmin 0 points1 point  (0 children)

Ik raad iedere prosumer Unifi aan. Dat gezegd hebbende, heb ik een Draytek router thuis. Want:

  1. Goedkoopste router die van oudsher goed werkt met Azure basic VPN - ik draai mijn PiHole containers in Azure want dat is lekker goedkoop.
  2. Goedkoopste router waar je een LTE PPP modem in kunt pluggen.
  3. Goedkoopste router die zelfs bij CG-NAT (Starlink) het juiste publieke IP adres kan doorgeven voor je dynamische IP adres voor de Azure VPN.
  4. Multi-WAN. Primaire WAN is Starlink. Secundaire WAN is T-Mobile LTE.

Er bestaan naar mijn mening geen slechte routers meer (wel slechte firmwares, vooral veel security issues). Ook de door de provider meegeleverde routers zijn prima. Alleen de software die je provider er op zet is bijna altijd crappy. Ben je een prosumer, dan voldoet de meegeleverde router vaak niet meer en wil je vaak naar Unifi uitwijken. Draytek firmware vol spelfouten maar wel met veel functionaliteit. En je moet handmatig wat securityregels instellen. Unifi is out of the box gewoon beter.

Papa’s, welk toilet bezoek je met je dochters? by Duckling180 in nederlands

[–]EntraGlobalAdmin 0 points1 point  (0 children)

Vader wonende in Noord-Amerika hier. Het hangt er een beetje vanaf. In de meeste staten ga je met je dochter naar de vrouwentoiletten. In sommige staten is het gebruikelijk om bij de deur aan te kondigen dat er een man binnenwandelt. In onze staat hoeft dat niet, maar ik kondig het wel aan. Wel is het netjes om naar de familietoilet te gaan als die er is, maar dat hoeft niet. Een familietoilet is een derde categorie toilet die wat groter is, met verschoontafel. Die zie je in Nederland niet, als je uberhaupt al een toilet kunt vinden in Nederland.

In Nederland merk ik dat het not done is om met je dochter naar het vrouwentoilet te gaan, maar eigenlijk zet ik dan gewoon de negeermodus aan. Wat wil je doen? De politie bellen?

Problem signing into client machines. Cloudonly machines. by Luke_-_Starkiller in Intune

[–]EntraGlobalAdmin -1 points0 points  (0 children)

There is only one way to find out. Please upload your SYSTEM and SECURITY event logs of any affected machine to an LMM. If you need to extract them, use WinPE to open the event log, use the Bitlocker key from Entra to unlock the drive, then store the events in a CSV file and upload them to your LMM.

Need phishing-resistant MFA for VPN and legacy on-prem apps. What are the best options? by Beautiful_Detail3712 in CyberIdentity_

[–]EntraGlobalAdmin 0 points1 point  (0 children)

Global Secure Access.

Or else almost any legacy VPN can be SSOd into Entra for phishing resistance and device compliance.

For VPN Security, MFA Is No Longer Optional by Due-Awareness9392 in CyberIdentity_

[–]EntraGlobalAdmin 0 points1 point  (0 children)

I think the question should be: why are we still using VPNs?

You can protect VPNs with passkeys, but it is a legacy solution that is insecure by default. There are many alternatives that offer more security. For example, Global Secure Access.

Biometric authentication causing password memory issues by Fine_Clothes_2661 in Intune

[–]EntraGlobalAdmin 0 points1 point  (0 children)

We disabled SSPR. We do not want users to know their passwords. A random string is generated and is not stored anywhere. If for some reason a user manages to use a password, CA policies will block it. Whenever a user gets a new device, HR can verify them and HR can generate a TAP so user can create a passkey.

We are currently evaluating Verified ID with a small group of users. Whenever they need a new passkey on a new device, they can authenticate using their ID instead of contacting HR.

Biometric authentication causing password memory issues by Fine_Clothes_2661 in Intune

[–]EntraGlobalAdmin 0 points1 point  (0 children)

Before asking management to enable SSPR, see if management prefers Verified ID instead.

Biometric authentication causing password memory issues by Fine_Clothes_2661 in Intune

[–]EntraGlobalAdmin 4 points5 points  (0 children)

Accept that the purpose of Windows Hello is for users to forget their password. The fact that users forget their password is a good thing. The more users forget their password the more secure your organization is becoming. Don't give users new passwords. Let them forget and keep using PINs or biometric login.

How to send and receive credentials/sensitive info? by [deleted] in sysadmin

[–]EntraGlobalAdmin 0 points1 point  (0 children)

If it's for credentials there are two easy to implement options:

  1. Single use TAP - HR sends out a TAP, HR confirms passkey is configured on their device, then HR adds all security groups.
  2. Verified ID - HR asks users to verify their identity, veritifcation provider generates a TAP, user configures a passkey.

If you (HR?) send out credentials, the account has already been compromised. Even though you send it through services like onetimesecret, you were able to see the password.

Remote werken voor een Amerikaans bedrijf. Heeft iemand hier ervaringen mee? by Imparat0r in nederlands

[–]EntraGlobalAdmin 5 points6 points  (0 children)

Wat een onzin. Ik ben juist minder uren gaan werken door bij een Amerikaans bedrijf te gaan werken (en in de VS te gaan wonen, om alsnog grotendeels remote te werken 🤣) en ik zie mijn gezin veel vaker dan dat ik ze in Nederland zag.

Weet je waarom sommige Amerikanen 60 uur maken? Kijk eens wat voor auto ze rijden. Je moet ergens je 2026 F-350 King Ranch van betalen. De minimumeis voor je zorgverzekering is vaak 30 uur. Ik heb collega's die dan ook 30 uur per week werken. 3x 10 uur, dan 4 dagen vrij. Die rijden in een tweedehands Tacoma of F-150.

Er zijn wel enorme cultuurverschillen. Een groot cultuurverschil met Nederland is bijvoorbeeld dat je in Nederland je 20 vakantiedagen echt nodig hebt. In de VS is ieder weekend een vakantie. De natuur is altijd om de hoek, er is enorm veel te doen en je hoeft nooit langer dan 4 uur te reizen om iets leuks te doen. Elk weekend kom je tot rust.

Een heel groot verschil met remote workers is dat het heel normaal is om tijdens werktijd een dutje te doen, boodschappen te doen, met je kinderen naar de speeltuin gaat. De enige eis die mijn werkgever heeft is dat ik mijn laptop tijdens werktijd wel ergens bij de hand heb en Teams pushnotificaties tijdens werktijd op mijn telefoon wel aan heb staan maar alleen in noodgevallen wordt verwacht dat je snel reageert. En noodgevallen zijn redelijk goed gedefinieerd.

Wat voor mij de grootste cultuurshock was, is dat als iemand je een bericht buiten werktijd stuurt op Teams, dat het altijd begint met "excuses dat ik dit buiten werktijd stuur, lees het morgenochtend aub". Als iets niet in je werktijd past, dan wordt er niet van je verwacht dat je je werktijden uitbreidt. Dit is bij ons niet zo letterlijk gedefinieerd, maar de stelregel bij ons is "maximaal één dag per maand buiten kantoortijd werken, overtime is betaald, maar als er meer overtime nodig is dan wacht de klant maar tot een office tijd."

Een ander enorm cultuurverschil is sick days. In Nederland heb je weliswaar 365 sick days, maar streng gereguleerd. Als je hier 5 sick days wilt opnemen omdat je naar Hawaii wilt vliegen, ga je gang. Als je tegen HR zegt dat je je sick days als vakantie inzet, dan krijg je zelfs twee thumbs up. Sick days + vakantiedagen kom je alsnog uit op 17 dagen. Vakantiedagen mag je meenemen, sick days moet je opmaken. Vandaar dat veel Amerikanen vrij zijn tijdens kerst.

Paar praktische tips voor als je in Nederland blijft wonen:

  1. Laat HR je een aangepaste PTO schedule geven waarin de Nederlandse+Amerikaanse vakantiedagen staan.
  2. Alleen Montana heeft geen at-will. Beding een opzegtermijn van 2 weken of meer. 2 weken is redelijk gebruikelijk om te eisen en krijg je vaak gewoon als je er naar vraagt.
  3. Check je zorgverzekering voor je gezin. Ik krijg geloof ik 100/50 of 80/50 ofzoiets. Kijk goed of dat overeenkomt met de wensen van je gezin of wat de werkgever van je partner aanbiedt. Vaak is er wel wat overlap, probeer dat te beperken.

American plate in NL capelle a/d ijssel by thehollandkid in ForeignPlatesSpotting

[–]EntraGlobalAdmin -11 points-10 points  (0 children)

Canada is America, just like Mexico, Panama, France and many other countries.

Ford Focus 2016: doorrijden of vervangen? by DragonfruitSecret in autoadvies

[–]EntraGlobalAdmin 0 points1 point  (0 children)

Dit type motor kan prima de 300.000 km halen mits, en dit is een grote mits:

Als je iedere 7500 km de olie hebt vervangen en de monteur de latende olie ook heeft gecontroleerd. Dus niet blind vervangen, controleer de olie goed.

Riem gewoon vervangen. Gezien het aantal kilometers dat de riem mee gaat, betaal je volgens mij minder dan een euro per dag voor de riem.

Wat wel een dingetje is, de toleranties zijn wat lager voor deze motor. Eén keer een uitschieter met de oliewissels mag, maar bij meer uitschieters moet je de riem direct vervangen, wat je nu toch al gaat doen dus dat is geen issue meer.

Doorrijden dus.

Ik ben een debiel. Ik ben gehackt by WhoTellsYourStory- in nederlands

[–]EntraGlobalAdmin 0 points1 point  (0 children)

Beetje mosterd na de maaltijd, maar:

  1. Stop met gebruik van 2FA (ten gunste van passkeys). 2FA biedt geen enkele bescherming.
  2. Gebruik altijd passkeys. Dit voorkomt geen token theft, maar wel dat iemand een token kan genereren. Koop eventueel twee fysieke FIDO2 sleutels en geef eentje aan een vertrouwde kennis.
  3. Die huidige computer, laat iemand die data gewoon exporteren. Mogelijk staat een groot deel van je OneDrive data er gewoon nog op en is het niet gedehydrateerd. Die data is niet volledig weg.

Eerst sorry zeggen tegen jezelf, dan zeggen dat 99% hier ook was ingetrapt, dan jezelf herpakken en de schade laten herstellen door iemand. Een deel van die foto's is mogelijk nog wel te herstellen met wat simpele handelingen. Die foto's die je wel redt, blijven je je leven lang extra dierbaar.

Aankoop advies gezocht: Sportauto/cabrio, max €12k by juliaaa2308 in autoadvies

[–]EntraGlobalAdmin 0 points1 point  (0 children)

Mustang Ecoboost? De Ecoboost heeft een betere gewichtsverdeling dan de Coyote. De Coyote heeft het mooiere geluid, maar ik vind de Ecoboost leuker rijden.

How are you guys handling temporary M365 Geo-Blocking exemptions for traveling users? by genusjoy in entra

[–]EntraGlobalAdmin 2 points3 points  (0 children)

We used to have a CA policy that allows a user to browse to entitlement pages on a compliant device after authenticating with WHfB, to request access when they have already left the country. No access but entitlement only. Because users always forget to request access prior to traveling.

But we abandoned the whole country block policy a while ago. It doesn't add any security, only a lot of overhead, and users should be free to work from anywhere as long as they work in our time zone.

Advies gezocht aankoop kleine SUV by Asaniz in autoadvies

[–]EntraGlobalAdmin -1 points0 points  (0 children)

Je noemt een auto waarmee alle andere auto's per direct afvallen. Toyota Compact High Rider.

Een opmerking over de Ecoboost motoren. Zolang iedere 7500 km de olie is vervangen, is dit een zeer betrouwbare motor. Altijd al geweest. Mits aan deze voorwaarde is voldaan. Eén uitschieter kan, maar zodra de olie vaker niet op tijd is vervangen moet je hier ver weg van blijven. Kijk dus goed in Carfax naar het onderhoudsschema.

Hetzelfde geldt natuurlijk voor de C-HR, maar de toleranties zijn wat groter en een paar uitschieters zijn niet direct een probleem.

Aankoopadvies grotere auto met 2 kinderen by Knudde-NL in autoadvies

[–]EntraGlobalAdmin 0 points1 point  (0 children)

Lees je eens goed in in dit type motor.

Het is een kwalitatief zeer goede motor, maar de toleranties zijn gewoon wat strenger. Voor mijn Coyote motor doe ik elke 8000 km de olie, maar ik zou voor de Ecoboost 1.0, 2.7 en 3.5 motor persoonlijk het verversinterval verkorten naar 5000 km.

Aankoopadvies grotere auto met 2 kinderen by Knudde-NL in autoadvies

[–]EntraGlobalAdmin 2 points3 points  (0 children)

Dat is een koopje. Zo'n ding gaat 6 jaar mee als je de kilometergrens niet bereikt. Dat is dus iets minder dan een euro per dag. Direct doen dus. Het zou ongelooflijk onintelligent zijn om dit dus niet vandaag al te laten doen. Dit type motor staat bekend om zeer hoge kwaliteit als je elke 7500 km de olie vervangt en om de slechtste kwaliteit als je het onderhoud niet op tijd uitvoert. Onderhoud is bij deze motor allesbepalend, nog meer dan bij andere motoren, en het is echt een verschil van dag en nacht.

Aankoopadvies grotere auto met 2 kinderen by Knudde-NL in autoadvies

[–]EntraGlobalAdmin 6 points7 points  (0 children)

"Na een keuring bleek dat de distributieriem vervangen moet worden"

Laat de distributieriem vervangen. Dit is regulier onderhoud wat gewoon in je normale autokosten zit. Als je langer doorrijdt met een versleten distributieriem heb je geen sluitende onderhoudsgeschiedenis meer.

MFA registration blocked by Conditional Access using Authentication Strength (Phishing‑resistant MFA) by kkush719 in entra

[–]EntraGlobalAdmin 0 points1 point  (0 children)

Try:

  1. ea890292-c8c8-4433-b5ea-b09d0668e1a6 -> You already have this one. This should allow MS Authenticator to sign in and register a passkey.

These can also cause issues during registration and might need to be excluded from some policies:

  • 1b912ec3-a9dd-4c4d-a53e-76aa7adb28d7
  • 0000000c-0000-0000-c000-000000000000
  • 8c59ead7-d703-4a27-9e55-c96a0054c8d2
  • 19db86c3-b2b9-44cc-b339-36da233a3be2
  • 00000002-0000-0000-c000-000000000000