De identiteiten van uw organisatie beveiligen met Microsoft Entra-id
Het kan lastig lijken om uw werknemers in de huidige wereld te beveiligen, vooral wanneer u snel moet reageren en snel toegang moet bieden tot veel services. Dit artikel is bedoeld om een beknopte lijst te bieden van alle acties die u moet uitvoeren, zodat u kunt bepalen welke volgorde u moet toepassen om de Functies van Microsoft Entra te implementeren op basis van het licentietype waarvan u eigenaar bent.
Microsoft Entra ID biedt veel functies en biedt veel beveiligingslagen voor uw identiteiten, waarbij u kunt navigeren welke functie relevant is, kan soms overweldigend zijn. Dit document is bedoeld om organisaties te helpen snel services te implementeren, met beveiligde identiteiten als primaire overweging.
Elke tabel biedt een consistente beveiligingsaanaanveling, waarbij identiteiten worden beschermd tegen veelvoorkomende beveiligingsaanvallen en tegelijkertijd de wrijving van gebruikers wordt geminimaliseerd.
De richtlijnen helpen:
- Toegang tot SaaS (Software as a Service) en on-premises toepassingen configureren op een veilige en beveiligde manier
- Zowel cloud- als hybride identiteiten
- Gebruikers die op afstand of op kantoor werken
Vereisten
In deze handleiding wordt ervan uitgegaan dat uw cloud- of hybride identiteiten al zijn ingesteld in Microsoft Entra-id. Zie het artikel voor hulp bij het kiezen van uw identiteitstype, de juiste verificatiemethode (AuthN) kiezen voor uw hybride identiteitsoplossing van Microsoft Entra.
Stapsgewijze instructies
Zie de handleiding Microsoft Entra-id instellen wanneer u bent aangemeld bij het Microsoft 365-beheer Center voor een stapsgewijze uitleg van veel van de aanbevelingen in dit artikel. Als u de aanbevolen procedures wilt bekijken zonder u aan te melden en geautomatiseerde installatiefuncties te activeren, gaat u naar de Microsoft 365 Setup-portal.
Richtlijnen voor klanten van Microsoft Entra ID Free, Office 365 of Microsoft 365
Er zijn veel aanbevelingen die klanten van Microsoft Entra ID Free, Office 365 of Microsoft 365-apps moeten nemen om hun gebruikersidentiteiten te beschermen. De volgende tabel is bedoeld om belangrijke acties voor de volgende licentieabonnementen te markeren:
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, Apps voor Bedrijven, Business Standard, Business Premium, A1)
- Microsoft Entra ID Free (opgenomen in Azure, Dynamics 365, Intune en Power Platform)
| Aanbevolen actie | Detail |
|---|---|
| Standaardinstellingen voor beveiliging inschakelen | Beveilig alle gebruikersidentiteiten en toepassingen door meervoudige verificatie in te schakelen en verouderde verificatie te blokkeren. |
| Wachtwoord-hashsynchronisatie inschakelen (als u hybride identiteiten gebruikt) | Zorg voor redundantie voor verificatie en verbeter de beveiliging (inclusief Smart Lockout, IP-vergrendeling en de mogelijkheid om gelekte referenties te detecteren). |
| Slimme vergrendeling van AD FS inschakelen (indien van toepassing) | Beveiligt uw gebruikers tegen het vergrendelen van extranetaccounts tegen schadelijke activiteiten. |
| Slimme vergrendeling van Microsoft Entra inschakelen (als u beheerde identiteiten gebruikt) | Slimme vergrendeling helpt bij het vergrendelen van slechte actoren die proberen de wachtwoorden van uw gebruikers te raden of brute force-methoden te gebruiken om binnen te komen. |
| Eindgebruikerstoestemming voor toepassingen uitschakelen | De werkstroom voor beheerderstoestemming biedt beheerders een veilige manier om toegang te verlenen tot toepassingen waarvoor beheerdersgoedkeuring is vereist, zodat eindgebruikers geen bedrijfsgegevens beschikbaar maken. Microsoft raadt u aan toekomstige bewerkingen voor gebruikerstoestemming uit te schakelen om uw surface area te verminderen en dit risico te beperken. |
| Ondersteunde SaaS-toepassingen uit de galerie integreren met Microsoft Entra ID en eenmalige aanmelding (SSO) inschakelen | Microsoft Entra ID heeft een galerie die duizenden vooraf geïntegreerde toepassingen bevat. Sommige toepassingen die uw organisatie gebruikt, bevinden zich waarschijnlijk in de galerie die rechtstreeks toegankelijk is vanuit Azure Portal. Bied op afstand en veilig toegang tot zakelijke SaaS-toepassingen met verbeterde gebruikerservaring (eenmalige aanmelding (SSO). |
| Inrichting en ongedaan maken van inrichting van gebruikers automatiseren vanuit SaaS-toepassingen (indien van toepassing) | Automatisch gebruikersidentiteiten en -rollen maken in saaS-toepassingen (cloud) waartoe gebruikers toegang nodig hebben. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en het verwijderen van gebruikersidentiteiten als status of rollen veranderen, waardoor de beveiliging van uw organisatie wordt verhoogd. |
| Hybride beveiligde toegang inschakelen: verouderde apps beveiligen met bestaande controllers en netwerken voor het leveren van apps (indien van toepassing) | Publiceer en bescherm uw on-premises en cloudtoepassingen voor verouderde verificatie door deze te verbinden met Microsoft Entra-id met uw bestaande controller of netwerk voor toepassingslevering. |
| Selfservice voor wachtwoordherstel inschakelen (van toepassing op alleen cloudaccounts) | Op deze manier wordt het aantal telefoontjes naar de helpdesk en productieverlies verminderd wanneer een gebruiker zich niet kan aanmelden bij een apparaat of toepassing. |
| Waar mogelijk minimale bevoorrechte rollen gebruiken | Geef uw beheerders alleen de toegang die ze nodig hebben en alleen tot de gebieden waartoe ze toegang nodig hebben. |
| Schakeld de wachtwoordrichtlijnen van Microsoft in | Stop met de eis dat gebruikers hun wachtwoord volgens een vaste planning wijzigen, schakel complexiteitsvereisten uit en uw gebruikers zijn eerder geneigd om hun wachtwoorden te onthouden en veilig te houden. |
Richtlijnen voor Microsoft Entra ID P1-klanten
De volgende tabel is bedoeld om de belangrijkste acties voor de volgende licentieabonnementen te markeren:
- Microsoft Entra ID P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365 (E3, A3, F1, F3)
| Aanbevolen actie | Detail |
|---|---|
| Meer dan één global Beheer istrator maken | Wijs ten minste twee permanente globale Beheer istrator-accounts in de cloud toe voor gebruik in noodgevallen. Deze accounts moeten niet dagelijks worden gebruikt en moeten lange en complexe wachtwoorden hebben. |
| Gecombineerde registratie-ervaring inschakelen voor Meervoudige verificatie van Microsoft Entra en SSPR om de gebruikersregistratie te vereenvoudigen | Sta toe dat uw gebruikers zich registreren bij één algemene ervaring voor zowel Microsoft Entra-meervoudige verificatie als selfservice voor wachtwoordherstel. |
| Meervoudige verificatie-instellingen configureren voor uw organisatie | Zorg ervoor dat accounts worden beschermd tegen inbreuk op meervoudige verificatie. |
| Selfservice voor wachtwoordherstel inschakelen | Op deze manier wordt het aantal telefoontjes naar de helpdesk en productieverlies verminderd wanneer een gebruiker zich niet kan aanmelden bij een apparaat of toepassing. |
| Wachtwoord terugschrijven implementeren (als u hybride identiteiten gebruikt) | Sta toe dat wachtwoordwijzigingen in de cloud worden teruggeschreven naar een on-premises Windows Server Active Directory-omgeving. |
| Beleid voor voorwaardelijke toegang maken en inschakelen | Meervoudige verificatie voor beheerders voor het beveiligen van accounts waaraan beheerdersrechten zijn toegewezen. Blokkeer verouderde verificatieprotocollen vanwege het verhoogde risico dat is gekoppeld aan verouderde verificatieprotocollen. Meervoudige verificatie voor alle gebruikers en toepassingen om een evenwichtig meervoudig verificatiebeleid voor uw omgeving te maken, waardoor uw gebruikers en toepassingen worden beveiligd. Meervoudige verificatie vereisen voor Azure Management om uw bevoegde resources te beveiligen door meervoudige verificatie te vereisen voor elke gebruiker die toegang heeft tot Azure-resources. |
| Wachtwoord-hashsynchronisatie inschakelen (als u hybride identiteiten gebruikt) | Zorg voor redundantie voor verificatie en verbeter de beveiliging (inclusief Smart Lockout, IP-vergrendeling en de mogelijkheid om gelekte referenties te detecteren.) |
| Slimme vergrendeling van AD FS inschakelen (indien van toepassing) | Beveiligt uw gebruikers tegen het vergrendelen van extranetaccounts tegen schadelijke activiteiten. |
| Slimme vergrendeling van Microsoft Entra inschakelen (als u beheerde identiteiten gebruikt) | Slimme vergrendeling helpt bij het vergrendelen van slechte actoren die proberen de wachtwoorden van uw gebruikers te raden of brute force-methoden te gebruiken om binnen te komen. |
| Eindgebruikerstoestemming voor toepassingen uitschakelen | De werkstroom voor beheerderstoestemming biedt beheerders een veilige manier om toegang te verlenen tot toepassingen waarvoor beheerdersgoedkeuring is vereist, zodat eindgebruikers geen bedrijfsgegevens beschikbaar maken. Microsoft raadt u aan toekomstige bewerkingen voor gebruikerstoestemming uit te schakelen om uw surface area te verminderen en dit risico te beperken. |
| Externe toegang tot on-premises verouderde toepassingen inschakelen met toepassingsproxy | Schakel microsoft Entra-toepassingsproxy in en integreer met verouderde apps voor gebruikers om veilig toegang te krijgen tot on-premises toepassingen door zich aan te melden met hun Microsoft Entra-account. |
| Hybride beveiligde toegang inschakelen: verouderde apps beveiligen met bestaande controllers en netwerken voor app-levering (indien van toepassing). | Publiceer en bescherm uw on-premises en cloudtoepassingen voor verouderde verificatie door deze te verbinden met Microsoft Entra-id met uw bestaande controller of netwerk voor toepassingslevering. |
| Ondersteunde SaaS-toepassingen uit de galerie integreren met Microsoft Entra ID en eenmalige aanmelding inschakelen | Microsoft Entra ID heeft een galerie die duizenden vooraf geïntegreerde toepassingen bevat. Sommige toepassingen die uw organisatie gebruikt, bevinden zich waarschijnlijk in de galerie die rechtstreeks toegankelijk is vanuit Azure Portal. Bied op afstand en veilig toegang tot zakelijke SaaS-toepassingen met verbeterde gebruikerservaring (SSO). |
| Inrichting en ongedaan maken van inrichting van gebruikers automatiseren vanuit SaaS-toepassingen (indien van toepassing) | Automatisch gebruikersidentiteiten en -rollen maken in saaS-toepassingen (cloud) waartoe gebruikers toegang nodig hebben. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en het verwijderen van gebruikersidentiteiten als status of rollen veranderen, waardoor de beveiliging van uw organisatie wordt verhoogd. |
| Voorwaardelijke toegang inschakelen - Op apparaat gebaseerd | Verbeter de beveiliging en gebruikerservaringen met voorwaardelijke toegang op basis van apparaten. Deze stap zorgt ervoor dat gebruikers alleen toegang hebben vanaf apparaten die voldoen aan uw normen voor beveiliging en naleving. Deze apparaten worden ook wel beheerde apparaten genoemd. Beheerde apparaten kunnen compatibel zijn met Intune of hybride apparaten van Microsoft Entra. |
| Wachtwoordbeveiliging inschakelen | Bescherm gebruikers tegen het gebruik van zwakke en gemakkelijk te raden wachtwoorden. |
| Waar mogelijk minimale bevoorrechte rollen gebruiken | Geef uw beheerders alleen de toegang die ze nodig hebben en alleen tot de gebieden waartoe ze toegang nodig hebben. |
| Schakeld de wachtwoordrichtlijnen van Microsoft in | Stop met de eis dat gebruikers hun wachtwoord volgens een vaste planning wijzigen, schakel complexiteitsvereisten uit en uw gebruikers zijn eerder geneigd om hun wachtwoorden te onthouden en veilig te houden. |
| Maak een organisatiespecifieke aangepaste lijst met verboden wachtwoorden | Voorkom dat gebruikers wachtwoorden maken die algemene woorden of woordgroepen uit uw organisatie of gebied bevatten. |
| Implementeer methoden voor verificatie zonder wachtwoord voor uw gebruikers | Geef uw gebruikers handige verificatiemethoden zonder wachtwoord. |
| Maak een plan maken voor gastgebruikerstoegang | Werk samen met gastgebruikers door ze de mogelijkheid te bieden om zich met hun eigen werk-, school- of sociale identiteiten aan te melden bij uw apps en services. |
Richtlijnen voor Microsoft Entra ID P2-klanten
De volgende tabel is bedoeld om de belangrijkste acties voor de volgende licentieabonnementen te markeren:
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
| Aanbevolen actie | Detail |
|---|---|
| Meer dan één global Beheer istrator maken | Wijs ten minste twee permanente globale Beheer istrator-accounts in de cloud toe voor gebruik in noodgevallen. Deze accounts moeten niet dagelijks worden gebruikt en moeten lange en complexe wachtwoorden hebben. |
| Gecombineerde registratie-ervaring inschakelen voor Meervoudige verificatie van Microsoft Entra en SSPR om de gebruikersregistratie te vereenvoudigen | Sta toe dat uw gebruikers zich registreren bij één algemene ervaring voor zowel Microsoft Entra-meervoudige verificatie als selfservice voor wachtwoordherstel. |
| Meervoudige verificatie-instellingen configureren voor uw organisatie | Zorg ervoor dat accounts worden beschermd tegen inbreuk op meervoudige verificatie. |
| Selfservice voor wachtwoordherstel inschakelen | Op deze manier wordt het aantal telefoontjes naar de helpdesk en productieverlies verminderd wanneer een gebruiker zich niet kan aanmelden bij een apparaat of toepassing. |
| Wachtwoord terugschrijven implementeren (als u hybride identiteiten gebruikt) | Sta toe dat wachtwoordwijzigingen in de cloud worden teruggeschreven naar een on-premises Windows Server Active Directory-omgeving. |
| Identity Protection-beleid inschakelen voor het afdwingen van meervoudige verificatieregistratie | De implementatie van Microsoft Entra-meervoudige verificatie beheren. |
| Identiteitsbeveiligingsbeleid voor gebruikers en aanmeldingsrisico's inschakelen | Schakel identity protection-gebruikers- en aanmeldingsbeleid in. Het aanbevolen aanmeldingsbeleid is gericht op aanmeldingen met gemiddeld risico en vereisen meervoudige verificatie. Voor gebruikersbeleid moet u zich richten op gebruikers met een hoog risico waarvoor de actie wachtwoordwijziging is vereist. |
| Beleid voor voorwaardelijke toegang maken en inschakelen | Meervoudige verificatie voor beheerders voor het beveiligen van accounts waaraan beheerdersrechten zijn toegewezen. Blokkeer verouderde verificatieprotocollen vanwege het verhoogde risico dat is gekoppeld aan verouderde verificatieprotocollen. Meervoudige verificatie vereisen voor Azure Management om uw bevoegde resources te beveiligen door meervoudige verificatie te vereisen voor elke gebruiker die toegang heeft tot Azure-resources. |
| Wachtwoord-hashsynchronisatie inschakelen (als u hybride identiteiten gebruikt) | Zorg voor redundantie voor verificatie en verbeter de beveiliging (inclusief Smart Lockout, IP-vergrendeling en de mogelijkheid om gelekte referenties te detecteren.) |
| Slimme vergrendeling van AD FS inschakelen (indien van toepassing) | Beveiligt uw gebruikers tegen het vergrendelen van extranetaccounts tegen schadelijke activiteiten. |
| Slimme vergrendeling van Microsoft Entra inschakelen (als u beheerde identiteiten gebruikt) | Slimme vergrendeling helpt bij het vergrendelen van slechte actoren die proberen de wachtwoorden van uw gebruikers te raden of brute force-methoden te gebruiken om binnen te komen. |
| Eindgebruikerstoestemming voor toepassingen uitschakelen | De werkstroom voor beheerderstoestemming biedt beheerders een veilige manier om toegang te verlenen tot toepassingen waarvoor beheerdersgoedkeuring is vereist, zodat eindgebruikers geen bedrijfsgegevens beschikbaar maken. Microsoft raadt u aan toekomstige bewerkingen voor gebruikerstoestemming uit te schakelen om uw surface area te verminderen en dit risico te beperken. |
| Externe toegang tot on-premises verouderde toepassingen inschakelen met toepassingsproxy | Schakel microsoft Entra-toepassingsproxy in en integreer met verouderde apps voor gebruikers om veilig toegang te krijgen tot on-premises toepassingen door zich aan te melden met hun Microsoft Entra-account. |
| Hybride beveiligde toegang inschakelen: verouderde apps beveiligen met bestaande controllers en netwerken voor app-levering (indien van toepassing). | Publiceer en bescherm uw on-premises en cloudtoepassingen voor verouderde verificatie door deze te verbinden met Microsoft Entra-id met uw bestaande controller of netwerk voor toepassingslevering. |
| Ondersteunde SaaS-toepassingen uit de galerie integreren met Microsoft Entra ID en eenmalige aanmelding inschakelen | Microsoft Entra ID heeft een galerie die duizenden vooraf geïntegreerde toepassingen bevat. Sommige toepassingen die uw organisatie gebruikt, bevinden zich waarschijnlijk in de galerie die rechtstreeks toegankelijk is vanuit Azure Portal. Bied op afstand en veilig toegang tot zakelijke SaaS-toepassingen met verbeterde gebruikerservaring (SSO). |
| Inrichting en ongedaan maken van inrichting van gebruikers automatiseren vanuit SaaS-toepassingen (indien van toepassing) | Automatisch gebruikersidentiteiten en -rollen maken in saaS-toepassingen (cloud) waartoe gebruikers toegang nodig hebben. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en het verwijderen van gebruikersidentiteiten als status of rollen veranderen, waardoor de beveiliging van uw organisatie wordt verhoogd. |
| Voorwaardelijke toegang inschakelen - Op apparaat gebaseerd | Verbeter de beveiliging en gebruikerservaringen met voorwaardelijke toegang op basis van apparaten. Deze stap zorgt ervoor dat gebruikers alleen toegang hebben vanaf apparaten die voldoen aan uw normen voor beveiliging en naleving. Deze apparaten worden ook wel beheerde apparaten genoemd. Beheerde apparaten kunnen compatibel zijn met Intune of hybride apparaten van Microsoft Entra. |
| Wachtwoordbeveiliging inschakelen | Bescherm gebruikers tegen het gebruik van zwakke en gemakkelijk te raden wachtwoorden. |
| Waar mogelijk minimale bevoorrechte rollen gebruiken | Geef uw beheerders alleen de toegang die ze nodig hebben en alleen tot de gebieden waartoe ze toegang nodig hebben. |
| Schakeld de wachtwoordrichtlijnen van Microsoft in | Stop met de eis dat gebruikers hun wachtwoord volgens een vaste planning wijzigen, schakel complexiteitsvereisten uit en uw gebruikers zijn eerder geneigd om hun wachtwoorden te onthouden en veilig te houden. |
| Maak een organisatiespecifieke aangepaste lijst met verboden wachtwoorden | Voorkom dat gebruikers wachtwoorden maken die algemene woorden of woordgroepen uit uw organisatie of gebied bevatten. |
| Implementeer methoden voor verificatie zonder wachtwoord voor uw gebruikers | Geef uw gebruikers handige methoden voor verificatie zonder wachtwoord. |
| Maak een plan maken voor gastgebruikerstoegang | Werk samen met gastgebruikers door ze de mogelijkheid te bieden om zich met hun eigen werk-, school- of sociale identiteiten aan te melden bij uw apps en services. |
| Privileged Identity Management (PIM) inschakelen | Hiermee kunt u de toegang tot belangrijke resources in uw organisatie beheren, beheren en bewaken, zodat beheerders alleen toegang hebben wanneer dat nodig is en met goedkeuring. |
| Een toegangsbeoordeling voltooien voor Microsoft Entra-directoryrollen in PIM | Werk samen met uw beveiligings- en leiderschapsteams om een beleid voor toegangsbeoordeling te maken om beheerderstoegang te controleren op basis van het beleid van uw organisatie. |
Zero Trust
Met deze functie kunnen organisaties hun identiteiten afstemmen op de drie leidende principes van een Zero Trust-architectuur:
- Expliciet verifiëren
- Minimale bevoegdheden gebruiken
- Stel dat er sprake is van een schending
Zie het Zero Trust Guidance Center voor meer informatie over Zero Trust en andere manieren om uw organisatie af te stemmen op de richtlijnen.
Volgende stappen
- Raadpleeg de microsoft Entra ID-projectimplementatieplannen voor gedetailleerde implementatierichtlijnen voor afzonderlijke functies van Microsoft Entra ID.
- Organisaties kunnen identiteitsbeveiligingsscore gebruiken om hun voortgang bij te houden op basis van andere Microsoft-aanbevelingen.