Een flexibele strategie voor toegangsbeheer maken met Microsoft Entra ID

Notitie

De informatie in dit document vertegenwoordigt de huidige weergave van Microsoft Corporation over de problemen die vanaf de publicatiedatum zijn besproken. Omdat Microsoft moet reageren op veranderende marktomstandigheden, mag dit niet worden geïnterpreteerd als een toezegging van Microsoft en kan Microsoft de nauwkeurigheid van gegevens die na de publicatiedatum worden gepresenteerd, niet garanderen.

Organisaties die afhankelijk zijn van één toegangsbeheer, zoals meervoudige verificatie of één netwerklocatie, om hun IT-systemen te beveiligen, zijn vatbaar voor toegangsfouten in hun apps en resources als dat ene toegangsbeheer niet meer beschikbaar of onjuist is geconfigureerd. Een natuurramp kan bijvoorbeeld leiden tot de onbeschikbaarheid van grote segmenten van telecommunicatieinfrastructuur of bedrijfsnetwerken. Een dergelijke onderbreking kan verhinderen dat eindgebruikers en beheerders zich kunnen aanmelden.

Dit document bevat richtlijnen voor strategieën die een organisatie moet gebruiken om tolerantie te bieden om het risico op vergrendeling tijdens onvoorziene onderbrekingen te verminderen met de volgende scenario's:

• Organisaties kunnen hun tolerantie vergroten om het risico op vergrendeling te verminderen vóór een onderbreking door risicobeperkingsstrategieën of noodplannen te implementeren.
• Organisaties kunnen tijdens een onderbreking toegang blijven krijgen tot apps en resources die ze kiezen door risicobeperkingsstrategieën en noodplannen te gebruiken.
• Organisaties moeten ervoor zorgen dat ze informatie bewaren, zoals logboeken, na een onderbreking en voordat ze eventuele onvoorziene gebeurtenissen terugdraaien die ze hebben geïmplementeerd.
• Organisaties die geen preventiestrategieën of alternatieve plannen hebben geïmplementeerd, kunnen mogelijk opties voor noodgevallen implementeren om de onderbreking aan te pakken.

Belangrijke richtlijnen

Dit document bevat vier belangrijke punten:

• Voorkom beheerdersvergrendeling met behulp van accounts voor noodtoegang.
• Implementeer MFA met voorwaardelijke toegang in plaats van MFA per gebruiker.
• Beperk gebruikersvergrendeling met behulp van meerdere besturingselementen voor voorwaardelijke toegang.
• Beperk de vergrendeling van gebruikers door meerdere verificatiemethoden of equivalenten voor elke gebruiker in te richten.

Vóór een onderbreking

Het beperken van een werkelijke onderbreking moet de primaire focus van een organisatie zijn bij het oplossen van problemen met toegangsbeheer die zich kunnen voordoen. Beperking omvat het plannen van een werkelijke gebeurtenis plus het implementeren van strategieën om ervoor te zorgen dat toegangscontroles en bewerkingen niet worden beïnvloed tijdens onderbrekingen.

Waarom hebt u tolerant toegangsbeheer nodig?

Identiteit is het besturingsvlak van gebruikers die toegang hebben tot apps en resources. Uw identiteitssysteem bepaalt welke gebruikers en onder welke voorwaarden, zoals toegangsbeheer of verificatievereisten, gebruikers toegang krijgen tot de toepassingen. Wanneer een of meer vereisten voor verificatie of toegangsbeheer niet beschikbaar zijn voor gebruikers om te verifiëren vanwege onvoorziene omstandigheden, kunnen organisaties een of beide van de volgende problemen ondervinden:

• Beheer istratorvergrendeling: Beheer istrators kunnen de tenant of services niet beheren.
• Gebruikersvergrendeling: gebruikers hebben geen toegang tot apps of resources.

vergrendeling van Beheer istrator

Als u beheerderstoegang tot uw tenant wilt ontgrendelen, moet u accounts voor noodtoegang maken. Deze accounts voor toegang voor noodgevallen, ook wel break glass-accounts genoemd, bieden toegang tot het beheren van de Microsoft Entra-configuratie wanneer normale bevoegde accounttoegangsprocedures niet beschikbaar zijn. Er moeten ten minste twee accounts voor toegang voor noodgevallen worden gemaakt op basis van de aanbevelingen voor toegang tot noodgevallen.

Vergrendeling van gebruikers beperken

Als u het risico op vergrendeling van gebruikers wilt beperken, gebruikt u beleid voor voorwaardelijke toegang met meerdere besturingselementen om gebruikers een keuze te geven hoe ze toegang hebben tot apps en resources. Door een gebruiker de keuze te geven tussen bijvoorbeeld aanmelden met MFA of aanmelden vanaf een beheerd apparaat of aanmelden vanuit het bedrijfsnetwerk, als een van de besturingselementen voor toegang niet beschikbaar is, heeft de gebruiker andere opties om door te gaan.

Microsoft-aanbevelingen

Neem de volgende toegangsbeheer op in uw bestaande beleidsregels voor voorwaardelijke toegang voor de organisatie:

• Richt meerdere verificatiemethoden in voor elke gebruiker die afhankelijk is van verschillende communicatiekanalen, bijvoorbeeld de Microsoft Authenticator-app (internet), het OATH-token (gegenereerd op het apparaat) en sms (telefonisch).
• Implementeer Windows Hello voor Bedrijven op Windows 10-apparaten om rechtstreeks te voldoen aan de MFA-vereisten vanaf de aanmelding van het apparaat.
• Gebruik vertrouwde apparaten via Microsoft Entra Hybrid Join of Microsoft Intune. Vertrouwde apparaten verbeteren de gebruikerservaring omdat het vertrouwde apparaat zelf kan voldoen aan de sterke verificatievereisten van beleid zonder een MFA-uitdaging voor de gebruiker. MFA is dan vereist bij het inschrijven van een nieuw apparaat en bij het openen van apps of resources van niet-vertrouwde apparaten.
• Gebruik op risico's gebaseerde beleidsregels voor Microsoft Entra ID Protection die toegang voorkomen wanneer de gebruiker of aanmelding risico loopt in plaats van vast MFA-beleid.
• Als u VPN-toegang beveiligt met de NPS-extensie voor meervoudige verificatie van Microsoft Entra, kunt u overwegen om uw VPN-oplossing te federeren als een SAML-app en de app-categorie te bepalen zoals hieronder wordt aanbevolen.

Notitie

Voor beleid op basis van risico's is Microsoft Entra ID P2-licenties vereist.

In het volgende voorbeeld worden beleidsregels beschreven die u moet maken om een tolerant toegangsbeheer te bieden voor gebruikers om toegang te krijgen tot hun apps en resources. In dit voorbeeld hebt u een beveiligingsgroep-AppUsersnodig met de doelgebruikers die u toegang wilt verlenen, een groep met de naam Core Beheer s met de kernbeheerders en een groep met de naam EmergencyAccess met de accounts voor toegang tot noodgevallen. Deze voorbeeldbeleidsset verleent geselecteerde gebruikers in AppUsers toegang tot geselecteerde apps als ze verbinding maken vanaf een vertrouwd apparaat OF sterke verificatie bieden, bijvoorbeeld MFA. Het sluit accounts voor noodgevallen en kernbeheerders uit.

Beleid voor beperking van voorwaardelijke toegang ingesteld:

• Beleid 1: Toegang tot personen buiten doelgroepen blokkeren
  • Gebruikers en groepen: alle gebruikers opnemen. AppUsers, Core Beheer s en EmergencyAccess uitsluiten
  • Cloud-apps: alle apps opnemen
  • Voorwaarden: (Geen)
  • Besturingselement verlenen: Blokkeren
• Beleid 2: Toegang verlenen aan AppUsers waarvoor MFA OF een vertrouwd apparaat is vereist.
  • Gebruikers en groepen: Voeg AppUsers toe. Core Beheer s en EmergencyAccess uitsluiten
  • Cloud-apps: alle apps opnemen
  • Voorwaarden: (Geen)
  • Beheer verlenen: toegang verlenen, meervoudige verificatie vereisen, vereisen dat het apparaat compatibel is. Voor meerdere besturingselementen: een van de geselecteerde besturingselementen vereisen.

Onvoorziene gebeurtenissen voor gebruikersvergrendeling

Uw organisatie kan ook beleid voor onvoorziene gebeurtenis maken. Als u beleid voor onvoorziene gebeurtenissen wilt maken, moet u compromiscriteria definiëren tussen bedrijfscontinuïteit, operationele kosten, financiële kosten en beveiligingsrisico's. U kunt bijvoorbeeld een beleid voor onvoorziene gebeurtenis alleen activeren voor een subset van gebruikers, voor een subset van apps, voor een subset van clients of vanuit een subset van locaties. Beleid voor onvoorziene situaties geeft beheerders en eindgebruikers toegang tot apps en resources, tijdens een onderbreking wanneer er geen beperkingsmethode is geïmplementeerd. Microsoft raadt aan beleid voor onvoorziene gebeurtenissen in te schakelen in de modus Alleen-rapporteren wanneer ze niet in gebruik zijn, zodat beheerders de mogelijke impact van het beleid kunnen controleren als ze moeten worden ingeschakeld.

Inzicht in uw blootstelling tijdens een onderbreking helpt uw risico te verminderen en is een essentieel onderdeel van uw planningsproces. Als u uw plan voor onvoorziene gebeurtenissen wilt maken, moet u eerst de volgende zakelijke vereisten van uw organisatie bepalen:

1. Bepaal uw bedrijfskritieke apps van tevoren: Wat zijn de apps waartoe u toegang moet verlenen, zelfs met een lager risico/beveiligingspostuur? Bouw een lijst met deze apps en zorg ervoor dat uw andere belanghebbenden (bedrijf, beveiliging, juridisch, leiderschap) allemaal ermee akkoord gaan dat als al het toegangsbeheer verdwijnt, deze apps nog steeds moeten worden uitgevoerd. U krijgt waarschijnlijk categorieën van:
   • Bedrijfskritieke apps van categorie 1 die niet langer dan een paar minuten niet beschikbaar zijn, bijvoorbeeld apps die rechtstreeks van invloed zijn op de omzet van de organisatie.
   • Belangrijke apps van categorie 2 die het bedrijf binnen een paar uur toegankelijk moet hebben.
   • Categorie 3 apps met lage prioriteit die bestand zijn tegen een onderbreking van een paar dagen.
2. Voor apps in categorie 1 en 2 raadt Microsoft u aan vooraf te plannen welk type toegangsniveau u wilt toestaan:
   • Wilt u volledige toegang of beperkte sessie toestaan, zoals het beperken van downloads?
   • Wilt u toegang tot een deel van de app toestaan, maar niet de hele app?
   • Wilt u toegang tot informatiemedewerkers toestaan en beheerderstoegang blokkeren totdat het toegangsbeheer is hersteld?
3. Voor deze apps raadt Microsoft u ook aan om te plannen welke mogelijkheden voor toegang u bewust opent en welke u sluit:
   • Wilt u alleen toegang tot de browser toestaan en uitgebreide clients blokkeren die offlinegegevens kunnen opslaan?
   • Wilt u alleen toegang toestaan voor gebruikers in het bedrijfsnetwerk en externe gebruikers blokkeren?
   • Wilt u alleen tijdens de onderbreking toegang vanuit bepaalde landen of regio's toestaan?
   • Wilt u beleid voor het beleid voor onvoorziene gebeurtenissen, met name voor essentiële apps, mislukken of slagen als er geen alternatief toegangsbeheer beschikbaar is?

Microsoft-aanbevelingen

Een beleid voor voorwaardelijke toegang voor onvoorziene gebeurtenissen is een back-upbeleid waarmee meervoudige verificatie van Microsoft Entra, MFA van derden, risicogebaseerde of apparaatgebaseerde besturingselementen wordt weggelaten. Als u onverwachte onderbrekingen wilt minimaliseren wanneer een beleid voor onvoorziene gebeurtenissen is ingeschakeld, moet het beleid in de modus alleen rapporteren blijven wanneer dit niet wordt gebruikt. Beheer istrators kunnen de mogelijke impact van hun beleid voor onvoorziene gebeurtenissen bewaken met behulp van de werkmap Inzichten voor voorwaardelijke toegang. Wanneer uw organisatie besluit uw plan voor onvoorziene gebeurtenissen te activeren, kunnen beheerders het beleid inschakelen en het reguliere op beheer gebaseerde beleid uitschakelen.

Belangrijk

Als u beleidsregels uitschakelt die beveiliging afdwingen voor uw gebruikers, zelfs tijdelijk, wordt uw beveiligingspostuur verminderd terwijl het plan voor onvoorziene gebeurtenissen aanwezig is.

• Configureer een set terugvalbeleid als een onderbreking in één referentietype of één mechanisme voor toegangsbeheer van invloed is op de toegang tot uw apps. Configureer een beleid met de status Alleen-rapporteren waarvoor Domeindeelname als besturingselement is vereist, als back-up voor een actief beleid waarvoor een externe MFA-provider is vereist.
• Beperk het risico dat slechte actoren wachtwoorden raden, wanneer MFA niet is vereist, door de procedures in het witboek voor wachtwoordrichtlijnen te volgen.
• Implementeer Microsoft Entra Self-Service Voor wachtwoordherstel (SSPR) en Microsoft Entra-wachtwoordbeveiliging om ervoor te zorgen dat gebruikers geen algemeen wachtwoord en termen gebruiken die u wilt verbieden.
• Gebruik beleidsregels die de toegang binnen de apps beperken als een bepaald verificatieniveau niet wordt bereikt in plaats van gewoon terug te vallen op volledige toegang. Bijvoorbeeld:
  • Configureer een back-upbeleid waarmee de beperkte sessieclaim wordt verzonden naar Exchange en SharePoint.
  • Als uw organisatie gebruikmaakt van Microsoft Defender voor Cloud Apps, kunt u overwegen terug te vallen op een beleid dat Defender voor Cloud Apps inschakelt en vervolgens alleen-lezentoegang toestaat, maar geen uploads.
• Geef uw beleid een naam om ervoor te zorgen dat u ze gemakkelijk kunt vinden tijdens een onderbreking. Neem de volgende elementen op in de beleidsnaam:
  • Een labelnummer voor het beleid.
  • Tekst om weer te geven, dit beleid is alleen bedoeld voor noodgevallen. Bijvoorbeeld: INSCHAKELEN IN NOODGEVALLEN
  • De onderbreking waar het op van toepassing is. Bijvoorbeeld: Tijdens MFA-onderbreking
  • Een volgnummer om de volgorde weer te geven die u moet activeren.
  • De apps waarop deze van toepassing zijn.
  • De besturingselementen die worden toegepast.
  • De voorwaarden die nodig zijn.

Deze naamgevingsstandaard voor het beleid voor onvoorziene onvoorziene gegevens is als volgt:

EMnnn - ENABLE IN EMERGENCY: [Disruption][i/n] - [Apps] - [Controls] [Conditions]

Het volgende voorbeeld: Voorbeeld A: beleid voor voorwaardelijke toegang voor onvoorziene gebeurtenissen om de toegang tot bedrijfskritieke samenwerkingsapps te herstellen, is een typische zakelijke onvoorziene gebeurtenis. In dit scenario vereist de organisatie doorgaans MFA voor alle toegang tot Exchange Online en SharePoint Online, en de onderbreking in dit geval is de MFA-provider voor de klant een storing (of Microsoft Entra multifactor authentication, on-premises MFA-provider of MFA van derden). Dit beleid beperkt deze storing doordat specifieke doelgebruikers alleen toegang hebben tot deze apps vanaf vertrouwde Windows-apparaten wanneer ze toegang hebben tot de app vanuit hun vertrouwde bedrijfsnetwerk. Ook worden accounts voor noodgevallen en kernbeheerders uitgesloten van deze beperkingen. De beoogde gebruikers krijgen vervolgens toegang tot Exchange Online en SharePoint Online, terwijl andere gebruikers nog steeds geen toegang hebben tot de apps vanwege de storing. Dit voorbeeld vereist een benoemde netwerklocatie CorpNetwork en een beveiligingsgroep ContingencyAccess met de doelgebruikers, een groep met de naam Core Beheer s met de kernbeheerders en een groep met de naam EmergencyAccess met de accounts voor toegang tot noodgevallen. Voor de onvoorziene gebeurtenis zijn vier beleidsregels vereist om de gewenste toegang te bieden.

Voorbeeld A: beleid voor voorwaardelijke toegang voor onvoorziene gebeurtenissen om toegang te herstellen tot bedrijfskritieke samenwerkingsapps:

• Beleid 1: Gekoppelde apparaten aan een domein vereisen voor Exchange en SharePoint
  • Naam: EM001 - INSCHAKELEN IN NOODGEVALLEN: MFA-onderbreking[1/4] - Exchange SharePoint - Hybride deelname van Microsoft Entra vereisen
  • Gebruikers en groepen: neem contingencyAccess op. Core Beheer s en EmergencyAccess uitsluiten
  • Cloud-apps: Exchange Online en SharePoint Online
  • Voorwaarden: Alle
  • Besturingselement verlenen: Lid van domein vereisen
  • Status: alleen rapport
• Beleid 2: Andere platforms dan Windows blokkeren
  • Naam: EM002 - INSCHAKELEN IN NOODGEVALLEN: MFA-onderbreking[2/4] - Exchange SharePoint - Toegang blokkeren behalve Windows
  • Gebruikers en groepen: alle gebruikers opnemen. Core Beheer s en EmergencyAccess uitsluiten
  • Cloud-apps: Exchange Online en SharePoint Online
  • Voorwaarden: Apparaatplatform omvat alle platforms, sluit Windows uit
  • Besturingselement verlenen: Blokkeren
  • Status: alleen rapport
• Beleid 3: Andere netwerken blokkeren dan CorpNetwork
  • Naam: EM003 - INSCHAKELEN IN NOODGEVALLEN: MFA-onderbreking[3/4] - Exchange SharePoint - Toegang blokkeren behalve bedrijfsnetwerk
  • Gebruikers en groepen: alle gebruikers opnemen. Core Beheer s en EmergencyAccess uitsluiten
  • Cloud-apps: Exchange Online en SharePoint Online
  • Voorwaarden: locaties omvatten elke locatie, uitsluiten CorpNetwork
  • Besturingselement verlenen: Blokkeren
  • Status: alleen rapport
• Beleid 4: EAS expliciet blokkeren
  • Naam: EM004 - INSCHAKELEN IN NOODGEVALLEN: MFA-onderbreking[4/4] - Exchange - EAS blokkeren voor alle gebruikers
  • Gebruikers en groepen: alle gebruikers opnemen
  • Cloud-apps: Exchange Online opnemen
  • Voorwaarden: Client-apps: Exchange Active Sync
  • Besturingselement verlenen: Blokkeren
  • Status: alleen rapport

Volgorde van activering:

1. Sluit ContingencyAccess, Core Beheer s en EmergencyAccess uit van het bestaande MFA-beleid. Controleer of een gebruiker in ContingencyAccess toegang heeft tot SharePoint Online en Exchange Online.
2. Beleid inschakelen: controleer of gebruikers op apparaten die lid zijn van een domein die zich niet in de uitgesloten groepen bevinden, toegang hebben tot Exchange Online en SharePoint Online. Controleer of gebruikers in de groep Uitsluiten vanaf elk apparaat toegang hebben tot SharePoint Online en Exchange.
3. Beleid 2 inschakelen: controleer of gebruikers die zich niet in de uitgesloten groep bevinden, niet vanaf hun mobiele apparaten naar SharePoint Online en Exchange Online kunnen gaan. Controleer of gebruikers in de groep Uitsluiten toegang hebben tot SharePoint en Exchange vanaf elk apparaat (Windows/iOS/Android).
4. Beleid 3 inschakelen: controleer of gebruikers die zich niet in de uitgesloten groepen bevinden, geen toegang hebben tot SharePoint en Exchange buiten het bedrijfsnetwerk, zelfs niet met een computer die lid is van een domein. Controleer of gebruikers in de groep Uitsluiten toegang hebben tot SharePoint en Exchange vanuit elk netwerk.
5. Beleid 4 inschakelen: controleer of alle gebruikers Exchange Online niet kunnen ophalen uit de systeemeigen e-mailtoepassingen op mobiele apparaten.
6. Schakel het bestaande MFA-beleid voor SharePoint Online en Exchange Online uit.

In dit volgende voorbeeld, voorbeeld B: beleid voor voorwaardelijke toegang voor onvoorziene zaken om mobiele toegang tot Salesforce toe te staan, wordt de toegang van een zakelijke app hersteld. In dit scenario vereist de klant doorgaans dat hun verkoopmedewerkers toegang hebben tot Salesforce (geconfigureerd voor eenmalige aanmelding met Microsoft Entra ID) van mobiele apparaten om alleen toe te staan vanaf compatibele apparaten. De onderbreking in dit geval is dat er een probleem is met het evalueren van apparaatcompatibiliteit en de storing op een gevoelig moment waarop het verkoopteam toegang nodig heeft tot Salesforce om deals te sluiten. Dit beleid voor onvoorziene gebeurtenissen verleent kritieke gebruikers toegang tot Salesforce vanaf een mobiel apparaat, zodat ze deals kunnen blijven sluiten en het bedrijf niet kunnen verstoren. In dit voorbeeld bevat SalesforceContingency alle verkoopmedewerkers die toegang moeten behouden en Sales Beheer s de benodigde beheerders van Salesforce.

Voorbeeld B: beleid voor voorwaardelijke toegang voor onvoorziene voorwaarden:

• Beleid 1: Iedereen blokkeren die zich niet in het team SalesContingency bevinden
  • Naam: EM001 - INSCHAKELEN IN NOODGEVALLEN: Onderbreking van apparaatnaleving[1/2] - Salesforce - Alle gebruikers blokkeren behalve SalesforceContingency
  • Gebruikers en groepen: alle gebruikers opnemen. Verkoop uitsluiten Beheer s en SalesforceContingency
  • Cloud-apps: Salesforce.
  • Voorwaarden: Geen
  • Besturingselement verlenen: Blokkeren
  • Status: alleen rapport
• Beleid 2: Het verkoopteam blokkeren van elk ander platform dan mobiel (om het kwetsbaarheid voor aanvallen te verminderen)
  • Naam: EM002 - INSCHAKELEN IN NOODGEVALLEN: Onderbreking van apparaatnaleving[2/2] - Salesforce - Alle platforms blokkeren behalve iOS en Android
  • Gebruikers en groepen: Neem SalesforceContingency op. Verkoop uitsluiten Beheer s
  • Cloud-apps: Salesforce
  • Voorwaarden: Apparaatplatform omvat alle platforms, iOS en Android uitsluiten
  • Besturingselement verlenen: Blokkeren
  • Status: alleen rapport

Volgorde van activering:

1. Sluit Verkoop Beheer s en SalesforceContingency uit van het bestaande nalevingsbeleid voor Apparaten voor Salesforce. Controleer of een gebruiker in de groep SalesforceContingency toegang heeft tot Salesforce.
2. Beleid 1 inschakelen: controleer of gebruikers buiten SalesContingency geen toegang hebben tot Salesforce. Controleer of gebruikers in de sales Beheer s en SalesforceContingency toegang hebben tot Salesforce.
3. Beleid 2 inschakelen: controleer of gebruikers in de groep SalesContingency geen toegang hebben tot Salesforce vanaf hun Windows-/Mac-laptops, maar wel vanaf hun mobiele apparaten. Controleer of Sales Beheer vanaf elk apparaat nog steeds toegang heeft tot Salesforce.
4. Schakel het bestaande nalevingsbeleid voor apparaten voor Salesforce uit.

Onvoorziene gebeurtenissen voor gebruikersvergrendeling van on-premises resources (NPS-extensie)

Als u VPN-toegang beveiligt met de NPS-extensie voor meervoudige verificatie van Microsoft Entra, kunt u overwegen om uw VPN-oplossing te federeren als een SAML-app en de app-categorie te bepalen zoals hieronder wordt aanbevolen.

Als u de NPS-extensie voor meervoudige verificatie van Microsoft Entra hebt geïmplementeerd om on-premises resources, zoals VPN en Extern bureaublad-gateway, te beveiligen, moet u rekening houden met vooraf als u klaar bent om MFA uit te schakelen in geval van noodgevallen.

In dit geval kunt u de NPS-extensie uitschakelen, waardoor de NPS-server alleen primaire verificatie verifieert en MFA niet afdwingt voor de gebruikers.

NPS-extensie uitschakelen:

• Maak een back-up van de registersleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AuthSrv\Parameters door deze te exporteren.
• Verwijder de registerwaarden voor 'AuthorizationDLLs' en 'ExtensionDLLs', niet de parametersleutel.
• Start de IAS-service (Network Policy Service) opnieuw om de wijzigingen van kracht te laten worden
• Bepalen of de primaire verificatie voor VPN is geslaagd.

Zodra de service is hersteld en u klaar bent om MFA opnieuw af te dwingen voor uw gebruikers, schakelt u de NPS-extensie in:

• De registersleutel importeren uit back-up HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AuthSrv\Parameters
• Start de IAS-service (Network Policy Service) opnieuw om de wijzigingen van kracht te laten worden
• Bepaal of de primaire verificatie en secundaire verificatie voor VPN zijn geslaagd.
• Controleer de NPS-server en het VPN-logboek om te bepalen welke gebruikers zich hebben aangemeld tijdens het noodvenster.

Wachtwoord-hashsynchronisatie implementeren, zelfs als u federatieve verificatie gebruikt of passthrough-verificatie gebruikt

Gebruikersvergrendeling kan ook optreden als aan de volgende voorwaarden wordt voldaan:

• Uw organisatie maakt gebruik van een hybride identiteitsoplossing met passthrough-verificatie of federatie.
• Uw on-premises identiteitssystemen (zoals Active Directory, AD FS of een afhankelijk onderdeel) zijn niet beschikbaar.

Om toleranter te zijn, moet uw organisatie wachtwoord-hashsynchronisatie inschakelen, omdat u hiermee kunt overschakelen naar het gebruik van wachtwoord-hashsynchronisatie als uw on-premises identiteitssystemen niet beschikbaar zijn.

Microsoft-aanbevelingen

Schakel wachtwoord-hashsynchronisatie in met behulp van de wizard Microsoft Entra Verbinding maken, ongeacht of uw organisatie federatie- of passthrough-verificatie gebruikt.

Belangrijk

Het is niet vereist om gebruikers te converteren van federatieve naar beheerde verificatie om wachtwoord-hashsynchronisatie te gebruiken.

Tijdens een onderbreking

Als u ervoor hebt gekozen om een risicobeperkingsplan te implementeren, kunt u automatisch één onderbreking van toegangsbeheer overleven. Als u er echter voor hebt gekozen om een plan voor onvoorziene gebeurtenissen te maken, kunt u uw beleid voor onvoorziene gebeurtenissen activeren tijdens de onderbreking van het toegangsbeheer:

1. Schakel uw beleid voor onvoorziene gebeurtenis in waarmee doelgebruikers, toegang tot specifieke apps, vanuit specifieke netwerken worden verleend.
2. Schakel uw reguliere beleidsregels op basis van besturingselementen uit.

Microsoft-aanbevelingen

Afhankelijk van welke oplossingen of onvoorziene gebeurtenissen worden gebruikt tijdens een onderbreking, kan uw organisatie toegang verlenen met alleen wachtwoorden. Geen enkele bescherming is een aanzienlijk beveiligingsrisico dat zorgvuldig moet worden afgewogen. Organisaties moeten:

1. Als onderdeel van uw strategie voor wijzigingsbeheer documenteert u elke wijziging en de vorige status om eventuele onvoorziene gebeurtenissen die u hebt geïmplementeerd, terug te draaien zodra de toegangsbeheer volledig operationeel zijn.
2. Stel dat kwaadwillende actoren proberen wachtwoorden te verzamelen via wachtwoordspray of phishingaanvallen terwijl u MFA hebt uitgeschakeld. Slechte actoren hebben mogelijk al wachtwoorden die eerder geen toegang hebben verleend tot een resource die tijdens dit venster kan worden geprobeerd. Voor kritieke gebruikers, zoals leidinggevenden, kunt u dit risico gedeeltelijk beperken door hun wachtwoorden opnieuw in te stellen voordat U MFA voor hen uitschakelt.
3. Archiveer alle aanmeldingsactiviteiten om te bepalen wie er toegang heeft tot wat tijdens de periode dat MFA is uitgeschakeld.
4. Alle risicodetecties die tijdens dit venster zijn gerapporteerd , classificeren.

Na een onderbreking

Ongedaan maken van de wijzigingen die u hebt aangebracht als onderdeel van het geactiveerde plan voor onvoorziene gebeurtenissen zodra de service is hersteld die de onderbreking heeft veroorzaakt.

1. Het reguliere beleid inschakelen
2. Schakel uw beleid voor onvoorziene activiteiten weer uit naar de modus Alleen-rapporteren.
3. Draai eventuele andere wijzigingen terug die u tijdens de onderbreking hebt aangebracht en gedocumenteerd.
4. Als u een account voor toegang voor noodgevallen hebt gebruikt, moet u referenties opnieuw genereren en de nieuwe referenties fysiek beveiligen als onderdeel van uw accountprocedures voor toegang tot noodgevallen.
5. Ga door met het classificeren van alle risicodetecties die zijn gerapporteerd na de onderbreking van verdachte activiteiten.
6. Alle vernieuwingstokens intrekken die zijn uitgegeven om een set gebruikers te richten. Het intrekken van alle vernieuwingstokens is belangrijk voor bevoegde accounts die tijdens de onderbreking worden gebruikt. Hierdoor worden ze gedwongen opnieuw te verifiëren en te voldoen aan het beheer van het herstelde beleid.

Opties voor noodgevallen

In noodgevallen en uw organisatie heeft eerder geen beperkings- of noodplan geïmplementeerd en volgt u vervolgens de aanbevelingen in de sectie Onvoorziene gebeurtenissen voor gebruikersvergrendeling als ze al beleid voor voorwaardelijke toegang gebruiken om MFA af te dwingen. Als uw organisatie verouderde MFA-beleidsregels per gebruiker gebruikt, kunt u het volgende alternatief overwegen:

• Als u het uitgaande IP-adres van het bedrijfsnetwerk hebt, kunt u deze toevoegen als vertrouwde IP-adressen om verificatie alleen in te schakelen voor het bedrijfsnetwerk.
• Als u niet beschikt over de inventaris van uitgaande IP-adressen of als u toegang binnen en buiten het bedrijfsnetwerk wilt inschakelen, kunt u de volledige IPv4-adresruimte toevoegen als vertrouwde IP-adressen door 0.0.0.0.0/1 en 128.0.0.0/1 op te geven.

Belangrijk

Als u de vertrouwde IP-adressen uitbreidt om de toegang te deblokkeren, worden risicodetecties die zijn gekoppeld aan IP-adressen (bijvoorbeeld onmogelijke reis of onbekende locaties) niet gegenereerd.

Notitie

Het configureren van vertrouwde IP-adressen voor Meervoudige Verificatie van Microsoft Entra is alleen beschikbaar met Microsoft Entra ID P1- of P2-licenties.

Meer informatie

• Documentatie voor Microsoft Entra-verificatie
• Beheerdersaccounts voor noodtoegang beheren in Microsoft Entra-id
• Benoemde locaties configureren in Microsoft Entra-id
  • Set-MsolDomainFederation Instellingen
• Hybride gekoppelde Microsoft Entra-apparaten configureren
• Implementatiehandleiding Windows Hello voor Bedrijven
  • Wachtwoordrichtlijnen - Microsoft Research
• Wat zijn voorwaarden in voorwaardelijke toegang van Microsoft Entra?
• Wat zijn toegangsbeheer in voorwaardelijke toegang van Microsoft Entra?
• Wat is de alleen-melden-modus bij voorwaardelijke toegang?