Hiaten in sterke verificatiedekking voor uw beheerders zoeken en oplossen

  • Artikel

Meervoudige verificatie (MFA) vereisen voor de beheerders in uw tenant is een van de eerste stappen die u kunt uitvoeren om de beveiliging van uw tenant te verbeteren. In dit artikel wordt uitgelegd hoe u ervoor kunt zorgen dat al uw beheerders worden gedekt door meervoudige verificatie.

Huidig gebruik detecteren voor ingebouwde Microsoft Entra-beheerdersrollen

De Secure Score van Microsoft Entra ID biedt een score voor MFA vereisen voor beheerdersrollen in uw tenant. Met deze verbeteringsactie wordt het MFA-gebruik van de Globale beheerder, Beveiligingsadministrator, Exchange-beheerder en SharePoint-beheerder bijgehouden.

Er zijn verschillende manieren om te controleren of uw beheerders worden gedekt door een MFA-beleid.

  • Als u problemen met aanmelding voor een specifieke beheerder wilt oplossen, kunt u de aanmeldingslogboeken gebruiken. Met de aanmeldingslogboeken kunt u filteren op Verificatievereiste voor specifieke gebruikers. Een aanmelding waarbij Verificatievereisteis ingesteld op Verificatie met één factor, betekent dat er geen meervoudig verificatiebeleid is vereist voor de aanmelding.

    Schermopname van het aanmeldingslogboek.

    Wanneer u de details van een specifieke aanmelding bekijkt, selecteert u het tabblad Verificatiedetails voor meer informatie over de MFA-vereisten. Zie Details van aanmeldingslogboekactiviteiten voor meer informatie.

    Schermopname van de details van de verificatieactiviteit.

  • Als u wilt kiezen welk beleid moet worden ingeschakeld op basis van uw gebruikerslicenties, hebben we een nieuwe MFA-activeringswizard waarmee u MFA-beleid kunt vergelijken en kunt zien welke stappen geschikt zijn voor uw organisatie. De wizard toont beheerders die in de afgelopen 30 dagen zijn beveiligd door MFA.

    Schermopname van de MFA-activeringswizard.

  • U kunt dit script uitvoeren om programmatisch een rapport te genereren van alle gebruikers met directoryroltoewijzingen die zich in de afgelopen 30 dagen met of zonder MFA hebben aangemeld. Met dit script worden alle actieve ingebouwde en aangepaste roltoewijzingen, alle in aanmerking komende ingebouwde en aangepaste roltoewijzingen en groepen met toegewezen rollen opgesomd.

Meervoudige verificatie afdwingen voor uw beheerders

Als u beheerders vindt die niet worden beveiligd door meervoudige verificatie, kunt u ze op een van de volgende manieren beveiligen:

  • Als uw beheerders een licentie hebben voor Microsoft Entra ID P1 of P2, kunt u een beleid voor voorwaardelijke toegang maken om MFA af te dwingen voor beheerders. U kunt dit beleid ook bijwerken om MFA te vereisen van gebruikers die een aangepaste rol hebben.

  • Voer de MFA-activeringswizard uit om uw MFA-beleid te kiezen.

  • Als u aangepaste of ingebouwde beheerdersrollen in Privileged Identity Management toewijst, moet u meervoudige verificatie vereisen bij het activeren van rollen.

Gebruik wachtwoordloze en tegen phishing bestendige verificatiemethoden voor uw beheerders

Nadat uw beheerders een tijdje meervoudige verificatie hebben gebruikt, is het tijd om de lat hoger te leggen voor sterke verificatie en een wachtwoordloze en tegen phishing bestendige verificatiemethode te gebruiken:

Meer informatie over deze verificatiemethoden en hun beveiligingsoverwegingen vindt u in Microsoft Entra-verificatiemethoden.

Volgende stappen

Aanmelden zonder wachtwoord inschakelen met Microsoft Authenticator