Standaardinstellingen voor beveiliging in Azure AD

Microsoft maakt de standaardinstellingen voor beveiliging beschikbaar voor iedereen, omdat het beheren van beveiliging lastig kan zijn. Identiteitsgerelateerde aanvallen zoals wachtwoordspray, replay-aanvallen en phishing komen vaak voor in de huidige omgeving. Meer dan 99,9% van deze identiteitsgerelateerde aanvallen worden gestopt door meervoudige verificatie (MFA) te gebruiken en verouderde verificatie te blokkeren. Het doel is om te zorgen dat alle organisaties ten minste een basisbeveiligingsniveau hebben ingeschakeld zonder extra kosten.

Met standaardinstellingen voor beveiliging kunt u uw organisatie gemakkelijker tegen deze identiteitsgerelateerde aanvallen beschermen met vooraf geconfigureerde beveiligingsinstellingen:

Voor wie is het bedoeld?

  • Organisaties die hun beveiligingspostuur willen verhogen, maar niet weten hoe of waar ze moeten beginnen.
  • Organisaties die gebruikmaken van de gratis laag van Azure Active Directory-licenties.

Wie moet voorwaardelijke toegang gebruiken?

  • Als u een organisatie bent die momenteel gebruikmaakt van beleid voor voorwaardelijke toegang, zijn de standaardinstellingen voor beveiliging waarschijnlijk niet geschikt voor u.
  • Als u een organisatie bent met Azure Active Directory Premium-licenties, zijn de standaardinstellingen voor beveiliging waarschijnlijk niet geschikt voor u.
  • Als uw organisatie complexe beveiligingsvereisten heeft, kunt u voorwaardelijke toegang overwegen.

Standaardinstellingen voor beveiliging inschakelen

Als uw tenant op of na 22 oktober 2019 is gemaakt, zijn standaardinstellingen voor beveiliging mogelijk in uw tenant ingeschakeld. Om al onze gebruikers te beschermen, worden de standaardinstellingen voor beveiliging tijdens het maken voor alle nieuwe tenants geïmplementeerd.

Standaardinstellingen voor beveiliging inschakelen in uw directory:

  1. Meld u als beveiligingsbeheerder, beheerder voor voorwaardelijke toegang of globale beheerder aan bij Azure Portal.
  2. Blader naar Azure Active Directory>Eigenschappen.
  3. Selecteer Standaardinstellingen voor beveiliging beheren.
  4. Stel Standaardinstellingen voor beveiliging inschakelen in op Ja.
  5. Selecteer Opslaan.

Schermopname van Azure Portal met de schakelaar voor het inschakelen van standaardinstellingen voor beveiliging

Afgedwongen beveiligingsbeleid

Vereisen dat alle gebruikers zich registreren voor meervoudige verificatie van Azure AD

Alle gebruikers in uw tenant moeten zich registreren voor meervoudige verificatie (MFA) in de vorm van de Azure AD Multi-Factor Authentication. Gebruikers hebben 14 dagen de tijd om zich te registreren voor Azure AD Multi-Factor Authentication met behulp van de Microsoft Authenticator-app of een app die OATH TOTP ondersteunt. Als de veertien dagen zijn verstreken, kan de gebruiker zich pas aanmelden als de registratie is voltooid. De periode van veertien dagen voor een gebruiker begint na de eerste geslaagde interactieve aanmelding nadat de standaardinstellingen voor beveiliging zijn ingeschakeld.

Beheerders verplichten meervoudige verificatie uit te voeren

Beheerders hebben meer toegang tot uw omgeving. Vanwege de kracht die deze zeer bevoorrechte accounts hebben, moet u ze met speciale zorg behandelen. Een veelgebruikte methode voor het verbeteren van de beveiliging van bevoegde accounts is door een sterkere vorm van accountverificatie voor aanmelding te vereisen. In Azure AD kunt u een sterkere accountverificatie krijgen door meervoudige verificatie te vereisen.

Tip

U wordt aangeraden afzonderlijke accounts voor administratie en standaardproductiviteitstaken te hebben om het aantal keer dat uw beheerders om meervoudige verificatie wordt gevraagd, aanzienlijk te verminderen.

Nadat de registratie met meervoudige verificatie van Azure AD is voltooid, moeten de volgende Azure AD-beheerdersrollen extra verificatie uitvoeren telkens wanneer ze zich aanmelden:

  • Globale beheerder
  • Toepassingsbeheerder
  • Verificatiebeheerder
  • Factureringsbeheerder
  • Cloudtoepassingsbeheerder
  • Beheerder voor voorwaardelijke toegang
  • Exchange-beheerder
  • Helpdeskbeheerder
  • Wachtwoordbeheerder
  • Beheerder voor bevoorrechte verificatie
  • Beveiligingsbeheerder
  • SharePoint-beheerder
  • Gebruikersbeheerder

Vereisen dat gebruikers meervoudige verificatie uitvoeren wanneer dat nodig is

We denken vaak dat beheerdersaccounts de enige accounts zijn die extra verificatielagen nodig hebben. Beheerders hebben ruime toegang tot gevoelige informatie en kunnen wijzigingen aanbrengen in de instellingen voor het hele abonnement. Maar aanvallers richten zich vaak op eindgebruikers.

Nadat deze aanvallers toegang hebben gekregen, kunnen ze toegang vragen tot vertrouwelijke informatie voor de oorspronkelijke accounthouder. Ze kunnen zelfs de hele directory downloaden om een phishingaanval uit te voeren op de hele organisatie.

Een veelgebruikte methode om de beveiliging voor alle gebruikers te verbeteren, is het vereisen van een sterkere vorm van accountverificatie, zoals meervoudige verificatie, voor iedereen. Nadat gebruikers de registratie hebben voltooid, wordt ze indien nodig om een andere verificatie gevraagd. Azure AD bepaalt wanneer een gebruiker wordt gevraagd om meervoudige verificatie, op basis van factoren zoals locatie, apparaat, rol en taak. Deze functionaliteit beveiligt alle toepassingen die zijn geregistreerd bij Azure AD, inclusief SaaS-toepassingen.

Notitie

In het geval van B2B direct connect-gebruikers moet aan elke vereiste voor meervoudige verificatie van standaardinstellingen voor beveiliging die zijn ingeschakeld in de resourcetenant worden voldaan, inclusief registratie van meervoudige verificatie door de direct connect-gebruiker in hun thuistenant.

Verouderde verificatieprotocollen blokkeren

Als u uw gebruikers eenvoudig toegang wilt geven tot uw cloud-apps, ondersteunt Azure AD verschillende verificatieprotocollen, waaronder verouderde verificatie. Verouderde verificatie is een term die naar een verificatie-aanvraag verwijst die is ingediend door:

  • Clients die geen moderne verificatie gebruiken (bijvoorbeeld een Office 2010-client).
  • Clients die gebruikmaken van verouderde e-mailprotocollen, zoals IMAP,SMTP of POP3.

Tegenwoordig zijn de meeste aanmeldingspogingen afkomstig van verouderde verificatie. Verouderde verificatie biedt geen ondersteuning voor meervoudige verificatie. Zelfs als u een beleid voor meervoudige verificatie hebt ingeschakeld voor uw directory, kan een aanvaller zich verifiëren met behulp van een ouder protocol en meervoudige verificatie omzeilen.

Nadat de standaardinstellingen voor beveiliging in uw tenant zijn ingeschakeld, worden alle verificatieaanvragen van een ouder protocol geblokkeerd. Standaardinstellingen voor beveiliging blokkeren basisverificatie van Exchange Active Sync.

Waarschuwing

Voordat u de standaardinstellingen voor beveiliging inschakelt, moet u ervoor zorgen dat uw beheerders geen oudere verificatieprotocollen gebruiken. Zie Afstappen van verouderde verificatie voor meer informatie.

Bevoorrechte activiteiten beschermen, zoals toegang tot Azure Portal

Organisaties gebruiken verschillende Azure-services die via de Azure Resource Manager-API worden beheerd, waaronder:

  • Azure Portal
  • Azure PowerShell
  • Azure CLI

Het gebruik van Azure Resource Manager voor het beheren van uw services is een actie met hoge bevoegdheden. Azure Resource Manager kan configuraties voor de hele tenant wijzigen, zoals service-instellingen en abonnementsfacturering. Eenmalige aanmelding is kwetsbaar voor verschillende aanvallen, zoals phishing en wachtwoordspray.

Het is belangrijk om de identiteit te controleren van gebruikers die toegang willen hebben tot Azure Resource Manager en configuraties willen bijwerken. U verifieert hun identiteit door meer verificatie te vereisen voordat u toegang toestaat.

Nadat u standaardinstellingen voor beveiliging in uw tenant hebt ingeschakeld, moet elke gebruiker die toegang heeft tot de volgende services meervoudige verificatie voltooien:

  • Azure Portal
  • Azure PowerShell
  • Azure CLI

Dit beleid is van toepassing op alle gebruikers die toegang hebben tot Azure Resource Manager-services, ongeacht of het beheerders of gebruikers zijn.

Notitie

In Exchange Online-tenants van vóór 2017 is moderne verificatie standaard uitgeschakeld. Schakel moderne verificatie in om de mogelijkheid van een aanmeldingslus tijdens het verifiëren via deze tenants te voorkomen.

Notitie

Het synchronisatieaccount Azure AD Connect is uitgesloten van de standaardinstellingen voor beveiliging en wordt niet gevraagd om zich te registreren voor of meervoudige verificatie uit te voeren. Organisaties mogen dit account niet voor andere doeleinden gebruiken.

Overwegingen bij de implementatie

Verificatiemethoden

Standaardinstellingen voor beveiliging moeten gebruikers zich registreren voor en Azure AD Multi-Factor Authentication gebruiken met behulp van de Microsoft Authenticator-app met behulp van meldingen. Gebruikers kunnen verificatiecodes van de Microsoft Authenticator-app gebruiken, maar kunnen zich alleen registreren met de meldingsoptie. Gebruikers kunnen ook elke toepassing van derden gebruiken die OATH TOTP gebruikt om codes te genereren.

Waarschuwing

Schakel de methoden voor uw organisatie niet uit als u de standaardinstellingen voor beveiliging gebruikt. Het uitschakelen van methoden kan ertoe leiden dat u zichzelf uitsluit van uw tenant. Laat alle methoden die voor gebruikers beschikbaar zijn, ingeschakeld in de portal voor MFA-service-instellingen.

Back-up maken van beheerdersaccounts

Elke organisatie moet ten minste twee back-ups van beheerdersaccounts hebben geconfigureerd. Deze accounts worden accounts voor noodtoegang genoemd.

Deze accounts kunnen worden gebruikt in scenario's waarin uw normale beheerdersaccounts niet kunnen worden gebruikt. Bijvoorbeeld: de persoon die het laatst globale beheerderstoegang had, heeft de organisatie verlaten. Azure AD voorkomt dat het laatste globale beheerdersaccount wordt verwijderd, maar voorkomt niet dat het account on-premises wordt verwijderd of uitgeschakeld. In beide gevallen kan de organisatie het account niet herstellen.

Accounts voor noodtoegang:

  • Zijn toegewezen globale beheerdersrechten in Azure AD.
  • Worden niet dagelijks gebruikt.
  • Zijn beveiligd met een lang, complex wachtwoord.

De referenties voor deze accounts voor noodtoegang moeten offline op een veilige locatie worden opgeslagen, bijvoorbeeld een brandwerende kluis. Alleen geautoriseerde personen moeten toegang hebben tot deze referenties.

Account voor noodtoegang maken:

  1. Meld u aan bij Azure Portal als globale beheerder.
  2. Blader naar Azure Active Directory>Gebruikers.
  3. Selecteer Nieuwe gebruiker.
  4. Selecteer Create user.
  5. Geef het account een gebruikersnaam.
  6. Geef het account een naam.
  7. Maak een lang en complex wachtwoord voor het account.
  8. Wijs bij Rollen de rol Globale beheerder toe.
  9. Selecteer bij Gebruikslocatie de juiste locatie.
  10. Selecteer Maken.

U kunt ervoor kiezen om wachtwoordverloop voor deze accounts uit te schakelen met behulp van Azure AD PowerShell.

Zie het artikel Accounts voor noodtoegang beheren in Azure AD voor meer gedetailleerde informatie over accounts voor noodtoegang.

B2B-gebruikers

B2B-gastgebruikers of B2B Direct Connect-gebruikers die toegang hebben tot uw directory, worden op dezelfde manier behandeld als de gebruikers van uw organisatie.

MFA-status uitgeschakeld

Als uw organisatie eerder gebruik heeft gemaakt van meervoudige verificatie van Azure AD per gebruiker, hoeft u zich geen zorgen te maken als u geen gebruikers ziet met de status Ingeschakeld of Afgedwongen als u de statuspagina voor meervoudige verificatie bekijkt. Uitgeschakeld is de juiste status voor gebruikers die gebruikmaken van standaardinstellingen voor beveiliging of meervoudige verificatie van Azure AD op basis van voorwaardelijke toegang.

Voorwaardelijke toegang

U kunt voorwaardelijke toegang gebruiken om beleidsregels te configureren die vergelijkbaar zijn met de standaardinstellingen voor beveiliging, maar met meer granulariteit. Beleid voor voorwaardelijke toegang staat het selecteren van andere verificatiemethoden toe en de mogelijkheid om gebruikers uit te sluiten, die niet beschikbaar zijn in standaardinstellingen voor beveiliging. Als u momenteel voorwaardelijke toegang gebruikt in uw omgeving, dan zijn de standaardinstellingen voor beveiliging niet voor u beschikbaar.

Waarschuwing dat u gebruik kunt maken van standaardinstellingen voor beveiliging of van voorwaardelijke toegang, maar niet van beide

Als u voorwaardelijke toegang wilt inschakelen voor het configureren van een set beleidsregels die een goed uitgangspunt vormen voor het beveiligen van uw identiteiten:

Standaardinstellingen voor beveiliging uitschakelen

Organisaties die ervoor kiezen om beleid voor voorwaardelijke toegang te implementeren die de standaardinstellingen voor beveiliging vervangen, moeten de standaardinstellingen voor beveiliging uitschakelen.

Waarschuwing dat u standaardinstellingen voor beveiliging moet uitschakelen om voorwaardelijke toegang in te kunnen schakelen

Standaardinstellingen voor beveiliging uitschakelen in uw directory:

  1. Meld u als beveiligingsbeheerder, beheerder voor voorwaardelijke toegang of globale beheerder aan bij Azure Portal.
  2. Blader naar Azure Active Directory>Eigenschappen.
  3. Selecteer Standaardinstellingen voor beveiliging beheren.
  4. Stel de schakelaar Standaardinstellingen voor beveiliging inschakelen in op Nee.
  5. Selecteer Opslaan.

Volgende stappen