Standaardinstellingen voor beveiliging in Azure AD

Microsoft maakt de standaardinstellingen voor beveiliging beschikbaar voor iedereen, omdat het beheren van beveiliging lastig kan zijn. Identiteitsgerelateerde aanvallen zoals wachtwoordspray, replay-aanvallen en phishing komen vaak voor in de huidige omgeving. Meer dan 99,9% van deze identiteitsgerelateerde aanvallen worden gestopt door meervoudige verificatie (MFA) te gebruiken en verouderde verificatie te blokkeren. Het doel is om te zorgen dat alle organisaties ten minste een basisbeveiligingsniveau hebben ingeschakeld zonder extra kosten.

Met standaardinstellingen voor beveiliging kunt u uw organisatie gemakkelijker tegen deze identiteitsgerelateerde aanvallen beschermen met vooraf geconfigureerde beveiligingsinstellingen:

• Vereisen dat alle gebruikers zich registreren voor Azure AD Meervoudige verificatie.
• Beheerders verplichten meervoudige verificatie uit te voeren.
• Gebruikers verplichten om meervoudige verificatie uit te voeren wanneer dat nodig is.
• Verouderde verificatieprotocollen blokkeren.
• Bevoegde activiteiten beschermen, zoals toegang tot Azure Portal.

Voor wie is het bedoeld?

• Organisaties die hun beveiligingspostuur willen verhogen, maar niet weten hoe of waar ze moeten beginnen.
• Organisaties die gebruikmaken van de gratis laag van Azure Active Directory-licenties.

Wie moet voorwaardelijke toegang gebruiken?

• Als u een organisatie bent die momenteel gebruikmaakt van beleid voor voorwaardelijke toegang, zijn de standaardinstellingen voor beveiliging waarschijnlijk niet geschikt voor u.
• Als u een organisatie bent met Azure Active Directory Premium-licenties, zijn de standaardinstellingen voor beveiliging waarschijnlijk niet geschikt voor u.
• Als uw organisatie complexe beveiligingsvereisten heeft, kunt u voorwaardelijke toegang overwegen.

Standaardinstellingen voor beveiliging inschakelen

Als uw tenant op of na 22 oktober 2019 is gemaakt, zijn standaardinstellingen voor beveiliging mogelijk in uw tenant ingeschakeld. Om al onze gebruikers te beschermen, worden de standaardinstellingen voor beveiliging tijdens het maken voor alle nieuwe tenants geïmplementeerd.

Standaardinstellingen voor beveiliging inschakelen in uw directory:

1. Meld u als beveiligingsbeheerder, beheerder voor voorwaardelijke toegang of globale beheerder aan bij Azure Portal.
2. Blader naar Azure Active Directory>Eigenschappen.
3. Selecteer Standaardinstellingen voor beveiliging beheren.
4. Stel standaardinstellingen voor beveiliging in op **Ingeschakeld**.
5. Selecteer Opslaan.

Afgedwongen beveiligingsbeleid

Vereisen dat alle gebruikers zich registreren voor Azure AD Meervoudige verificatie

Alle gebruikers in uw tenant moeten zich registreren voor meervoudige verificatie (MFA) in de vorm van de Azure AD Meervoudige verificatie. Gebruikers hebben 14 dagen de tijd om zich te registreren voor Azure AD Meervoudige verificatie met behulp van de Microsoft Authenticator-app of een app die OATH TOTP ondersteunt. Als de veertien dagen zijn verstreken, kan de gebruiker zich pas aanmelden als de registratie is voltooid. De periode van veertien dagen voor een gebruiker begint na de eerste geslaagde interactieve aanmelding nadat de standaardinstellingen voor beveiliging zijn ingeschakeld.

Beheerders verplichten meervoudige verificatie uit te voeren

Beheerders hebben meer toegang tot uw omgeving. Vanwege de kracht die deze zeer bevoorrechte accounts hebben, moet u ze met speciale zorg behandelen. Een veelgebruikte methode voor het verbeteren van de beveiliging van bevoegde accounts is door een sterkere vorm van accountverificatie voor aanmelding te vereisen. In Azure AD kunt u een sterkere accountverificatie krijgen door meervoudige verificatie te vereisen.

Tip

U wordt aangeraden afzonderlijke accounts voor administratie en standaardproductiviteitstaken te hebben om het aantal keer dat uw beheerders om meervoudige verificatie wordt gevraagd, aanzienlijk te verminderen.

Nadat de registratie bij Azure AD meervoudige verificatie is voltooid, zijn de volgende Azure AD beheerdersrollen vereist om extra verificatie uit te voeren telkens wanneer ze zich aanmelden:

• Globale beheerder
• Toepassingsbeheerder
• Verificatiebeheerder
• Factureringsbeheerder
• Cloudtoepassingsbeheerder
• Beheerder voor voorwaardelijke toegang
• Exchange-beheerder
• Helpdeskbeheerder
• Wachtwoordbeheerder
• Beheerder voor bevoorrechte verificatie
• Beveiligingsbeheerder
• SharePoint-beheerder
• Gebruikersbeheerder

Vereisen dat gebruikers meervoudige verificatie uitvoeren wanneer dat nodig is

We denken vaak dat beheerdersaccounts de enige accounts zijn die extra verificatielagen nodig hebben. Beheerders hebben ruime toegang tot gevoelige informatie en kunnen wijzigingen aanbrengen in de instellingen voor het hele abonnement. Maar aanvallers richten zich vaak op eindgebruikers.

Nadat deze aanvallers toegang hebben gekregen, kunnen ze toegang vragen tot vertrouwelijke informatie voor de oorspronkelijke accounthouder. Ze kunnen zelfs de hele directory downloaden om een phishingaanval uit te voeren op de hele organisatie.

Een veelgebruikte methode om de beveiliging voor alle gebruikers te verbeteren, is het vereisen van een sterkere vorm van accountverificatie, zoals meervoudige verificatie, voor iedereen. Nadat gebruikers de registratie hebben voltooid, worden ze indien nodig om een andere verificatie gevraagd. Azure AD bepaalt wanneer een gebruiker wordt gevraagd om meervoudige verificatie, op basis van factoren zoals locatie, apparaat, rol en taak. Deze functionaliteit beveiligt alle toepassingen die zijn geregistreerd bij Azure AD, inclusief SaaS-toepassingen.

Notitie

In het geval van B2B direct connect-gebruikers moet worden voldaan aan elke vereiste voor meervoudige verificatie van standaardinstellingen voor beveiliging die zijn ingeschakeld in de resourcetenant, inclusief registratie van meervoudige verificatie door de direct connect-gebruiker in hun thuistenant.

Verouderde verificatieprotocollen blokkeren

Als u uw gebruikers eenvoudig toegang wilt geven tot uw cloud-apps, ondersteunt Azure AD verschillende verificatieprotocollen, waaronder verouderde verificatie. Verouderde verificatie is een term die naar een verificatie-aanvraag verwijst die is ingediend door:

• Clients die geen moderne verificatie gebruiken (bijvoorbeeld een Office 2010-client).
• Clients die gebruikmaken van verouderde e-mailprotocollen, zoals IMAP,SMTP of POP3.

Tegenwoordig zijn de meeste aanmeldingspogingen afkomstig van verouderde verificatie. Verouderde verificatie biedt geen ondersteuning voor meervoudige verificatie. Zelfs als u een beleid voor meervoudige verificatie hebt ingeschakeld voor uw directory, kan een aanvaller zich verifiëren met behulp van een ouder protocol en meervoudige verificatie omzeilen.

Nadat de standaardinstellingen voor beveiliging in uw tenant zijn ingeschakeld, worden alle verificatieaanvragen van een ouder protocol geblokkeerd. Standaardinstellingen voor beveiliging blokkeren basisverificatie van Exchange Active Sync.

Waarschuwing

Voordat u de standaardinstellingen voor beveiliging inschakelt, moet u ervoor zorgen dat uw beheerders geen oudere verificatieprotocollen gebruiken. Zie Afstappen van verouderde verificatie voor meer informatie.

• Een multifunctioneel apparaat of een toepassing instellen voor verzenden van e-mail met Microsoft 365

Bevoorrechte activiteiten beschermen, zoals toegang tot Azure Portal

Organisaties gebruiken verschillende Azure-services die via de Azure Resource Manager-API worden beheerd, waaronder:

• Azure Portal
• Azure PowerShell
• Azure CLI

Het gebruik van Azure Resource Manager voor het beheren van uw services is een actie met hoge bevoegdheden. Azure Resource Manager kan configuraties voor de hele tenant wijzigen, zoals service-instellingen en abonnementsfacturering. Eenmalige aanmelding is kwetsbaar voor verschillende aanvallen, zoals phishing en wachtwoordspray.

Het is belangrijk om de identiteit te controleren van gebruikers die toegang willen hebben tot Azure Resource Manager en configuraties willen bijwerken. U verifieert hun identiteit door meer verificatie te vereisen voordat u toegang toestaat.

Nadat u de standaardinstellingen voor beveiliging in uw tenant hebt ingeschakeld, moet elke gebruiker die toegang heeft tot de volgende services, meervoudige verificatie voltooien:

• Azure Portal
• Azure PowerShell
• Azure CLI

Dit beleid is van toepassing op alle gebruikers die toegang hebben tot Azure Resource Manager-services, ongeacht of het beheerders of gebruikers zijn.

Notitie

In Exchange Online-tenants van vóór 2017 is moderne verificatie standaard uitgeschakeld. Schakel moderne verificatie in om de mogelijkheid van een aanmeldingslus tijdens het verifiëren via deze tenants te voorkomen.

Notitie

Het Azure AD Connect-synchronisatieaccount is uitgesloten van de standaardinstellingen voor beveiliging en wordt niet gevraagd om zich te registreren voor of meervoudige verificatie uit te voeren. Organisaties mogen dit account niet voor andere doeleinden gebruiken.

Overwegingen bij de implementatie

Verificatiemethoden

Standaardinstellingen voor beveiliging moeten gebruikers zich registreren voor en gebruikmaken van Azure AD Multifactor Authentication met behulp van de Microsoft Authenticator-app met behulp van meldingen. Gebruikers kunnen verificatiecodes van de Microsoft Authenticator-app gebruiken, maar kunnen zich alleen registreren met de meldingsoptie. Gebruikers kunnen ook een toepassing van derden gebruiken die OATH TOTP gebruikt om codes te genereren.

Waarschuwing

Schakel de methoden voor uw organisatie niet uit als u de standaardinstellingen voor beveiliging gebruikt. Het uitschakelen van methoden kan ertoe leiden dat u zichzelf uitsluit van uw tenant. Laat alle methoden die voor gebruikers beschikbaar zijn, ingeschakeld in de portal voor MFA-service-instellingen.

Back-up maken van beheerdersaccounts

Elke organisatie moet ten minste twee back-ups van beheerdersaccounts hebben geconfigureerd. Deze accounts worden accounts voor noodtoegang genoemd.

Deze accounts kunnen worden gebruikt in scenario's waarin uw normale beheerdersaccounts niet kunnen worden gebruikt. Bijvoorbeeld: de persoon die het laatst globale beheerderstoegang had, heeft de organisatie verlaten. Azure AD voorkomt dat het laatste globale beheerdersaccount wordt verwijderd, maar voorkomt niet dat het account on-premises wordt verwijderd of uitgeschakeld. In beide gevallen kan de organisatie het account niet herstellen.

Accounts voor noodtoegang:

• Zijn toegewezen globale beheerdersrechten in Azure AD.
• Worden niet dagelijks gebruikt.
• Zijn beveiligd met een lang, complex wachtwoord.

De referenties voor deze accounts voor noodtoegang moeten offline op een veilige locatie worden opgeslagen, bijvoorbeeld een brandwerende kluis. Alleen geautoriseerde personen moeten toegang hebben tot deze referenties.

Account voor noodtoegang maken:

1. Meld u aan bij Azure Portal als globale beheerder.
2. Blader naar Azure Active Directory>Gebruikers.
3. Selecteer Nieuwe gebruiker.
4. Selecteer Create user.
5. Geef het account een gebruikersnaam.
6. Geef het account een naam.
7. Maak een lang en complex wachtwoord voor het account.
8. Wijs bij Rollen de rol Globale beheerder toe.
9. Selecteer bij Gebruikslocatie de juiste locatie.
10. Selecteer Maken.

U kunt ervoor kiezen om wachtwoordverloop voor deze accounts uit te schakelen met behulp van Azure AD PowerShell.

Zie het artikel Accounts voor noodtoegang beheren in Azure AD voor meer gedetailleerde informatie over accounts voor noodtoegang.

B2B-gebruikers

B2B-gastgebruikers of B2B Direct Connect-gebruikers die toegang hebben tot uw directory, worden op dezelfde manier behandeld als de gebruikers van uw organisatie.

MFA-status uitgeschakeld

Als uw organisatie een eerdere gebruiker is van op gebruikers gebaseerde Azure AD Multifactor Authentication, wees dan niet bang als u gebruikers niet ziet met de status Ingeschakeld of Afgedwongen als u de statuspagina Multi-Factor Authentication bekijkt. Uitgeschakeld is de juiste status voor gebruikers die gebruikmaken van standaardinstellingen voor beveiliging of voorwaardelijke toegang Azure AD meervoudige verificatie.

Voorwaardelijke toegang

U kunt voorwaardelijke toegang gebruiken om beleidsregels te configureren die vergelijkbaar zijn met standaardinstellingen voor beveiliging, maar met meer granulariteit. Beleid voor voorwaardelijke toegang staat het selecteren van andere verificatiemethoden toe en de mogelijkheid om gebruikers uit te sluiten, die niet beschikbaar zijn in de standaardinstellingen voor beveiliging. Als u momenteel voorwaardelijke toegang gebruikt in uw omgeving, dan zijn de standaardinstellingen voor beveiliging niet voor u beschikbaar.

Als u voorwaardelijke toegang wilt inschakelen voor het configureren van een set beleidsregels die een goed uitgangspunt vormen voor het beveiligen van uw identiteiten:

• MFA vereisen voor beheerders
• MFA vereisen voor Azure-beheer
• Verouderde verificatie blokkeren
• MFA vereisen voor alle gebruikers

Standaardinstellingen voor beveiliging uitschakelen

Organisaties die ervoor kiezen om beleid voor voorwaardelijke toegang te implementeren die de standaardinstellingen voor beveiliging vervangen, moeten de standaardinstellingen voor beveiliging uitschakelen.

Standaardinstellingen voor beveiliging uitschakelen in uw directory:

1. Meld u als beveiligingsbeheerder, beheerder voor voorwaardelijke toegang of globale beheerder aan bij Azure Portal.
2. Blader naar Azure Active Directory>Eigenschappen.
3. Selecteer Standaardinstellingen voor beveiliging beheren.
4. Stel De standaardinstellingen voor beveiliging in op Uitgeschakeld (niet aanbevolen).
5. Selecteer Opslaan.

Volgende stappen

• Blog: Introducing security defaults (Blog: inleiding tot standaardinstellingen voor beveiliging)
• Algemeen beleid voor voorwaardelijke toegang
• Meer informatie over Azure AD-licenties vindt u op de pagina met prijzen voor Azure AD.