Delen via


Standaardinstellingen voor beveiliging in Microsoft Entra ID

Met standaardinstellingen voor beveiliging kunt u uw organisatie gemakkelijker beschermen tegen identiteitsgerelateerde aanvallen, zoals wachtwoordspray, herhaling en phishing die gebruikelijk zijn in de huidige omgevingen.

Microsoft maakt deze vooraf geconfigureerde beveiligingsinstellingen beschikbaar voor iedereen, omdat we weten dat het beheren van beveiliging lastig kan zijn. Op basis van onze bevindingen worden meer dan 99,9% van deze veelvoorkomende identiteitsgerelateerde aanvallen gestopt door meervoudige verificatie te gebruiken en verouderde verificatie te blokkeren. Ons doel is ervoor te zorgen dat alle organisaties minimaal een basisniveau van beveiliging hebben ingeschakeld zonder extra kosten.

Deze basisbesturingselementen zijn onder andere:

Voor wie is het bedoeld?

  • Organisaties die hun beveiligingspostuur willen verhogen, maar niet weten hoe of waar ze moeten beginnen.
  • Organisaties die gebruikmaken van de gratis laag van Microsoft Entra ID-licenties.

Wie moet voorwaardelijke toegang gebruiken?

  • Als u een organisatie bent met Microsoft Entra ID P1- of P2-licenties, zijn de standaardinstellingen voor beveiliging waarschijnlijk niet geschikt voor u.
  • Als uw organisatie complexe beveiligingsvereisten heeft, moet u voorwaardelijke toegang overwegen.

Standaardinstellingen voor beveiliging inschakelen

Als uw gebruikersaccount is aangemaakt op of na 22 oktober 2019, zijn de standaardinstellingen voor beveiliging mogelijk ingeschakeld in uw account. Om al onze gebruikers te beschermen, worden de standaardinstellingen voor beveiliging bij het aanmaken voor alle nieuwe tenants geïmplementeerd.

Om organisaties te beschermen, werken we altijd aan het verbeteren van de beveiliging van Microsoft-accountservices. Als onderdeel van deze beveiliging worden klanten periodiek op de hoogte gesteld van de automatische activering van de standaardinstellingen voor beveiliging als ze:

  • Geen beleid voor voorwaardelijke toegang
  • Geen Premium-licenties
  • Werken niet actief met verouderde verificatieclients

Nadat deze instelling is ingeschakeld, moeten alle gebruikers in de organisatie zich registreren voor meervoudige verificatie. Als u verwarring wilt voorkomen, raadpleegt u de e-mail die u hebt ontvangen en kunt u de standaardinstellingen voor beveiliging uitschakelen nadat deze is ingeschakeld.

Als u de standaardinstellingen voor beveiliging in uw directory wilt configureren, moet u ten minste de rol Beheerder voor voorwaardelijke toegang krijgen.

De gebruiker die een Microsoft Entra-tenant maakt, krijgt standaard automatisch de rol Globale beheerder toegewezen.

Standaardinstellingen voor beveiliging inschakelen:

  1. Meld u bij het Microsoft Entra-beheercentrum aan als ten minste een beheerder voor voorwaardelijke toegang.
  2. Blader naar Entra ID>Overzicht>Eigenschappen.
  3. Selecteer Standaardinstellingen voor beveiliging beheren.
  4. Stel de standaardinstellingen voor beveiliging in op Ingeschakeld.
  5. Selecteer Opslaan.

Schermopname van het Microsoft Entra-beheercentrum met de wisselknop om de standaardinstellingen voor beveiliging in te schakelen

Actieve tokens intrekken

Als onderdeel van het inschakelen van standaardinstellingen voor beveiliging, moeten beheerders alle bestaande tokens intrekken, zodat alle gebruikers zich moeten registreren voor meervoudige verificatie. Met deze intrekkingsgebeurtenis worden eerder geverifieerde gebruikers gedwongen zich te verifiëren en te registreren voor meervoudige verificatie. Deze taak kan worden uitgevoerd met behulp van de cmdlet Revoke-AzureADUserAllRefreshToken van PowerShell.

Afgedwongen beveiligingsbeleid

Vereisen dat alle gebruikers zich registreren voor Meervoudige Verificatie van Microsoft Entra

Notitie

Vanaf 29 juli 2024 is de respijtperiode van 14 dagen voor gebruikers om zich te registreren voor MFA verwijderd voor zowel nieuwe als bestaande huurders. We brengen deze wijziging aan om het risico van inbreuk op accounts tijdens het 14-daagse venster te verminderen, omdat MFA meer dan 99,2% van op identiteit gebaseerde aanvallen kan blokkeren.

Wanneer gebruikers zich aanmelden en worden gevraagd om meervoudige verificatie uit te voeren, zien ze een scherm met een nummer dat moet worden ingevoerd in de Microsoft Authenticator-app. Deze maatregel helpt voorkomen dat gebruikers vatbaar zijn voor aanvallen door MFA-vermoeidheid.

Schermopname van een voorbeeld van het venster Aanmeldingsaanvraag goedkeuren met een nummer dat moet worden ingevoerd.

Beheerders verplichten meervoudige verificatie uit te voeren

Beheerders hebben meer toegang tot uw omgeving. Vanwege de kracht die deze zeer bevoorrechte accounts hebben, moet u ze met speciale zorg behandelen. Een veelgebruikte methode voor het verbeteren van de beveiliging van bevoegde accounts is het vereisen van een sterkere vorm van accountverificatie voor aanmelding, zoals het vereisen van meervoudige verificatie.

Aanbeveling

Aanbevelingen voor uw beheerders:

  • Zorg ervoor dat alle beheerders zich aanmelden nadat ze de standaardinstellingen voor beveiliging hebben ingeschakeld, zodat ze zich kunnen registreren voor verificatiemethoden.
  • Zorg voor afzonderlijke accounts voor beheer- en standaardproductiviteitstaken om het aantal keren dat uw beheerders om MFA worden gevraagd aanzienlijk te verminderen.

Nadat de registratie is voltooid, zijn de volgende beheerdersrollen vereist om meervoudige verificatie uit te voeren telkens wanneer ze zich aanmelden:

  • Globale Beheerder
  • Toepassingsbeheerder
  • Verificatiebeheerder
  • Factureringsbeheerder
  • Beheerder van de cloudtoepassing
  • Beheerder voor voorwaardelijke toegang
  • Exchange-beheerder
  • Helpdeskbeheerder
  • Wachtwoordbeheerder
  • Bevoorrechte verificatiebeheerder
  • Beheerder van Bevoorrechte Rollen
  • Beveiligingsbeheer
  • SharePoint-beheerder
  • Gebruikersbeheerder
  • Beheerder van verificatiebeleid
  • Identity Governance-beheerder

Vereisen dat gebruikers meervoudige verificatie uitvoeren wanneer dat nodig is

We denken vaak dat beheerdersaccounts de enige accounts zijn die extra verificatielagen nodig hebben. Beheerders hebben ruime toegang tot gevoelige informatie en kunnen wijzigingen aanbrengen in de instellingen voor het hele abonnement. Maar aanvallers richten zich vaak op eindgebruikers.

Nadat deze aanvallers toegang hebben gekregen, kunnen ze toegang vragen tot vertrouwelijke informatie voor de oorspronkelijke accounthouder. Ze kunnen zelfs de hele directory downloaden om een phishingaanval uit te voeren op de hele organisatie.

Een veelgebruikte methode voor het verbeteren van de beveiliging voor alle gebruikers is het vereisen van een sterkere vorm van accountverificatie, zoals meervoudige verificatie, voor iedereen. Nadat gebruikers de registratie hebben voltooid, wordt ze zo nodig om een andere verificatie gevraagd. Microsoft bepaalt wanneer een gebruiker wordt gevraagd om meervoudige verificatie, op basis van factoren zoals locatie, apparaat, rol en taak. Deze functionaliteit beveiligt alle geregistreerde toepassingen, inclusief SaaS-toepassingen.

Notitie

In het geval van B2B-gebruikers voor directe verbinding , moet aan elke vereiste voor meervoudige verificatie van standaardinstellingen voor beveiliging die zijn ingeschakeld in de resourcetenant, worden voldaan, inclusief meervoudige verificatieregistratie door de gebruiker voor directe verbinding in hun thuistenant.

Verouderde verificatieprotocollen blokkeren

Om uw gebruikers eenvoudig toegang te geven tot uw cloud-apps, ondersteunen we verschillende verificatieprotocollen, waaronder verouderde verificatie. Verouderde verificatie is een term die verwijst naar een verificatieaanvraag die wordt gedaan door:

  • Clients die geen moderne verificatie gebruiken (bijvoorbeeld een Office 2010-client)
  • Elke client die gebruikmaakt van oudere e-mailprotocollen, zoals IMAP, SMTP of POP3

Tegenwoordig zijn de meeste compromitterende aanmeldingspogingen afkomstig van verouderde verificatie. Verouderde verificatie biedt geen ondersteuning voor meervoudige verificatie. Zelfs als u een meervoudig verificatiebeleid hebt ingeschakeld voor uw directory, kan een aanvaller zich verifiëren met behulp van een ouder protocol en meervoudige verificatie omzeilen.

Nadat de standaardinstellingen voor beveiliging in uw tenant zijn ingeschakeld, worden alle verificatieaanvragen van een ouder protocol geblokkeerd. Standaardinstellingen voor beveiliging blokkeren basisverificatie van Exchange Active Sync.

Waarschuwing

Voordat u de standaardinstellingen voor beveiliging inschakelt, moet u ervoor zorgen dat uw beheerders geen oudere verificatieprotocollen gebruiken. Zie voor meer informatie Hoe u overstapt van legacy-authenticatie.

Bevoorrechte activiteiten beschermen, zoals toegang tot Azure Portal

Organisaties gebruiken verschillende Azure-services die via de Azure Resource Manager-API worden beheerd, waaronder:

  • Azure Portal
  • Microsoft Entra-beheercentrum
  • Azure PowerShell
  • Azure-opdrachtregelinterface (CLI)

Het gebruik van Azure Resource Manager voor het beheren van uw services is een actie met hoge bevoegdheden. Azure Resource Manager kan configuraties voor de hele tenant wijzigen, zoals service-instellingen en abonnementsfacturering. Eén-factor authenticatie is kwetsbaar voor verschillende aanvallen, zoals phishing en wachtwoord-sprayaanvallen.

Het is belangrijk om de identiteit te controleren van gebruikers die toegang willen hebben tot Azure Resource Manager en configuraties willen bijwerken. U verifieert hun identiteit door meer verificatie te vereisen voordat u toegang toestaat.

Nadat u de standaardinstellingen voor beveiliging in uw tenant hebt ingeschakeld, moet elke gebruiker die toegang heeft tot de volgende services, meervoudige verificatie voltooien:

  • Azure Portal
  • Microsoft Entra-beheercentrum
  • Azure PowerShell
  • Azure-opdrachtregelinterface (CLI)

Dit beleid is van toepassing op alle gebruikers die toegang hebben tot Azure Resource Manager-services, ongeacht of het beheerders of gebruikers zijn. Dit beleid is van toepassing op Azure Resource Manager-API's, zoals toegang tot uw abonnement, VM's, opslagaccounts, enzovoort. Dit beleid bevat geen Microsoft Entra-id of Microsoft Graph.

Notitie

In Exchange Online-tenants van vóór 2017 is moderne verificatie standaard uitgeschakeld. Als u de kans op een aanmeldingslus tijdens het authenticeren via deze tenants wilt voorkomen, moet u moderne verificatie inschakelen.

Notitie

De Microsoft Entra Connect/Microsoft Entra Cloud Sync-synchronisatieaccounts (of een beveiligingsprincipaal die is toegewezen aan de rol Adreslijstsynchronisatieaccounts) worden uitgesloten van de standaardinstellingen voor beveiliging en worden niet gevraagd om zich te registreren voor of meervoudige verificatie uit te voeren. Organisaties mogen dit account niet voor andere doeleinden gebruiken.

Implementatieoverwegingen

Uw gebruikers voorbereiden

Het is essentieel gebruikers te informeren over toekomstige wijzigingen, registratievereisten en eventuele benodigde gebruikersacties. We bieden communicatiesjablonen en gebruikersdocumentatie om uw gebruikers voor te bereiden op de nieuwe ervaring en om te zorgen voor een succesvolle implementatie. Verzend gebruikers naar https://myprofile.microsoft.com om zich te registreren door op die pagina de koppeling Beveiligingsgegevens te selecteren.

Verificatiemethoden

Standaardinstellingen voor beveiliging zijn vereist voor het registreren en gebruiken van meervoudige verificatie met behulp van de Microsoft Authenticator-app met behulp van meldingen. Gebruikers kunnen verificatiecodes van de Microsoft Authenticator-app gebruiken, maar kunnen zich alleen registreren met behulp van de meldingsoptie. Gebruikers kunnen ook elke toepassing van derden gebruiken met OATH TOTP om codes te genereren.

Waarschuwing

Schakel de methoden voor uw organisatie niet uit als u de standaardinstellingen voor beveiliging gebruikt. Het uitschakelen van methoden kan ertoe leiden dat u zichzelf uitsluit van uw tenant. Laat alle methoden beschikbaar voor gebruikers die zijn ingeschakeld in de portal voor MFA-service-instellingen.

B2B-gebruikers

Alle B2B-gastgebruikers of B2B-gebruikers die rechtstreeks verbinding maken met uw adreslijst, worden hetzelfde behandeld als de gebruikers van uw organisatie.

MFA-status uitgeschakeld

Als uw organisatie een eerdere gebruiker van meervoudige verificatie per gebruiker is, wordt u niet bang dat u geen gebruikers ziet met de status Ingeschakeld of Afgedwongen als u naar de pagina voor de status van meervoudige verificatie kijkt. Uitgeschakeld is de juiste status voor gebruikers die gebruikmaken van standaardinstellingen voor beveiliging of meervoudige verificatie op basis van voorwaardelijke toegang.

Standaardinstellingen voor beveiliging uitschakelen

Organisaties die ervoor kiezen om beleid voor voorwaardelijke toegang te implementeren die de standaardinstellingen voor beveiliging vervangen, moeten de standaardinstellingen voor beveiliging uitschakelen.

Standaardinstellingen voor beveiliging uitschakelen in uw directory:

  1. Meld u bij het Microsoft Entra-beheercentrum aan als ten minste een beheerder voor voorwaardelijke toegang.
  2. Blader naar Entra ID>Overzicht>Eigenschappen.
  3. Selecteer Standaardinstellingen voor beveiliging beheren.
  4. Stel de standaardinstellingen voor beveiliging in op Uitgeschakeld (niet aanbevolen).
  5. Selecteer Opslaan.

Overstappen van standaardinstellingen voor beveiliging naar voorwaardelijke toegang

Hoewel de standaardinstellingen voor beveiliging een goede basislijn zijn om uw beveiligingspostuur te starten, staan ze niet toe dat veel organisaties deze aanpassen. Beleidsregels voor voorwaardelijke toegang bieden een volledig scala aan aanpassingen die complexere organisaties nodig hebben.

Standaardinstellingen voor beveiliging Voorwaardelijke toegang
Vereiste licenties Geen Ten minste Microsoft Entra ID P1
Aanpassingsmogelijkheden Geen aanpassing (in of uit) Volledig aanpasbaar
Ingeschakeld door Microsoft of beheerder Beheerder
Complexiteit Eenvoudig in het gebruik Volledig aanpasbaar op basis van uw vereisten

Aanbevolen stappen bij het overstappen van de standaardinstellingen voor beveiliging

Organisaties die de functies van voorwaardelijke toegang willen testen, kunnen zich aanmelden voor een gratis proefversie om aan de slag te gaan.

Nadat beheerders de standaardinstellingen voor beveiliging hebben uitgeschakeld, moeten organisaties beleid voor voorwaardelijke toegang onmiddellijk inschakelen om hun organisatie te beveiligen. Deze beleidsregels moeten ten minste die beleidsregels bevatten in de categorie veilige basisbeginselen van sjablonen voor voorwaardelijke toegang. Organisaties met Microsoft Entra ID P2-licenties met Microsoft Entra ID Protection kunnen deze lijst uitbreiden om gebruikers toe te voegen en beleid op basis van risico's aan te melden om hun houding verder te versterken.

Microsoft raadt aan dat organisaties twee cloud-only noodtoegangsaccounts permanent toegewezen hebben aan de rol "Global Administrator". Deze accounts hebben hoge bevoegdheden en worden niet toegewezen aan specifieke personen. De accounts zijn beperkt tot gebruik in nood- of noodsituaties, waarbij normale accounts niet kunnen worden gebruikt of wanneer alle andere beheerders per ongeluk zijn buitengesloten. Deze accounts moeten worden gemaakt op basis van de aanbevelingen voor noodgevallentoegangaccounts.

Volgende stappen