Fase 1: het identiteitsbeheervlak beveiligen

Dit artikel maakt deel uit van de oplossingshandleiding voor een uitgebreide toegangsarchitectuur implementeren .

Bevoegde toegang vormt een kritiek beveiligingsrisico in de meeste organisaties, omdat hiermee directe controle over identiteitssystemen, cloudbesturingsvlakken en bedrijfskritieke assets mogelijk is.

Meer informatie over hoe een beveiligde bevoorrechte toegangsarchitectuur een cruciale rol speelt in uw bedrijfsscenario - Kritieke bedrijfsactiva beveiligen - door dit risico te verminderen en de controle over gevoelige systemen te versterken.

Dit artikel helpt u bij het implementeren van fase 1 van de oplossing Een oplossing voor uitgebreide toegangsarchitectuur implementeren . Deze fase beveiligt het identiteitsbeheervlak door bevoorrechte identiteiten, roltoewijzingen en geautoriseerde uitbreidingspaden te definiëren en te beveiligen.

Het is belangrijk om fase 1 eerst te implementeren. Latere fasen die bevoegde toegangsapparaten beveiligen, beleid voor voorwaardelijke toegang afdwingen en bevoegde toegang bewaken, zijn afhankelijk van een schoon, goed beheerd identiteitsbeheervlak.

Beveiligingsdoelen

Fase 1 zorgt ervoor dat geprivilegieerde toegang het volgende is:

Expliciet: verleen privileges alleen via gedefinieerde escalatiepaden. Maak deze nooit impliciet of per ongeluk.
Tijdelijk: Bevoegdheden verlopen automatisch.
Sterk geauthenticeerd: Sterke authenticatie vereisen voor bevoegdheidsverhoging.
Controleerbaar: registreer alle bevoegdheden en uitbreidingen.
Herstelbaar: Zorg voor toegang tot noodgevallen zonder de besturingselementen te verzwakken.

Beveiligingsbereik

Fase 1 richt zich op twee fundamentele onderdelen van bevoegde toegang:

Bevoegde identiteiten: identiteiten die bevoegde acties kunnen uitvoeren, waaronder:
- Afzonderlijke administratieve gebruikersaccounts
- Beheergroepen
- Service-principals en beheerde identiteiten
- Azure-RBAC-roltoewijzingen
- Toegangsaccounts voor noodgevallen (break-glass) (als ze niet bestaan).
Geautoriseerde uitbreidingspaden: mechanismen waarmee gebruikers van niet-bevoegde statussen kunnen overstappen, zoals:
- Tijdgebonden rolactivering met behulp van - Privileged Identity Management (PIM)
- Goedkeuringswerkstromen voor gevoelige rollen
- Expliciete beheersessies
Toegang tot herstel na noodgevallen: accounts voor break-glass configureren als deze nog niet bestaan.

Deze onderdelen opereren in de besturingslaag. Als ze zijn gecompromitteerd, kunnen aanvallers zichzelf bevoegde toegang verlenen zonder apparaten of toegangsbeleid aan te raken.

Risico’s beperkt

Risico	Waarom het belangrijk is	Fase 1-mitigatie
Onbeheerde creatie van bevoorrechte identiteiten	Aanvallers maken stilletjes nieuwe beheerdersaccounts of roltoewijzingen aan.	Definieer gezaghebbende bevoorrechte identiteiten en rollen. Beperken wie identiteitssystemen kan beheren. Identiteitssystemen behandelen als bevoegde assets.
Escalatie van stille bevoegdheden	Bevoegdheden die zijn verkregen via groepen, RBAC of geneste toewijzingen.	Rationaliseer rollen, gebruik toewijzingen op basis van groepen, verwijder permanente toegang.
Permanente (doorlopende) beheerderstoegang	Gestolen inloggegevens behouden permanent hun rechten.	Vervang staande bevoegdheden door tijdgebonden uitbreiding.
Zwakke of impliciete uitbreidingspaden	Aanvallers gebruiken dezelfde paden als beheerders.	Definieer beveiligde, expliciete en controleerbare werkstromen voor bevoegdheidsverhoging
Downstreambeveiligingen omzeilen	Bevoorrechte toegang verkregen vóór handhaving van apparaat- of beleidsregels.	Het identiteitscontrolevlak is als eerste beveiligd.
Onherstelbare identiteitsinbreuk	Geen veilige manier om controle te krijgen.	Maak beveiligde accounts voor toegang tot noodgevallen.
Laag beveiligingspostuur voor identiteiten	Zwakke identiteitscontroles ondermijnen alle latere fasen.	Verhoog identiteitssystemen tot het hoogste beveiligingsniveau.

Faseresultaten

Na het voltooien van deze fase:

Alle bevoegde toegang is gekoppeld aan bekende en expliciete identiteiten en rollen.
Alle bevoegdheden zijn tijdelijk, controleerbaar en opzettelijk.
Permanente beheerderstoegang wordt verwijderd.
Identiteitssystemen worden behandeld als bevoorrechte activa.
Herstel na inbreuk op identiteiten is mogelijk zonder dat de controles worden verzwakt.
Tijdens de modernisering ontstaat er geen nieuw risico met verhoogde bevoegdheden.

Deze fase voorkomt ook het ontstaan van nieuwe risico’s rond geprivilegieerde toegang terwijl audits en modernisering doorgaan.

Prerequisites

Voordat u fase 1 gaat configureren, moet u rekening houden met de volgende vereisten:

Raadpleeg de documentatie:

Raadpleeg het overzichtsartikel voor deze oplossing.
Doorloop het planningsartikel om te bepalen welke rollen en identiteiten bevoegd werk uitvoeren.

Binnen uw organisatie:

Zorg ervoor dat u een actieve Microsoft Entra ID-tenant hebt waarvan u de eigenaar bent. We raden Microsoft Entra ID P2 aan (voor privileged identity governance).
Bij deze oplossing wordt ervan uitgegaan dat u Microsoft 365 Enterprise E5 hebt. Zie Microsoft 365 Enterprise-licentieverlening voor meer informatie.
Zorg ervoor dat er ten minste twee accounts voor toegang tot noodgevallen zijn gedefinieerd.
Duidelijke verantwoordelijkheid voor identiteitsgovernance en rolbeheer.
Als u beveiligde beheerdersaccounts maakt, worden deze zichtbaar voor het werkstation dat tijdens de installatie wordt gebruikt. Zorg ervoor dat de initiële configuratie wordt uitgevoerd vanaf een bekend veilig apparaat.

Stap 1: Bevoegde toegang controleren

Maak een volledige inventarisatie van bevoegde identiteiten en toegangspaden. Controleer de volgende bronnen.

Source	Bijzonderheden
Microsoft Entra directory-rollen	Identificeer bevoorrechte rollen die direct of indirect tot tenantdominantie kunnen leiden door identiteits-, toegangs- of vertrouwensgrenzen in het identiteitsbeheervlak te wijzigen. Voor elke rol: - Directe versus groepstoewijzingen identificeren. - Permanente versus PIM-in aanmerking komende toewijzingen identificeren - Leg de huidige activeringsstatus vast.
Op groepen gebaseerde bevoegdheden	Ontdek wie indirect rechten heeft en over het hoofd zou worden gezien als u alleen naar gebruikers kijkt. - Geneste groepslidmaatschap controleren - Gebruikers, service-principals en beheerde identiteiten identificeren - Vastleggen hoe bevoegdheden worden overgenomen.
Azure RBAC-rollen	Ontdek wat deze bevoegde identiteiten buiten de map zelf kunnen doen. Controleer toewijzingen in beheergroep, abonnement en resourcebereiken. Identiteiten identificeren met brede of trapsgewijze machtigingen.
Niet-menselijke identiteiten	Ontdek welke niet-menselijke identiteiten deel uitmaken van het bevoegde toegangspad, waaronder: Service-principals en beheerde identiteiten Automatiseringsaccounts en scripts Toepassingsmachtigingen met controle op tenant- of resourceniveau.

Het resultaat is een gezaghebbende inventaris van bevoegde identiteiten.

Directory-rollen identificeren

Controleren wie de identiteit, verificatie of tenantbrede configuratie kan wijzigen.

Navigeer in het Microsoft Entra-beheercentrum naar Entra IDRoles & Beheerders.
Selecteer Alle rollen. Deze pagina bevat alle ingebouwde en aangepaste Microsoft Entra directoryrollen, waaronder beheerdersrollen voor de hele tenant, zoals globale beheerder en bevoorrechte rolbeheerder.
- Bevoorrechte rollen zijn rollen die rollen kunnen toewijzen, beveiliging/verificatie kunnen wijzigen of apps, apparaten of beveiligingsbeleid kunnen beheren.
- Er is ook een volledige lijst met bevoorrechte ingebouwde rollen beschikbaar in de documentatie.
Controleer voor elke bevoorrechte rol eerst de directe toewijzingen. Controleer voor elke rechtstreeks toegewezen principal (gebruiker, groep of service-principal (app/beheerde identiteit) hoe de rol wordt verleend en de huidige status.
- Een vaste toewijzing betekent dat de rol altijd actief is. Een identiteit meldt zich aan en is al bevoorrecht met de status Actief (permanent). Dit is uiteraard een hoog risico.
- Een in aanmerking komende PIM-toewijzing betekent dat de rol beschikbaar is, maar niet actief is totdat deze is geactiveerd. De gebruiker moet de rol activeren. Het is meestal tijdslimiet en vereist vaak een reden. De status kan Actief of In aanmerking zijn als de gebruiker bevoorrecht kan worden, maar momenteel niet actief is.
Schakel nu over naar groepstoewijzingen. Dit is belangrijk omdat hiermee de bevoegdheid wordt gecontroleerd die indirect wordt toegewezen via groepen.
Open elke groep waaraan de bevoorrechte rol is toegewezen.
Vouw groepsleden uit, vouw geneste groepen uit en noteer gebruikers, service-principals en beheerde identiteiten.
Controleer voor elke identiteit hoe de bevoegdheid wordt bewaard:
- Wordt de rol toegewezen via een groep of een geneste groep?
- Is de rol permanent of komt deze in aanmerking voor PIM?
- Wat is de huidige status?

Nadat u deze stap hebt voltooid, hebt u het identiteitsbeheervlak vastgelegd en beschikt u over een gezaghebbende identiteitsinventaris voor Microsoft Entra.

Azure RBAC-rollen identificeren

Nu u weet welke identiteiten bevoegd zijn, gaan we kijken wat ze buiten de Microsoft Entra Directory kunnen doen. Waar hebben ze nog meer controle, en op welk niveau?

Bepaal rollen voor elke bevoegde principal die u hebt geïdentificeerd.
Begin bij het hoogste bereik (beheergroepen).
1. Ga in de Azure portal >Managementgroepen naar **Toegangsbeheer (IAM) >Role-toewijzingen.
2. Gebruik Filter>Toegewezen aan en zoek naar de naam van de principal.
3. Noteer eventuele resultaten, inclusief rolnaam en bereik.
Als u hier identiteiten aantreft, betekent dit dat ze brede controle over Azure hebben, omdat Azure RBAC-rollen die zijn toegewezen op het beheergroepbereik doorwerken naar alle onderliggende abonnementen en resources.
Volg nu dezelfde procedures voor Azure portal >Subscriptions.

Identiteiten met Azure RBAC-rollen die zijn toegewezen op abonnementsniveau, zijn bevoegd en kunnen toegang verlenen of delegeren.
Als identiteiten niet zijn gevonden op het niveau van de beheergroep of het abonnement, kunt u met dezelfde procedure in Azure portal controleren >Resourcegroepen.
U kunt ook controleren of principals controle hebben over strategische afzonderlijke resources, zoals Key Vaults, opslagaccounts, virtuele machines of automation-accounts. Controleer daarvoor Toegangsbeheer (IAM)>Toegewezen aan voor elke afzonderlijke resource.

Resultaten vastleggen

Leg voor elk account dat u hebt geïdentificeerd de auditgegevens vast in een koppeltabel.

Identificeer risicovolle accounts met uitgebreide bevoegdheden en maak een overzichtstabel die informatie biedt over de reikwijdte van de rol (impactbereik) en het type werk.

Account	Entra-rol	Azure RBAC-rol	Scope	Werk met verhoogde bevoegdheden
alice@contoso.com	Globale beheerder	Eigenaar	Sub1, Sub2	Gebruikers, rollen, abonnementen beheren.

Als u meer wilt toevoegen over waargenomen gedrag voor een account, kunt u het volgende doen:
1. Bekijk aanmeldingslogboeken voor informatie over apps, clienteindpunten en verificatiestromen.
2. Correleer informatie met audit- en activiteitenlogboeken om te controleren of een account wordt gebruikt en of het beleid heeft gewijzigd, resources/abonnementen heeft gewijzigd of een andere activiteit heeft uitgevoerd.

Stap 2: Uw bestaande configuratie evalueren

Met uw inventaris kunt u het hulpprogramma Zero Trust Assessment gebruiken om te evalueren hoe bevoegde toegang in uw omgeving is geconfigureerd en hiaten in de controle te identificeren.

Hoewel het evaluatieprogramma geen volledige inventaris vervangt, worden rol- en beleidsgegevens gebruikt als invoer om u te helpen begrijpen of:

Bevoorrechte rollen zijn beveiligd (MFA, voorwaardelijke toegang).
Bevoegde toegang wordt beheerd (PIM, JIT/JEA-patronen).
Beleidsregels worden consistent toegepast.
Hiaten bestaan tussen identiteiten, apparaten en toegangsbeleid.

Meer informatie over het beoordelen van identiteiten met het hulpprogramma.

Stap 3: Toegewezen beheeridentiteiten instellen

Bevoorrechte rollen verwijderen uit standaardgebruikersaccounts.

Maak aparte beheerdersaccounts die:

Worden alleen gebruikt voor bevoegde taken
Geen productiviteitstoegang (e-mail, Teams, browsen)
Komen in aanmerking voor bevoegdheden via PIM, niet permanent toegewezen

Verwijder alle bevoorrechte roltoewijzingen uit standaardgebruikersidentiteiten.

Beheerdersaccounts maken

Navigeer in het Microsoft Entra-beheercentrum naar Microsoft Entra ID>Gebruiker.
Selecteer Nieuwe gebruiker en configureer de gebruikersinstellingen. selecteer vervolgens Maken.
- Naam: Beveiligd werkstationbeheerder.
- Gebruikersprincipalnaam: secure-ws-admin@contoso.com
- Verificatiemethode: Wachtwoord (tijdelijk).
- Directory-rollen: Niet toewijzen.
- Gebruikslocatie: Ingesteld op operationele locatie.

Dit biedt u een schone beheerdersidentiteit zonder bevoegdheden.

Stap 4: Identiteiten maken voor PAW's

In latere procedures stelt u een privileged admin workstation (PAW) in.

Als u identiteiten wilt definiëren die toegang hebben tot PAW's, maar die geen bevoegde acties kunnen uitvoeren, kunt u het volgende doen:

Maak een identiteit die zich alleen kan aanmelden bij PAW's.
Maak een beveiligingsgroep die bepaalt wie zich mag aanmelden bij de PAW's.
- Deze groep verleent nooit beheerdersrechten. Deze wordt gebruikt voor:
  - Voorwaardelijke toegang, waaronder alleen beveiligde werkstationgebruikers toestaan zich aan te melden bij PAW's en andere gebruikers te blokkeren.
  - Specifieke groepsgebaseerde PAW-licenties toepassen.
- Typische leden van deze groep zijn SOC-analisten, operators en auditors.

Navigeer in het Microsoft Entra-beheercentrum naar Microsoft Entra ID>Gebruiker.
Selecteer Nieuwe gebruiker en configureer de gebruikersinstellingen. Klik vervolgens op Maken.
- Naam: Gebruiker van beveiligd werkstation
- Gebruikersprincipalnaam: secure-ws-user@contoso.com
- Directory-rollen: wijs niet toe

Een PAW-toegangsbeveiligingsgroep maken

Een groep configureren die bepaalt wie zich kan aanmelden bij de PAW's

Navigeer in het Microsoft Entra-beheercentrum naar Microsoft Entra ID>Groups>Nieuwe groep.
Stel de groepsinstellingen in en selecteer vervolgens Maken.
- Groepstype: Beveiliging
- Groepsnaam: Gebruikers van beveiligd werkstation
- Lidmaatschap: Toegewezen
Voeg alleen PAW-aanmeldingsidentiteiten toe aan de groep, niet standaard beheerders.

Stap 5: Beheerbeheergroepen maken

Maak beveiligingsgroepen die definiëren wie in aanmerking komt voor bevoorrechte rollen. Deze groepen:

Zijn gemarkeerd als roltoewijzingsbaar
Worden beheerd via PIM
Ken niet alleen op basis van lidmaatschap rechten toe
Fungeren als autorisatiegrenzen voor uitbreiding

Lidmaatschapswijzigingen worden behandeld als bevoegde acties en regelmatig gecontroleerd

Navigeer in het Microsoft Entra-beheercentrum naar Microsoft Entra ID>Groups>Nieuwe groep.
Stel de groepsinstellingen in en selecteer vervolgens Maken.
- Groepstype: Beveiliging
- Naam: Beheerders van beveiligde werkstations
- Type lidmaatschap: Toegewezen
Voeg toegewezen beheerdersidentiteiten toe. Gebruik geen standaardaccounts en behandel lidmaatschapswijzigingen als gevoelig. Controleer regelmatig.

Deze groep zal later zijn:

Gemarkeerd als roltoewijzing
Toegewezen directoryrollen via PIM als in aanmerking komend (niet actief)
Gebruik dit als het primaire toewijzingsmechanisme voor beleid voor bevoorrechte toegang

Stap 6: PIM configureren

Als Privileged Identity Management nog niet is ingeschakeld, doet u dat nu.

Zorg ervoor dat u bent aangemeld als globale beheerder of beheerder van bevoorrechte rollen.

PIM inschakelen voor rollen in de directory

Navigeer in het Microsoft Entra-beheercentrum naar Identiteitsbeheer>Privileged Identity Management.
Selecteer Microsoft Entra-rollen.

Permanente rollen verwijderen

Selecteer in Microsoft Entra-rollenRollen.
Bevoorrechte toegangsrollen openen die zijn geïdentificeerd voor uw organisatie.

De minimale set die door Microsoft wordt aanbevolen, is als volgt: - Globale beheerder - Beheerder met bevoorrechte rol - Beveiligingsbeheerder - Exchange-beheerder - SharePoint-beheerder
Selecteer Opdrachten.
Voor elke actieve (permanente) toewijzing:
- De permanente toewijzing verwijderen
- Voeg de gebruiker of groep opnieuw toe als In aanmerking komend.

Daarna hebben gebruikers geen beheerdersbevoegdheden, tenzij ze ze activeren.

Activeringsinstellingen configureren

Ga als volgt te werk voor elke bevoorrechte rol:

Selecteer in PIM>Microsoft Entra-rollenInstellingen.
Selecteer de rol >Bewerken.
Instellingen configureren:
- Activatie vereisen
- MFA vereisen bij activering
- Toelichting vereisen
- Maximale activeringsduur instellen (bijvoorbeeld: 1-4 uur voor high-impact-rollen)
- Goedkeuring vereisen (voor globale beheerder, beheerder met bevoorrechte rol, beveiligingsbeheerder)
- Selecteer een of meer goedkeurders
Kies Bijwerken.

Op groepen gebaseerde roltoewijzingen gebruiken

We raden u aan rollen toe te wijzen aan groepen, niet aan afzonderlijke gebruikers, voor schaal en governance.

Maak een door rollen toewijsbare beveiligingsgroep en wijs deze toe aan een Entra-rol (bijvoorbeeld Exchange-beheerder). Beheer vervolgens het lidmaatschap (wie kan de rol krijgen) via uw governanceproces en eventueel via PIM voor groepen.

Maak een beveiligingsgroep met de instelling Microsoft Entra rollen kunnen worden toegewezen aan deze groep ingeschakeld.
Selecteer in PIM >Microsoft Entra roles, Toewijzingen toevoegen.
Wijs de groep toe als In aanmerking komend voor de rol.
Gebruikers toevoegen aan of verwijderen uit de groep in plaats van roltoewijzingen rechtstreeks te wijzigen.

Deze groep wordt de autorisatiegrens voor bevoegde toegang.

Na voltooiing van stap 6 is het volgende geconfigureerd:

Geen permanente beheerderstoegang
Bevoegdheid wordt aangevraagd, goedgekeurd, tijdgebonden, geregistreerd
Paden voor bevoegdheidsverhoging zijn expliciet en beoordeelbaar

Stap 7: Accounts voor noodgevallen configureren

Als u nog geen accounts voor noodtoegang hebt, configureert u deze nu. Ze moeten worden hersteld uit scenario's voor identiteitsvergrendeling die worden veroorzaakt door voorwaardelijke toegang, MFA-storingen of onjuiste configuratie.

Zorg ervoor dat u bent aangemeld als globale beheerder of beheerder met bevoorrechte rol om ten minste twee accounts voor toegang tot noodgevallen te maken.

Navigeer in het Microsoft Entra-beheercentrum naar Gebruikers>All users.
Selecteer Nieuwe gebruiker en maak een cloudgebruiker.

Het domein *.onmicrosoft.com gebruiken
Gebruik een niet-voor de hand liggende naam (niet 'break glass')

Wijs de rol Globale beheerder toe.

Zorg ervoor dat deze rol niet in aanmerking komt voor PIM. Deze moet permanent zijn.
Gebruik een sterk, lang wachtwoord dat veilig offline is opgeslagen.
Phishing-bestendige verificatie configureren (bijvoorbeeld FIDO2/wachtwoordsleutel of verificatie op basis van certificaten)
Koppel MFA niet aan een persoonlijke telefoon of e-mailadres.

Herhaal dit om een tweede account voor noodgevallen te maken.

Accounts voor noodgevallen uitsluiten van voorwaardelijke toegang

Dit zorgt ervoor dat herstel altijd mogelijk is.

Navigeer in het Microsoft Entra-beheercentrum naar Protection>Conditional Access.
Voor elk beleid:
- Opdrachten bewerken.
- Sluit ten minste één account voor toegang tot noodgevallen uit.

Zorg ervoor dat u geen gewone beheerdersaccounts uitsluit, alleen de accounts voor noodgevallen.

Gebruik van noodaccounts bewaken

Waarschuwingen inschakelen op:
- Aanmeldingen van noodaccounts
- Rolwijzigingen met betrekking tot deze accounts
Behandel elk gebruik als een beveiligingsincident, tenzij dit vooraf is goedgekeurd.
Controleer regelmatig het gebruik.

Na voltooiing van stap 7 is het volgende geconfigureerd:

Het identity control plane kan worden hersteld
Latere fasen (PAW's, voorwaardelijke toegang) riskeren geen permanente vergrendeling
Noodtoegang is geïsoleerd, wordt bewaakt en wordt zelden gebruikt

Volgende stappen

Nadat u het identiteitsbeheervlak hebt beveiligd, kunt u beperken waar bevoegdheden kunnen worden uitgeoefend met beveiligde PAW's (Privileged Access Workstations).

Feedback

Is deze pagina nuttig?

Last updated on 2026-06-01