Standaardinstellingen voor beveiliging plannen

  • 2 minuten

Het beheren van beveiliging kan lastig zijn met veelvoorkomende identiteitsgerelateerde aanvallen, zoals wachtwoordspray, herhaling en phishing, die steeds populairder worden. Standaardinstellingen voor beveiliging bieden veilige standaardinstellingen die Microsoft namens organisaties beheert om klanten veilig te houden totdat organisaties klaar zijn om hun eigen identiteitsbeveiligingsverhaal te beheren. Standaardinstellingen voor beveiliging bieden vooraf geconfigureerde beveiligingsinstellingen, zoals:

  • Vereisen dat alle gebruikers zich registreren voor meervoudige verificatie.

  • Beheerders verplichten meervoudige verificatie uit te voeren.

  • Verouderde verificatieprotocollen blokkeren.

  • Gebruikers verplichten om meervoudige verificatie uit te voeren wanneer dat nodig is.

  • Bevoegde activiteiten beschermen, zoals toegang tot Azure Portal.

    Schermopname van het Microsoft Entra-beheercentrum met de wisselknop om de standaardinstellingen voor beveiliging in te schakelen.

Beschikbaarheid

Microsoft-beveiligingsstandaarden zijn beschikbaar voor iedereen. Het doel is ervoor te zorgen dat alle organisaties een basisniveau van beveiliging hebben ingeschakeld zonder extra kosten. U schakelt standaardinstellingen voor beveiliging in azure Portal in. Als uw tenant is gemaakt op of na 22 oktober 2019, is het mogelijk dat de standaardinstellingen voor beveiliging al zijn ingeschakeld in uw tenant. Om al onze gebruikers te beschermen, wordt de standaardfunctie voor beveiliging geïmplementeerd voor alle nieuwe tenants die zijn gemaakt.

Voor wie is het bedoeld?

Wie moet de standaardinstellingen voor beveiliging gebruiken? Wie mag geen standaardinstellingen voor beveiliging gebruiken?
Organisaties die hun beveiligingspostuur willen verhogen, maar niet weten hoe of waar ze moeten beginnen Organisaties die momenteel beleid voor voorwaardelijke toegang gebruiken om signalen samen te brengen, beslissingen te nemen en organisatiebeleid af te dwingen
Organisaties die gebruikmaken van de gratis laag van Microsoft Entra ID-licenties Organisaties met Microsoft Entra ID Premium-licenties
Organisaties met complexe beveiligingsvereisten die het gebruik van voorwaardelijke toegang rechtvaardigen

Beleid gehandhaafd

Registratie van geïntegreerde meervoudige verificatie

Alle gebruikers in uw tenant moeten zich registreren voor meerfactorauthenticatie (MFA) in de vorm van deze authenticatie. Gebruikers hebben 14 dagen de tijd om zich te registreren voor meervoudige verificatie binnen Microsoft Entra ID met behulp van de Microsoft Authenticator-app. Nadat de 14 dagen zijn verstreken, kan de gebruiker zich pas aanmelden als de registratie is voltooid. De periode van veertien dagen voor een gebruiker begint na de eerste geslaagde interactieve aanmelding nadat de standaardinstellingen voor beveiliging zijn ingeschakeld.

Beheerders beveiligen

Gebruikers met bevoorrechte toegang hebben meer toegang tot uw omgeving. Vanwege de kracht die deze accounts hebben, moet u ze met speciale zorg behandelen. Een veelgebruikte methode voor het verbeteren van de beveiliging van bevoegde accounts is door een sterkere vorm van accountverificatie voor aanmelding te vereisen. In Microsoft Entra ID kunt u een sterkere accountverificatie krijgen door meervoudige verificatie te vereisen.

Nadat de registratie met Multifactor Authentication is voltooid, moeten de volgende negen Microsoft Entra-beheerdersrollen extra verificatie uitvoeren wanneer ze zich aanmelden:

  • Globale beheerder
  • SharePoint-beheerder
  • Exchange-beheerder
  • Beheerder voor voorwaardelijke toegang
  • Beveiligingsbeheer
  • Helpdeskbeheerder
  • Factureringsbeheerder
  • Gebruikersbeheerder
  • Verificatiebeheerder

Alle gebruikers beveiligen

We denken vaak dat beheerdersaccounts de enige accounts zijn die extra verificatielagen nodig hebben. Beheerders hebben ruime toegang tot gevoelige informatie en kunnen wijzigingen aanbrengen in de instellingen voor het hele abonnement. Maar aanvallers richten zich vaak op eindgebruikers.

Nadat deze aanvallers toegang hebben, kunnen ze namens de oorspronkelijke accounthouder toegang vragen tot bevoegde informatie. Ze kunnen zelfs de hele map downloaden om een phishing-aanval uit te voeren op uw hele organisatie.

Een veelgebruikte methode voor het verbeteren van de beveiliging voor alle gebruikers is het vereisen van een sterkere vorm van accountverificatie, zoals meervoudige verificatie, voor iedereen. Nadat gebruikers multifactor authentication-registratie hebben voltooid, wordt ze zo nodig om aanvullende verificatie gevraagd. Deze functionaliteit beveiligt alle toepassingen die zijn geregistreerd bij Microsoft Entra ID, inclusief SaaS-toepassingen.

Verouderde verificatie blokkeren

Om uw gebruikers eenvoudig toegang te geven tot uw cloud-apps, ondersteunt Microsoft Entra ID diverse verificatieprotocollen, waaronder verouderde verificatie. Verouderde verificatie is een authenticatieverzoek dat wordt ingediend door:

  • Clients die geen moderne verificatie gebruiken (bijvoorbeeld een Office 2010-client). Moderne verificatie omvat clients die protocollen implementeren, zoals OAuth 2.0, ter ondersteuning van functies zoals meervoudige verificatie en smartcards. Verouderde verificatie ondersteunt doorgaans alleen minder veilige mechanismen, zoals wachtwoorden.
  • Client die gebruikmaakt van e-mailprotocollen zoals IMAP, SMTP of POP3.

Tegenwoordig komt het merendeel van de compromitterende aanmeldingspogingen uit de verouderde verificatie. Verouderde verificatie biedt geen ondersteuning voor meervoudige verificatie. Zelfs als u een meervoudig verificatiebeleid hebt ingeschakeld voor uw directory, kan een aanvaller zich verifiëren met behulp van een ouder protocol en meervoudige verificatie omzeilen.

Nadat de standaardinstellingen voor beveiliging in uw tenant zijn ingeschakeld, worden alle verificatieaanvragen van een ouder protocol geblokkeerd. Standaardinstellingen voor beveiliging blokkeren basisverificatie van Exchange Active Sync.