Configuraties van Zero Trust-identiteiten en -apparaattoegang
Het huidige personeel heeft toegang nodig tot toepassingen en resources die buiten de traditionele bedrijfsnetwerkgrenzen bestaan. Beveiligingsarchitecturen die afhankelijk zijn van netwerkfirewalls en VPN's (Virtual Private Networks) om de toegang tot resources te isoleren en te beperken, zijn niet langer voldoende.
Om deze nieuwe wereld van computing aan te pakken, raadt Microsoft ten zeerste het Zero Trust-beveiligingsmodel aan, dat is gebaseerd op deze leidende principes:
- Expliciet controleren: verifieer en autoriseer altijd op basis van alle beschikbare gegevenspunten. Bij deze verificatie zijn Zero Trust identiteits- en apparaattoegangsbeleid van cruciaal belang voor aanmelding en doorlopende validatie.
- Minimale toegangsrechten gebruiken: beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbescherming.
- Stel schending in: straal van explosie en segmenttoegang minimaliseren. Controleer end-to-endversleuteling en gebruik analyses om zichtbaarheid te krijgen, bedreigingsdetectie te stimuleren en de verdediging te verbeteren.
Dit is de algemene architectuur van Zero Trust:
Zero Trust identiteits- en apparaattoegangsbeleid hebben betrekking op het expliciet leidende principe Verifiëren voor:
- Identiteiten: wanneer een identiteit toegang probeert te krijgen tot een resource, controleert u die identiteit met sterke verificatie en controleert u of de aangevraagde toegang compatibel en gebruikelijk is.
- Apparaten (ook wel eindpunten genoemd): bewaak en dwing apparaatstatus- en nalevingsvereisten af voor beveiligde toegang.
- Toepassingen: besturingselementen en technologieën toepassen op:
- Zorg voor de juiste in-app-machtigingen.
- Toegang beheren op basis van realtime analyses.
- Controleren op abnormaal gedrag
- Gebruikersacties beheren.
- Veilige configuratieopties valideren.
In deze reeks artikelen wordt een set configuraties en beleidsregels voor identiteits- en apparaattoegang beschreven met behulp van Microsoft Entra ID, voorwaardelijke toegang, Microsoft Intune en andere functies. Deze configuraties en beleidsregels bieden Zero Trust toegang tot Microsoft 365 voor zakelijke cloud-apps en -services, andere SaaS-services en on-premises toepassingen die zijn gepubliceerd met Microsoft Entra toepassingsproxy.
Zero Trust instellingen en beleidsregels voor identiteits- en apparaattoegang worden aanbevolen in drie lagen:
- Uitgangspunt.
- Enterprise.
- Gespecialiseerde beveiliging voor omgevingen met sterk gereglementeerde of geclassificeerde gegevens.
Deze lagen en de bijbehorende configuraties bieden consistente niveaus van Zero Trust beveiliging voor uw gegevens, identiteiten en apparaten. Deze mogelijkheden en hun aanbevelingen:
- Worden ondersteund in Microsoft 365 E3 en Microsoft 365 E5.
- Zijn afgestemd op microsoft-beveiligingsscore en identiteitsscore in Microsoft Entra ID. Als u de aanbevelingen volgt, worden deze scores voor uw organisatie verhoogd.
- Help u bij het implementeren van deze vijf stappen voor het beveiligen van uw identiteitsinfrastructuur.
Als uw organisatie unieke vereisten of complexiteiten heeft, gebruikt u deze aanbevelingen als uitgangspunt. De meeste organisaties kunnen deze aanbevelingen echter implementeren zoals voorgeschreven.
Bekijk deze video voor een kort overzicht van identiteits- en apparaattoegangsconfiguraties voor Microsoft 365 voor ondernemingen.
Opmerking
Microsoft verkoopt ook Enterprise Mobility + Security (EMS)-licenties voor Office 365-abonnementen. Ems E3- en EMS E5-mogelijkheden zijn gelijkwaardig aan die in Microsoft 365 E3 en Microsoft 365 E5. Zie EMS-plannen voor meer informatie.
Beoogde doelgroep
Deze aanbevelingen zijn bedoeld voor ondernemingsarchitecten en IT-professionals die bekend zijn met Microsoft 365-cloudproductiviteits- en beveiligingsservices. Deze services omvatten Microsoft Entra ID (identiteit), Microsoft Intune (apparaatbeheer) en Microsoft Purview Informatiebeveiliging (gegevensbescherming).
Klantomgeving
De aanbevolen beleidsregels zijn van toepassing op bedrijfsorganisaties die zowel volledig binnen de Microsoft-cloud als voor klanten met een hybride identiteitsinfrastructuur werken. Een hybride identiteitsstructuur is een on-premises Active Directory forest dat wordt gesynchroniseerd met Microsoft Entra ID.
Veel van onze aanbevelingen zijn afhankelijk van services die alleen beschikbaar zijn met de volgende licenties:
- Microsoft 365 E5.
- Microsoft 365 E3 met de invoegtoepassing E5-beveiliging.
- EMS E5.
- Microsoft Entra ID P2-licenties.
Voor organisaties die niet over deze licenties beschikken, raden we u aan ten minste standaardinstellingen voor beveiliging te implementeren, die zijn opgenomen in alle Microsoft 365-abonnementen.
Waarschuwingen
Uw organisatie is mogelijk onderworpen aan wettelijke of andere nalevingsvereisten, waaronder specifieke aanbevelingen waarvoor u beleid moet toepassen dat afwijkt van deze aanbevolen configuraties. Deze configuraties raden gebruiksbeheer aan die in het verleden niet beschikbaar waren. We raden deze besturingselementen aan omdat we denken dat ze een evenwicht vertegenwoordigen tussen beveiliging en productiviteit.
We hebben ons best gedaan om rekening te houden met een groot aantal beveiligingsvereisten van de organisatie, maar we kunnen niet alle mogelijke vereisten of alle unieke aspecten van uw organisatie verantwoorden.
Drie beveiligingsniveaus
De meeste organisaties hebben specifieke vereisten met betrekking tot beveiliging en gegevensbescherming. Deze vereisten variëren per branchesegment en per functie binnen organisaties. Uw juridische afdeling en beheerders kunnen bijvoorbeeld aanvullende beveiligings- en informatiebeveiligingscontroles vereisen voor hun e-mailcorrespondentie die niet vereist zijn voor andere bedrijfsonderdelen.
Elke branche heeft ook zijn eigen set gespecialiseerde voorschriften. We proberen geen lijst met alle mogelijke beveiligingsopties of een aanbeveling per branchesegment of functie op te geven. In plaats daarvan doen we aanbevelingen voor drie beveiligingsniveaus en beveiligingsniveaus die kunnen worden toegepast op basis van de granulariteit van uw behoeften.
- Uitgangspunt: We raden alle klanten aan een minimale standaard op te stellen en te gebruiken voor het beveiligen van gegevens, evenals de identiteiten en apparaten die toegang hebben tot uw gegevens. U kunt deze aanbevelingen volgen om sterke standaardbeveiliging te bieden als uitgangspunt voor alle organisaties.
- Onderneming: sommige klanten hebben een subset met gegevens die op hogere niveaus moeten worden beveiligd, of alle gegevens moeten op een hoger niveau worden beveiligd. U kunt verhoogde beveiliging toepassen op alle of specifieke gegevenssets in uw Microsoft 365-omgeving. We raden u aan identiteiten en apparaten die toegang hebben tot gevoelige gegevens te beveiligen met vergelijkbare beveiligingsniveaus.
- Gespecialiseerde beveiliging: indien nodig hebben een paar klanten een kleine hoeveelheid gegevens die sterk zijn geclassificeerd, handelsgeheimen vormen of worden gereguleerd. Microsoft biedt mogelijkheden om deze klanten te helpen aan deze vereisten te voldoen, waaronder extra beveiliging voor identiteiten en apparaten.
Deze richtlijnen laten zien hoe u Zero Trust-beveiliging voor identiteiten en apparaten implementeert voor elk van deze beveiligingsniveaus. Gebruik deze richtlijnen minimaal voor uw organisatie en pas het beleid aan om te voldoen aan de specifieke vereisten van uw organisatie.
Het is belangrijk om consistente beveiligingsniveaus te gebruiken voor uw identiteiten, apparaten en gegevens. Beveiliging voor gebruikers met prioriteitsaccounts, zoals leidinggevenden, leidinggevenden, managers en anderen, moet bijvoorbeeld hetzelfde niveau van beveiliging omvatten voor hun identiteiten, hun apparaten en de gegevens die ze openen.
Zie ook de oplossing Gegevensbescherming implementeren voor regelgeving voor gegevensprivacy om gegevens te beveiligen die zijn opgeslagen in Microsoft 365.
Afwegingen tussen beveiliging en productiviteit
Voor het implementeren van een beveiligingsstrategie zijn afwegingen tussen beveiliging en productiviteit vereist. Het is handig om te evalueren hoe elke beslissing van invloed is op de balans tussen beveiliging, functionaliteit en gebruiksgemak.
De verstrekte aanbevelingen zijn gebaseerd op de volgende principes:
- Ken uw gebruikers en wees flexibel in hun beveiligings- en functionele vereisten.
- Pas een beveiligingsbeleid just-in-time toe en zorg ervoor dat het zinvol is.
Services en concepten voor Zero Trust identiteits- en apparaattoegangsbeveiliging
Microsoft 365 voor ondernemingen is ontworpen voor grote organisaties om iedereen in staat te stellen creatief te zijn en veilig samen te werken.
In deze sectie vindt u een overzicht van de Microsoft 365-services en -mogelijkheden die belangrijk zijn voor Zero Trust identiteit en apparaattoegang.
Microsoft Entra ID
Microsoft Entra ID biedt een volledige suite met mogelijkheden voor identiteitsbeheer. We raden u aan deze mogelijkheden te gebruiken om de toegang te beveiligen.
| Functie | Beschrijving | Licenties |
|---|---|---|
| Meervoudige verificatie (MFA) | MFA vereist dat gebruikers twee vormen van verificatie opgeven, zoals een gebruikerswachtwoord plus een melding van de Microsoft Authenticator-app of een telefoongesprek. MFA vermindert het risico dat gestolen referenties kunnen worden gebruikt voor toegang tot uw omgeving aanzienlijk. Microsoft 365 maakt gebruik van de Microsoft Entra meervoudige verificatieservice voor MFA-aanmeldingen. | Microsoft 365 E3 of E5 |
| Voorwaardelijke toegang | Microsoft Entra ID evalueert de voorwaarden van de gebruikersaanmelding en gebruikt beleid voor voorwaardelijke toegang om de toegestane toegang te bepalen. In deze richtlijnen laten we u bijvoorbeeld zien hoe u een beleid voor voorwaardelijke toegang maakt om apparaatcompatibiliteit te vereisen voor toegang tot gevoelige gegevens. Dit vermindert het risico dat een hacker met een eigen apparaat en gestolen referenties toegang heeft tot uw gevoelige gegevens. Het beschermt ook gevoelige gegevens op de apparaten, omdat de apparaten moeten voldoen aan specifieke vereisten voor status en beveiliging. | Microsoft 365 E3 of E5 |
| Microsoft Entra groepen | Beleid voor voorwaardelijke toegang, apparaatbeheer met Intune en zelfs machtigingen voor bestanden en sites in uw organisatie zijn afhankelijk van de toewijzing aan gebruikersaccounts of Microsoft Entra groepen. U wordt aangeraden Microsoft Entra groepen te maken die overeenkomen met de beveiligingsniveaus die u implementeert. Uw leidinggevenden zijn bijvoorbeeld waarschijnlijk doelwitten van hogere waarde voor hackers. Daarom is het zinvol om de gebruikersaccounts van deze werknemers toe te voegen aan een Microsoft Entra groep en deze groep toe te wijzen aan beleid voor voorwaardelijke toegang en andere beleidsregels die een hoger beschermingsniveau voor toegang afdwingen. | Microsoft 365 E3 of E5 |
| Apparaatinschrijving | U schrijft een apparaat in bij Microsoft Entra ID om een identiteit voor het apparaat te maken. Deze identiteit wordt gebruikt om het apparaat te verifiëren wanneer een gebruiker zich aanmeldt en om beleid voor voorwaardelijke toegang toe te passen waarvoor pc's zijn vereist die lid zijn van een domein of compatibel zijn. Voor deze richtlijnen gebruiken we apparaatinschrijving om windows-computers die lid zijn van een domein automatisch in te schrijven. Apparaatinschrijving is een vereiste voor het beheren van apparaten met Intune. | Microsoft 365 E3 of E5 |
| Microsoft Entra ID Protection | Hiermee kunt u potentiële beveiligingsproblemen detecteren die van invloed zijn op de identiteiten van uw organisatie en geautomatiseerd herstelbeleid configureren naar een laag, gemiddeld en hoog aanmeldingsrisico en gebruikersrisico. Deze richtlijnen zijn afhankelijk van deze risicoanalyse om beleid voor voorwaardelijke toegang toe te passen voor meervoudige verificatie. Deze richtlijnen bevatten ook een beleid voor voorwaardelijke toegang dat vereist dat gebruikers hun wachtwoord wijzigen als er activiteiten met een hoog risico voor hun account worden gedetecteerd. | Microsoft 365 E5 Microsoft 365 E3 met de E5 Security-invoegtoepassing, EMS E5- of Microsoft Entra ID P2-licenties |
| Selfservice voor wachtwoordherstel (SSPR) | Sta uw gebruikers toe hun wachtwoorden veilig en zonder tussenkomst van de helpdesk opnieuw in te stellen door verificatie van meerdere verificatiemethoden te bieden die de beheerder kan beheren. | Microsoft 365 E3 of E5 |
| wachtwoordbeveiliging Microsoft Entra | Detecteer en blokkeer bekende zwakke wachtwoorden en hun varianten en aanvullende zwakke termen die specifiek zijn voor uw organisatie. Standaard algemene lijsten met verboden wachtwoorden worden automatisch toegepast op alle gebruikers in een Microsoft Entra tenant. U kunt aanvullende vermeldingen definiëren in een aangepaste lijst met geblokkeerde wachtwoorden. Als gebruikers hun wachtwoord wijzigen of opnieuw instellen, worden deze verboden wachtwoordlijsten ingeschakeld om het gebruik van sterke wachtwoorden af te dwingen. | Microsoft 365 E3 of E5 |
Dit zijn de onderdelen van Zero Trust identiteits- en apparaattoegang, waaronder Intune en Microsoft Entra objecten, instellingen en subservices.
Microsoft Intune
Intune is de cloudservice voor het beheer van mobiele apparaten van Microsoft. In deze richtlijnen wordt aanbevolen apparaatbeheer van Windows-pc's met Intune en configuraties van nalevingsbeleid voor apparaten. Intune bepaalt of apparaten compatibel zijn en verzendt deze gegevens naar Microsoft Entra ID voor gebruik bij het toepassen van beleid voor voorwaardelijke toegang.
Intune app-beveiliging
Intune app-beveiligingsbeleid kan worden gebruikt om de gegevens van uw organisatie in mobiele apps te beveiligen, met of zonder apparaten in te schrijven voor beheer. Intune helpt informatie te beveiligen, ervoor te zorgen dat uw werknemers nog steeds productief kunnen zijn en gegevensverlies te voorkomen. Door beleid op app-niveau te implementeren, kunt u de toegang tot bedrijfsresources beperken en gegevens binnen de controle van uw IT-afdeling houden.
Deze richtlijnen laten zien hoe u aanbevolen beleidsregels maakt om het gebruik van goedgekeurde apps af te dwingen en om te bepalen hoe deze apps kunnen worden gebruikt met uw zakelijke gegevens.
Microsoft 365
Deze richtlijnen laten zien hoe u een set beleidsregels implementeert om de toegang tot Microsoft 365-cloudservices te beveiligen, waaronder Microsoft Teams, Exchange, SharePoint en OneDrive. Naast het implementeren van dit beleid wordt u aangeraden ook het beveiligingsniveau voor uw tenant te verhogen met behulp van deze resources:
Windows 11 of Windows 10 met Microsoft 365-apps voor ondernemingen
Windows 11 of Windows 10 met Microsoft 365-apps voor ondernemingen is de aanbevolen clientomgeving voor pc's. We raden Windows 11 of Windows 10 aan, omdat Microsoft Entra is ontworpen om zowel on-premises als Microsoft Entra ID een zo soepel mogelijke ervaring te bieden. Windows 11 of Windows 10 bevat ook geavanceerde beveiligingsmogelijkheden die kunnen worden beheerd via Intune. Microsoft 365-apps voor ondernemingen bevat de nieuwste versies van Office-toepassingen. Deze maken gebruik van moderne verificatie, wat veiliger is en een vereiste is voor voorwaardelijke toegang. Deze apps bevatten ook verbeterde hulpprogramma's voor naleving en beveiliging.
Deze mogelijkheden toepassen op de drie beveiligingsniveaus
De volgende tabel bevat een overzicht van onze aanbevelingen voor het gebruik van deze mogelijkheden in de drie beveiligingsniveaus.
| Beveiligingsmechanisme | Uitgangspunt | Enterprise | Gespecialiseerde beveiliging |
|---|---|---|---|
| MFA afdwingen | Gemiddeld of hoger aanmeldingsrisico | Bij een laag of hoger aanmeldingsrisico | Voor alle nieuwe sessies |
| Wachtwoordwijziging afdwingen | Voor gebruikers met een hoog risico | Voor gebruikers met een hoog risico | Voor gebruikers met een hoog risico |
| Toepassingsbeveiliging Intune afdwingen | Ja | Ja | Ja |
| Inschrijving van Intune afdwingen voor apparaten die eigendom zijn van de organisatie | Een compatibele pc vereisen of lid zijn van een domein, maar BYOD-telefoons en -tablets (Bring Your Own Devices) toestaan | Een compatibel apparaat of apparaat dat lid is van een domein vereisen | Een compatibel apparaat of apparaat dat lid is van een domein vereisen |
Apparaateigendom
De bovenstaande tabel weerspiegelt de trend voor veel organisaties om een combinatie van apparaten in bedrijfseigendom en persoonlijke apparaten of BYOD's te ondersteunen om mobiele productiviteit voor het hele personeel mogelijk te maken. Intune app-beveiligingsbeleid zorgt ervoor dat e-mail wordt beveiligd tegen exfiltratie uit de mobiele Outlook-app en andere mobiele Office-apps, zowel op apparaten die eigendom zijn van de organisatie als BYOD's.
We raden u aan dat apparaten die eigendom zijn van de organisatie worden beheerd door Intune of lid zijn van een domein om extra beveiliging en beheer toe te passen. Afhankelijk van de vertrouwelijkheid van gegevens kan uw organisatie ervoor kiezen om BYOD's niet toe te staan voor specifieke gebruikerspopulaties of specifieke apps.
Implementatie en uw apps
Voordat u Zero Trust identiteits- en apparaattoegangsconfiguratie configureert en uitrolt voor uw Microsoft Entra geïntegreerde apps, moet u het volgende doen:
Bepaal welke apps in uw organisatie u wilt beveiligen.
Analyseer deze lijst met apps om de sets met beleidsregels te bepalen die de juiste beveiligingsniveaus bieden.
U moet geen afzonderlijke sets beleidsregels maken voor elke app, omdat het beheer ervan omslachtig kan worden. Microsoft raadt u aan uw apps te groepeert die dezelfde beveiligingsvereisten hebben voor dezelfde gebruikers.
Gebruik bijvoorbeeld één set beleidsregels die alle Microsoft 365-apps voor alle gebruikers bevat voor de bescherming van het beginpunt. Gebruik een tweede set beleidsregels voor alle gevoelige apps, zoals apps die worden gebruikt door personeelszaken of financiële afdelingen, en pas deze toe op deze groepen.
Zodra u de set beleidsregels hebt bepaald voor de apps die u wilt beveiligen, kunt u het beleid stapsgewijs implementeren voor gebruikers, waarbij problemen onderweg worden opgelost. Bijvoorbeeld:
- Configureer het beleid dat u wilt gebruiken voor alle Microsoft 365-apps.
- Voeg alleen Exchange toe met de vereiste wijzigingen, voer het beleid uit voor gebruikers en doorloop eventuele problemen.
- Voeg Teams toe met de vereiste wijzigingen, implementeert het beleid voor gebruikers en doorloop eventuele problemen.
- Voeg SharePoint toe met de vereiste wijzigingen, voer het beleid uit voor gebruikers en doorloop eventuele problemen.
- Ga door met het toevoegen van de rest van uw apps totdat u dit beginpuntbeleid zo kunt configureren dat alle Microsoft 365-apps worden opgenomen.
Op dezelfde manier maakt u voor uw gevoelige apps de set beleidsregels en voegt u één app tegelijk toe. Doorloop eventuele problemen totdat ze allemaal zijn opgenomen in de beleidsset voor gevoelige apps.
Microsoft raadt u aan geen beleidssets te maken die van toepassing zijn op alle apps, omdat dit kan leiden tot onbedoelde configuraties. Beleidsregels die alle apps blokkeren, kunnen bijvoorbeeld uw beheerders buiten de Microsoft Entra-beheercentrum vergrendelen en uitsluitingen kunnen niet worden geconfigureerd voor belangrijke eindpunten, zoals Microsoft Graph.
Stappen voor het configureren van Zero Trust identiteits- en apparaattoegang
- Configureer de vereiste identiteitsfuncties en de bijbehorende instellingen.
- Configureer het algemene beleid voor voorwaardelijke toegang voor identiteit en toegang.
- Beleid voor voorwaardelijke toegang configureren voor gast- en externe gebruikers.
- Configureer beleid voor voorwaardelijke toegang voor Microsoft 365-cloud-apps, zoals Microsoft Teams, Exchange en SharePoint, en Microsoft Defender for Cloud Apps-beleid.
Nadat u Zero Trust identiteits- en apparaattoegang hebt geconfigureerd, raadpleegt u de implementatiehandleiding voor Microsoft Entra functies voor een gefaseerde controlelijst met aanvullende functies die u kunt overwegen en Microsoft Entra ID-governance voor het beveiligen, bewaken en controleren van toegang.
Volgende stap
Vereiste werkzaamheden voor het implementeren van Zero Trust identiteits- en apparaattoegangsbeleid
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub Issues geleidelijk uitfaseren als het feedbackmechanisme voor inhoud. Het wordt vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor