Hoe: risicobeleid configureren en inschakelen

  • Artikel
  • 4 minuten om te lezen

Zoals we in het vorige artikel hebben geleerd, hebben we voor identiteitsbeveiligingsbeleid twee risicobeleidsregels die we in onze directory kunnen inschakelen.

  • Beleid voor aanmeldingsrisico's
  • Beleid voor gebruikersrisico's

Pagina met beveiligingsoverzicht voor het inschakelen van beleid voor gebruikers- en aanmeldingsrisico's

Beide beleidsregels werken om de reactie op risicodetecties in uw omgeving te automatiseren en stellen gebruikers in staat om zichzelf te herstellen wanneer er een risico wordt gedetecteerd.

Acceptabele risiconiveaus kiezen

Organisaties moeten bepalen welk risiconiveau ze bereid zijn om de gebruikerservaring en beveiligingsstatus in balans te brengen.

Het wordt door Microsoft aanbevolen om de drempelwaarde voor het gebruikersrisicobeleid in te stellen op Hoog en het beleid voor aanmeldingsrisico's op Gemiddeld en hoger en opties voor zelf herstel toe te staan. Als u ervoor kiest om toegang te blokkeren in plaats van opties voor zelf herstel toe te staan, zoals wachtwoordwijziging en meervoudige verificatie, is dit van invloed op uw gebruikers en beheerders. Weeg deze keuze af bij het configureren van uw beleid.

Als u een hoge drempelwaarde kiest, wordt het aantal keren dat een beleid wordt geactiveerd, beperkt en wordt de impact op gebruikers geminimaliseerd. Detecties van lage en gemiddelde risico's worden echter uitgesloten van het beleid, waardoor een aanvaller mogelijk geen misbruik kan maken van een aangetaste identiteit. Als u een lage drempelwaarde selecteert, worden er meer gebruikersinter interrupts introduceert.

Geconfigureerde vertrouwde netwerklocaties worden door Identity Protection gebruikt in sommige risicodetecties om fout-positieven te verminderen.

Risico's herstellen

Organisaties kunnen ervoor kiezen om de toegang te blokkeren wanneer er een risico wordt gedetecteerd. Blokkeren voorkomt soms dat legitieme gebruikers doen wat ze nodig hebben. Een betere oplossing is om self-herstel toe te staan met behulp van Azure AD Multi-Factor Authentication (MFA) en selfservice voor wachtwoord opnieuw instellen (SSPR).

  • Wanneer een beleid voor gebruikersrisico's wordt triggers:
    • Beheerders kunnen vereisen dat het wachtwoord veilig opnieuw wordt ingesteld, waardoor Azure AD MFA moet worden uitgevoerd voordat de gebruiker een nieuw wachtwoord maakt met SSPR, waardoor het gebruikersrisico opnieuw wordt ingesteld.
  • Wanneer een beleid voor aanmeldingsrisico's wordt triggers:
    • Azure AD MFA kan worden geactiveerd, zodat gebruikers kunnen bewijzen dat ze het zijn met behulp van een van hun geregistreerde verificatiemethoden, waardoor het aanmeldingsrisico opnieuw wordt instellen.

Waarschuwing

Gebruikers moeten zich registreren voor Azure AD MFA en SSPR voordat ze te maken krijgen met herstel. Gebruikers die niet zijn geregistreerd, worden geblokkeerd en hebben beheerdersinterventie nodig.

Wachtwoordwijziging (ik weet mijn wachtwoord en wil dit wijzigen in iets nieuws) buiten de herstelstroom voor riskante gebruikersbeleid voldoet niet aan de vereiste voor het veilig opnieuw instellen van wachtwoorden.

Uitsluitingen

Met beleidsregels kunt u gebruikers uitsluiten, zoals uw beheerdersaccounts voor noodtoegang of break-glass. Organisaties moeten mogelijk andere accounts uitsluiten van specifiek beleid op basis van de manier waarop de accounts worden gebruikt. Uitsluitingen moeten regelmatig worden gecontroleerd om te zien of ze nog steeds van toepassing zijn.

Beleid inschakelen

Er zijn twee locaties waar dit beleid kan worden geconfigureerd: Voorwaardelijke toegang en Identiteitsbeveiliging. Configuratie met beleid voor voorwaardelijke toegang is de voorkeursmethode, met meer context, waaronder:

  • Verbeterde diagnostische gegevens
  • Integratie van de modus Alleen rapport
  • Graph API-ondersteuning
  • Meer kenmerken voor voorwaardelijke toegang gebruiken in beleid

Voordat herstelbeleid wordt inschakelen, willen organisaties mogelijk actieve risico's onderzoeken en verhelpen.

Gebruikersrisico met voorwaardelijke toegang

  1. Meld u aan bij Azure Portal globale beheerder, beveiligingsbeheerder of beheerder van voorwaardelijke toegang.
  2. Blader naar Azure Active Directory > beveiliging voor > voorwaardelijke toegang.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. Organisaties wordt aangeraden een zinvolle standaard te maken voor de namen van hun beleid.
  5. Onder Toewijzingen selecteert u Gebruikers en groepen.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer onder Uitsluiten de optie Gebruikers en groepen en kies de accounts voor noodtoegang of break-glass van uw organisatie.
    3. Selecteer Gereed.
  6. Selecteer onder Cloud-apps of > -acties Opnemen de optie Alle cloud-apps.
  7. Stel onder > Gebruikersrisico voorwaarden de volgende instellingen in: Configureren op Ja.
    1. Selecteer hoog onder Configure user risk levels needed for policy to be enforced (Gebruikersrisiconiveaus configureren die nodig zijn om beleid af te dwingen) hoog.
    2. Selecteer Gereed.
  8. Onder Besturingselementen voor toegang > verleent u.
    1. Selecteer Toegang verlenen, Wachtwoordwijziging vereisen.
    2. Kies Selecteren.
  9. Bevestig uw instellingen en stel Beleid inschakelen in op Aan.
  10. Selecteer Maken om uw beleid in te stellen.

Aanmeldingsrisico met voorwaardelijke toegang

  1. Meld u aan bij Azure Portal globale beheerder, beveiligingsbeheerder of beheerder van voorwaardelijke toegang.
  2. Blader naar Azure Active Directory > beveiliging voor > voorwaardelijke toegang.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. Organisaties wordt aangeraden een zinvolle standaard te maken voor de namen van hun beleid.
  5. Onder Toewijzingen selecteert u Gebruikers en groepen.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer onder Uitsluiten de optie Gebruikers en groepen en kies de accounts voor noodtoegang of break-glass van uw organisatie.
    3. Selecteer Gereed.
  6. Selecteer onder Cloud-apps of > -acties Opnemen de optie Alle cloud-apps.
  7. Stel onder > Aanmeldingsrisico voorwaarden configureren in op Ja. Onder Selecteer het aanmeldingsrisiconiveau is dit beleid van toepassing op
    1. Selecteer Hoog en Gemiddeld.
    2. Selecteer Gereed.
  8. Onder Besturingselementen voor toegang > verleent u.
    1. Selecteer Toegang verlenen, Meervoudige verificatie vereisen.
    2. Kies Selecteren.
  9. Bevestig uw instellingen en stel Beleid inschakelen in op Aan.
  10. Selecteer Maken om uw beleid in te stellen.

Volgende stappen