Voorwaardelijke toegang: MFA vereisen voor beheerders

  • Artikel
  • 2 minuten om te lezen

Accounts aan toegewezen beheerdersrechten zijn het doelwit van aanvallers. Meervoudige verificatie (MFA) voor deze accounts is een eenvoudige manier om het risico te verminderen dat deze accounts worden aangetast.

Microsoft raadt u aan MFA minimaal voor de volgende rollen te vereisen:

  • Globale beheerder
  • Toepassingsbeheerder
  • Verificatiebeheerder
  • Factureringsbeheerder
  • Cloudtoepassingsbeheerder
  • Beheerder voor voorwaardelijke toegang
  • Exchange-beheerder
  • Helpdeskbeheerder
  • Wachtwoordbeheerder
  • Beheerder met bevoegde verificatie
  • Beheerder voor bevoorrechte rollen
  • Beveiligingsbeheerder
  • SharePoint-beheerder
  • Gebruikersbeheerder

Organisaties kunnen ervoor kiezen om rollen op te nemen of uit te sluiten wanneer dat nodig is.

Gebruikersuitsluitingen

Beleidsregels voor voorwaardelijke toegang zijn krachtige hulpprogramma's. We raden u aan de volgende accounts uit te sluiten van uw beleid:

  • Toegang in noodgevallen of break glass-accounts om tenantbrede accountvergrendeling te voorkomen. In het onwaarschijnlijke scenario dat alle beheerders zijn vergrendeld voor uw tenant, kan uw beheerdersaccount voor toegang in noodgevallen worden gebruikt om u aan te melden bij de tenant om stappen te ondernemen om de toegang te herstellen.
  • Serviceaccounts en service-principals, zoals het Azure AD Verbinding maken Sync-account. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een bepaalde gebruiker. Ze worden doorgaans gebruikt door back-endservices die programmatische toegang tot toepassingen toestaan, maar worden ook gebruikt om zich aan te melden bij systemen voor administratieve doeleinden. Serviceaccounts zoals deze moeten worden uitgesloten omdat MFA niet programmatisch kan worden voltooid. Aanroepen van service-principals worden niet geblokkeerd door voorwaardelijke toegang.
    • Als uw organisatie deze accounts in gebruik heeft in scripts of code, kunt u overwegen deze te vervangen door beheerde identiteiten. Als tijdelijke oplossing kunt u deze specifieke accounts uitsluiten van het basislijnbeleid.

Sjabloonimplementatie

Organisaties kunnen ervoor kiezen om dit beleid te implementeren met behulp van de onderstaande stappen of met behulp van de sjablonen voor voorwaardelijke toegang (preview).

Beleid voor voorwaardelijke toegang maken

De volgende stappen helpen bij het maken van beleid voor voorwaardelijke toegang om te vereisen dat deze toegewezen beheerdersrollen meervoudige verificatie uitvoeren.

  1. Meld u aan bij Azure Portal globale beheerder, beveiligingsbeheerder of beheerder van voorwaardelijke toegang.
  2. Blader naar Azure Active Directory > beveiliging voor > voorwaardelijke toegang.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.
  5. Selecteer onder Toewijzingen de optie Gebruikers en groepen

    1. Selecteer onder Opnemen de optie Directory-rollen en kies ingebouwde rollen, zoals:

      • Globale beheerder
      • Toepassingsbeheerder
      • Verificatiebeheerder
      • Factureringsbeheerder
      • Cloudtoepassingsbeheerder
      • Beheerder voor voorwaardelijke toegang
      • Exchange-beheerder
      • Helpdeskbeheerder
      • Wachtwoordbeheerder
      • Beheerder met bevoegde verificatie
      • Beheerder voor bevoorrechte rollen
      • Beveiligingsbeheerder
      • SharePoint-beheerder
      • Gebruikersbeheerder

      Waarschuwing

      Beleid voor voorwaardelijke toegang ondersteunt ingebouwde rollen. Beleid voor voorwaardelijke toegang wordt niet afgedwongen voor andere roltypen, waaronder beheereenheden of aangepaste rollen.

    2. Selecteer onder Uitsluiten de optie Gebruikers en groepen en kies de accounts voor noodtoegang of break-glass van uw organisatie.

    3. Selecteer Gereed.

  6. Selecteer onder Cloud-apps of -acties Opnemen de optie > Alle cloud-apps en selecteer Done.
  7. Selecteer onder > Toegangsbesturingselementen verlenen de optie Toegang verlenen, Meervoudige verificatie vereisen en selecteer Selecteren.
  8. Bevestig uw instellingen en stel Beleid inschakelen in op Alleen rapport.
  9. Selecteer Maken om het beleid in te stellen.

Nadat u uw instellingen hebt bevestigd met behulp van de modus Alleen rapport,kan een beheerder de schakelknop Beleid inschakelen verplaatsen van Alleen-rapport naar Aan.

Volgende stappen

Algemeen beleid voor voorwaardelijke toegang

Aanmeldingsgedrag simuleren met behulp van het hulpprogramma What If voorwaardelijke toegang