Wat zijn de standaard beveiligings instellingen?What are security defaults?

Het beheren van beveiliging kan lastig zijn met veelvoorkomende identiteits-gerelateerde aanvallen zoals wachtwoord spray, herhaling en phishing meer en populairder.Managing security can be difficult with common identity-related attacks like password spray, replay, and phishing becoming more and more popular. De standaard instellingen voor beveiliging maken het gemakkelijker om uw organisatie te beschermen tegen deze aanvallen met vooraf geconfigureerde beveiliging:Security defaults make it easier to help protect your organization from these attacks with preconfigured security settings:

  • Vereisen dat alle gebruikers zich registreren voor Azure Multi-Factor Authentication.Requiring all users to register for Azure Multi-Factor Authentication.
  • Beheerders verplichten om multi-factor Authentication uit te voeren.Requiring administrators to perform multi-factor authentication.
  • Verouderde verificatie protocollen blok keren.Blocking legacy authentication protocols.
  • Gebruikers verplichten om multi-factor Authentication zo nodig uit te voeren.Requiring users to perform multi-factor authentication when necessary.
  • Beschermde activiteiten beveiligen, zoals toegang tot de Azure Portal.Protecting privileged activities like access to the Azure portal.

Scherm afbeelding van de Azure Portal met de wissel knop voor het inschakelen van standaard instellingen voor beveiliging

Meer informatie over de beschik bare standaard instellingen voor de beveiliging vindt u in het blog bericht van Alex Weinert, waarin de standaard instellingen voor beveiliging worden geïntroduceerd.More details on why security defaults are being made available can be found in Alex Weinert's blog post, Introducing security defaults.

BeschikbaarheidAvailability

Micro soft maakt standaard beveiligings instellingen voor iedereen beschikbaar.Microsoft is making security defaults available to everyone. Het doel is om ervoor te zorgen dat alle organisaties een basis niveau van beveiliging hebben ingeschakeld zonder extra kosten.The goal is to ensure that all organizations have a basic level of security enabled at no extra cost. U kunt de standaard instellingen voor beveiliging inschakelen in de Azure Portal.You turn on security defaults in the Azure portal. Als uw Tenant is gemaakt op of na 22 oktober 2019, is het mogelijk dat de standaard instellingen voor de beveiliging al zijn ingeschakeld in uw Tenant.If your tenant was created on or after October 22, 2019, it is possible security defaults are already enabled in your tenant. Als u al onze gebruikers wilt beveiligen, worden de standaard instellingen voor de beveiliging geïmplementeerd naar alle nieuwe tenants die zijn gemaakt.In an effort to protect all of our users, security defaults is being rolled out to all new tenants created.

Voor wie is dit van toepassing?Who's it for?

  • Als u een organisatie bent die uw beveiligings postuur wil verg Roten, maar u niet weet hoe of waar u moet beginnen, zijn de standaard instellingen voor de beveiliging.If you are an organization that wants to increase your security posture but you don't know how or where to start, security defaults are for you.
  • Als u een organisatie bent die gebruikmaakt van de gratis laag van Azure Active Directory-licentie verlening, zijn de standaard instellingen voor de beveiliging.If you are an organization utilizing the free tier of Azure Active Directory licensing, security defaults are for you.

Wie moet voorwaardelijke toegang gebruiken?Who should use Conditional Access?

  • Als u momenteel gebruikmaakt van beleids regels voor voorwaardelijke toegang om de signalen samen te brengen, beslissingen te nemen en organisatie beleid af te dwingen, zijn de standaard instellingen voor beveiliging waarschijnlijk niet geschikt voor u.If you are an organization currently using Conditional Access policies to bring signals together, to make decisions, and enforce organizational policies, security defaults are probably not right for you.
  • Als u een organisatie bent met Azure Active Directory Premium licenties, zijn de standaard instellingen voor beveiliging waarschijnlijk niet geschikt voor u.If you are an organization with Azure Active Directory Premium licenses, security defaults are probably not right for you.
  • Als uw organisatie complexe beveiligings vereisten heeft, moet u rekening houden met voorwaardelijke toegang.If your organization has complex security requirements you should consider Conditional Access.

Beleids regels afgedwongenPolicies enforced

Registratie Unified Multi-Factor AuthenticationUnified Multi-Factor Authentication registration

Alle gebruikers in uw Tenant moeten zich registreren voor multi-factor Authentication (MFA) in de vorm van de Azure Multi-Factor Authentication.All users in your tenant must register for multi-factor authentication (MFA) in the form of the Azure Multi-Factor Authentication. Gebruikers beschikken over 14 dagen voor de registratie van Azure Multi-Factor Authentication met behulp van de Microsoft Authenticator-app.Users have 14 days to register for Azure Multi-Factor Authentication by using the Microsoft Authenticator app. Nadat de 14 dagen zijn verstreken, kan de gebruiker zich pas aanmelden nadat de registratie is voltooid.After the 14 days have passed, the user won't be able to sign in until registration is completed. De 14-daagse periode van een gebruiker begint na de eerste geslaagde interactieve aanmelding nadat de standaard instellingen voor de beveiliging zijn ingeschakeld.A user's 14-day period begins after their first successful interactive sign-in after enabling security defaults.

Beheerders beveiligenProtecting administrators

Gebruikers met bevoorrechte toegang hebben meer toegang tot uw omgeving.Users with privileged access have increased access to your environment. Als gevolg van de kracht van deze accounts, moet u deze met speciale zorg behandelen.Due to the power these accounts have, you should treat them with special care. Een gemeen schappelijke methode voor het verbeteren van de beveiliging van geprivilegieerde accounts is het vereisen van een sterkere vorm van account verificatie voor het aanmelden.One common method to improve the protection of privileged accounts is to require a stronger form of account verification for sign-in. In azure AD kunt u een sterkere account verificatie krijgen door multi-factor Authentication te vereisen.In Azure AD, you can get a stronger account verification by requiring multi-factor authentication.

Nadat de registratie bij Azure Multi-Factor Authentication is voltooid, moeten de volgende negen Azure AD-beheerders rollen extra authenticatie uitvoeren elke keer dat ze zich aanmelden:After registration with Azure Multi-Factor Authentication is finished, the following nine Azure AD administrator roles will be required to perform additional authentication every time they sign in:

  • Globale beheerderGlobal administrator
  • SharePoint-beheerderSharePoint administrator
  • Exchange-beheerderExchange administrator
  • Beheerder van voorwaardelijke toegangConditional Access administrator
  • BeveiligingsbeheerderSecurity administrator
  • Helpdesk beheerderHelpdesk administrator
  • FactureringsbeheerderBilling administrator
  • GebruikersbeheerderUser administrator
  • Verificatie beheerderAuthentication administrator

Alle gebruikers beveiligenProtecting all users

We denken meestal dat beheerders accounts de enige accounts zijn die extra authenticatie lagen nodig hebben.We tend to think that administrator accounts are the only accounts that need extra layers of authentication. Beheerders hebben brede toegang tot gevoelige informatie en kunnen wijzigingen aanbrengen in instellingen voor het hele abonnement.Administrators have broad access to sensitive information and can make changes to subscription-wide settings. Maar aanvallers richten zich vaak op eind gebruikers.But attackers frequently target end users.

Wanneer deze aanvallers toegang krijgen, kunnen ze namens de houder van het oorspronkelijke account toegang tot bevoegde informatie vragen.After these attackers gain access, they can request access to privileged information on behalf of the original account holder. Ze kunnen de volledige directory zelfs downloaden om een phishing-aanval uit te voeren op uw hele organisatie.They can even download the entire directory to perform a phishing attack on your whole organization.

Een gemeen schappelijke methode voor het verbeteren van de beveiliging van alle gebruikers is het vereisen van een sterkere vorm van account verificatie, zoals Multi-Factor Authentication, voor iedereen.One common method to improve protection for all users is to require a stronger form of account verification, such as Multi-Factor Authentication, for everyone. Nadat gebruikers Multi-Factor Authentication registratie hebben voltooid, wordt de gebruiker gevraagd om extra verificatie wanneer dit nodig is.After users complete Multi-Factor Authentication registration, they'll be prompted for additional authentication whenever necessary. Deze functionaliteit beveiligt alle toepassingen die zijn geregistreerd bij Azure AD met inbegrip van SaaS-toepassingen.This functionality protects all applications registered with Azure AD including SaaS applications.

Verouderde verificatie blok kerenBlocking legacy authentication

Azure AD biedt ondersteuning voor diverse verificatie protocollen, waaronder verouderde verificatie, om uw gebruikers eenvoudig toegang te geven tot uw Cloud-apps.To give your users easy access to your cloud apps, Azure AD supports a variety of authentication protocols, including legacy authentication. Verouderde verificatie is een term die verwijst naar een verificatie aanvraag die wordt gedaan door:Legacy authentication is a term that refers to an authentication request made by:

  • Clients die geen moderne verificatie gebruiken (bijvoorbeeld een Office 2010-client).Clients that don't use modern authentication (for example, an Office 2010 client).
  • Elke client die gebruikmaakt van oudere e-mail protocollen, zoals IMAP, SMTP of POP3.Any client that uses older mail protocols such as IMAP, SMTP, or POP3.

De meeste pogingen om zich aan te melden, zijn van verouderde verificatie.Today, the majority of compromising sign-in attempts come from legacy authentication. Verouderde verificatie biedt geen ondersteuning voor Multi-Factor Authentication.Legacy authentication does not support Multi-Factor Authentication. Zelfs als er een Multi-Factor Authentication beleid is ingeschakeld in uw directory, kan een aanvaller zich verifiëren met behulp van een ouder protocol en Multi-Factor Authentication overs Laan.Even if you have a Multi-Factor Authentication policy enabled on your directory, an attacker can authenticate by using an older protocol and bypass Multi-Factor Authentication.

Nadat de standaard instellingen voor beveiliging zijn ingeschakeld in uw Tenant, worden alle verificatie aanvragen die door een ouder protocol worden uitgevoerd, geblokkeerd.After security defaults are enabled in your tenant, all authentication requests made by an older protocol will be blocked. Standaard instellingen voor beveiliging blokkeert Exchange Active Sync basis verificatie.Security defaults blocks Exchange Active Sync basic authentication.

Waarschuwing

Voordat u standaard instellingen voor beveiliging inschakelt, moet u ervoor zorgen dat uw beheerders geen oudere verificatie protocollen gebruiken.Before you enable security defaults, make sure your administrators aren't using older authentication protocols. Zie voor meer informatie hoe u de verouderde verificatie verlaat.For more information, see How to move away from legacy authentication.

Beschermde acties beveiligenProtecting privileged actions

Organisaties gebruiken verschillende Azure-Services die worden beheerd via de Azure Resource Manager-API, waaronder:Organizations use a variety of Azure services managed through the Azure Resource Manager API, including:

  • Azure PortalAzure portal
  • Azure PowerShellAzure PowerShell
  • Azure CLIAzure CLI

Het gebruik van Azure Resource Manager voor het beheren van uw services is een zeer geprivilegieerde actie.Using Azure Resource Manager to manage your services is a highly privileged action. Azure Resource Manager kunt de configuratie van de Tenant breed wijzigen, zoals service-instellingen en abonnements facturering.Azure Resource Manager can alter tenant-wide configurations, such as service settings and subscription billing. Verificatie met één factor is kwetsbaar voor diverse aanvallen zoals phishing en wachtwoord spray.Single-factor authentication is vulnerable to a variety of attacks like phishing and password spray.

Het is belang rijk om de identiteit te verifiëren van gebruikers die toegang willen hebben Azure Resource Manager en om de configuraties bij te werken.It's important to verify the identity of users who want to access Azure Resource Manager and update configurations. U kunt hun identiteit verifiëren door extra verificatie te vereisen voordat u toegang toestaat.You verify their identity by requiring additional authentication before you allow access.

Nadat u de standaard instellingen voor beveiliging in uw Tenant hebt ingeschakeld, moet elke gebruiker die toegang heeft tot de Azure Portal, Azure PowerShell of de Azure CLI, aanvullende verificatie volt ooien.After you enable security defaults in your tenant, any user who's accessing the Azure portal, Azure PowerShell, or the Azure CLI will need to complete additional authentication. Dit beleid is van toepassing op alle gebruikers die toegang hebben tot Azure Resource Manager, of het nu een beheerder of een gebruiker is.This policy applies to all users who are accessing Azure Resource Manager, whether they're an administrator or a user.

Notitie

De pre-2017 Exchange Online-tenants hebben moderne verificatie standaard uitgeschakeld.Pre-2017 Exchange Online tenants have modern authentication disabled by default. Om te voor komen dat een aanmeldings proces tijdens het verifiëren via deze tenants mogelijk is, moet u moderne verificatie inschakelen.In order to avoid the possibility of a login loop while authenticating through these tenants, you must enable modern authentication.

Notitie

Het Azure AD Connect synchronisatie account wordt uitgesloten van de standaard instellingen voor beveiliging en wordt niet gevraagd om u te registreren voor of om multi-factor Authentication uit te voeren.The Azure AD Connect synchronization account is excluded from security defaults and will not be prompted to register for or perform multi-factor authentication. Organisaties mogen dit account niet voor andere doel einden gebruiken.Organizations should not be using this account for other purposes.

Overwegingen bij de implementatieDeployment considerations

De volgende aanvullende overwegingen zijn gerelateerd aan de implementatie van standaard instellingen voor beveiliging.The following additional considerations are related to deployment of security defaults.

VerificatiemethodenAuthentication methods

Met deze gratis standaard beveiligings instellingen wordt de registratie en het gebruik van Azure Multi-Factor Authentication voor het gebruik van de Microsoft Authenticator appmet behulp van meldingen toegestaan.These free security defaults allow registration and use of Azure Multi-Factor Authentication using only the Microsoft Authenticator app using notifications. Voorwaardelijke toegang staat het gebruik toe van elke verificatie methode die de beheerder inschakelt.Conditional Access allows the use of any authentication method the administrator chooses to enable.

MethodeMethod Standaardinstellingen voor de beveiligingSecurity defaults Voorwaardelijke toegangConditional Access
Melding via mobiele appNotification through mobile app XX XX
Verificatie code van de mobiele app of het hardware-tokenVerification code from mobile app or hardware token X * *X** XX
SMS-bericht naar telefoonText message to phone XX
Bellen naar telefoonCall to phone XX
App-wachtwoordenApp passwords X * * *X***
  • * * Gebruikers kunnen verificatie codes van de app Microsoft Authenticator gebruiken, maar kunnen ze alleen registreren met de meldings optie.** Users may use verification codes from the Microsoft Authenticator app but can only register using the notification option.
  • App-wacht woorden zijn alleen beschikbaar in MFA per gebruiker met verouderde verificatie scenario's als deze zijn ingeschakeld door beheerders.*** App passwords are only available in per-user MFA with legacy authentication scenarios only if enabled by administrators.

Status van uitgeschakeld MFADisabled MFA status

Als uw organisatie een vorige gebruiker is van per gebruiker op basis van Azure Multi-Factor Authentication, wordt niet gealarmd om gebruikers met een ingeschakelde of afgedwongen status te zien als u de multi-factor Authentication-status pagina bekijkt.If your organization is a previous user of per-user based Azure Multi-Factor Authentication, do not be alarmed to not see users in an Enabled or Enforced status if you look at the Multi-Factor Auth status page. Uitgeschakeld is de juiste status voor gebruikers die gebruikmaken van de standaard instellingen voor beveiliging of Azure multi-factor Authentication op basis van voorwaardelijke toegang.Disabled is the appropriate status for users who are using security defaults or Conditional Access based Azure Multi-Factor Authentication.

Voorwaardelijke toegangConditional Access

U kunt voorwaardelijke toegang gebruiken voor het configureren van beleids regels die vergelijkbaar zijn met de standaard instellingen voor beveiliging, maar met meer granulatie, inclusief gebruikers uitsluitingen, die niet beschikbaar zijn in de standaard instellingen van de beveiliging.You can use Conditional Access to configure policies similar to security defaults, but with more granularity including user exclusions, which are not available in security defaults. Als u voorwaardelijke toegang gebruikt en beleid voor voorwaardelijke toegang hebt ingeschakeld in uw omgeving, zijn de standaard instellingen voor beveiliging niet voor u beschikbaar.If you're using Conditional Access and have Conditional Access policies enabled in your environment, security defaults won't be available to you. Als u een licentie hebt die voorwaardelijke toegang biedt, maar geen beleid voor voorwaardelijke toegang hebt ingeschakeld in uw omgeving, kunt u de standaard instellingen voor beveiliging gebruiken totdat u beleid voor voorwaardelijke toegang inschakelt.If you have a license that provides Conditional Access but don't have any Conditional Access policies enabled in your environment, you are welcome to use security defaults until you enable Conditional Access policies. Meer informatie over Azure AD-licentie verlening vindt u op de Azure AD-pagina met prijzen.More information about Azure AD licensing can be found on the Azure AD pricing page.

Waarschuwings bericht dat u standaard instellingen of voorwaardelijke toegang kunt hebben

Hier vindt u stapsgewijze hand leidingen over hoe u voorwaardelijke toegang kunt gebruiken om gelijkwaardige beleids regels te configureren voor het beleid dat wordt ingeschakeld door de standaard instellingen voor beveiliging:Here are step-by-step guides on how you can use Conditional Access to configure equivalent policies to those policies enabled by security defaults:

Standaard instellingen voor beveiliging inschakelenEnabling security defaults

Standaard instellingen voor beveiliging in uw Directory inschakelen:To enable security defaults in your directory:

  1. Meld u aan bij de Azure Portal   als beveiligings beheerder, beheerder voor voorwaardelijke toegang of globale beheerder.Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
  2. Blader naar Azure Active Directory   >  Eigenschappen.Browse to Azure Active Directory > Properties.
  3. Selecteer standaard instellingen voor beveiliging beheren.Select Manage security defaults.
  4. Stel de Schakel optie standaard instellingen inschakelen in op Ja.Set the Enable security defaults toggle to Yes.
  5. Selecteer Opslaan.Select Save.

Standaard instellingen voor beveiliging uitschakelenDisabling security defaults

Organisaties die kiezen voor het implementeren van beleid voor voorwaardelijke toegang waarbij de standaard instellingen voor beveiliging worden vervangen, moeten de standaard instellingen voor beveiliging uitschakelen.Organizations that choose to implement Conditional Access policies that replace security defaults must disable security defaults.

Waarschuwings bericht voor het uitschakelen van de standaard instellingen voor het inschakelen van voorwaardelijke toegang

Standaard instellingen voor beveiliging in uw Directory uitschakelen:To disable security defaults in your directory:

  1. Meld u aan bij de Azure Portal   als beveiligings beheerder, beheerder voor voorwaardelijke toegang of globale beheerder.Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
  2. Blader naar Azure Active Directory   >  Eigenschappen.Browse to Azure Active Directory > Properties.
  3. Selecteer standaard instellingen voor beveiliging beheren.Select Manage security defaults.
  4. Stel de standaard instellingen voor het inschakelen van de beveiliging in op Nee.Set the Enable security defaults toggle to No.
  5. Selecteer Opslaan.Select Save.

Volgende stappenNext steps

Algemeen beleid voor voorwaardelijke toegangCommon Conditional Access policies