Wat zijn standaardinstellingen voor beveiliging?
Het beheren van beveiliging kan lastig zijn omdat veelvoorkomende identiteitsgerelateerde aanvallen, zoals wachtwoord- en replayaanvallen en phishing, steeds populairder worden. Standaardinstellingen voor beveiliging maken het gemakkelijker om uw organisatie te beschermen tegen deze aanvallen met vooraf geconfigureerde beveiligingsinstellingen:
- Vereisen dat alle gebruikers zich registreren voor Azure AD Multi-Factor Authentication.
- Vereisen dat beheerders meervoudige verificatie uitvoeren.
- Verouderde verificatieprotocollen blokkeren.
- Vereisen dat gebruikers multi-factor authentication doen wanneer dat nodig is.
- Bevoorrechte activiteiten beveiligen, zoals toegang tot Azure Portal.
Meer informatie over waarom standaardinstellingen voor beveiliging beschikbaar worden gesteld, vindt u in het blogbericht Introducing security defaults (Introductie van standaardinstellingen voor beveiliging)van Alex Weinert.
Beschikbaarheid
Microsoft stelt standaardinstellingen voor beveiliging beschikbaar voor iedereen. Het doel is ervoor te zorgen dat voor alle organisaties een basisbeveiligingsniveau zonder extra kosten is ingeschakeld. U kunt de standaardinstellingen voor beveiliging in de Azure Portal. Als uw tenant is gemaakt op of na 22 oktober 2019, kunnen de standaardinstellingen voor beveiliging worden ingeschakeld in uw tenant. Om al onze gebruikers te beschermen, worden de standaardinstellingen voor beveiliging bij het maken uitgerold voor nieuwe tenants.
Wie is het voor?
- Als u een organisatie bent die uw beveiligingsstatus wil verhogen, maar u niet weet hoe of waar u moet beginnen, zijn de standaardinstellingen voor beveiliging iets voor u.
- Als u een organisatie bent die gebruik maakt van de gratis laag van Azure Active Directory licentieverlening, zijn de standaardinstellingen voor beveiliging voor u.
Wie moet voorwaardelijke toegang gebruiken?
- Als u een organisatie bent die momenteel beleid voor voorwaardelijke toegang gebruikt om signalen samen te brengen, beslissingen te nemen en organisatiebeleid af te dwingen, zijn de standaardinstellingen voor beveiliging waarschijnlijk niet goed voor u.
- Als u een organisatie bent met Azure Active Directory Premium licenties, zijn de standaardinstellingen voor beveiliging waarschijnlijk niet goed voor u.
- Als uw organisatie complexe beveiligingsvereisten heeft, moet u voorwaardelijke toegang overwegen.
Beleid afgedwongen
Unified Multi-Factor Authentication-registratie
Alle gebruikers in uw tenant moeten zich registreren voor Meervoudige verificatie (MFA) in de vorm van Azure AD Multi-Factor Authentication. Gebruikers hebben 14 dagen de tijd om zich te registreren voor Azure AD Multi-Factor Authentication met behulp van de Microsoft Authenticator app. Nadat de 14 dagen zijn verstreken, kan de gebruiker zich pas aanmelden als de registratie is voltooid. De periode van 14 dagen begint na de eerste geslaagde interactieve aanmelding nadat de standaardinstellingen voor beveiliging zijn ingeschakeld.
Beheerders beveiligen
Gebruikers met bevoegde toegang hebben meer toegang tot uw omgeving. Vanwege de kracht die deze accounts hebben, moet u ze met speciale zorg behandelen. Een veelgebruikte methode voor het verbeteren van de beveiliging van bevoegde accounts is het vereisen van een sterkere vorm van accountverificatie voor aanmelding. In Azure AD kunt u een sterkere accountverificatie krijgen door meervoudige verificatie te vereisen.
Nadat de registratie bij Azure AD Multi-Factor Authentication is voltooid, moeten de volgende Azure AD-beheerdersrollen extra verificatie uitvoeren telkens wanneer ze zich aanmelden:
- Globale beheerder
- Toepassingsbeheerder
- Verificatiebeheerder
- Factureringsbeheerder
- Cloudtoepassingsbeheerder
- Beheerder van voorwaardelijke toegang
- Exchange-beheerder
- Helpdeskbeheerder
- Wachtwoordbeheerder
- Beheerder met bevoorrechte verificatie
- Beveiligingsbeheerder
- SharePoint-beheerder
- Gebruikersbeheerder
Waarschuwing
Zorg ervoor dat aan uw directory ten minste twee accounts met globale beheerdersbevoegdheden zijn toegewezen. Dit helpt in het geval dat één globale beheerder is vergrendeld. Zie het artikel Accounts voor noodtoegang beheren in Azure AD voor meer informatie.
Alle gebruikers beveiligen
We denken vaak dat beheerdersaccounts de enige accounts zijn die extra verificatielagen nodig hebben. Beheerders hebben brede toegang tot gevoelige informatie en kunnen wijzigingen aanbrengen in instellingen voor het hele abonnement. Maar aanvallers richten zich vaak op eindgebruikers.
Nadat deze aanvallers toegang hebben, kunnen ze toegang aanvragen tot bevoegde informatie voor de oorspronkelijke accounthouder. Ze kunnen zelfs de volledige directory downloaden om een phishing-aanval uit te kunnen zetten op uw hele organisatie.
Een veelgebruikte methode voor het verbeteren van de beveiliging voor alle gebruikers is het vereisen van een sterkere vorm van accountverificatie, zoals Multi-Factor Authentication, voor iedereen. Nadat gebruikers de registratie van Multi-Factor Authentication hebben voltooid, wordt hen indien nodig om een andere verificatie gevraagd. Gebruikers wordt voornamelijk gevraagd wanneer ze zich verifiëren met behulp van een nieuw apparaat of een nieuwe toepassing, of bij het uitvoeren van kritieke rollen en taken. Met deze functionaliteit worden alle toepassingen beschermd die zijn geregistreerd bij Azure AD, inclusief SaaS-toepassingen.
Verouderde verificatie blokkeren
Om uw gebruikers eenvoudig toegang te geven tot uw cloud-apps, ondersteunt Azure AD verschillende verificatieprotocollen, waaronder verouderde verificatie. Verouderde verificatie is een term die verwijst naar een verificatieaanvraag die wordt gedaan door:
- Clients die geen moderne verificatie gebruiken (bijvoorbeeld een Office 2010-client).
- Elke client die gebruikmaakt van oudere e-mailprotocollen, zoals IMAP, SMTP of POP3.
Tegenwoordig zijn de meeste mislukte aanmeldingspogingen afkomstig van verouderde verificatie. Verouderde verificatie biedt geen ondersteuning voor Multi-Factor Authentication. Zelfs als u een Multi-Factor Authentication-beleid hebt ingeschakeld in uw directory, kan een aanvaller zich verifiëren met behulp van een ouder protocol en Multi-Factor Authentication omzeilen.
Nadat de standaardinstellingen voor beveiliging zijn ingeschakeld in uw tenant, worden alle verificatieaanvragen van een ouder protocol geblokkeerd. Standaardinstellingen voor beveiliging Exchange basisverificatie van Active Sync.
Waarschuwing
Voordat u de standaardinstellingen voor beveiliging inschakelen, moet u ervoor zorgen dat uw beheerders geen oudere verificatieprotocollen gebruiken. Zie Verouderde verificatie voor meer informatie.
Bevoorrechte acties beveiligen
Organisaties gebruiken verschillende Azure-services die worden beheerd via Azure Resource Manager API, waaronder:
- Azure Portal
- Azure PowerShell
- Azure CLI
Het Azure Resource Manager voor het beheren van uw services is een zeer bevoorrechte actie. Azure Resource Manager kunnen configuraties voor de hele tenant wijzigen, zoals service-instellingen en abonnementsfacturering. Enkelvoudige verificatie is kwetsbaar voor verschillende aanvallen, zoals phishing en wachtwoordverificatie.
Het is belangrijk om de identiteit te verifiëren van gebruikers die toegang willen Azure Resource Manager en configuraties bij te werken. U verifieert hun identiteit door meer verificatie te vereisen voordat u toegang toestaat.
Nadat u de standaardinstellingen voor beveiliging in uw tenant hebt ingeschakeld, moet elke gebruiker die toegang heeft tot de Azure Portal, Azure PowerShell of De Azure CLI, meer verificatie voltooien. Dit beleid is van toepassing op alle gebruikers die toegang hebben tot Azure Resource Manager, ongeacht of ze een beheerder of een gebruiker zijn.
Notitie
Voor tenants van vóór 2017 Exchange Online moderne verificatie standaard uitgeschakeld. Om de mogelijkheid van een aanmeldingslus tijdens de verificatie via deze tenants te voorkomen, moet u moderne verificatie inschakelen.
Notitie
Het Azure AD Verbinding maken-synchronisatieaccount is uitgesloten van de standaardinstellingen voor beveiliging en wordt niet gevraagd om u te registreren voor meervoudige verificatie of om deze uit te voeren. Organisaties mogen dit account niet gebruiken voor andere doeleinden.
Overwegingen bij de implementatie
De volgende extra overwegingen hebben betrekking op de implementatie van standaardinstellingen voor beveiliging.
Verificatiemethoden
Deze standaardinstellingen voor gratis beveiliging staan registratie en gebruik van Azure AD Multi-Factor Authentication toe met behulp van alleen de Microsoft Authenticator-app met behulp van meldingen. Met voorwaardelijke toegang kan elke verificatiemethode worden gebruikt die de beheerder wil inschakelen.
| Methode | Standaardinstellingen voor de beveiliging | Voorwaardelijke toegang |
|---|---|---|
| Melding via mobiele app | X | X |
| Verificatiecode van mobiele app of hardware-token | X** | X |
| Sms-bericht naar telefoon | X | |
| Bellen naar telefoon | X | |
| App-wachtwoorden | X*** |
- ** Gebruikers kunnen verificatiecodes van de app Microsoft Authenticator gebruiken, maar kunnen zich alleen registreren met behulp van de meldingsoptie.
- App-wachtwoorden zijn alleen beschikbaar in MFA per gebruiker met verouderde verificatiescenario's alleen als ingeschakeld door beheerders.
Waarschuwing
Schakel de methoden voor uw organisatie niet uit als u de standaardinstellingen voor beveiliging gebruikt. Het uitschakelen van methoden kan ertoe leiden dat u zich buiten uw tenant kunt houden. Laat alle methoden beschikbaar voor gebruikers ingeschakeld in de portal voor MFA-service-instellingen.
MFA-status uitgeschakeld
Als uw organisatie een eerdere gebruiker is van Azure AD Multi-Factor Authentication per gebruiker, hoeft u zich geen zorgen te maken dat gebruikers met de status Ingeschakeld of Afgedwongen niet worden weergegeven als u de pagina Multi-Factor Authentication-status bekijkt. Uitgeschakeld is de juiste status voor gebruikers die gebruikmaken van de standaardinstellingen voor beveiliging of voor voorwaardelijke toegang op basis van Azure AD Multi-Factor Authentication.
Voorwaardelijke toegang
U kunt voorwaardelijke toegang gebruiken om beleidsregels te configureren die vergelijkbaar zijn met standaardinstellingen voor beveiliging, maar met meer granulariteit, waaronder gebruikersuitsluitingen, die niet beschikbaar zijn in standaardinstellingen voor beveiliging. Als u voorwaardelijke toegang gebruikt en beleid voor voorwaardelijke toegang hebt ingeschakeld in uw omgeving, zijn de standaardinstellingen voor beveiliging niet voor u beschikbaar. Als u een licentie hebt die voorwaardelijke toegang biedt, maar geen beleid voor voorwaardelijke toegang hebt ingeschakeld in uw omgeving, kunt u de standaardinstellingen voor beveiliging gebruiken totdat u beleid voor voorwaardelijke toegang inschakelen. Meer informatie over Azure AD-licenties vindt u op de pagina met prijzen voor Azure AD.
Hier vindt u stapsgewijze handleidingen over hoe u voorwaardelijke toegang kunt gebruiken om een set beleidsregels te configureren. Deze vormen een goed uitgangspunt voor het beveiligen van uw identiteiten:
- MFA vereisen voor beheerders
- MFA vereisen voor Azure-beheer
- Verouderde verificatie blokkeren
- MFA vereisen voor alle gebruikers
Standaardinstellingen voor beveiliging inschakelen
Standaardinstellingen voor beveiliging inschakelen in uw directory:
- Meld u aan bij Azure Portalbeveiligingsbeheerder, beheerder voor voorwaardelijke toegang of globale beheerder.
- Blader naar Azure Active Directory > Eigenschappen.
- Selecteer Standaardinstellingen voor beveiliging beheren.
- Stel de schakelknop Standaardinstellingen voor beveiliging inschakelen in op Ja.
- Selecteer Opslaan.
Standaardinstellingen voor beveiliging uitschakelen
Organisaties die ervoor kiezen om beleid voor voorwaardelijke toegang te implementeren dat de standaardinstellingen voor beveiliging vervangt, moeten de standaardinstellingen voor beveiliging uitschakelen.
Standaardinstellingen voor beveiliging in uw directory uitschakelen:
- Meld u aan bij Azure Portalbeveiligingsbeheerder, beheerder voor voorwaardelijke toegang of globale beheerder.
- Blader naar Azure Active Directory > Eigenschappen.
- Selecteer Standaardinstellingen voor beveiliging beheren.
- Stel de schakelknop Standaardinstellingen voor beveiliging inschakelen in op Nee.
- Selecteer Opslaan.