Zero Trust-identiteits- en apparaattoegangsconfiguraties
Van toepassing op
Beveiligingsarchitectuur die afhankelijk is van netwerkfirewalls en virtuele privénetwerken (VPN's) om de toegang tot de technologieresources en -services van een organisatie te isoleren en te beperken, zijn niet meer voldoende voor werknemers die regelmatig toegang nodig hebben tot toepassingen en resources die buiten de traditionele bedrijfsnetwerkgrenzen bestaan.
Om deze nieuwe computerwereld aan te pakken, raadt Microsoft ten zeerste het beveiligingsmodel Zero Trust aan, dat is gebaseerd op de volgende uitgangspunten:
Expliciet verifiëren
Verifieert en autoriseerd altijd op basis van alle beschikbare gegevenspunten. Dit is de plaats waar beleidsregels voor identiteits- en apparaattoegang van Zero Trust essentieel zijn voor aanmelding en doorlopende validatie.
De minst bevoorrechte toegang gebruiken
Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico's gebaseerd adaptief beleid en gegevensbescherming.
Ga ervan uit dat inbreuk wordt aangenomen
Minimaliseer straalstraal en segmenttoegang. Controleer end-to-endversleuteling en gebruik analyses om zichtbaarheid te krijgen, bedreigingsdetectie te stimuleren en de verdediging te verbeteren.
Hier is de algehele architectuur van Zero Trust.
Zero Trust-identiteits- en apparaattoegangsbeleid is gericht op het expliciete uitgangspunt Verifiëren voor:
Identiteiten
Wanneer een identiteit toegang probeert te krijgen tot een resource, controleert u of die identiteit sterk is geverifieerd en controleert u of de aangevraagde toegang compatibel en normaal is.
Apparaten (ook wel eindpunten genoemd)
Toezicht houden op en afdwingen van vereisten voor de status en naleving van apparaten voor veilige toegang.
Toepassingen
Besturingselementen en technologieën toepassen om schaduw-IT te ontdekken, de juiste in-app-machtigingen te waarborgen, poorttoegang op basis van realtime-analyses, controleren op abnormaal gedrag, gebruikersacties controleren en veilige configuratieopties valideren.
In deze reeks artikelen worden een set vereiste configuraties voor identiteits- en apparaattoegang en een set Azure Active Directory (Azure AD) Voorwaardelijke toegang, Microsoft Intune en andere beleidsregels beschreven voor Zero Trust-toegang tot Microsoft 365 voor zakelijke cloud-apps en -services, andere SaaS-services en on-premises toepassingen die zijn gepubliceerd met Azure AD Application Proxy.
Instellingen en beleid voor identiteits- en apparaattoegang van Zero Trust worden aanbevolen in drie lagen: uitgangspunt, ondernemingsbeveiliging en gespecialiseerde beveiliging voor omgevingen met sterk gereguleerde of geclassificeerde gegevens. Deze lagen en bijbehorende configuraties bieden consistente niveaus van Zero Trust-beveiliging op uw gegevens, identiteiten en apparaten.
Deze mogelijkheden en hun aanbevelingen:
- Worden ondersteund in Microsoft 365 E3 en Microsoft 365 E5.
- Worden uitgelijnd met Microsoft Secure Score en identiteitsscore in Azure ADen verhogen deze scores voor uw organisatie.
- Helpt u bij het implementeren van deze vijf stappen voor het beveiligen van uw identiteitsinfrastructuur.
Als uw organisatie unieke omgevingsvereisten of complexiteiten heeft, gebruikt u deze aanbevelingen als uitgangspunt. De meeste organisaties kunnen deze aanbevelingen echter implementeren zoals voorgeschreven.
Bekijk deze video voor een kort overzicht van configuraties voor identiteits- en apparaattoegang voor Microsoft 365 voor bedrijven.
Notitie
Microsoft verkoopt ook Enterprise Mobility + Security (EMS)-licenties voor Office 365 abonnementen. EMS E3- en EMS E5-mogelijkheden komen overeen met de mogelijkheden in Microsoft 365 E3 en Microsoft 365 E5. Zie EMS-abonnementen voor de details.
Beoogde doelgroep
Deze aanbevelingen zijn bedoeld voor ondernemingsarchitecten en IT-professionals die bekend zijn met Microsoft 365 cloudproductiviteits- en beveiligingsservices, waaronder Azure AD (identiteit), Microsoft Intune (apparaatbeheer) en Microsoft Information Protection (gegevensbescherming).
Klantomgeving
Het aanbevolen beleid is van toepassing op ondernemingsorganisaties die zowel volledig in de Microsoft-cloud als voor klanten met een hybride identiteitsinfrastructuur werken, een on-premises AD DS-forest (Active Directory Domain Services) dat wordt gesynchroniseerd met een Azure AD-tenant.
Veel van de geleverde aanbevelingen zijn afhankelijk van services die alleen beschikbaar zijn met Microsoft 365 E5, Microsoft 365 E3 met de E5-beveiligingslicenties, EMS E5- of Azure AD Premium P2-licenties.
Voor organisaties die deze licenties niet hebben, raadt Microsoft u aan op zijn minst beveiligingsinstellingen te implementeren ,die zijn opgenomen in alle Microsoft 365 abonnementen.
Voorbehouden
Uw organisatie kan onderhevig zijn aan wettelijke of andere nalevingsvereisten, waaronder specifieke aanbevelingen waarvoor u mogelijk beleid moet toepassen dat afwijkt van deze aanbevolen configuraties. In deze configuraties wordt aanbevolen gebruiksbesturingselementen te gebruiken die niet historisch beschikbaar zijn geweest. We raden deze besturingselementen aan omdat we denken dat deze een evenwicht vertegenwoordigen tussen beveiliging en productiviteit.
We hebben ons best gedaan om rekening te houden met een groot aantal vereisten voor organisatiebeveiliging, maar we kunnen niet alle mogelijke vereisten of voor alle unieke aspecten van uw organisatie verantwoorden.
Drie beveiligingslagen
De meeste organisaties hebben specifieke vereisten met betrekking tot beveiliging en gegevensbescherming. Deze vereisten variëren per branchesegment en per functie binnen organisaties. Uw juridische afdeling en beheerders hebben bijvoorbeeld extra beveiligings- en informatiebeveiligingsbesturingselementen nodig rond hun e-mailcorrespondentie die niet vereist zijn voor andere bedrijfseenheden.
Elke branche heeft ook een eigen set gespecialiseerde voorschriften. In plaats van een lijst met alle mogelijke beveiligingsopties of een aanbeveling per bedrijfstaksegment of functie, zijn er aanbevelingen gedaan voor drie verschillende beveiligings- en beveiligingsniveaus die kunnen worden toegepast op basis van de granulariteit van uw behoeften.
- Uitgangspunt: We raden alle klanten aan een minimumstandaard op te stellen en te gebruiken voor het beveiligen van gegevens, evenals de identiteiten en apparaten die toegang hebben tot uw gegevens. U kunt deze aanbevelingen volgen om een sterke standaardbeveiliging te bieden als uitgangspunt voor alle organisaties.
- Onderneming: Sommige klanten hebben een subset met gegevens die op een hoger niveau moeten worden beveiligd, of ze vereisen mogelijk dat alle gegevens op een hoger niveau worden beveiligd. U kunt meer beveiliging toepassen op alle of specifieke gegevenssets in uw Microsoft 365 omgeving. We raden u aan identiteiten en apparaten te beveiligen die toegang hebben tot gevoelige gegevens met vergelijkbare beveiligingsniveaus.
- Gespecialiseerde beveiliging: Zo nodig hebben een paar klanten een kleine hoeveelheid gegevens die sterk is geclassificeerd, bedrijfsgeheimen vormt of die is geregeld. Microsoft biedt mogelijkheden om deze klanten te helpen aan deze vereisten te voldoen, waaronder extra beveiliging voor identiteiten en apparaten.
In deze richtlijnen ziet u hoe u Zero Trust-beveiliging implementeert voor identiteiten en apparaten voor elk van deze beveiligingsniveaus. Gebruik deze richtlijnen als een minimum voor uw organisatie en pas het beleid aan om te voldoen aan de specifieke vereisten van uw organisatie.
Het is belangrijk om consistente beveiligingsniveaus te gebruiken voor uw identiteiten, apparaten en gegevens. Bescherming voor gebruikers met — prioriteitsaccounts, zoals leidinggevenden, leidinggevenden, managers en anderen, moet bijvoorbeeld hetzelfde beschermingsniveau bevatten voor hun identiteit, hun apparaten en de gegevens die ze — openen.
Zie ook de oplossing Voor gegevensbescherming implementeren voor privacyregels voor gegevens ter bescherming van gegevens die zijn opgeslagen in Microsoft 365.
Beveiligings- en productiviteitsruilen
Voor het implementeren van een beveiligingsstrategie zijn afwegingen tussen beveiliging en productiviteit vereist. Het is handig om te evalueren hoe elke beslissing van invloed is op de balans tussen beveiliging, functionaliteit en gebruiksgemak.
De aanbevelingen zijn gebaseerd op de volgende principes:
- Ken uw gebruikers en wees flexibel met hun beveiligings- en functionele vereisten.
- Pas een beveiligingsbeleid net op tijd toe en zorg ervoor dat het zinvol is.
Services en concepten voor zero trust-identiteits- en apparaattoegangsbeveiliging
Microsoft 365 voor ondernemingen is ontworpen voor grote organisaties om iedereen in staat te stellen creatief te zijn en veilig samen te werken.
In deze sectie vindt u een overzicht van Microsoft 365 services en mogelijkheden die belangrijk zijn voor identiteits- en apparaattoegang van Zero Trust.
Microsoft Azure AD
Azure AD biedt een volledige suite met mogelijkheden voor identiteitsbeheer. We raden u aan deze mogelijkheden te gebruiken om toegang te beveiligen.
| Functie | Beschrijving | Licenties |
|---|---|---|
| Meervoudige verificatie (MFA) | Voor MFA moeten gebruikers twee verificatieformulieren opgeven, zoals een gebruikerswachtwoord plus een melding van de Microsoft Authenticator app of een telefoongesprek. MFA verkleint het risico dat gestolen referenties kunnen worden gebruikt om toegang te krijgen tot uw omgeving. Microsoft 365 de Azure AD Multi-Factor Authentication-service voor MFA-aanmeldingen. | Microsoft 365 E3 of E5 |
| Voorwaardelijke toegang | Azure AD evalueert de voorwaarden van de aanmelding van de gebruiker en gebruikt beleid voor voorwaardelijke toegang om de toegestane toegang te bepalen. In deze richtlijnen ziet u bijvoorbeeld hoe u een beleid voor voorwaardelijke toegang kunt maken om apparaat compliance te vereisen voor toegang tot gevoelige gegevens. Hierdoor wordt het risico aanzienlijk verkleind dat een hacker met een eigen apparaat en gestolen referenties toegang heeft tot uw gevoelige gegevens. Het beschermt ook gevoelige gegevens op de apparaten, omdat de apparaten moeten voldoen aan specifieke vereisten voor gezondheid en beveiliging. | Microsoft 365 E3 of E5 |
| Azure AD-groepen | Beleid voor voorwaardelijke toegang, apparaatbeheer met Intune en zelfs machtigingen voor bestanden en sites in uw organisatie zijn afhankelijk van de toewijzing aan gebruikersaccounts of Azure AD-groepen. U wordt aangeraden Azure AD-groepen te maken die overeenkomen met de beveiligingsniveaus die u implementeert. Uw leidinggevenden zijn bijvoorbeeld waarschijnlijk doelen met een hogere waarde voor hackers. Daarom is het zinvol om de gebruikersaccounts van deze werknemers toe te voegen aan een Azure AD-groep en deze groep toe te wijzen aan beleidsregels voor voorwaardelijke toegang en andere beleidsregels die een hoger beschermingsniveau voor toegang afdwingen. | Microsoft 365 E3 of E5 |
| Apparaatinschrijving | U meldt een apparaat aan bij Azure AD om een identiteit voor het apparaat te maken. Deze identiteit wordt gebruikt om het apparaat te verifiëren wanneer een gebruiker zich aan meldt en om beleid voor voorwaardelijke toegang toe te passen waarvoor domeingevoegde of compatibele pc's zijn vereist. Voor deze richtlijnen gebruiken we apparaatinschrijving om automatisch domeingevoegde Windows registreren. Apparaatinschrijving is een vereiste voor het beheren van apparaten met Intune. | Microsoft 365 E3 of E5 |
| Azure AD Identity Protection | Hiermee kunt u mogelijke beveiligingslekken opsporen die van invloed zijn op de identiteiten van uw organisatie en geautomatiseerde herstelbeleid configureren op laag, gemiddeld en hoog aanmeldingsrisico en gebruikersrisico. Deze richtlijnen zijn gebaseerd op deze risicoanalyse om beleidsregels voor voorwaardelijke toegang toe te passen voor meervoudige verificatie. Deze richtlijn bevat ook een beleid voor Voorwaardelijke toegang, dat vereist dat gebruikers hun wachtwoord wijzigen als er activiteit met een hoog risico wordt gedetecteerd voor hun account. | Microsoft 365 E5, Microsoft 365 E3 met de E5 Security-invoeg-, EMS E5- of Azure AD Premium P2-licenties |
| Selfservice password reset (SSPR) | Sta uw gebruikers toe hun wachtwoorden veilig en zonder tussenkomst van de helpdesk opnieuw in te stellen door verificatie te bieden van meerdere verificatiemethoden die de beheerder kan beheren. | Microsoft 365 E3 of E5 |
| Azure AD-wachtwoordbeveiliging | Detecteer en blokkeer bekende zwakke wachtwoorden en hun varianten en aanvullende zwakke termen die specifiek zijn voor uw organisatie. Standaardlijsten met verboden wachtwoorden worden automatisch toegepast op alle gebruikers in een Azure AD-tenant. U kunt aanvullende vermeldingen definiëren in een aangepaste lijst met geblokkeerde wachtwoorden. Als gebruikers hun wachtwoord wijzigen of opnieuw instellen, worden deze verboden wachtwoordlijsten ingeschakeld om het gebruik van sterke wachtwoorden af te dwingen. | Microsoft 365 E3 of E5 |
Hier volgen de onderdelen van Zero Trust-identiteit en apparaattoegang, waaronder Intune- en Azure AD-objecten, instellingen en subservices.
Microsoft Intune
Intune is de cloudservice voor mobiel apparaatbeheer van Microsoft. Deze richtlijnen raden apparaatbeheer van Windows pc's met Intune aan en raadt configuraties voor apparaat compliancebeleid aan. Intune bepaalt of apparaten compatibel zijn en verzendt deze gegevens naar Azure AD voor gebruik bij het toepassen van beleidsregels voor Voorwaardelijke toegang.
Intune-appbeveiliging
Intune app protection policies can be used to protect your organization's data in mobile apps, with or without enrolling devices into management. Intune helpt gegevens te beveiligen, ervoor te zorgen dat uw werknemers nog steeds productief kunnen zijn en gegevensverlies voorkomen. Door beleid op app-niveau te implementeren, kunt u de toegang tot bedrijfsbronnen beperken en gegevens binnen het beheer van uw IT-afdeling houden.
In deze richtlijnen ziet u hoe u aanbevolen beleid kunt maken om het gebruik van goedgekeurde apps af te dwingen en om te bepalen hoe deze apps kunnen worden gebruikt met uw zakelijke gegevens.
Microsoft 365
In deze richtlijnen ziet u hoe u een set beleidsregels implementeert om de toegang tot Microsoft 365 cloudservices te beschermen, waaronder Microsoft Teams, Exchange, SharePoint en OneDrive. Naast het implementeren van dit beleid, raden we u ook aan het beveiligingsniveau voor uw tenant te verhogen met behulp van deze bronnen:
Je tenant configureren voor betere beveiliging
Aanbevelingen die van toepassing zijn op de beveiliging van het beginpunt voor uw tenant.
Routekaart voor beveiliging: topprioriteiten voor de eerste 30 dagen, 90 dagen en daarna
Aanbevelingen die logboekregistratie, gegevensbeheer, beheerderstoegang en bedreigingsbeveiliging omvatten.
Windows 11 of Windows 10 met Microsoft 365-apps voor ondernemingen
Windows 11 of Windows 10 met Microsoft 365-apps voor ondernemingen is de aanbevolen clientomgeving voor pc's. We raden Windows 11 of Windows 10 omdat Azure is ontworpen om de soepelste ervaring te bieden die mogelijk is voor zowel on-premises als Azure AD. Windows 11 of Windows 10 bevat ook geavanceerde beveiligingsfuncties die kunnen worden beheerd via Intune. Microsoft 365-apps voor ondernemingen bevat de nieuwste versies van Office toepassingen. Deze maken gebruik van moderne verificatie, die veiliger is en een vereiste is voor Voorwaardelijke toegang. Deze apps bevatten ook verbeterde compliance- en beveiligingshulpmiddelen.
Deze mogelijkheden toepassen op de drie beveiligingslagen
In de volgende tabel worden onze aanbevelingen voor het gebruik van deze mogelijkheden in de drie beveiligingslagen samengevat.
| Beveiligingsmechanisme | Beginpunt | Enterprise | Gespecialiseerde beveiliging |
|---|---|---|---|
| MFA afdwingen | Bij middelgroot of hoger aanmeldingsrisico | Bij laag of hoger aanmeldingsrisico | Op alle nieuwe sessies |
| Wachtwoordwijziging afdwingen | Voor gebruikers met een hoog risico | Voor gebruikers met een hoog risico | Voor gebruikers met een hoog risico |
| Intune-toepassingsbeveiliging afdwingen | Ja | Ja | Ja |
| Intune-inschrijving afdwingen voor apparaat dat eigendom is van een organisatie | Vereist een compatibele of domeingevoegde pc, maar sta byod-telefoons en -tablets (Bring Your Own Devices) toe | Een compatibel of domeingevoegd apparaat vereisen | Een compatibel of domeingevoegd apparaat vereisen |
Eigendom van apparaat
De bovenstaande tabel weerspiegelt de trend voor veel organisaties om een combinatie van apparaten die eigendom zijn van de organisatie te ondersteunen, evenals persoonlijke of BYOD's om mobiele productiviteit voor het hele personeel mogelijk te maken. Intune app protection policies ensure that email is protected from exfiltrating out of the Outlook mobile app and other Office mobile apps, on both organization-owned devices and BYODs.Intune app protection policies ensure that email is protected from exfiltrating out of the Outlook mobile app and other Office mobile apps, on both organization-owned devices and BYODs.
Het is raadzaam dat apparaten die eigendom zijn van de organisatie worden beheerd door Intune of domeingevoegd om extra beveiliging en controle toe te passen. Afhankelijk van de gegevensgevoeligheid kan uw organisatie ervoor kiezen om GEEN BYOD's toe te staan voor specifieke gebruikerspopulaties of specifieke apps.
Implementatie en uw apps
Voordat u de identiteits- en apparaattoegangsconfiguratie van Zero Trust configureert en uitrolt voor uw in Azure AD geïntegreerde apps, moet u het volgende doen:
Bepaal welke apps worden gebruikt in uw organisatie die u wilt beveiligen.
Analyseer deze lijst met apps om de sets beleidsregels te bepalen die de juiste beveiligingsniveaus bieden.
U moet geen afzonderlijke sets beleid maken voor elk van de apps, omdat het beheer ervan lastig kan worden. Microsoft raadt u aan uw apps te groepeert met dezelfde beveiligingsvereisten voor dezelfde gebruikers.
U kunt bijvoorbeeld één set beleidsregels hebben met alle Microsoft 365-apps voor al uw gebruikers voor de bescherming van het beginpunt en een tweede set beleidsregels voor alle gevoelige apps, zoals die die worden gebruikt door personeelszaken of financiële afdelingen, en deze toepassen op die groepen.
Nadat u de set beleidsregels hebt bepaald voor de apps die u wilt beveiligen, rolt u het beleid stapsgewijs uit naar uw gebruikers, zodat u problemen onderweg kunt oplossen.
Configureer bijvoorbeeld het beleid dat wordt gebruikt voor al uw Microsoft 365 apps voor slechts Exchange met de extra wijzigingen voor Exchange. Rol dit beleid uit naar uw gebruikers en werk eventuele problemen af. Voeg vervolgens Teams extra wijzigingen toe en rol deze uit naar uw gebruikers. Voeg vervolgens een SharePoint met de extra wijzigingen. Ga door met het toevoegen van de rest van uw apps totdat u dit uitgangspuntbeleid met vertrouwen kunt configureren, zodat alle Microsoft 365 bevatten.
Voor uw gevoelige apps kunt u ook de set beleidsregels maken en één app tegelijk toevoegen en eventuele problemen oplossen totdat ze allemaal zijn opgenomen in de beleidsset voor gevoelige apps.
Microsoft raadt u aan geen beleidssets te maken die van toepassing zijn op alle apps, omdat dit kan leiden tot bepaalde onbedoelde configuraties. Beleidsregels die bijvoorbeeld alle apps blokkeren, kunnen uw beheerders uitsluiten van de Azure-portal en uitsluitingen kunnen niet worden geconfigureerd voor belangrijke eindpunten, zoals Microsoft Graph.
Stappen voor het configureren van zero trust-identiteit en apparaattoegang
- Vereiste identiteitsfuncties en hun instellingen configureren.
- Configureer het algemene beleid voor identiteit en toegang tot voorwaardelijke toegang.
- Beleid voor voorwaardelijke toegang configureren voor gast- en externe gebruikers.
- Beleid voor voorwaardelijke toegang configureren Microsoft 365 cloud-apps zoals — Microsoft Teams, Exchange en SharePoint en beleidsregels voor — Microsoft Defender voor cloud-apps.
Nadat u identiteits- en apparaattoegang voor Zero Trust hebt geconfigureerd, bekijkt u de Azure AD-functieimplementatiehandleiding voor een gefaseerd controlelijst met aanvullende functies die u moet overwegen en Azure AD Identity Governance om toegang te beveiligen, te controleren en te controleren.