In één klik je organisatie veiliger maken dankzij Azure AD Security Defaults

In één klik je organisatie veiliger maken dankzij Azure AD Security Defaults

Standaarden voor beveiliging in Azure Active Directory (Azure AD) maken het eenvoudiger om uw organisatie te beschermen. In dit artikel lees je de technische invulling van deze standaard-implementatie. Een beter alternatief op de Azure AD Baseline Policy!

Een perfecte start bij een migratie naar Office 365!

1. Registratie Multi-Factor Authenticatie

  • Alle gebruikers in uw Tenant zullen zich moeten registreren voor multi-factor Authentication (MFA)
  • Gebruikers hebben 14 dagen de tijd om zich te registreren voor Multi-Factor Authentication met behulp van de Microsoft Authenticator-app.
  • Na deze 14 dagen moet de gebruiker zich pas aanmelden met MFA nadat de registratie registratie is voltooid.

2. Multi-Factor Authentication afdwingen

Beheerders beveiligen

Nadat bovenstaande registratie bij Multi-Factor Authentication is voltooid zullen de volgende 9 Azure AD-beheerders extra authenticatie moeten uitvoeren elke keer als ze zich aanmelden.

  • Globale beheerder
  • SharePoint-beheerder
  • Exchange-beheerder
  • Beheerder van voorwaardelijke toegang
  • Beveiligingsbeheerder
  • Helpdesk beheerder of wachtwoord beheerder
  • Factureringsbeheerder
  • Gebruikers beheerder
  • Verificatie beheerder

3. Alle gebruikers beveiligen

  • We denken meestal dat beheerders accounts de enige accounts zijn die extra veiligheidslagen nodig hebben. Beheerders hebben enorm veel toegang tot gevoelige informatie en kunnen wijzigingen aanbrengen in instellingen voor het hele organisatie. Maar attackers/hackers richten zich vaak op eind gebruikers.
  • Wanneer deze hackers toegang krijgen, kunnen ze namens de houder van het oorspronkelijke account toegang tot de organisatie claimen. Ze kunnen de volledige directory downloaden om een phishing-aanval uit te voeren op uw hele organisatie. (phishing mail)
  • Een gemeenschappelijke methode voor het verbeteren van de beveiliging van alle gebruikers is het vereisen van een sterkere vorm van account verificatie. MFA.

4. Verouderde verificatie blokkeren!

  • Oudere Office-clients die geen gebruik kunnen maakt van moderne authenticatie (bijvoorbeeld een Office 2010-client).
  • Elke client die gebruikmaakt van oudere e-mail protocollen, zoals IMAP, SMTP of POP3.

Wat is pop3? POP3(Post Office Protocol) is een protocol om mail op te halen dankzij een e-mailprogramma zoals Microsoft Outlook. Met POP3 heb je jouw Postvak altijd op jouw eigen PC staan. Bij het ophalen worden alle binnenkomende e-mailberichten verwijderd.

Wat is IMAP? IMAP kan je op elke computer configureren zonder dat er mails worden ‘binnengetrokken’ in de e-mail client. Imap is een protocol dat vaak applicaties in gebruik is. Gewone Office 365 gebruikers hebben geen POP3 of IMAP nodig.

  • De meeste pogingen om aan te melden, met met verouderde verificatie. Verouderde verificatie biedt geen ondersteuning voor Multi-Factor Authentication.
  • Nadat de standaard instellingen voor beveiliging zijn ingeschakeld in uw Tenant, worden alle verificatie aanvragen die door een ouder protocol worden uitgevoerd, geblokkeerd. Standaard instellingen voor beveiliging blokkeren ExchangeActiveSync niet. Maar misschien gebruik je ook de Outlook applicatie. https://365tips.be/?p=289

5. Voorwaardelijke toegang

  • Je kan ook zelf starten met voorwaardelijke toegang op groepen en gebruikersrollen. Dan kies je best niet voor deze configuratie.
  • Als je het zelf wil doen, dan kan je de defaults niet gebruiken en moet je deze uitschakelen.

Voorwaardelijke toegang = Toegang geven tot een service op voorwaardes. IF=”Unmanaged device” THEN=”Require MFA”

6. Hoe kan je deze default inschakelen?

Standaard instellingen voor beveiliging in uw Directory inschakelen:

  1. Meld je aan op het  Azure Portaal  als een beveiligings beheerder, een beheerder voor voorwaardelijke toegang of een globale beheerder.
  2. Blader naar Azure Active Directory > Eigenschappen.
  3. Selecteer standaard instellingen voor beveiliging beheren.
  4. Stel de Schakel optie standaard instellingen inschakelen in op Ja.
  5. Selecteer Opslaan.
Waarschuwings bericht dat u standaard instellingen of voorwaardelijke toegang kunt hebben

Elke organisatie zou moeten starten met deze implementatie bij de start van een Office 365 traject

Gerelateerde blogs

Blokkeer downloaden van O365 bestanden wanneer je toestel onbekend is
Microsoft 365 Security Assessment in 5 stappen!
In één klik je organisatie veiliger maken dankzij Azure AD Security Defaults

Jasper Bernaers

Hallo, ik ben Jasper. Sinds 1 januari 2020 gestart met 365tips.be. Op deze website lees je artikels over ervaringen over O365, Microsoft Teams, Intune, Azure AD, Security... Veel leesplezier. Als je vragen hebt geef een reactie hieronder!

Geef een reactie