In één klik je organisatie veiliger maken dankzij Azure AD Security Defaults

In één klik je organisatie veiliger maken dankzij Azure AD Security Defaults

Standaarden voor beveiliging in Azure Active Directory (Azure AD) maken het eenvoudiger om je organisatie te beschermen.

In dit artikel lees je de technische invulling van deze standaard-implementatie. Een beter alternatief op de Azure AD Baseline Policy!

Een perfecte start in een migratie naar Office 365!

1. Registratie Multi-Factor Authenticatie

Alle gebruikers in uw Tenant zullen zich moeten registreren voor multi-factor Authentication (MFA)

Gebruikers hebben 14 dagen de tijd om zich te registreren voor Multi-Factor Authentication met behulp van de Microsoft Authenticator-app.

Na deze 14 dagen moet de gebruiker zich pas aanmelden met MFA nadat de registratie registratie is voltooid.

2. Multi-Factor Authentication afdwingen

Beheerders beveiligen

Nadat bovenstaande registratie bij Multi-Factor Authentication is voltooid zullen de volgende 9 Azure AD-beheerders extra authenticatie moeten uitvoeren elke keer als ze zich aanmelden. (standaard gedrag)

  • Globale administrator
  • SharePoint-beheerder
  • Exchange-beheerder
  • Beheerder van voorwaardelijke toegang
  • Beveiligingsbeheerder
  • Helpdesk beheerder of wachtwoord beheerder
  • Factureringsbeheerder
  • Gebruikers beheerder
  • Verificatie beheerder

3. Alle gebruikers beveiligen

We denken meestal dat beheerders accounts de enige accounts zijn die extra veiligheidslagen nodig hebben. Beheerders hebben enorm veel toegang tot gevoelige informatie en kunnen wijzigingen aanbrengen in instellingen voor het hele organisatie. Maar attackers/hackers richten zich vaak op eind-gebruikers.

Wanneer deze hackers toegang krijgen, kunnen ze namens de houder van het oorspronkelijke account toegang tot de organisatie claimen. Ze kunnen de volledige directory downloaden om een phishing-aanval uit te voeren op uw hele organisatie. (phishing mail)

Een gemeenschappelijke methode voor het verbeteren van de beveiliging van alle gebruikers is het vereisen van een sterkere vorm van account verificatie. MFA.

4. Blokkeren van legacy authentication!

Oudere Office-clients die geen gebruik kunnen maakt van moderne authenticatie (bijvoorbeeld een Office 2010-client).

Elke client die gebruikmaakt van oudere e-mail protocollen, zoals IMAP, SMTP of POP3.

Wat is pop3? POP3(Post Office Protocol) is een protocol om mail op te halen dankzij een e-mailprogramma zoals Microsoft Outlook. Met POP3 heb je jouw Postvak altijd op jouw eigen PC staan. Bij het ophalen worden alle binnenkomende e-mailberichten verwijderd.

Wat is IMAP? IMAP kan je op elke computer configureren zonder dat er mails worden ‘binnengetrokken’ in de e-mail client. Imap is een protocol dat vaak applicaties in gebruik is. Gewone Office 365 gebruikers hebben geen POP3 of IMAP nodig.

De meeste pogingen om aan te melden, met met verouderde verificatie. Verouderde verificatie biedt geen ondersteuning voor Multi-Factor Authentication.

Nadat de standaard instellingen voor beveiliging zijn ingeschakeld in uw Tenant, worden alle verificatie aanvragen die door een ouder protocol worden uitgevoerd, geblokkeerd. Standaard instellingen voor beveiliging blokkeren ExchangeActiveSync niet. Maar misschien gebruik je ook de Outlook applicatie. https://365tips.be/?p=289

5. Voorwaardelijke toegang

Je kan ook zelf starten met voorwaardelijke toegang op groepen en gebruikersrollen. Dan kies je best niet voor deze configuratie.

Als je het zelf wil doen, dan kan je de defaults niet gebruiken en moet je dit uitschakelen.

Voorwaardelijke toegang = Toegang geven tot een service op voorwaardes. IF=”Unmanaged device
THEN=”Require MFA

6. Hoe kan je deze default inschakelen?

Standaard instellingen voor beveiliging in uw Directory inschakelen:

Meld je aan op het  Azure Portaal  als een beveiligings beheerder, een beheerder voor voorwaardelijke toegang of een globale beheerder.

Surf -> Azure Active Directory -> properties.

Selecteer standaard instellingen voor beveiliging beheren.

Stel de Schakel optie standaard instellingen inschakelen in op Ja.

Selecteer Opslaan.

Waarschuwings bericht dat u standaard instellingen of voorwaardelijke toegang kunt hebben

Elke organisatie zou moeten starten met deze implementatie bij de start van een Office 365 traject

Jasper Bernaers

Jasper Bernaers

Welkom op 365tips.be. Op deze website lees je artikels en ervaringen over Office 365, Microsoft Teams, Intune, Azure AD, Security... Veel leesplezier. Als je vragen hebt, geef een reactie onderaan in het artikel --> zodat je ook andere mensen helpt via deze reacties.

Geef een reactie