💼 Management Samenvatting
Conditional Access-beleid dat meervoudige authenticatie (MFA) vereist voor toegang tot beheerportalen zoals Azure Portal, Microsoft 365 Admin Center en Microsoft Defender voor Cloud, beschermt organisaties tegen onbevoegde administratieve toegang en vormt een kritieke beveiligingsmaatregel voor Nederlandse overheidsorganisaties. Dit beleid vormt de eerste verdedigingslinie tegen geavanceerde cyberaanvallen waarbij aanvallers proberen toegang te krijgen tot beheerportalen met gecompromitteerde inloggegevens.
Aanbeveling
IMPLEMENTEER MEERVOUDIGE AUTHENTICATIE VOOR BEHEERPORTALEN
Risico zonder
Critical
Risk Score
9/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Admin Centers
✓ Azure AD
✓ Admin Centers
Beheerportalen bieden toegang tot gevoelige configuraties en gebruikersgegevens, waaronder het aanmaken en verwijderen van gebruikers, het wijzigen van beveiligingsinstellingen, het exporteren van data en het aanpassen van abonnementen. Deze portalen vertegenwoordigen de controlecentra van de cloudomgeving en bieden beheerders de mogelijkheid om wijzigingen aan te brengen die gevolgen hebben voor de gehele organisatie. Toegang tot beheerportalen zonder meervoudige authenticatie vormt een groot beveiligingsrisico omdat een enkel gecompromitteerd wachtwoord voldoende is om volledige controle te krijgen over de cloudomgeving. Een gecompromitteerd beheerdersaccount kan via deze portalen tenant-brede instellingen wijzigen, gebruikersgegevens exporteren, beveiligingsregels uitschakelen, en zelfs nieuwe beheerdersaccounts aanmaken die permanent toegang bieden tot de omgeving, zelfs nadat het oorspronkelijke gecompromitteerde account is uitgeschakeld. Dit type aanval, bekend als een persistente bedreiging, kan maanden of jaren onopgemerkt blijven en kan leiden tot omvangrijke gegevenslekken of verstoring van kritieke dienstverlening. Meervoudige authenticatie voor beheerportalen is daarom een minimale vereiste voor alle organisaties die voldoen aan de Nederlandse Baseline voor Veilige Cloud, omdat het deze risico's aanzienlijk vermindert door te eisen dat aanvallers niet alleen het wachtwoord moeten weten, maar ook toegang moeten hebben tot het tweede authenticatiefactor, zoals een mobiel apparaat of een hardware-token.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze controle configureert een Conditional Access-beleid dat specifiek gericht is op beheerportaalapplicaties: Microsoft Azure Management (Azure Portal), Microsoft 365 Admin Center, Exchange Admin Center, SharePoint Admin Center en het Security & Compliance Center. Het beleid vereist dat alle gebruikers die mogelijk toegang hebben tot beheerportalen, meervoudige authenticatie moeten gebruiken wanneer zij deze applicaties benaderen, ongeacht hun locatie, apparaat of netwerkverbinding. Dit Conditional Access-beleid werkt op een meer granulair niveau dan een algemeen MFA-beleid en zorgt voor specifieke bescherming van de meest kritieke administratieve interfaces. Het beleid kan worden geconfigureerd om verschillende MFA-methoden te accepteren, waaronder push-meldingen via de Microsoft Authenticator app, SMS-verificatie, telefonische verificatie, en hardware-tokens, afhankelijk van de beveiligingsvereisten en gebruikersvoorkeuren van de organisatie. Door gebruik te maken van Conditional Access kunnen organisaties ook aanvullende controles configureren, zoals het vereisen van een compatibel apparaat of het vereisen van een specifieke netwerklocatie, hoewel de basisimplementatie zich concentreert op het vereisen van meervoudige authenticatie als primaire beveiligingsmaatregel.
Vereisten
Voordat u een Conditional Access-beleid voor meervoudige authenticatie op beheerportalen implementeert, moet u ervoor zorgen dat aan alle technische en organisatorische vereisten wordt voldaan. Deze vereisten zijn essentieel voor een succesvolle implementatie en zorgen ervoor dat het beleid effectief functioneert zonder onbedoelde toegangsblokkades te veroorzaken. Het negeren van deze vereisten kan leiden tot situaties waarin legitieme beheerders onterecht worden geblokkeerd, wat de operationele continuïteit kan verstoren en de beveiligingsdoelstellingen kan ondermijnen. De primaire technische vereiste is een Azure AD Premium P1 licentie of hoger. Conditional Access is een premium functie die niet beschikbaar is in de gratis versie van Azure Active Directory. Deze licentievereiste is fundamenteel omdat Conditional Access de kernfunctionaliteit biedt die nodig is om meervoudige authenticatie af te dwingen op basis van specifieke voorwaarden zoals applicaties, gebruikers en locaties. Organisaties die nog geen Premium P1 licentie hebben, moeten deze eerst aanschaffen via een Microsoft Enterprise Agreement of via een CSP-partner. Het is belangrijk om te controleren of alle gebruikers die toegang nodig hebben tot beheerportalen, onder een licentie vallen die Conditional Access ondersteunt. Dit betekent dat u een licentie-inventarisatie moet uitvoeren en ervoor moet zorgen dat alle beheerders en gebruikers met beheerderstaken over de juiste licentie beschikken voordat u het beleid implementeert. Een tweede kritieke vereiste is dat alle gebruikers die toegang hebben tot beheerportalen, geregistreerd moeten zijn voor meervoudige authenticatie. Dit betekent dat gebruikers hun MFA-methode moeten hebben ingesteld, zoals de Microsoft Authenticator app, SMS-verificatie, of een hardware-token. Zonder deze registratie kunnen gebruikers niet voldoen aan het MFA-vereiste en worden zij geblokkeerd bij toegang tot beheerportalen. Het is daarom aan te raden om eerst een organisatiebrede MFA-registratiecampagne uit te voeren voordat u het Conditional Access-beleid activeert. Deze campagne moet gebruikers voorlichten over het belang van meervoudige authenticatie, hen begeleiden bij het instellen van hun MFA-methode, en ervoor zorgen dat zij begrijpen hoe zij hun MFA-methode kunnen gebruiken wanneer zij toegang nodig hebben tot beheerportalen. Het is ook belangrijk om alternatieve MFA-methoden aan te bieden voor gebruikers die problemen ondervinden met hun primaire methode, zoals wanneer zij hun telefoon verliezen of wanneer SMS-verificatie niet beschikbaar is. Daarnaast moet u een complete lijst hebben van alle beheerportaalapplicaties die binnen uw organisatie worden gebruikt. De belangrijkste applicaties zijn Microsoft Azure Management (voor toegang tot Azure Portal), Microsoft 365 Admin Center, Exchange Admin Center, SharePoint Admin Center, Microsoft Defender voor Cloud, en het Security & Compliance Center. Sommige organisaties gebruiken mogelijk ook gespecialiseerde beheerportalen zoals Power Platform Admin Center of Dynamics 365 Admin Center. Het is cruciaal om alle relevante applicaties te identificeren en op te nemen in het Conditional Access-beleid om te voorkomen dat beheerders via alternatieve routes toegang krijgen zonder MFA. Deze inventarisatie moet regelmatig worden bijgewerkt omdat nieuwe beheerportalen kunnen worden toegevoegd of omdat organisaties kunnen overstappen naar nieuwe beheerinterfaces. Het is ook belangrijk om te controleren of er indirecte toegangsmethoden zijn, zoals via API's of command-line tools, die mogelijk ook moeten worden beschermd. Tot slot is uitgebreide testing met een beperkte groep beheergebruikers essentieel voordat het beleid organisatiebreed wordt geactiveerd. Test het beleid met verschillende gebruikersrollen, verschillende MFA-methoden, en verschillende netwerklocaties om ervoor te zorgen dat het beleid correct functioneert onder alle omstandigheden. Test ook de scenario's waarbij MFA-registratie ontbreekt of wanneer een gebruiker tijdelijk geen toegang heeft tot hun MFA-methode, zodat u passende uitzonderingen of noodprocedures kunt implementeren. Deze testfase moet minimaal enkele weken duren om voldoende data te verzamelen over het gedrag van het beleid onder verschillende omstandigheden. Tijdens deze testperiode moet u de sign-in logs regelmatig controleren om te verifiëren dat het beleid correct wordt toegepast en om eventuele problemen vroegtijdig te identificeren.
Implementatie
Gebruik PowerShell-script ca-mfa-admin-portals.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van een Conditional Access-beleid voor meervoudige authenticatie op beheerportalen vereist een gestructureerde aanpak waarbij elke stap zorgvuldig wordt uitgevoerd om te voorkomen dat legitieme beheerders onterecht worden geblokkeerd. Het proces begint met het navigeren naar de Azure Active Directory-beheeromgeving, waar u toegang krijgt tot de Conditional Access-configuratie. Deze implementatie moet worden uitgevoerd door een beheerder met de juiste rechten, meestal een globale beheerder of een beheerder met de rol van Conditional Access-beheerder. Het is belangrijk om te realiseren dat wijzigingen aan Conditional Access-beleid direct effect hebben op de toegang van gebruikers, daarom moet elke stap worden gecontroleerd voordat u doorgaat naar de volgende. Start de implementatie door in te loggen op de Azure Portal en navigeer naar Azure Active Directory. Selecteer vervolgens de optie 'Voorwaardelijke toegang' in het linkermenu. Klik op 'Nieuw beleid' om een nieuw Conditional Access-beleid aan te maken. Geef het beleid een duidelijke en beschrijvende naam zoals 'MFA vereist voor beheerportalen' zodat andere beheerders direct begrijpen wat het doel van dit beleid is. Het is ook aan te raden om een beschrijving toe te voegen waarin u uitlegt waarom dit beleid is geïmplementeerd en welke beheerportalen worden beschermd. Deze documentatie helpt toekomstige beheerders om de context en het doel van het beleid te begrijpen. Bij het configureren van de gebruikersomvang moet u ervoor zorgen dat alle gebruikers die mogelijk toegang hebben tot beheerportalen, onder dit beleid vallen. Selecteer 'Alle gebruikers' als doelgroep, tenzij u specifieke uitzonderingen wilt maken voor noodtoegang of serviceaccounts. Het is belangrijk om te realiseren dat beheerportalen niet alleen worden gebruikt door globale beheerders, maar ook door gebruikers met specifieke beheerdersrollen zoals Exchange-beheerders, SharePoint-beheerders of beveiligingsbeheerders. Als u specifieke uitzonderingen moet maken, bijvoorbeeld voor break-glass accounts die worden gebruikt in noodsituaties, moet u deze uitzonderingen zorgvuldig documenteren en regelmatig controleren of deze nog steeds nodig zijn. Het is ook belangrijk om te realiseren dat uitzonderingen beveiligingsrisico's introduceren, daarom moeten deze minimaal worden gehouden en moeten zij worden bewaakt. Voor de cloud-applicaties selecteert u 'Apps selecteren' en kiest u vervolgens de specifieke beheerportaalapplicaties. De belangrijkste applicaties zijn Microsoft Azure Management (dit is de applicatie die toegang geeft tot Azure Portal), Microsoft 365 Admin Center, Exchange Admin Center, SharePoint Admin Center, en Microsoft Defender voor Cloud. Sommige organisaties gebruiken mogelijk ook aanvullende beheerportalen zoals Power Platform Admin Center, Dynamics 365 Admin Center, of het Compliance Center. Zorg ervoor dat u alle relevante beheerportalen selecteert die binnen uw organisatie worden gebruikt. Het is belangrijk om te realiseren dat nieuwe beheerportalen kunnen worden toegevoegd aan de lijst van beschikbare applicaties, daarom moet u regelmatig controleren of er nieuwe beheerportalen zijn die moeten worden toegevoegd aan het beleid. Het is ook belangrijk om te controleren of er indirecte toegangsmethoden zijn, zoals via API's of PowerShell, die mogelijk ook moeten worden beschermd. Bij de toekenningscontroles selecteert u 'Toegang verlenen' en vinkt u het selectievakje aan voor 'Meervoudige authenticatie vereisen'. U kunt ook aanvullende controles configureren, zoals het vereisen van een compatibel apparaat of het vereisen van een hybride Azure AD-gekoppeld apparaat, maar voor de basisimplementatie is het vereisen van MFA voldoende. Deze aanvullende controles kunnen de beveiliging verder versterken, maar zij kunnen ook de gebruikerservaring beïnvloeden en kunnen leiden tot extra configuratievereisten. Het is daarom aan te raden om eerst de basisimplementatie met alleen MFA uit te voeren en later eventueel aanvullende controles toe te voegen op basis van de specifieke beveiligingsbehoeften van uw organisatie. Activeer het beleid door de schakelaar 'Beleid inschakelen' in te schakelen. Het is aan te raden om het beleid eerst in de modus 'Alleen rapportage' te plaatsen om te zien welke impact het beleid zou hebben zonder daadwerkelijk gebruikers te blokkeren. In deze modus worden alle Conditional Access-beslissingen gelogd, maar worden gebruikers niet daadwerkelijk geblokkeerd als zij niet voldoen aan de vereisten. Dit geeft u de mogelijkheid om te zien hoeveel gebruikers zouden worden beïnvloed door het beleid en om eventuele problemen te identificeren voordat u het beleid volledig activeert. Na een testperiode van enkele dagen, waarin u de logs analyseert en eventuele problemen oplost, kunt u het beleid activeren door de schakelaar in te schakelen. Na activatie moet u uitgebreid testen of beheerders daadwerkelijk MFA moeten gebruiken bij toegang tot beheerportalen. Test dit met verschillende gebruikersrollen, verschillende netwerklocaties (binnen en buiten het bedrijfsnetwerk), en verschillende apparaten. Verifieer dat gebruikers die nog niet zijn geregistreerd voor MFA, worden doorgestuurd naar de MFA-registratiepagina. Test ook scenario's waarbij gebruikers problemen ondervinden met hun MFA-methode, zoals wanneer zij hun telefoon verliezen of wanneer SMS-verificatie niet beschikbaar is. Documenteer alle testresultaten en pas het beleid aan indien nodig. Het is ook belangrijk om gebruikers te informeren over het nieuwe beleid en hen te begeleiden bij het gebruik van MFA voor toegang tot beheerportalen.
Compliance en Audit
Het implementeren van meervoudige authenticatie voor beheerportalen is niet alleen een best practice, maar ook een verplichting onder verschillende internationale en Nederlandse beveiligingsstandaarden en wetgevingskaders. Nederlandse overheidsorganisaties moeten voldoen aan meerdere compliance-vereisten die allemaal het belang benadrukken van sterke authenticatie voor bevoorrechte toegang. Het niet naleven van deze vereisten kan leiden tot boetes, reputatieschade, en in het ergste geval tot het verlies van certificeringen of het niet kunnen voldoen aan contractuele verplichtingen. Het is daarom essentieel dat organisaties niet alleen de technische implementatie uitvoeren, maar ook kunnen aantonen dat zij voldoen aan alle relevante compliance-vereisten. De CIS Azure Foundations Benchmark versie 3.0.0 specificeert in controle 1.28 dat meervoudige authenticatie moet worden vereist voor alle toegang tot beheerportalen. Deze controle is geclassificeerd als Level 1, wat betekent dat het een fundamentele beveiligingsmaatregel is die door alle organisaties moet worden geïmplementeerd, ongeacht hun grootte of complexiteit. De CIS Benchmark wordt wereldwijd erkend als een autoritatieve bron voor cloudbeveiliging en wordt vaak gebruikt als basis voor compliance-audits. Organisaties die voldoen aan de CIS Benchmark kunnen aantonen dat zij best practices volgen voor cloudbeveiliging, wat kan helpen bij het verkrijgen van verzekeringen, het voldoen aan contractuele vereisten, en het opbouwen van vertrouwen bij stakeholders. Voor Nederlandse overheidsorganisaties is het naleven van de CIS Benchmark vaak een vereiste voor het werken met gevoelige gegevens of voor het deelnemen aan bepaalde overheidsprogramma's. De Baseline Informatiebeveiliging Overheid (BIO) specificeert in norm 09.04 dat administratieve toegang moet worden beschermd met sterke authenticatiemechanismen. De BIO is de Nederlandse beveiligingsstandaard specifiek ontwikkeld voor overheidsorganisaties en vormt de basis voor informatiebeveiliging binnen de Nederlandse publieke sector. Norm 09.04 benadrukt dat bevoorrechte accounts, waaronder accounts met toegang tot beheerportalen, extra bescherming vereisen omdat een compromittering van deze accounts kan leiden tot ernstige gegevenslekken of verstoring van kritieke dienstverlening. De BIO is bindend voor alle Nederlandse overheidsorganisaties en het niet naleven van de BIO-normen kan leiden tot disciplinaire maatregelen en in het ergste geval tot het verlies van de mogelijkheid om bepaalde taken uit te voeren. Het is daarom essentieel dat alle Nederlandse overheidsorganisaties die gebruik maken van clouddiensten, waaronder Microsoft 365 en Azure, kunnen aantonen dat zij voldoen aan norm 09.04 door meervoudige authenticatie te implementeren voor alle beheerportalen. De internationale standaard ISO 27001:2022 specificeert in controle A.9.4.3 dat organisaties moeten zorgen voor een beveiligd toegangsbeheersysteem voor bevoorrechte toegangsfuncties. Deze controle maakt deel uit van het toegangsbeheer domein en benadrukt dat bevoorrechte accounts, waaronder accounts met toegang tot beheerportalen, moeten worden beschermd met meervoudige authenticatie. ISO 27001-certificering is vaak een vereiste voor organisaties die werken met gevoelige gegevens of kritieke infrastructuur, en het niet naleven van de ISO 27001-controles kan leiden tot het verlies van certificering. Voor Nederlandse organisaties die ISO 27001-gecertificeerd zijn of willen worden, is het implementeren van meervoudige authenticatie voor beheerportalen een essentiële stap. Tijdens ISO 27001-audits zullen auditors controleren of organisaties passende maatregelen hebben getroffen om bevoorrechte toegang te beschermen, en het hebben van een Conditional Access-beleid voor beheerportalen is een duidelijke manier om aan te tonen dat aan deze controle wordt voldaan. De Europese NIS2-richtlijn, die is geïmplementeerd in Nederlandse wetgeving, vereist in artikel 21 dat essentiële en belangrijke entiteiten passende maatregelen treffen voor toegangscontrole en authenticatie. Beheerportalen vallen onder de kritieke systemen die moeten worden beschermd volgens NIS2, en meervoudige authenticatie wordt expliciet genoemd als een aanbevolen maatregel. Nederlandse organisaties die onder de reikwijdte van NIS2 vallen, moeten kunnen aantonen dat zij passende authenticatiemaatregelen hebben geïmplementeerd voor beheerportalen. Het niet naleven van de NIS2-vereisten kan leiden tot boetes en in het ergste geval tot het verlies van de mogelijkheid om bepaalde activiteiten uit te voeren. Het is daarom essentieel dat organisaties die onder de reikwijdte van NIS2 vallen, kunnen aantonen dat zij meervoudige authenticatie hebben geïmplementeerd voor alle beheerportalen en dat zij regelmatig controleren of deze maatregelen nog steeds effectief zijn. Naast deze specifieke controles en normen, wordt meervoudige authenticatie voor beheerportalen ook aanbevolen door de Algemene Verordening Gegevensbescherming (AVG), met name in de context van artikel 32 dat vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen. Beheerportalen bevatten vaak toegang tot persoonsgegevens, en meervoudige authenticatie vormt een essentiële maatregel om onbevoegde toegang te voorkomen. Het niet implementeren van meervoudige authenticatie voor beheerportalen kan worden gezien als een schending van artikel 32 van de AVG, wat kan leiden tot boetes van maximaal vier procent van de wereldwijde jaaromzet of twintig miljoen euro, afhankelijk van wat hoger is. Het is daarom essentieel dat alle organisaties die persoonsgegevens verwerken via beheerportalen, meervoudige authenticatie implementeren om te voldoen aan de AVG-vereisten. Voor compliance-audits is het belangrijk om te kunnen aantonen dat het Conditional Access-beleid actief is en correct functioneert. Dit betekent dat u regelmatig moet controleren of het beleid nog steeds van kracht is, of alle relevante beheerportalen zijn opgenomen, en of gebruikers daadwerkelijk MFA moeten gebruiken bij toegang. Documenteer alle configuratiewijzigingen en bewaar screenshots van het beleid voor auditdoeleinden. Zorg er ook voor dat u regelmatig de sign-in logs controleert om te verifiëren dat toegang tot beheerportalen inderdaad MFA vereist. Tijdens audits zullen auditors vragen om bewijs dat het beleid actief is en correct functioneert, en het hebben van gedocumenteerde configuraties, screenshots, en loganalyses kan helpen om aan te tonen dat aan de compliance-vereisten wordt voldaan. Het is ook belangrijk om regelmatig compliance-rapporten te genereren die aantonen dat alle beheerders die toegang hebben tot beheerportalen, daadwerkelijk MFA gebruiken, en om deze rapporten te bewaren voor auditdoeleinden.
Monitoring
Gebruik PowerShell-script ca-mfa-admin-portals.ps1 (functie Invoke-Monitoring) – Controleren.
Regelmatige monitoring van het Conditional Access-beleid voor beheerportalen is essentieel om te verifiëren dat het beleid correct functioneert en dat alle beheerders daadwerkelijk meervoudige authenticatie gebruiken bij toegang tot beheerportalen. Monitoring helpt ook om potentiële problemen vroegtijdig te identificeren, zoals gebruikers die worden geblokkeerd omdat zij niet zijn geregistreerd voor MFA, of configuratiefouten die ertoe leiden dat bepaalde beheerportalen niet worden beschermd. Zonder adequate monitoring kunnen beveiligingsproblemen onopgemerkt blijven, wat kan leiden tot onbevoegde toegang tot beheerportalen en mogelijke gegevenslekken of verstoring van kritieke dienstverlening. Het is daarom essentieel dat organisaties een gestructureerde monitoringaanpak implementeren die regelmatig controleert of het beleid nog steeds actief is en correct functioneert. De primaire monitoringmethode is het controleren van de Azure AD sign-in logs, die gedetailleerde informatie bevatten over alle aanmeldpogingen bij beheerportalen. In deze logs kunt u zien of gebruikers succesvol MFA hebben voltooid, of er mislukte aanmeldpogingen zijn geweest, en welke Conditional Access-beleidsregels zijn toegepast. Filter de logs op de specifieke beheerportaalapplicaties om alleen relevante aanmeldgebeurtenissen te zien. Deze logs bevatten waardevolle informatie zoals de tijdstempel van de aanmeldpoging, het IP-adres van waaruit de aanmeldpoging is gedaan, het apparaat dat is gebruikt, en of MFA succesvol is voltooid. Door deze logs regelmatig te analyseren, kunt u patronen identificeren die kunnen wijzen op beveiligingsproblemen, zoals aanmeldpogingen van onbekende locaties of apparaten, of herhaalde mislukte MFA-pogingen. Controleer regelmatig of het Conditional Access-beleid nog steeds actief is en of de configuratie niet onbedoeld is gewijzigd. Dit kunt u doen door het beleid te bekijken in de Azure Portal en te verifiëren dat alle instellingen nog steeds correct zijn geconfigureerd. Let specifiek op of alle relevante beheerportaalapplicaties nog steeds zijn opgenomen in het beleid, of de gebruikersomvang nog steeds correct is ingesteld, en of het beleid nog steeds is ingeschakeld. Het is ook belangrijk om te controleren of er geen nieuwe uitzonderingen zijn toegevoegd die onbedoeld zijn, of dat er geen andere Conditional Access-beleidsregels zijn geconfigureerd die conflicteren met het MFA-beleid voor beheerportalen. Deze controles moeten minimaal maandelijks worden uitgevoerd, maar het is aan te raden om ze wekelijks uit te voeren voor organisaties met een hoog beveiligingsniveau. Monitor ook of er gebruikers zijn die problemen ondervinden bij het gebruik van MFA voor beheerportalen. Dit kan blijken uit herhaalde mislukte aanmeldpogingen, helpdesk-tickets van beheerders die niet kunnen inloggen, of gebruikers die klagen over problemen met hun MFA-methode. Identificeer deze problemen vroegtijdig en bied ondersteuning aan gebruikers die hulp nodig hebben bij het configureren of gebruiken van MFA. Het is belangrijk om te realiseren dat gebruikersproblemen met MFA niet alleen de gebruikerservaring beïnvloeden, maar ook kunnen leiden tot situaties waarin gebruikers proberen om MFA te omzeilen of waarin zij alternatieve toegangsmethoden zoeken die mogelijk minder veilig zijn. Door gebruikersproblemen vroegtijdig te identificeren en op te lossen, kunt u ervoor zorgen dat alle beheerders succesvol MFA kunnen gebruiken en dat het beveiligingsniveau wordt gehandhaafd. Gebruik Azure Monitor en Azure Log Analytics om geavanceerde monitoring en alerting in te stellen. Configureer waarschuwingen voor ongebruikelijke patronen, zoals een beheerder die probeert in te loggen zonder MFA, of een gebruiker die herhaaldelijk wordt geblokkeerd. Stel ook waarschuwingen in voor wanneer het Conditional Access-beleid wordt gewijzigd of uitgeschakeld, zodat u direct op de hoogte bent van configuratiewijzigingen. Deze waarschuwingen kunnen worden geconfigureerd om e-mailmeldingen te sturen naar beveiligingsbeheerders of om automatische acties te triggeren, zoals het maken van een incident ticket of het uitvoeren van een script om het beleid te herstellen. Het is belangrijk om deze waarschuwingen regelmatig te testen om ervoor te zorgen dat zij correct functioneren en dat de juiste personen worden geïnformeerd wanneer er problemen worden gedetecteerd. Voer maandelijks een compliance-controle uit om te verifiëren dat alle beheerders die toegang hebben tot beheerportalen, daadwerkelijk MFA gebruiken. Dit kunt u doen door een rapport te genereren van alle aanmeldingen bij beheerportalen en te controleren of alle aanmeldingen MFA vereisten hebben voltooid. Documenteer de resultaten van deze controles voor auditdoeleinden. Deze compliance-controles zijn essentieel voor het kunnen aantonen dat uw organisatie voldoet aan de relevante beveiligingsstandaarden en wetgevingskaders, zoals de CIS Benchmark, de BIO, ISO 27001, en NIS2. Tijdens audits zullen auditors vragen om bewijs dat alle beheerders daadwerkelijk MFA gebruiken, en het hebben van maandelijkse compliance-rapporten kan helpen om aan te tonen dat aan deze vereisten wordt voldaan. Het is ook belangrijk om eventuele afwijkingen te documenteren en te verklaren, zoals tijdelijke uitzonderingen voor specifieke scenario's, en om te verifiëren dat deze uitzonderingen nog steeds nodig zijn en dat zij worden bewaakt.
Remediatie
Gebruik PowerShell-script ca-mfa-admin-portals.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring aangeeft dat het Conditional Access-beleid voor beheerportalen niet correct functioneert, of wanneer er beveiligingsincidenten zijn waarbij beheerders toegang hebben gekregen tot beheerportalen zonder MFA, moet u onmiddellijk actie ondernemen om de situatie te herstellen. Remediatie is het proces waarbij u problemen identificeert, de oorzaak bepaalt, en corrigerende maatregelen treft om ervoor te zorgen dat het beleid weer correct functioneert. Het is essentieel dat remediatie-acties snel worden uitgevoerd, omdat elke minuut dat beheerportalen niet correct worden beschermd, een potentiële beveiligingsrisico vormt. Het is daarom aan te raden om een gestructureerd remediatieproces te hebben dat duidelijk definieert welke stappen moeten worden genomen wanneer problemen worden gedetecteerd, en wie verantwoordelijk is voor het uitvoeren van deze stappen. Als monitoring aangeeft dat gebruikers toegang hebben gekregen tot beheerportalen zonder MFA, moet u eerst onderzoeken waarom dit is gebeurd. Mogelijke oorzaken zijn dat het Conditional Access-beleid is uitgeschakeld, dat bepaalde beheerportaalapplicaties niet zijn opgenomen in het beleid, of dat er uitzonderingen zijn geconfigureerd die onbedoeld zijn. Controleer de configuratie van het beleid en verifieer dat alle instellingen correct zijn. Als het beleid is uitgeschakeld, schakel het onmiddellijk weer in en onderzoek waarom het is uitgeschakeld om te voorkomen dat dit in de toekomst opnieuw gebeurt. Als bepaalde applicaties ontbreken, voeg deze toe aan het beleid en controleer of er andere beheerportalen zijn die mogelijk ook moeten worden toegevoegd. Het is ook belangrijk om te controleren of er andere Conditional Access-beleidsregels zijn die mogelijk conflicteren met het MFA-beleid voor beheerportalen, zoals beleidsregels die specifieke gebruikers of applicaties uitsluiten van MFA-vereisten. Als gebruikers worden geblokkeerd omdat zij niet zijn geregistreerd voor MFA, moet u ervoor zorgen dat deze gebruikers hun MFA-registratie voltooien voordat zij toegang krijgen tot beheerportalen. Dit kan betekenen dat u tijdelijk een uitzondering moet maken voor specifieke gebruikers terwijl zij hun MFA-registratie voltooien, of dat u een deadline stelt waarbinnen alle beheerders hun MFA-registratie moeten voltooien. Zorg ervoor dat u gebruikers ondersteunt bij het registreren voor MFA door duidelijke instructies te verstrekken en helpdesk-ondersteuning aan te bieden. Het is belangrijk om te realiseren dat gebruikers die worden geblokkeerd mogelijk kritieke beheertaken moeten uitvoeren, daarom moet u een balans vinden tussen beveiliging en operationele continuïteit. Overweeg om een tijdelijke uitzondering te maken voor specifieke gebruikers terwijl zij hun MFA-registratie voltooien, maar zorg ervoor dat deze uitzonderingen worden bewaakt en dat zij worden verwijderd zodra de MFA-registratie is voltooid. Als er configuratiefouten zijn geïdentificeerd, zoals verkeerde gebruikersomvang of ontbrekende beheerportaalapplicaties, moet u het beleid onmiddellijk corrigeren. Test de gewijzigde configuratie grondig voordat u deze activeert, om te voorkomen dat legitieme gebruikers onterecht worden geblokkeerd. Documenteer alle configuratiewijzigingen en de redenen waarom deze zijn doorgevoerd. Het is belangrijk om te realiseren dat configuratiefouten kunnen leiden tot situaties waarin beheerportalen niet correct worden beschermd, daarom moet u na het corrigeren van de configuratie uitgebreid testen om te verifiëren dat het beleid nu correct functioneert. Het is ook aan te raden om een tweede persoon te laten controleren of de configuratiewijzigingen correct zijn voordat u deze activeert, om menselijke fouten te voorkomen. In het geval van een beveiligingsincident waarbij een beheerdersaccount is gecompromitteerd en toegang heeft gekregen tot beheerportalen zonder MFA, moet u onmiddellijk alle beveiligingsmaatregelen activeren. Dit omvat het resetten van wachtwoorden, het intrekken van alle actieve sessies, het controleren van alle activiteiten die zijn uitgevoerd via het gecompromitteerde account, en het verifiëren dat het Conditional Access-beleid correct functioneert om toekomstige incidenten te voorkomen. Het is essentieel dat deze acties snel worden uitgevoerd om verdere schade te voorkomen. U moet ook een forensisch onderzoek uitvoeren om te bepalen hoe het account is gecompromitteerd, welke activiteiten zijn uitgevoerd via het gecompromitteerde account, en of er andere accounts of systemen zijn aangetast. Documenteer alle acties die zijn ondernomen tijdens het incident en de resultaten van het forensisch onderzoek voor toekomstige referentie en voor compliance-doeleinden. Voer na elke remediatie-actie een grondige controle uit om te verifiëren dat het probleem is opgelost en dat het beleid weer correct functioneert. Test het beleid met verschillende gebruikers en verschillende scenario's om er zeker van te zijn dat alle beheerportalen correct worden beschermd. Documenteer alle remediatie-acties en de resultaten voor toekomstige referentie en voor auditdoeleinden. Het is ook belangrijk om te analyseren waarom het probleem is opgetreden en om maatregelen te treffen om te voorkomen dat het probleem in de toekomst opnieuw optreedt. Dit kan betekenen dat u uw monitoringprocessen moet verbeteren, dat u aanvullende waarschuwingen moet configureren, of dat u uw configuratiebeheerprocessen moet verbeteren om te voorkomen dat onbedoelde wijzigingen worden doorgevoerd.
Compliance & Frameworks
- CIS M365: Control 1.28 (L1) - Zorg ervoor dat meervoudige authenticatie wordt vereist voor alle toegang tot beheerportalen
- BIO: 09.04 - BIO: Bescherming van administratieve toegang met sterke authenticatiemechanismen
- ISO 27001:2022: A.9.4.3 - Beveiligd toegangsbeheersysteem voor bevoorrechte toegangsfuncties
- NIS2: Artikel - Administratieve toegangscontrole en authenticatie voor kritieke systemen
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
CA MFA Admin Portals
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.10
Controleert MFA requirement voor admin portals.
.NOTES
Filename: ca-mfa-admin-portals.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.10
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "CA MFA Admin Portals"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - MFA required voor admin portals" -ForegroundColor Gray
Write-Host " - Apps: Azure Management, Microsoft Admin Portals" -ForegroundColor Gray
Write-Host " - Users: All users of Admin roles" -ForegroundColor Gray
Write-Host " - Grant: Require MFA" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: MFA for admin portals" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - MFA required voor admin portals" -ForegroundColor Gray
Write-Host " - Apps: Azure Management, Microsoft Admin Portals" -ForegroundColor Gray
Write-Host " - Users: All users of Admin roles" -ForegroundColor Gray
Write-Host " - Grant: Require MFA" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: MFA for admin portals" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Beheerportalen zonder meervoudige authenticatie vormen een kritiek beveiligingsrisico waarbij een gecompromitteerd wachtwoord direct kan leiden tot volledige tenant-compromittering. Azure Portal biedt controle over de volledige infrastructuur, Microsoft 365 Admin Center biedt controle over gebruikersbeheer. Een enkel gecompromitteerd wachtwoord kan leiden tot volledige overname van de tenant. Compliance-vereisten: CIS 1.28, BIO 9.04, NIS2. Het risico is KRITIEK voor ALLE tenants.
Management Samenvatting
Conditional Access MFA voor beheerportalen: Vereis meervoudige authenticatie voor Azure Portal, Microsoft 365 Admin Center, Exchange Admin Center en Security Admin Center. Activatie: Conditional Access → Cloud-apps: Beheerportalen selecteren → Meervoudige authenticatie vereisen. Meervoudige authenticatie is beschikbaar in Azure AD Free. Verplicht volgens CIS 1.28, BIO 9.04, NIS2. Implementatietijd: 1 uur. ONBESPREEKBARE controle.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE