Azure: Multi-Factor Authentication Verplicht Stellen Voor Alle Gebruikers

Wachtwoordcompromitteringen zijn de belangrijkste oorzaak van beveiligingsinbreuken. Aanvallers verkrijgen inloggegevens via phishing, wachtwoordspraying, credential stuffing, keyloggers of datalekken. MFA voorkomt dat gestolen wachtwoorden alleen leiden tot accounttoegang, omdat de tweede factor, zoals een authenticator-appcode, onbevoegde toegang blokkeert. Zonder MFA zijn accounts extreem kwetsbaar: volgens Microsoft kan 99,9 procent van alle accountcompromitteringen worden voorkomen met MFA. Bij ransomware-aanvallen is een gecompromitteerd beheerdersaccount vaak de initiële toegangsvector. MFA had dit kunnen blokkeren.

Implementatie

Deze controle verifieert dat multifactorauthenticatie verplicht is gesteld voor alle gebruikers binnen de Azure Active Directory-omgeving via een Conditional Access-beleid dat correct is geconfigureerd en daadwerkelijk actief is. Het beleid vormt de technische implementatie die ervoor zorgt dat geen enkele gebruiker toegang kan krijgen tot cloud-applicaties zonder succesvolle verificatie via meerdere authenticatiefactoren. De controle omvat een uitgebreide verificatie van verschillende configuratieaspecten die elk essentieel zijn voor een effectieve beveiligingsimplementatie. Het eerste kritieke aspect betreft de gebruikersselectie binnen het Conditional Access-beleid. Het beleid moet expliciet zijn geconfigureerd om van toepassing te zijn op alle gebruikers binnen de organisatie, inclusief reguliere gebruikers, gastgebruikers en service-accounts. Deze brede toepassing is essentieel omdat aanvallers vaak de zwakste schakel in de beveiligingsketen zoeken, en een enkele gebruiker zonder MFA kan dienen als toegangspunt voor een volledige compromittering van de organisatie. De enige uitzondering die is toegestaan betreft break-glass accounts, speciaal geconfigureerde noodsituatie-accounts die zijn ontworpen voor gebruik tijdens beveiligingsincidenten of technische storingen. Deze accounts moeten worden uitgesloten via een specifieke beveiligingsgroep, maar moeten zelf extra beveiligd worden met sterke wachtwoorden en beperkte toegangsrechten. Het tweede essentiële aspect betreft de toepassing van het beleid op cloud-applicaties. Het Conditional Access-beleid moet zijn geconfigureerd om van toepassing te zijn op alle cloud-applicaties binnen de Microsoft 365 en Azure-omgeving, inclusief Exchange Online, SharePoint Online, Microsoft Teams, Azure Portal en alle andere geïntegreerde services. Deze brede toepassing voorkomt dat gebruikers bepaalde applicaties kunnen gebruiken zonder MFA, wat de beveiligingswaarde van de implementatie zou ondermijnen. Beheerders moeten specifiek controleren dat de selectie is ingesteld op 'Alle cloud-apps' en niet op een beperkte subset van applicaties. De toegangstoekenning vormt het derde kritieke configuratieaspect. Het beleid moet expliciet zijn ingesteld op 'Multifactorauthenticatie vereisen', wat betekent dat gebruikers die niet voldoen aan deze vereiste volledig worden geblokkeerd en geen toegang kunnen krijgen tot de geselecteerde applicaties. Het is belangrijk om te verifiëren dat de toegangstoekenning niet is ingesteld op 'Toegang toestaan' met aanvullende voorwaarden, omdat dit kan leiden tot onbedoelde uitzonderingen. De MFA-vereiste moet absoluut zijn voor alle gebruikers die onder het beleid vallen. De status van het beleid vormt het vierde essentiële aspect. Het beleid moet zijn ingesteld op 'Aan' om daadwerkelijk MFA af te dwingen. Een beleid dat is ingesteld op 'Alleen rapportage' evalueert en rapporteert alleen wat er zou gebeuren als het beleid actief zou zijn, maar blokkeert gebruikers niet die niet voldoen aan de MFA-vereisten. Deze modus is nuttig voor testdoeleinden en pilotimplementaties, maar is onvoldoende voor productie-omgevingen waar daadwerkelijke beveiliging vereist is. Beheerders moeten regelmatig controleren dat het beleid daadwerkelijk actief is en niet onbedoeld is teruggezet naar rapportagemodus. De keuze van MFA-methoden vormt een belangrijk aspect van de implementatie, hoewel dit niet direct wordt gecontroleerd door het Conditional Access-beleid zelf. Voorkeursmethoden voor multifactorauthenticatie zijn de Microsoft Authenticator-app met pushmeldingen, die gebruikers een eenvoudige en veilige manier biedt om hun identiteit te verifiëren. FIDO2-beveiligingssleutels bieden phishing-resistente authenticatie die bescherming biedt tegen geavanceerde aanvalstechnieken. Windows Hello voor Bedrijven biedt geïntegreerde biometrische authenticatie voor Windows-apparaten, wat de gebruikerservaring verbetert terwijl de beveiliging wordt versterkt. Certificaatgebaseerde authenticatie is geschikt voor geavanceerde scenario's waarbij hoge beveiligingsniveaus vereist zijn. Verouderde MFA-methoden zoals SMS-gebaseerde of telefoongesprek-gebaseerde authenticatie zijn beter dan geen MFA, maar bieden aanzienlijk minder beveiliging tegen moderne aanvalstechnieken. SMS-gebaseerde MFA is kwetsbaar voor SIM-swapping aanvallen, waarbij aanvallers het telefoonnummer van een slachtoffer overnemen naar een door hen gecontroleerde SIM-kaart. Telefoongesprek-gebaseerde MFA is kwetsbaar voor social engineering aanvallen waarbij aanvallers gebruikers misleiden om verificatiecodes door te geven. Organisaties moeten daarom streven naar het gebruik van moderne, phishing-resistente MFA-methoden waar mogelijk. De controle verifieert ook dat het Conditional Access-beleid correct is geïntegreerd met andere beveiligingsmaatregelen binnen de organisatie. Het beleid moet werken in combinatie met andere Conditional Access-beleidsregels, zoals locatiegebaseerde toegangscontroles of apparaatcompliance-vereisten, zonder conflicten te veroorzaken die gebruikers onterecht zouden blokkeren. Beheerders moeten regelmatig de interactie tussen verschillende Conditional Access-beleidsregels controleren om te verifiëren dat de beveiligingsdoelen worden bereikt zonder de gebruikerservaring onnodig te verstoren.

Vereisten

Voor de implementatie van organisatiebrede multifactorauthenticatie via voorwaardelijke toegang moeten verschillende technische, organisatorische en licentievereisten worden vervuld. Deze vereisten vormen de basis voor een succesvolle en veilige MFA-implementatie die zowel beveiligingsdoelen als gebruikerservaring in balans brengt. De primaire technische vereiste betreft licentieverwerving. Alle gebruikers die onder het MFA-beleid vallen, moeten beschikken over een Azure AD Premium P1-licentie. Deze licentie is essentieel omdat voorwaardelijke toegang, de technologie die MFA afdwingt, alleen beschikbaar is binnen de Premium-licenties. Organisaties moeten daarom een licentie-inventarisatie uitvoeren om te bepalen hoeveel Premium P1-licenties nodig zijn. Voor grote organisaties kan dit een aanzienlijke investering betekenen, maar de beveiligingswinst rechtvaardigt deze kosten ruimschoots. Het is belangrijk om te benadrukken dat zonder deze licenties de implementatie van organisatiebrede MFA via Conditional Access niet mogelijk is. Alternatieve methoden, zoals per-gebruiker MFA, zijn mogelijk maar bieden minder flexibiliteit en beveiliging. Beheerdersrechten vormen een kritieke vereiste voor de configuratie van Conditional Access-beleid. Organisaties moeten beschikken over een beheerder met globale beheerdersrechten of specifiek de rol van Conditional Access-beheerder. De globale beheerder heeft volledige toegang tot alle Azure AD-functies, inclusief Conditional Access, maar voor organisaties die het principe van minimale bevoegdheden willen toepassen, is de Conditional Access-beheerdersrol voldoende. Deze rol biedt specifiek de rechten om Conditional Access-beleid te maken, wijzigen en verwijderen, zonder toegang tot andere gevoelige beheerfuncties. Het is aanbevolen om meerdere beheerders met deze rechten te hebben voor redundantie, maar deze accounts moeten zelf extra beveiligd worden met MFA en break-glass procedures. Break-glass accounts vormen een essentiële vereiste die voorafgaand aan de MFA-implementatie moet worden geconfigureerd en getest. Deze accounts zijn speciaal ontworpen voor noodsituaties waarin normale beheerdersaccounts mogelijk niet toegankelijk zijn, bijvoorbeeld bij een beveiligingsincident of technische storing. Break-glass accounts moeten worden uitgesloten van MFA-vereisten via een specifieke uitsluitingsgroep in het Conditional Access-beleid, maar moeten zelf extra beveiligd worden met sterke wachtwoorden en beperkte toegang. Het is cruciaal dat deze accounts vooraf worden getest om te verifiëren dat ze daadwerkelijk functioneren wanneer ze nodig zijn. Organisaties moeten procedures documenteren voor wanneer en hoe break-glass accounts mogen worden gebruikt, en alle beheerders moeten getraind zijn in het gebruik ervan. Gebruikerscommunicatie vormt een kritieke organisatorische vereiste die vaak wordt onderschat maar essentieel is voor een succesvolle implementatie. Organisaties moeten een uitgebreid communicatieplan ontwikkelen dat gebruikers informeert over de MFA-vereisten, de redenen daarvoor, en de stappen die zij moeten ondernemen. Deze communicatie moet tijdig plaatsvinden, idealiter enkele weken voor de daadwerkelijke activering, zodat gebruikers voldoende tijd hebben om zich voor te bereiden. Het communicatieplan moet verschillende kanalen gebruiken, zoals e-mail, intranet, teamvergaderingen en persoonlijke gesprekken voor belangrijke gebruikers. De boodschap moet gebruiksvriendelijk zijn en gebruikers geruststellen dat MFA hun beveiliging verbetert zonder hun werkzaamheden onnodig te verstoren. Helpdesk-training is een essentiële vereiste omdat de MFA-implementatie onvermijdelijk vragen en problemen zal veroorzaken bij gebruikers. Helpdeskmedewerkers moeten grondig worden getraind in MFA-registratieprocedures, veelvoorkomende problemen en oplossingen, en de technische aspecten van verschillende MFA-methoden. Deze training moet zowel theoretische kennis als praktische oefeningen omvatten, zodat helpdeskmedewerkers gebruikers effectief kunnen ondersteunen. Organisaties moeten ook een kennisbank of FAQ-document ontwikkelen met veelgestelde vragen en antwoorden, zodat helpdeskmedewerkers snel kunnen reageren op gebruikerstickets. Het is belangrijk om te anticiperen op een verhoogde helpdeskbelasting tijdens de eerste weken na de MFA-activatie en voldoende capaciteit beschikbaar te hebben. Implementatiebegeleiding voor de Microsoft Authenticator-app vormt een belangrijke vereiste omdat dit de voorkeursmethode is voor MFA. Organisaties moeten gedetailleerde instructies ontwikkelen voor het downloaden, installeren en configureren van de Microsoft Authenticator-app op verschillende apparaten, inclusief smartphones en tablets. Deze begeleiding moet visueel zijn, met screenshots of video's die elke stap duidelijk illustreren. Voor organisaties die Microsoft Intune gebruiken, kan de Authenticator-app automatisch worden geïmplementeerd via Company Portal, wat de gebruikerservaring aanzienlijk verbetert. Organisaties moeten ook alternatieve methoden documenteren voor gebruikers die geen smartphone hebben of die de Authenticator-app niet kunnen gebruiken. Een MFA-registratiecampagne met duidelijke deadlines is essentieel om ervoor te zorgen dat alle gebruikers tijdig hun MFA-methoden registreren. Deze campagne moet een gefaseerde aanpak volgen, beginnend met een zachte deadline voor vrijwillige registratie, gevolgd door herinneringen en uiteindelijk een harde deadline waarna gebruikers worden geblokkeerd totdat zij MFA hebben geregistreerd. De campagne moet gebruikmaken van verschillende communicatiekanalen en moet regelmatig de voortgang monitoren om gebruikers te identificeren die extra ondersteuning nodig hebben. Organisaties moeten ook beloningen of erkenning overwegen voor gebruikers die vroegtijdig registreren, om positieve gedragsverandering te stimuleren.

Monitoring

Gebruik PowerShell-script mfa-all-azure-users.ps1 (functie Invoke-Monitoring) – PowerShell-script voor verificatie dat het Conditional Access-beleid voor MFA voor alle gebruikers bestaat en ingeschakeld is. Vereist handmatige controle in Azure Portal..

Effectieve monitoring van multifactorauthenticatie-implementatie vereist een combinatie van geautomatiseerde controles en handmatige verificatie om te garanderen dat het beveiligingsbeleid correct functioneert en dat alle gebruikers daadwerkelijk MFA gebruiken. Deze monitoring moet regelmatig worden uitgevoerd, idealiter wekelijks, om afwijkingen tijdig te detecteren en te corrigeren. Handmatige verificatie in de Azure Portal vormt de eerste stap in het monitoringproces. Beheerders moeten navigeren naar Azure AD, vervolgens naar Beveiliging en daarna naar Voorwaardelijke toegang om het beleid 'MFA vereisen voor alle gebruikers' te controleren. Tijdens deze verificatie moeten verschillende aspecten worden gecontroleerd: de gebruikersselectie moet zijn ingesteld op 'Alle gebruikers' met uitsluiting van break-glass accounts, de cloud-apps selectie moet zijn ingesteld op 'Alle cloud-apps', de toegangstoekenning moet zijn ingesteld op 'MFA vereisen', en de status moet zijn ingesteld op 'Aan' in plaats van 'Alleen rapportage'. Een beleid in rapportagemodus evalueert alleen wat er zou gebeuren maar blokkeert gebruikers niet, wat betekent dat MFA niet daadwerkelijk wordt afgedwongen. Het monitoren van MFA-adoptie vereist regelmatige analyse van aanmeldingslogboeken. Beheerders moeten navigeren naar Azure AD, vervolgens naar Aanmeldingen en filteren op gebruikers die zonder MFA hebben ingelogd. Deze analyse helpt bij het identificeren van gebruikers die mogelijk MFA omzeilen of die nog geen MFA hebben geregistreerd. Het streefdoel is 100 procent MFA-dekking, wat betekent dat alle gebruikers MFA moeten gebruiken bij elke aanmelding. Afwijkingen van dit streefdoel moeten worden onderzocht en gecorrigeerd. Geavanceerde monitoring kan worden uitgevoerd via Microsoft Graph API of PowerShell-scripts die regelmatig de Conditional Access-beleidsconfiguratie controleren en rapporteren over de MFA-adoptiegraad. Deze geautomatiseerde controles kunnen worden geïntegreerd in bestaande monitoring- en rapportagetools, waardoor beheerders proactief kunnen worden gewaarschuwd wanneer problemen worden gedetecteerd. Het is belangrijk om waarschuwingen te configureren voor significante afwijkingen, zoals een plotselinge daling van MFA-gebruik of gebruikers die herhaaldelijk proberen MFA te omzeilen. Naast technische monitoring moet ook aandacht worden besteed aan gebruikerservaring en helpdeskmetrieken. Een plotselinge toename van helpdesktickets gerelateerd aan MFA-problemen kan wijzen op configuratieproblemen of gebruikersonvriendelijke instellingen. Deze metriek moet worden geanalyseerd om te identificeren of aanvullende gebruikersondersteuning of configuratiewijzigingen nodig zijn. Regelmatige gebruikersfeedback kan ook waardevolle inzichten opleveren over de effectiviteit van de MFA-implementatie en mogelijke verbeterpunten.

Implementatie

De implementatie van organisatiebrede multifactorauthenticatie vereist een gestructureerde, gefaseerde aanpak die zowel technische configuratie als organisatorische voorbereiding omvat. Deze implementatie moet zorgvuldig worden gepland en uitgevoerd om te voorkomen dat gebruikers worden geblokkeerd of dat de bedrijfsvoering wordt verstoord. Een succesvolle implementatie volgt vijf duidelijke fasen die elk specifieke doelen en activiteiten omvatten. Fase 1, de voorbereidingsfase, vormt de fundering voor een succesvolle MFA-implementatie. Tijdens deze fase moeten break-glass accounts worden gecreëerd en getest om te verifiëren dat noodsituatie-toegang functioneert wanneer normale beheerdersaccounts mogelijk niet beschikbaar zijn. Deze accounts moeten worden geconfigureerd met sterke wachtwoorden en beperkte toegang, en moeten worden uitgesloten van MFA-vereisten via een specifieke uitsluitingsgroep. Het testen van deze accounts is cruciaal om te garanderen dat ze daadwerkelijk werken wanneer ze nodig zijn. Daarnaast moet de Microsoft Authenticator-app worden geïmplementeerd via Microsoft Intune of Company Portal, zodat gebruikers de app gemakkelijk kunnen downloaden en configureren. Voor organisaties zonder Intune moeten alternatieve distributiemethoden worden ontwikkeld, zoals e-mailinstructies met downloadlinks of interne app-stores. De voorbereidingsfase moet ook uitgebreide gebruikerscommunicatie omvatten die gebruikers informeert over de MFA-vereisten, de redenen daarvoor, en de stappen die zij moeten ondernemen. Deze communicatie moet een duidelijke deadline bevatten voor MFA-registratie en moet gebruikmaken van verschillende kanalen zoals e-mail, intranet en teamvergaderingen. Fase 2, de pilotfase, biedt de mogelijkheid om de MFA-implementatie te testen met een beperkte groep gebruikers voordat organisatiebrede activering plaatsvindt. Tijdens deze fase moet MFA worden ingeschakeld voor een pilotgroep via een Conditional Access-beleid dat is ingesteld op 'Alleen rapportage'-modus. Deze modus evalueert en rapporteert wat er zou gebeuren zonder gebruikers daadwerkelijk te blokkeren, wat waardevolle inzichten oplevert zonder de bedrijfsvoering te verstoren. De pilotgroep moet representatief zijn voor de volledige organisatie en moet verschillende gebruikersrollen en afdelingen omvatten. Tijdens de pilotfase moeten aanmeldingslogboeken regelmatig worden gemonitord om potentiële problemen te identificeren, zoals gebruikers die problemen ondervinden met MFA-registratie of configuratiefouten in het Conditional Access-beleid. Deze monitoring helpt bij het identificeren en oplossen van problemen voordat organisatiebrede activering plaatsvindt. De pilotfase moet ook helpdesk-training omvatten, waarbij helpdeskmedewerkers worden getraind in MFA-probleemoplossing en veelvoorkomende gebruikersvragen. Deze training moet zowel theoretische kennis als praktische oefeningen omvatten, zodat helpdeskmedewerkers gebruikers effectief kunnen ondersteunen wanneer organisatiebrede activering plaatsvindt. Fase 3, de rolloutfase, vormt het kritieke moment waarop MFA daadwerkelijk wordt geactiveerd voor alle gebruikers. Tijdens deze fase moet een nieuw Conditional Access-beleid worden aangemaakt met de naam 'MFA vereisen voor alle gebruikers'. Dit beleid moet worden geconfigureerd met specifieke instellingen: de gebruikersselectie moet zijn ingesteld op 'Alle gebruikers' met uitsluiting van de break-glass groep, de cloud-apps selectie moet zijn ingesteld op 'Alle cloud-apps', de toegangstoekenning moet zijn ingesteld op 'MFA vereisen', en de status moet zijn ingesteld op 'Aan' in plaats van 'Alleen rapportage'. Na activering van het beleid moeten de eerste 48 uur zeer nauwlettend worden gemonitord om gebruikers te identificeren die mogelijk worden geblokkeerd of problemen ondervinden. Tijdens deze periode moet de helpdesk extra capaciteit beschikbaar hebben om gebruikers te ondersteunen, en moeten beheerders klaar staan om snel te reageren op problemen. Het is belangrijk om te anticiperen op een verhoogde helpdeskbelasting tijdens deze periode en voldoende resources beschikbaar te hebben. Fase 4, de validatiefase, verifieert dat alle gebruikers daadwerkelijk MFA hebben geregistreerd en gebruiken. Tijdens deze fase moet een MFA-registratierapport worden uitgevoerd om gebruikers te identificeren die nog geen MFA hebben geregistreerd. Dit rapport kan worden gegenereerd via de Azure Portal of via PowerShell-scripts die gebruikmaken van Microsoft Graph API. Voor gebruikers die nog niet compliant zijn, moet een gerichte follow-up worden uitgevoerd, waarbij gebruikers persoonlijk worden benaderd en worden geholpen bij het registreren van MFA-methoden. Voor gebruikers die herhaaldelijk niet reageren op verzoeken om MFA-registratie, kan MFA-registratie worden afgedwongen bij de volgende aanmelding, waarbij gebruikers worden geblokkeerd totdat zij MFA hebben geregistreerd. Deze aanpak moet zorgvuldig worden uitgevoerd om te voorkomen dat gebruikers onnodig worden geblokkeerd, maar moet ook duidelijk maken dat MFA-registratie verplicht is. Fase 5, de monitoringfase, vormt de continue activiteit die ervoor zorgt dat MFA effectief blijft op lange termijn. Tijdens deze fase moeten wekelijkse MFA-gebruiksrapporten worden gegenereerd en geanalyseerd om trends te identificeren en problemen tijdig te detecteren. Deze rapporten moeten informatie bevatten over MFA-adoptiegraad, gebruikers die MFA omzeilen, en helpdeskmetrieken gerelateerd aan MFA-problemen. Waarschuwingen moeten worden geconfigureerd voor gebruikers die herhaaldelijk proberen MFA te omzeilen of die significante afwijkingen vertonen in hun aanmeldingsgedrag. Maandelijks moet het gebruik van break-glass accounts worden beoordeeld om te verifiëren dat deze accounts alleen worden gebruikt in noodsituaties en niet voor routinebeheer. Deze beoordeling helpt bij het identificeren van misbruik of onjuist gebruik van break-glass accounts, wat de beveiligingspostuur kan verzwakken. Continue monitoring zorgt ervoor dat de MFA-implementatie effectief blijft en dat problemen tijdig worden gedetecteerd en opgelost.

Compliance en Auditing

De implementatie van organisatiebrede multifactorauthenticatie helpt Nederlandse overheidsorganisaties en bedrijven voldoen aan verschillende nationale en internationale beveiligingsstandaarden en compliance-vereisten. Deze controle vormt een fundamentele beveiligingsmaatregel die wordt erkend door toonaangevende beveiligingsframeworks en regelgevende instanties als essentieel voor het beschermen van gevoelige informatie en systemen. De CIS Azure Foundations Benchmark versie 3.0.0 specificeert in controle 1.27 dat multifactorauthenticatie moet zijn ingeschakeld voor alle gebruikers in Azure AD. Deze benchmark, ontwikkeld door het Center for Internet Security, vormt een internationaal erkende standaard voor cloudbeveiliging en wordt veelvuldig gebruikt door organisaties die hun Azure-omgeving willen beveiligen. Controle 1.27 is geclassificeerd als Level 1, wat betekent dat het een fundamentele beveiligingsmaatregel is die door alle organisaties moet worden geïmplementeerd, ongeacht hun grootte of complexiteit. Het niet naleven van deze controle kan leiden tot significante beveiligingsrisico's en kan worden geïdentificeerd tijdens security audits of assessments. De BIO Baseline Informatiebeveiliging Overheid, de Nederlandse beveiligingsstandaard voor overheidsorganisaties, specificeert in thema 09.04 dat veilige log-on procedures moeten worden geïmplementeerd, inclusief multifactorauthenticatie. Deze standaard is ontwikkeld door het Nationaal Cyber Security Centrum (NCSC) en vormt de basis voor informatiebeveiliging binnen de Nederlandse overheid. Thema 09.04 benadrukt het belang van sterke authenticatiemechanismen om ongeautoriseerde toegang tot systemen en gegevens te voorkomen. Overheidsorganisaties die niet voldoen aan BIO-vereisten kunnen worden geconfronteerd met compliance-problemen en kunnen worden geïdentificeerd tijdens audits door de Auditdienst Rijk of andere toezichthouders. ISO 27001:2022, de internationale standaard voor informatiebeveiligingsmanagement, specificeert in controles A.5.17 en A.8.5 dat organisaties moeten beschikken over effectieve authenticatie-informatiebeheer en veilige authenticatiemechanismen. Controle A.5.17 richt zich op het beheer van authenticatie-informatie, inclusief het gebruik van sterke wachtwoorden en multifactorauthenticatie. Controle A.8.5 richt zich specifiek op het gebruik van veilige authenticatiemechanismen die bescherming bieden tegen verschillende aanvalstechnieken. Organisaties die ISO 27001-certificering nastreven of behouden, moeten kunnen aantonen dat zij effectieve MFA-implementaties hebben geconfigureerd en dat deze implementaties regelmatig worden gecontroleerd en bijgewerkt. De NIS2-richtlijn, de Europese richtlijn voor netwerk- en informatiesystemenbeveiliging, specificeert in artikel 21 dat essentiële en belangrijke entiteiten cybersecurity-maatregelen moeten implementeren, inclusief sterke authenticatie. Deze richtlijn is van toepassing op organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg en digitale infrastructuur. Artikel 21 benadrukt het belang van technische en organisatorische maatregelen om cybersecurity-risico's te beheren, waarbij sterke authenticatie wordt erkend als een fundamentele beveiligingsmaatregel. Organisaties die onder de NIS2-richtlijn vallen, moeten kunnen aantonen dat zij effectieve authenticatiemechanismen hebben geïmplementeerd en dat deze mechanismen regelmatig worden geëvalueerd en verbeterd. De Algemene Verordening Gegevensbescherming (AVG) specificeert in artikel 32 dat organisaties passende technische en organisatorische maatregelen moeten implementeren om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies of vernietiging. Multifactorauthenticatie wordt algemeen erkend als een passende technische maatregel die helpt bij het beschermen van persoonsgegevens door de kans op ongeautoriseerde toegang aanzienlijk te verminderen. Organisaties die persoonsgegevens verwerken en niet beschikken over effectieve MFA-implementaties kunnen worden geconfronteerd met boetes van de Autoriteit Persoonsgegevens (AP) in geval van een datalek of beveiligingsincident. Het is belangrijk om te benadrukken dat MFA alleen niet voldoende is voor AVG-compliance, maar dat het een essentieel onderdeel vormt van een bredere beveiligingsstrategie. NIST 800-63B, de Amerikaanse standaard voor digitale identiteitsrichtlijnen, specificeert Authenticator Assurance Level 2 (AAL2) als het minimale niveau voor veel overheids- en bedrijfstoepassingen. AAL2 vereist het gebruik van multifactorauthenticatie, waarbij ten minste twee verschillende authenticatiefactoren moeten worden gebruikt. Deze standaard wordt internationaal erkend en wordt vaak gebruikt als referentie voor organisaties die sterke authenticatiemechanismen willen implementeren. Hoewel NIST 800-63B primair is ontwikkeld voor de Amerikaanse overheid, wordt het ook gebruikt door internationale organisaties als best practice voor digitale identiteitsbeveiliging. Voor Nederlandse organisaties die moeten voldoen aan meerdere van deze standaarden, vormt een goed geconfigureerde MFA-implementatie een efficiënte manier om aan verschillende compliance-vereisten tegelijk te voldoen. Het is belangrijk om te documenteren hoe de MFA-implementatie voldoet aan elke relevante standaard en om regelmatig audits uit te voeren om te verifiëren dat de implementatie effectief blijft. Deze documentatie moet worden bewaard voor auditdoeleinden en moet regelmatig worden bijgewerkt wanneer wijzigingen worden aangebracht aan de MFA-configuratie.

Remediatie

Gebruik PowerShell-script mfa-all-azure-users.ps1 (functie Invoke-Remediation) – PowerShell-script voor het automatisch configureren van Conditional Access-beleid dat MFA vereist voor alle gebruikers..

Remediatie van ontbrekende of onjuist geconfigureerde multifactorauthenticatie voor alle gebruikers vereist een systematische aanpak die zowel technische configuratie als organisatorische aspecten omvat. Wanneer een audit of monitoring controleert dat MFA niet correct is geïmplementeerd voor alle gebruikers, moet onmiddellijk actie worden ondernomen om de beveiligingspostuur te herstellen en compliance-vereisten na te komen. De eerste stap in het remediatieproces betreft de identificatie van de specifieke problemen die moeten worden opgelost. Beheerders moeten een grondige analyse uitvoeren om te bepalen of het probleem ligt in de afwezigheid van een Conditional Access-beleid, een onjuiste configuratie van een bestaand beleid, of het feit dat gebruikers nog geen MFA hebben geregistreerd. Deze analyse moet worden uitgevoerd via de Azure Portal, waar beheerders kunnen navigeren naar Azure AD, Beveiliging en Voorwaardelijke toegang om alle bestaande beleidsregels te controleren. Daarnaast moeten aanmeldingslogboeken worden geraadpleegd om te identificeren welke gebruikers momenteel zonder MFA kunnen inloggen. Voor organisaties die nog geen Conditional Access-beleid hebben geconfigureerd, moet een nieuw beleid worden aangemaakt met de naam 'MFA vereisen voor alle gebruikers'. Dit beleid moet worden geconfigureerd met specifieke instellingen die voldoen aan de beveiligingsvereisten. De gebruikersselectie moet worden ingesteld op 'Alle gebruikers', waarbij alleen break-glass accounts worden uitgesloten via een specifieke uitsluitingsgroep. Deze uitsluiting is essentieel om te voorkomen dat organisaties zichzelf buitensluiten in geval van een beveiligingsincident of technische storing. De cloud-apps selectie moet worden ingesteld op 'Alle cloud-apps', zodat MFA wordt afgedwongen voor alle Microsoft 365 en Azure-services. De toegangstoekenning vormt het kritieke onderdeel van het beleid en moet worden ingesteld op 'MFA vereisen'. Deze instelling zorgt ervoor dat gebruikers niet kunnen inloggen zonder succesvolle multifactorauthenticatie. Het is belangrijk om te verifiëren dat de status van het beleid is ingesteld op 'Aan' en niet op 'Alleen rapportage', omdat alleen een actief beleid daadwerkelijk MFA afdwingt. Een beleid in rapportagemodus evalueert en rapporteert alleen wat er zou gebeuren, maar blokkeert gebruikers niet die niet voldoen aan de MFA-vereisten. Voor organisaties die al een Conditional Access-beleid hebben maar waarbij de configuratie onjuist is, moeten de bestaande instellingen worden aangepast om te voldoen aan de beveiligingsvereisten. Beheerders moeten het beleid openen en elke instelling zorgvuldig controleren en corrigeren. Specifieke aandachtspunten zijn: verificatie dat alle gebruikers zijn opgenomen (behalve break-glass accounts), verificatie dat alle cloud-apps zijn opgenomen, verificatie dat de toegangstoekenning is ingesteld op 'MFA vereisen' en verificatie dat de status is ingesteld op 'Aan'. Na het aanpassen van de instellingen moet het beleid worden opgeslagen en moet worden gewacht tot de wijzigingen zijn doorgevoerd, wat meestal enkele minuten duurt. Een kritiek aspect van remediatie betreft de MFA-registratiestatus van gebruikers. Zelfs wanneer een Conditional Access-beleid correct is geconfigureerd, kunnen gebruikers die nog geen MFA hebben geregistreerd worden geblokkeerd wanneer het beleid wordt geactiveerd. Daarom moet voordat een beleid wordt geactiveerd een MFA-registratierapport worden uitgevoerd om te identificeren welke gebruikers nog geen authenticatiemethoden hebben geregistreerd. Voor deze gebruikers moet een gerichte registratiecampagne worden uitgevoerd, waarbij gebruikers persoonlijk worden benaderd en worden geholpen bij het registreren van MFA-methoden zoals de Microsoft Authenticator-app. De remediatieprocedure moet ook aandacht besteden aan break-glass accounts. Deze accounts moeten vooraf worden geconfigureerd en getest voordat organisatiebrede MFA wordt geactiveerd. Break-glass accounts moeten worden uitgesloten van MFA-vereisten via een specifieke uitsluitingsgroep in het Conditional Access-beleid. Het is essentieel om te verifiëren dat deze accounts daadwerkelijk functioneren en dat beheerders weten hoe ze deze accounts moeten gebruiken in noodsituaties. Het testen van break-glass accounts moet worden uitgevoerd in een gecontroleerde omgeving voordat deze accounts worden gebruikt in productie. Na het configureren of corrigeren van het Conditional Access-beleid moet validatie worden uitgevoerd om te verifiëren dat het beleid correct werkt. Beheerders moeten testen door in te loggen met een testaccount dat niet is uitgesloten van MFA-vereisten. Tijdens deze test moet worden geverifieerd dat het systeem daadwerkelijk MFA vereist en dat gebruikers niet kunnen inloggen zonder succesvolle MFA-verificatie. Daarnaast moeten aanmeldingslogboeken worden geraadpleegd om te verifiëren dat MFA-afdwinging wordt geregistreerd en dat gebruikers die proberen in te loggen zonder MFA worden geblokkeerd. Voor organisaties die gebruik maken van geautomatiseerde remediatie via PowerShell-scripts, moet het remediatiescript worden uitgevoerd met de juiste beheerdersrechten. Het script configureert automatisch het Conditional Access-beleid met de correcte instellingen, wat consistentie en nauwkeurigheid waarborgt. Na het uitvoeren van het script moet handmatige verificatie worden uitgevoerd in de Azure Portal om te bevestigen dat het beleid correct is geconfigureerd en actief is. Remediatie moet ook aandacht besteden aan gebruikerscommunicatie, vooral wanneer MFA voor het eerst wordt geactiveerd of wanneer bestaande MFA-configuraties worden gewijzigd. Gebruikers moeten tijdig worden geïnformeerd over de wijzigingen, de redenen daarvoor en de stappen die zij moeten ondernemen. Deze communicatie moet gebruiksvriendelijk zijn en gebruikers geruststellen over het proces. Helpdeskmedewerkers moeten worden geïnformeerd over de wijzigingen zodat zij gebruikers kunnen ondersteunen bij eventuele problemen. Na voltooiing van de remediatie moet continue monitoring worden ingesteld om te verifiëren dat het beleid effectief blijft en dat alle gebruikers MFA gebruiken. Wekelijkse controles van aanmeldingslogboeken helpen bij het identificeren van gebruikers die mogelijk MFA omzeilen of die nog geen MFA hebben geregistreerd. Waarschuwingen moeten worden geconfigureerd voor afwijkingen, zodat beheerders proactief kunnen ingrijpen wanneer problemen worden gedetecteerd. Deze continue monitoring zorgt ervoor dat de beveiligingspostuur wordt behouden en dat compliance-vereisten worden nagekomen op lange termijn.

Compliance & Frameworks

• CIS M365: Control 1.27 (L1) - Zorg ervoor dat multifactorauthenticatie is ingeschakeld voor alle gebruikers in Azure AD
• BIO: 09.04 - BIO Baseline Informatiebeveiliging Overheid - Thema 9: Veilige log-on procedures en multifactorauthenticatie
• ISO 27001:2022: A.5.17, A.8.5 - Authenticatie-informatiebeheer en veilige authenticatie
• NIS2: Artikel - Cybersecurity-risicobeheer - gebruik van multifactorauthenticatie

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

MFA voor alle gebruikers via Conditional Access: MFA vereisen voor alle cloud-apps, alle gebruikers (alleen break-glass accounts uitsluiten), Microsoft Authenticator-app als voorkeursmethode. Vereist: Azure AD P1. Activatie: Conditional Access → Alle gebruikers → Alle cloud-apps → MFA vereisen. Verplicht: CIS 1.27, BIO 9.04, NIS2. Implementatie: 2 uur technisch + 8-16 uur organisatorisch (gebruikersrolloutcampagne). 99,9 procent effectiviteit.

• Implementatietijd: 0 uur
• FTE required: 0.1 FTE