💼 Management Samenvatting
Het blokkeren van gebruikerstoestemming voor applicaties voorkomt dat gebruikers ongeautoriseerd OAuth-machtigingen kunnen verlenen aan apps van derden die toegang krijgen tot organisatiegegevens. Deze essentiële beveiligingsmaatregel vormt een eerste verdedigingslinie tegen OAuth-phishing aanvallen en ongeautoriseerde toegang tot gevoelige bedrijfsgegevens via externe applicaties.
Aanbeveling
IMPLEMENTEER BLOKKEER GEBRUIKERSTOESTEMMING
Risico zonder
High
Risk Score
8/10
Implementatie
3u (tech: 1u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Entra ID
✓ Azure AD
✓ Entra ID
Aanvallen via gebruikerstoestemming vormen een veelvoorkomende en groeiende aanvalsvector die specifiek gericht is op het misbruiken van OAuth-toestemmingsprocessen. Aanvallers gebruiken geavanceerde phishing-technieken waarbij zij phishing-e-mails versturen met links naar kwaadaardige OAuth-apps die op het eerste gezicht legitiem lijken, zoals 'Gratis PDF-converter', 'Productiviteitshulpmiddel', of 'Verbeterde e-mailondersteuning'. Deze apps worden vaak zo ontworpen dat zij visueel identiek zijn aan bekende en vertrouwde applicaties, waardoor gebruikers het verschil niet opmerken. Gebruikers klikken op de toestemmingsknop zonder volledig te begrijpen dat zij de app uitgebreide toegang geven tot hun e-mails, bestanden, contactpersonen en andere gevoelige organisatiegegevens. Aanvallers misbruiken de verleende machtigingen vervolgens voor verschillende kwaadaardige activiteiten, waaronder grootschalige e-mailoogst waarbij contactlijsten worden gestolen, documentdiefstal waarbij gevoelige bedrijfsdocumenten worden geëxfiltrerd, het schrapen van contactlijsten voor verdere phishingaanvallen, en aanvullende gerichte phishingaanvallen tegen andere organisaties met behulp van de gestolen informatie. Het gebruik van Microsoft 365-gegevens via OAuth-apps is een bijzonder populaire exfiltratiemethode omdat deze techniek traditionele beveiligingscontroles zoals firewalls, e-mailbeveiliging en endpoint-beveiliging omzeilt, waardoor aanvallers direct toegang krijgen tot gegevens zonder dat zij malware hoeven te installeren of complexe exploits hoeven te gebruiken.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze regel configureert Azure Active Directory om gebruikerstoestemming te blokkeren voor alle apps die toegang vereisen tot organisatiegegevens. Wanneer deze configuratie is geactiveerd, kunnen gebruikers geen toestemming meer geven aan apps die toegang krijgen tot bedrijfsgegevens namens hen. In plaats daarvan moet alle toestemming plaatsvinden via een beheerderstoestemmingsworkflow waarbij het IT- of beveiligingsteam een grondige beveiligingsbeoordeling uitvoert voordat een app wordt goedgekeurd. Alleen beheerders met de juiste rechten kunnen apps goedkeuren na een uitgebreide beveiligingsbeoordeling waarbij wordt gekeken naar de gevraagde machtigingen, de reputatie van de app-ontwikkelaar, de beveiligingspraktijken van de app, en de bedrijfsnoodzaak voor de app. Gebruikers die proberen een app te gebruiken die nog niet is goedgekeurd, zien een duidelijk bericht dat 'Goedkeuring beheerder vereist' is, met instructies over hoe zij een goedkeuringsverzoek kunnen indienen. Optioneel kunnen organisaties de beheerderstoestemmingsworkflow verder configureren met geautomatiseerde e-mailmeldingen naar aangewezen reviewers wanneer nieuwe toestemmingsverzoeken binnenkomen, waardoor snelle reactietijden worden gegarandeerd en het risico wordt beperkt dat verzoeken onopgemerkt blijven.
Vereisten
Voordat u gebruikerstoestemming blokkeert, moet u ervoor zorgen dat alle benodigde voorbereidingen zijn getroffen. Deze implementatie vereist specifieke technische rechten, geconfigureerde workflows en organisatorische processen om succesvol te zijn. Het ondoordacht implementeren van deze maatregel zonder voldoende voorbereiding kan leiden tot operationele verstoringen, gebruikerfrustratie en potentieel beveiligingsrisico's als het goedkeuringsproces niet goed functioneert. Organisaties die deze maatregel implementeren zonder adequate voorbereiding merken vaak dat gebruikers gefrustreerd raken omdat ze niet weten hoe ze een app kunnen aanvragen, of dat er grote vertragingen ontstaan omdat het goedkeuringsproces niet goed is georganiseerd. Dit kan ertoe leiden dat gebruikers omwegen zoeken, bijvoorbeeld door persoonlijke accounts te gebruiken voor zakelijke doeleinden, wat juist nieuwe beveiligingsrisico's creëert in plaats van ze te voorkomen. De eerste kritieke voorwaarde is dat u globale beheerderrechten nodig heeft in Azure Active Directory, dat tegenwoordig bekend staat als Microsoft Entra ID. Deze rechten zijn essentieel omdat het wijzigen van gebruikerstoestemmingsinstellingen een tenantbrede configuratie betreft die directe invloed heeft op de beveiligingspostuur van de gehele organisatie. Zonder deze rechten kunt u de benodigde instellingen niet wijzigen in de Enterprise Applications-sectie van Azure AD. Het is belangrijk te begrijpen dat globale beheerdersrechten zeer krachtig zijn en dat alleen vertrouwde en gekwalificeerde personen toegang moeten hebben tot deze rol. Overweeg het gebruik van Privileged Identity Management om just-in-time toegang te bieden en alle wijzigingen te auditen. Dit betekent dat beheerders alleen toegang krijgen wanneer zij deze daadwerkelijk nodig hebben, en dat alle acties die worden uitgevoerd met deze rechten volledig worden gelogd voor auditdoeleinden. Deze aanpak vermindert het risico op misbruik van beheerdersrechten en zorgt ervoor dat organisaties kunnen voldoen aan compliance-vereisten zoals BIO en ISO 27001, die eisen dat beheerdersrechten worden beperkt en gecontroleerd. De tweede essentiële voorbereiding is dat de beheerderstoestemmingsworkflow moet worden geconfigureerd voordat gebruikerstoestemming wordt uitgeschakeld. Deze workflow zorgt ervoor dat wanneer gebruikers een app willen gebruiken die toegang tot organisatiegegevens vereist, er een gestructureerd proces is waarbij beheerders deze verzoeken kunnen beoordelen en goedkeuren. Zonder een goed werkende workflow zullen gebruikers vastlopen wanneer ze een app willen gebruiken, wat leidt tot frustratie en mogelijk tot het zoeken van alternatieve, onveilige oplossingen. De workflow moet worden ingesteld met duidelijke reviewers, zoals leden van het beveiligingsteam of IT-beheer die de expertise hebben om apps te beoordelen op beveiligingsrisico's. Deze reviewers moeten niet alleen technische kennis hebben van beveiliging, maar ook begrijpen hoe apps worden gebruikt in de context van de organisatie, zodat ze goede beslissingen kunnen nemen die zowel beveiliging als productiviteit waarborgen. Daarnaast moeten e-mailmeldingen worden geconfigureerd voor nieuwe verzoeken, zodat reviewers direct worden geïnformeerd wanneer er een nieuw toestemmingsverzoek binnenkomt. Dit zorgt voor snelle reactietijden en voorkomt dat verzoeken onopgemerkt blijven, wat cruciaal is voor het behoud van productiviteit. Bepaal ook een duidelijke tijdlijn voor beoordeling, bijvoorbeeld dat verzoeken binnen twee werkdagen worden beoordeeld, zodat gebruikers weten wat zij kunnen verwachten en niet onnodig lang in onzekerheid verkeren. De derde cruciale voorbereiding betreft de ontwikkeling van een uitgebreide procedure binnen het IT- of beveiligingsteam voor het beoordelen van app-verzoeken. Deze procedure moet gedetailleerde criteria bevatten voor het evalueren van apps, waarbij elk aspect van de app zorgvuldig wordt beoordeeld voordat goedkeuring wordt verleend. Ten eerste moet worden onderzocht welke machtigingen de app precies aanvraagt en of deze machtigingen noodzakelijk zijn voor de functionaliteit die de app biedt. Een app die bijvoorbeeld alleen documenten moet kunnen lezen, zou geen schrijfrechten moeten krijgen, en een app die alleen contactgegevens moet kunnen gebruiken, zou geen toegang moeten krijgen tot e-mailinhoud. Het principe van minimale rechten, of least privilege, moet hierbij altijd worden toegepast. Daarnaast moet de reputatie van de app-ontwikkelaar worden onderzocht: is het een bekende en betrouwbare ontwikkelaar, wat is hun track record op het gebied van beveiliging, en zijn er bekende beveiligingsincidenten geweest met apps van deze ontwikkelaar? Organisaties kunnen gebruik maken van bronnen zoals de Microsoft AppSource voor geverifieerde apps, of externe beveiligingsdatabanken om de reputatie van ontwikkelaars te controleren. Ook de beveiligingspraktijken van de app zelf moeten worden beoordeeld: ondersteunt de app moderne authenticatiestandaarden zoals OAuth 2.0 en multi-factor authenticatie, gebruikt de app versleuteling voor data in transit en in rust, en voldoet de app aan relevante compliance-standaarden zoals AVG? Deze beoordeling is essentieel omdat apps die toegang krijgen tot organisatiegegevens een potentieel risico vormen als ze niet voldoen aan de beveiligingsstandaarden van de organisatie. Verder moet worden beoordeeld of de app daadwerkelijk noodzakelijk is voor bedrijfsdoeleinden en of er geen alternatieven beschikbaar zijn die beter aansluiten bij de beveiligingsstandaarden van de organisatie. Soms zijn er bijvoorbeeld alternatieve Microsoft 365-apps beschikbaar die vergelijkbare functionaliteit bieden maar beter geïntegreerd zijn met de bestaande beveiligingsinfrastructuur van de organisatie. Het team moet ook een duidelijke tijdlijn hebben voor het beoordelen van verzoeken, zodat gebruikers niet onnodig lang moeten wachten en de productiviteit niet wordt belemmerd. Deze tijdlijn moet realistisch zijn en rekening houden met de complexiteit van verschillende app-verzoeken, waarbij eenvoudige verzoeken sneller kunnen worden afgehandeld dan complexe verzoeken die uitgebreid onderzoek vereisen. De vierde essentiële voorbereiding betreft gebruikerscommunicatie, die cruciaal is voor het succes van deze implementatie. Gebruikers moeten proactief en duidelijk worden geïnformeerd over waarom apps nu goedkeuring nodig hebben, wat het proces is om goedkeuring aan te vragen, en hoe lang het kan duren voordat een verzoek wordt beoordeeld. Goede communicatie voorkomt niet alleen frustratie, maar zorgt er ook voor dat gebruikers begrijpen dat deze maatregel bedoeld is om hen en de organisatie te beschermen, niet om hen te belemmeren. Communiceer de beveiligingsredenen achter deze maatregel, zoals de bescherming tegen kwaadaardige apps en OAuth-phishing aanvallen, zodat gebruikers begrijpen dat dit niet bedoeld is om hen te belemmeren maar om hen en de organisatie te beschermen tegen bedreigingen die steeds geavanceerder worden. Geef concrete voorbeelden van hoe het proces werkt: waar kunnen zij een verzoek indienen, bijvoorbeeld via een specifiek portaal of een e-mailadres, welke informatie moeten zij verstrekken, zoals de naam van de app, het doel van de app, en welke gegevens de app moet kunnen gebruiken, en wat zijn de verwachte doorlooptijden. Dit voorkomt frustratie en helpt gebruikers te begrijpen dat deze maatregel bedoeld is om hun gegevens en de organisatie te beschermen tegen kwaadaardige apps. Overweeg het organiseren van kennissessies of het maken van instructievideo's om gebruikers te helpen bij het begrijpen en gebruiken van het nieuwe proces. Deze training kan zowel live als online worden aangeboden, zodat gebruikers toegang hebben tot de informatie wanneer zij deze nodig hebben. Daarnaast kan een FAQ-document worden ontwikkeld dat veelgestelde vragen beantwoordt, zodat gebruikers snel antwoorden kunnen vinden op vragen die zij mogelijk hebben over het nieuwe proces.
Implementatie
De implementatie van het blokkeren van gebruikerstoestemming is een proces dat zorgvuldig moet worden uitgevoerd om ervoor te zorgen dat de beveiliging wordt verbeterd zonder de productiviteit van gebruikers onnodig te belemmeren. Een goed doordachte implementatiestrategie voorkomt verstoringen in de dagelijkse werkzaamheden en zorgt ervoor dat gebruikers begrijpen waarom deze maatregel wordt genomen en hoe zij ermee om kunnen gaan. Het is belangrijk om deze wijziging niet abrupt door te voeren, maar stapsgewijs en met voldoende communicatie naar alle betrokken partijen. Begin met het navigeren naar de Azure Active Directory-portal via de Azure-portal of direct via portal.azure.com. Meld u aan met een account dat globale beheerderrechten heeft in de tenant. Ga vervolgens naar Identity en selecteer Applications, waarna u Enterprise applications kunt kiezen. In het linker menu vindt u de optie Consent and permissions, waar u alle instellingen met betrekking tot toestemming kunt beheren. Dit is de centrale locatie waar u kunt bepalen of gebruikers zelf toestemming kunnen geven aan apps of dat dit alleen via beheerders kan gebeuren. Het is belangrijk om eerst de huidige configuratie te controleren en te documenteren, zodat u indien nodig terug kunt vallen op de vorige instellingen. Selecteer de optie 'Gebruikerstoestemming niet toestaan' in de sectie User consent settings. Deze instelling zorgt ervoor dat gebruikers geen toestemming meer kunnen geven aan apps die toegang tot organisatiegegevens vereisen. Het is belangrijk te begrijpen dat deze wijziging niet met terugwerkende kracht werkt: apps die al zijn goedgekeurd door gebruikers blijven actief. Overweeg daarom eerst een audit uit te voeren van alle bestaande app-toestemmingen voordat u deze instelling activeert. Alle toekomstige toestemmingsverzoeken zullen automatisch worden doorgestuurd naar het beheerderstoestemmingsproces, waardoor gebruikers een bericht zullen zien dat zij beheerderstoestemming moeten aanvragen. Configureer vervolgens de beheerderstoestemmingsworkflow door naar de sectie Admin consent requests te gaan. Schakel deze workflow in en selecteer de reviewers. Dit zijn meestal leden van het beveiligingsteam of IT-beheer die de expertise hebben om apps te beoordelen op beveiligingsrisico's. Het is aan te raden om minimaal twee reviewers aan te wijzen om te voorkomen dat verzoeken vertraging oplopen wanneer één reviewer niet beschikbaar is. Schakel ook e-mailmeldingen in zodat reviewers direct worden geïnformeerd wanneer er een nieuw toestemmingsverzoek is. Configureer daarnaast een herinnering voor reviewers die verzoeken die langer dan een bepaalde tijd (bijvoorbeeld twee werkdagen) niet zijn beoordeeld. Dit zorgt voor snelle reactietijden en voorkomt dat verzoeken onopgemerkt blijven. Bepaal ook een standaardreactietijd, bijvoorbeeld binnen twee werkdagen, zodat gebruikers weten wat zij kunnen verwachten. Communicatie met gebruikers is een kritieke stap die niet mag worden overgeslagen. Informeer gebruikers proactief over deze wijziging voordat deze wordt doorgevoerd, bij voorkeur minimaal één week van tevoren. Leg duidelijk uit waarom deze maatregel wordt genomen, zoals de bescherming tegen kwaadaardige apps en OAuth-phishing aanvallen, wat het betekent voor hen in de praktijk (apps hebben nu goedkeuring nodig en zij moeten een verzoek indienen), en hoe zij een goedkeuringsverzoek kunnen indienen. Verstrek concrete instructies: waar kunnen zij een verzoek indienen, welke informatie moeten zij verstrekken (zoals de naam van de app, de reden waarom zij deze nodig hebben, en welke functionaliteit zij willen gebruiken), en wat zijn de verwachte doorlooptijden. Deze communicatie kan worden gedaan via e-mail, intranetberichten, nieuwsbrieven, of tijdens teamvergaderingen. Overweeg ook het maken van een korte instructievideo of handleiding die gebruikers kunnen raadplegen wanneer zij een app willen gebruiken. Documenteer het app-goedkeuringsproces uitgebreid. Maak een duidelijk document dat beschrijft hoe beheerders app-verzoeken moeten beoordelen, welke criteria worden gebruikt (zoals de gevraagde machtigingen, de reputatie van de ontwikkelaar, en de beveiligingspraktijken), en wat de verwachte doorlooptijden zijn. Definieer ook een beslismatrix: onder welke omstandigheden wordt een app direct goedgekeurd, wanneer is aanvullende informatie nodig, en wanneer wordt een app afgewezen. Deze documentatie helpt bij consistentie in beoordelingen en kan worden gebruikt voor training van nieuwe teamleden. Zorg er ook voor dat alle beslissingen worden gedocumenteerd, inclusief de reden waarom een app is goedgekeurd of afgewezen, zodat deze informatie beschikbaar is voor toekomstige referentie en auditing doeleinden. Tot slot, stel een monitoring- en evaluatieproces in. Monitor beheerderstoestemmingsverzoeken wekelijks door de logs in Azure AD te raadplegen en te analyseren welke apps vaak worden aangevraagd, of er verdachte patronen zijn (zoals een gebruiker die veel verschillende apps aanvraagt, of meerdere gebruikers die dezelfde verdachte app aanvragen), en of het proces goed werkt. Verzamel feedback van zowel gebruikers als reviewers over het proces: zijn er knelpunten, werkt de workflow zoals verwacht, en zijn er verbeteringen mogelijk? Gebruik deze informatie om het proces te verbeteren, om gebruikers beter te kunnen ondersteunen, en om te identificeren of er mogelijk kwaadaardige activiteiten plaatsvinden. Evalueer het proces ook periodiek, bijvoorbeeld elk kwartaal, om te bepalen of aanpassingen nodig zijn of of de configuratie nog steeds voldoet aan de behoeften van de organisatie.
Compliance en Auditing
Het blokkeren van gebruikerstoestemming is niet alleen een beveiligingsmaatregel, maar ook een vereiste voor naleving van verschillende nationale en internationale standaarden en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties. Deze compliancevereisten zijn niet alleen belangrijk voor het verkrijgen van certificeringen en audits, maar vormen ook de basis voor een solide beveiligingspostuur die past bij de verantwoordelijkheid die overheidsorganisaties hebben ten opzichte van burgers en hun gegevens. Het niet naleven van deze vereisten kan leiden tot boetes, reputatieschade, en in ernstige gevallen tot juridische aansprakelijkheid. De CIS Azure Foundations Benchmark versie 3.0.0 specificeert in regel 1.11 dat organisaties moeten zorgen dat gebruikers geen toestemming kunnen geven aan apps die toegang krijgen tot bedrijfsgegevens namens hen. Deze regel is geclassificeerd als Level 1, wat betekent dat het een fundamentele beveiligingscontrole is die door alle organisaties moet worden geïmplementeerd, ongeacht hun grootte of complexiteit. Naleving van deze regel is essentieel voor organisaties die de CIS-benchmark willen volgen en hun beveiligingspostuur willen verbeteren. De CIS-benchmark wordt wereldwijd erkend als een best practice framework en het volgen hiervan kan een organisatie helpen bij het demonstreren van hun inzet voor beveiliging tijdens audits en contractbesprekingen. Het blokkeren van gebruikerstoestemming is één van de meest effectieve manieren om te voldoen aan deze specifieke regel. De Baseline Informatiebeveiliging Overheid (BIO) vereist in Thema 09.01 (Toegangscontrole en authenticatie) dat organisaties passende maatregelen treffen om ongeautoriseerde toegang te voorkomen. De BIO is het specifieke beveiligingskader dat is ontwikkeld voor Nederlandse overheidsorganisaties en is gebaseerd op de internationale ISO 27001 en ISO 27002 normen, maar toegesneden op de specifieke context en risico's van de Nederlandse overheid. Door gebruikerstoestemming te blokkeren en een beheerderstoestemmingsproces te implementeren, voldoen organisaties aan deze vereiste door ervoor te zorgen dat alleen goedgekeurde apps toegang krijgen tot organisatiegegevens. Dit draagt bij aan het principe van least privilege, waarbij gebruikers en apps alleen de minimale benodigde toegang krijgen die noodzakelijk is voor het uitvoeren van hun functie. Het implementeren van beheerderstoestemming zorgt ervoor dat er een gecontroleerd proces is waarbij elke app wordt beoordeeld voordat deze toegang krijgt tot gevoelige organisatiegegevens, wat direct bijdraagt aan de doelstellingen van Thema 09.01. ISO 27001:2022 controle A.5.15 (Toegangscontrole en authenticatie) vereist dat organisaties een toegangscontrolebeleid implementeren dat authenticatie en autorisatie regelt. Deze internationale standaard is wereldwijd erkend en wordt gebruikt door organisaties die hun informatiebeveiligingsmanagement willen certificeren. Het blokkeren van gebruikerstoestemming en het vereisen van beheerderstoestemming is een concrete implementatie van dit beleid, omdat het zorgt voor gecontroleerde en geautoriseerde toegang tot organisatiegegevens via externe applicaties. Het beheerderstoestemmingsproces biedt de mogelijkheid om elke app-verzoek te beoordelen op basis van de organisatorische beveiligingsvereisten, waarbij wordt gecontroleerd of de gevraagde machtigingen passen bij de functie van de app en of de app voldoet aan de beveiligingsstandaarden van de organisatie. Dit vormt een essentieel onderdeel van het toegangscontrolebeleid en helpt organisaties te voldoen aan de ISO 27001:2022 controle A.5.15. De NIS2-richtlijn (Network and Information Systems Directive 2) vereist in Artikel 21 dat essentiële en belangrijke entiteiten passende maatregelen treffen voor toegangsbeheer. Deze Europese richtlijn is in Nederland geïmplementeerd en heeft directe gevolgen voor Nederlandse overheidsorganisaties die vallen onder de definitie van essentiële of belangrijke entiteiten. Nederlandse overheidsorganisaties die onder deze richtlijn vallen, moeten kunnen aantonen dat zij gecontroleerde toegang hebben tot hun systemen en gegevens, en dat zij maatregelen hebben getroffen om ongeautoriseerde toegang te voorkomen. Het implementeren van beheerderstoestemming voor apps is een concrete manier om aan deze vereiste te voldoen, omdat het zorgt voor een gecontroleerd proces waarbij elke app wordt beoordeeld voordat deze toegang krijgt tot organisatiegegevens. Dit helpt organisaties te voldoen aan hun verplichtingen onder de NIS2-richtlijn en kan worden gebruikt als bewijs tijdens toezichtcontroles. De Algemene Verordening Gegevensbescherming (AVG) vereist in Artikel 25 (gegevensbescherming door ontwerp en door standaardinstellingen) en Artikel 32 (beveiliging van de verwerking) dat organisaties technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen. Artikel 25 vereist specifiek dat organisaties technische en organisatorische maatregelen implementeren die zijn ontworpen om gegevensbeschermingsbeginselen effectief te implementeren, en dat zij standaardinstellingen gebruiken die gegevensbescherming waarborgen. Door gebruikerstoestemming te blokkeren en standaard te vereisen dat apps beheerderstoestemming nodig hebben, implementeert een organisatie gegevensbescherming door standaardinstellingen. Dit voorkomt dat gebruikers onbewust toestemming geven aan apps die mogelijk persoonsgegevens onjuist verwerken of niet voldoen aan AVG-vereisten. Artikel 32 vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen tegen ongeautoriseerde toegang, vernietiging, verlies of wijziging. Het beheerderstoestemmingsproces biedt de mogelijkheid om apps te beoordelen op hun beveiligingspraktijken voordat zij toegang krijgen tot persoonsgegevens, wat direct bijdraagt aan het voldoen aan deze vereiste. Dit is een concrete implementatie van gegevensbescherming door ontwerp en door standaardinstellingen. Voor auditing doeleinden moeten organisaties kunnen aantonen dat deze maatregel is geïmplementeerd en dat het beoordelingsproces correct functioneert. Dit omvat uitgebreide documentatie van de configuratie: welke instellingen zijn geconfigureerd, wanneer zijn deze geactiveerd, en wie heeft deze wijzigingen doorgevoerd. Daarnaast moeten alle logs van beheerderstoestemmingsverzoeken worden bewaard, inclusief wanneer een verzoek is ingediend, wie het heeft beoordeeld, wat de beslissing was (goedkeuring of afwijzing), en wat de reden was voor deze beslissing. Het is ook belangrijk om bewijs te hebben van het beoordelingsproces zelf: welke criteria zijn gebruikt, wie heeft de beoordeling uitgevoerd, en hoe werd besloten of een app werd goedgekeurd of afgewezen. Deze documentatie moet worden bewaard voor de vereiste bewaartermijn (die kan variëren afhankelijk van de relevante regelgeving, maar vaak is dit minimaal zeven jaar) en beschikbaar zijn voor interne en externe audits. Zorg ervoor dat deze documentatie regelmatig wordt gereviewd en bijgewerkt, en dat alle relevante stakeholders weten waar deze documentatie zich bevindt en hoe zij toegang kunnen krijgen wanneer dit nodig is voor een audit.
Monitoring
Gebruik PowerShell-script user-consent-not-allow.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Gebruik PowerShell-script user-consent-not-allow.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- CIS M365: Control 1.11 (L1) - Zorg ervoor dat 'gebruikers kunnen toestemming geven aan apps die toegang krijgen tot bedrijfsgegevens namens hen' is ingesteld op 'Nee'
- BIO: 09.01 - BIO Baseline Informatiebeveiliging Overheid - Thema 9: Toegangsbeveiliging - Toegangscontrole en authenticatie
- ISO 27001:2022: A.5.15 - Toegangscontrole en authenticatie beleid
- NIS2: Artikel - Toegangscontrole en authenticatie mechanismen
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
User Consent Not Allow
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.57
Controleert dat user consent is uitgeschakeld.
.NOTES
Filename: user-consent-not-allow.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.57
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "User Consent Not Allow"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Enterprise applications > Consent and permissions" -ForegroundColor Gray
Write-Host " - User consent settings = Do not allow user consent" -ForegroundColor Gray
Write-Host " - Of: Allow for verified publishers only" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: User consent disabled" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Enterprise applications > Consent and permissions" -ForegroundColor Gray
Write-Host " - User consent settings = Do not allow user consent" -ForegroundColor Gray
Write-Host " - Of: Allow for verified publishers only" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: User consent disabled" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Gebruikers keuren kwaadaardige OAuth-apps goed, wat leidt tot gegevensexfiltratie. Dit is een veelvoorkomende phishingvector. Recente inbreuken via kwaadaardige OAuth-apps omvatten Business Email Compromise (BEC) en documentdiefstal. Uit tests blijkt dat 1 op de 5 gebruikers kwaadaardige verzoeken goedkeurt. Naleving: CIS 1.11, BIO 9.01, AVG Artikel 25. Het risico is hoog vanwege OAuth-phishing.
Management Samenvatting
Gebruikerstoestemming niet toestaan: Blokkeer gebruikerstoestemming voor ALLE apps, dwing beheerderstoestemmingsworkflow af (beveiligingsteam beoordeelt app-machtigingen vóór goedkeuring). Activatie: Azure AD → Enterprise applications → Gebruikerstoestemmingsinstellingen: Gebruikerstoestemming niet toestaan. Gratis. Verplicht voor CIS 1.11, BIO 9.01, AVG. Implementatie: 1 uur technisch + 2 uur organisatorisch. Voorkomt OAuth-phishing.
- Implementatietijd: 3 uur
- FTE required: 0.02 FTE