Implementatie van voorwaardelijke toegang in Azure AD om de beveiliging te versterken

Implementatie van voorwaardelijke toegang in Azure AD om de beveiliging te versterken

05/01/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het implementeren en optimaliseren van voorwaardelijke toegang in Microsoft Entra ID (voorheen Azure Active Directory). Voorwaardelijke toegang is het vlaggenschip van Microsoft's Zero Trust-beleidshandhavingsmechanisme, waarmee organisaties de toegang tot bronnen kunnen controleren op basis van realtime omstandigheden zoals gebruikersidentiteit, locatie, apparaatstatus en sessierisico [1].

Introductie

In het huidige beveiligingslandschap, waar cyberdreigingen geavanceerd zijn en werken op afstand wijdverspreid is, is traditionele netwerkperimeterbescherming niet langer voldoende. Met Azure AD voorwaardelijke toegang kunnen organisaties overstappen van een statische beveiligingsaanpak naar een dynamische, adaptieve aanpak waarbij elke toegangspoging wordt geëvalueerd voordat deze wordt verleend. Dit zorgt ervoor dat alleen toegang wordt verleend aan vertrouwde gebruikers en apparaten, onder specifieke omstandigheden, waardoor bedrijfsgegevens en applicaties effectiever worden beschermd [2].

Deze praktische gids behandelt het maken en configureren van beleid voor voorwaardelijke toegang, inclusief het vereisen van multi-factor authenticatie (MFA), ondersteunde apparaten, vertrouwde locaties en het blokkeren van verouderde authenticatie. Er worden stapsgewijze instructies, configuratievoorbeelden en validatiemethoden gegeven, zodat de lezer de beveiligingshouding van zijn organisatie kan implementeren en versterken, en ervoor kan zorgen dat de toegang tot bronnen veilig en conform is.

Waarom is voorwaardelijke toegang cruciaal?

  • Zero Trust: het is de beleidsengine voor de implementatie van het Zero Trust-model, waarbij elk toegangsverzoek expliciet wordt geverifieerd.
  • Adaptieve controle: Hiermee kan het toegangsbeleid dynamisch worden aangepast op basis van realtime risicosignalen.
  • Uitgebreide bescherming: Beschermt identiteiten, apparaten, gegevens en applicaties in de cloud en op locatie.
  • MFA en apparaatnaleving: Maakt het eenvoudiger om MFA af te dwingen en compatibele of aan Azure AD gekoppelde apparaten te vereisen voor toegang.
  • Risicoreductie: Helpt risico's te beperken, zoals diefstal van inloggegevens, toegang vanaf ongeautoriseerde apparaten en toegang vanaf verdachte locaties.

Vereisten

Om voorwaardelijke toegang in azure AD te implementeren, hebt u de volgende items nodig:

  1. Licenties: een Microsoft Enroll ID Premium P1 of P2 (voorheen Azure AD Premium P1 of P2) licentie. Voorwaardelijke toegang is een uniek kenmerk van deze licenties [3].
  2. Beheerderstoegang: een account met de rol van Conditional Access Administrator, Security Administrator of Global Administrator in het Microsoft Entra-beheercentrum (https://entra.microsoft.com).
  3. Gebruikers en groepen: gebruikers en beveiligingsgroepen in Microsoft Entra ID om beleid te testen.
  4. Multi-Factor Authentication (MFA) geconfigureerd: voor beleid dat MFA vereist, moeten gebruikers MFA hebben geconfigureerd en geregistreerd.
  5. Beheerde apparaten (optioneel): voor beleid waarvoor ondersteunde of aan Azure AD/Hybrid gekoppelde apparaten vereist zijn, moeten de apparaten worden beheerd door Microsoft Intune of aan Azure AD gekoppeld.

Stap voor stap: beleid voor voorwaardelijke toegang configureren

Laten we een aantal essentiële beleidsmaatregelen voor voorwaardelijke toegang opstellen om de beveiliging te versterken.

1. Toegang tot de Microsoft Portal Ga naar het beheercentrum

  1. Open uw browser en navigeer naar https://entra.microsoft.com.
  2. Log in met een account dat over de benodigde rechten beschikt.
  3. Selecteer in het linkernavigatievenster Beveiliging > Voorwaardelijke toegang.

2. Een beleid maken om MFA te vereisen voor alle gebruikers (exclusief noodaccounts)

Dit is een fundamenteel beleid voor de meeste organisaties, waarbij ervoor wordt gezorgd dat MFA vereist is voor alle toegangspogingen, met uitzondering van nood-/breekglastoegangsaccounts.

  1. Klik op de pagina Voorwaardelijke toegang op Nieuw beleid > Nieuw beleid maken.
  2. Naam: 01 - MFA vereisen voor alle gebruikers.

  3. Opdrachten > Identiteitsgebruikers of werklasten:

    • Selecteer in Opnemen de optie Alle gebruikers.
    • Selecteer onder Verwijderen Gebruikers en groepen en voeg uw emer-toegangsaccounts toeagency/break-glass (sterk beveiligde accounts die kunnen worden gebruikt om toegang te krijgen tot de tenant in het geval van een MFA-fout of het niet beschikbaar zijn van de directory).

  4. Cloudbronnen of -acties:

    • Selecteer onder Opnemen de optie Alle cloud-apps.

  5. Subsidie:

    • Selecteer Toegang verlenen.
    • Vink Meervoudige authenticatie vereisen aan.
    • Klik op Selecteren.

  6. Beleid inschakelen: Selecteer 'Alleen rapporteren' (om de impact te testen voordat u deze toepast) of 'Ingeschakeld'.

    • Tip: Begin altijd met 'Alleen rapporteren' om de impact van het beleid te monitoren zonder het toe te passen, en controleer de invoerlogboeken op mogelijke ongewenste blokkades.
  7. Klik op Maken.

3. Een beleid maken om verouderde authenticatie te blokkeren

Verouderde authenticatie (zoals POP, IMAP, SMTP, basisauthenticatie) ondersteunt geen MFA en is een veel voorkomende vector voor aanvallen. Het is van cruciaal belang om het te blokkeren.

  1. Klik op de pagina Voorwaardelijke toegang op Nieuw beleid > Nieuw beleid maken.
  2. Naam: 02 - Verouderde authenticatie blokkeren.
  3. Opdrachten > Identiteitsgebruikers of werklasten: Selecteer Alle gebruikers (exclusief uw noodaccounts).
  4. Cloudbronnen of acties: Selecteer Alle cloudapplicaties.

  5. Voorwaarden > Klantaanvragen:

    • Stel 'Clienttoepassingen' in op 'Ja'.
    • Vink 'Exchange ActiveSync Clients' en 'Andere Clients' aan.

  6. Toegangscontroles > Verlenen:

    • Selecteer Toegang blokkeren.
    • Klik op Selecteren.

  7. Beleid inschakelen: Selecteer 'Alleen rapport' of 'Ingeschakeld'.

  8. Klik op Maken.

4. Een beleid opstellen dat compatibele apparaten vereist voor toegang tot kritieke applicaties

Dit beleid zorgt ervoor dat alleen apparaten die voldoen aan de beveiligingsnormen (bijvoorbeeld beheerd door Intune) toegang hebben tot gevoelige apps.

  1. Klik op de pagina Voorwaardelijke toegang op Nieuw beleid > Nieuw beleid maken.
  2. Naam: 03 - Compatibel apparaat vereist voor kritieke toepassingen.
  3. Opdrachten > Identiteitsgebruikers of werklasten: Selecteer Alle gebruikers (of een specifieke groep).

  4. Cloudbronnen of -acties:

    • Selecteer onder Opnemen de optie Selecteer applicaties en kies kritische applicaties (bijvoorbeeld SharePoint Online, Dynamics 365, line-of-business-applicaties).

  5. Subsidie:

    • Selecteer Toegang verlenen.
    • Vink Vereisen dat apparaat als ondersteund wordt gemarkeerd.
    • Klik op Selecteren.

  6. Beleid inschakelen: Selecteer 'Alleen rapport' of 'Ingeschakeld'.

  7. Klik op Maken.

5. Een beleid maken om de toegang vanaf niet-vertrouwde locaties te blokkeren

Dit beleid helpt beschermen tegen toegang vanuit geografische regio's of IP-adressen waarvan bekend is dat ze bronnen van aanvallen zijn.

  1. Eerst moet u Benoemde locaties (Benoemde locaties) maken in Azure AD om vertrouwde locaties te definiëren (bijvoorbeeld bedrijfskantoren, VPN).

    • Ga in het Microsoft Login-beheercentrum naar Bescherming > Voorwaardelijke toegang > Benoemde locaties.
    • Klik op Nieuwe landen/regio's Locatie of Nieuwe IP-bereiklocatie om uw vertrouwde locaties in te stellen.

  2. Klik op de pagina Voorwaardelijke toegang op Nieuw beleid > Nieuw beleid maken.

  3. Naam: 04 - Blokkeer toegang vanaf niet-vertrouwde locaties.
  4. Opdrachten > Identiteitsgebruikers of werklasten: Selecteer Alle gebruikers.
  5. Cloudbronnen of acties: Selecteer Alle cloudapplicaties.

  6. Voorwaarden > Locaties:

    • Stel 'Locaties' in op 'Ja'.
    • Selecteer in Opnemen de optie Elke locatie.
    • Onder Uitsluiten selecteert u Geselecteerde locaties en kiest u de Benoemde locaties die u als vertrouwd heeft gedefinieerd.

  7. Toegangscontroles > Verlenen:

    • Selecteer Toegang blokkeren.
    • Klik op Selecteren.
  8. Beleid inschakelen: Selecteer 'Alleen rapport' of 'Ingeschakeld'.
  9. Klik op Maken.

Validatie en testen

Het valideren van beleid voor voorwaardelijke toegang is van cruciaal belang om ervoor te zorgen dat het werkt zoals verwacht en geen ongewenste blokkades veroorzaakt.

1. De “Wat als”-tool gebruiken

Met de tool 'Wat als' kunt u de impact van uw beleid voor voorwaardelijke toegang op een specifieke gebruiker of scenario simuleren.

  1. Klik op de pagina Voorwaardelijke toegang opEn als.
  2. Configureer het testscenario (gebruiker, applicatie, IP-adres, apparaat, etc.).
  3. Klik op Wat als om te zien welk beleid wordt toegepast en wat het resultaat is (toegang verlenen of blokkeren).

2. Invoerlogboeken controleren

Inkomende logboeken bieden gedetailleerde informatie over elke toegangspoging, inclusief welk beleid voor voorwaardelijke toegang is geëvalueerd en het resultaat.

  1. Ga in het Microsoft Login-beheercentrum naar Monitoring en status > Inkomende logboeken.
  2. Filter logs op gebruiker, applicatie of status (bijvoorbeeld 'Mislukt') om toegangspogingen te onderzoeken.
  3. Klik op een logboekvermelding om de details te bekijken, waaronder het tabblad Voorwaardelijke toegang, waarop het toegepaste beleid en het resultaat worden weergegeven.

3. Echte tests met testgebruikers

Voer tests uit met testgebruikers in verschillende scenario's (bijvoorbeeld toegang vanaf een niet-vertrouwde locatie, met een niet-ondersteund apparaat, zonder MFA) om het verwachte gedrag van het beleid te bevestigen.

Beveiligingstips en best practices

  • Zorgvuldige planning: Plan uw beleid voor voorwaardelijke toegang op basis van de behoeften van uw organisatie en Zero Trust-principes. Begin met een kleine set beleidsmaatregelen en breid deze geleidelijk uit.
  • **Modus Alleen rapport: Implementeer nieuw beleid altijd eerst in de modus Alleen rapport om de impact ervan te beoordelen en aan te passen voordat u het toepast in de modus Ingeschakeld.
  • Noodaccounts: sluit nood-/breekglastoegangsaccounts altijd uit van al het beleid voor voorwaardelijke toegang om onbedoelde uitsluiting te voorkomen.
  • Verouderde authenticatie blokkeren: dit is een van de meest effectieve beleidsmaatregelen om het aanvalsoppervlak te verkleinen.
  • MFA vereisen voor alle gebruikers: een essentieel beleid voor het beschermen van identiteiten.
  • Beheerde apparaten: vereisen dat apparaten worden beheerd (aangesloten bij Azure AD of geschikt voor Intune) om toegang te krijgen tot gevoelige bronnen.
  • Benoemde locaties: gebruik benoemde locaties om vertrouwde netwerken te definiëren en de toegang vanaf niet-vertrouwde locaties te blokkeren.
  • Continue evaluatie en aanpassing: Controleer en pas uw beleid voor voorwaardelijke toegang regelmatig aan om u aan te passen aan veranderingen in de bedreigingsomgeving en zakelijke vereisten.
  • Documentatie: houd duidelijke documentatie bij van uw beleid voor voorwaardelijke toegang, inclusief het doel, de reikwijdte en eventuele uitsluitingen.

Algemene probleemoplossing

  • Onverwacht geblokkeerde gebruikers: gebruik de 'Wat als'-tool en aanmeldingslogboeken om te identificeren welk beleid de blokkering veroorzaakt. Controleer de in- en uitsluitingen van het beleid.
  • Beleid niet toegepast: Controleer of het beleid in de modus 'Ingeschakeld' staat en of de gebruiker en de toepassing binnen het bereik van het beleid vallen. Controleer de invoerlogboeken om te zien of het beleid is geëvalueerd.
  • MFA-problemen: zorg ervoor dat gebruikers MFA-methoden hebben geregistreerd. Controleer op verbindingsproblemen met MFA-providers.
  • Problemen met compatibele apparaten: controleer de nalevingsstatus van uw apparaat in Intune. Zorg ervoor dat het apparaat Azure AD is, of dat het is geregistreerd bij Intune.
  • Beleidsconflicten: Voorwaardelijke toegang evalueert al het beleid en past het meest beperkende beleid toe. Als er tegenstrijdig beleid is, pas dit dan aan om het gewenste gedrag te garanderen.

Conclusie

Het implementeren van voorwaardelijke toegang in Azure AD is een fundamentele pijler voor het bouwen van een robuuste en adaptieve beveiligingsarchitectuur op basis van het Zero Trust-model. Door organisaties in staat te stellen een gedetailleerd toegangsbeleid in te stellen op basis van verschillende omstandigheden, versterkt voorwaardelijke toegang de bescherming van identiteiten en middelen tegen cyberdreigingen aanzienlijk. Strategische beleidsconfiguratie, gecombineerd met rigoureuze tests en een continue cyclus van beoordeling en optimalisatie, stelt beveiligingsteams in staat ervoor te zorgen dat de toegang altijd wordt geverifieerd, minimaal bevoorrecht en aangepast aan de risicocontext. Met Conditional Access kunnen bedrijven hun meest waardevolle bezittingen beschermen en tegelijkertijd hun gebruikers in staat stellen veilig en productief te werken, waar dan ook en op elk apparaat.

Referenties:

[1] Microsoft Leer. Wat is voorwaardelijke toegang?. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [2] Microsoft Leer. Plan de implementatie van Conditional Access. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3] Microsoft Leer. Licentievereisten voor voorwaardelijke toegang. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements