Stap voor stap: Multi-factor authenticatie (MFA) configureren in Azure AD

Stap voor stap: Multi-factor authenticatie (MFA) configureren in Azure AD

01/02/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het configureren en implementeren van Multi-Factor Authenticatie (MFA) in Azure Active Directory (nu Microsoft Entra ID). MFA is een essentiële beveiligingslaag die vereist dat gebruikers twee of meer vormen van verificatie bieden om hun identiteit te bewijzen voordat ze toegang krijgen, waardoor het risico op accountcompromis aanzienlijk wordt verminderd [1].

Introductie

In het huidige cyberdreigingslandschap zijn wachtwoorden alleen niet langer voldoende om gebruikersaccounts te beschermen. Phishing-aanvallen, het verspreiden van wachtwoorden en diefstal van inloggegevens zijn veel voorkomende tactieken die door aanvallers worden gebruikt. Multi-Factor Authenticatie (MFA) voegt een kritische beveiligingslaag toe door van gebruikers te eisen dat ze iets opgeven dat ze weten (wachtwoord), iets dat ze hebben (telefoon, hardwaretoken) of iets dat ze zijn (vingerafdruk, gezichtsherkenning). Het implementeren van MFA is een van de meest effectieve beveiligingsmaatregelen die een organisatie kan nemen om haar bronnen in Microsoft Entra ID en bijbehorende services te beschermen [2].

In deze handleiding worden de stappen beschreven voor het instellen van MFA in Azure AD, waarbij de nadruk ligt op verschillende implementatiemethoden, van basisconfiguraties tot het gebruik van beleid voor voorwaardelijke toegang voor meer gedetailleerde controle. Er worden stapsgewijze instructies, voorbeeldconfiguraties en validatiemethoden gegeven om ervoor te zorgen dat de lezer MFA effectief in zijn omgeving kan toepassen.

Waarom is MFB cruciaal?

  • Risicoreductie: Vermindert dramatisch de kans op accountcompromis, zelfs als wachtwoorden worden gestolen.
  • Compliance: Veel beveiligingsnormen en -regelgeving vereisen de implementatie van MFA om gevoelige gegevens te beschermen.
  • Phishing-beveiliging: Voegt een barrière toe tegen phishing-aanvallen, omdat de aanvaller niet alleen het wachtwoord nodig heeft, maar ook de tweede factor.
  • Flexibiliteit: Azure AD biedt meerdere tweedefactoropties, zoals de Microsoft Authenticator-app, sms, telefoongesprek en hardwaretokens, zodat gebruikers de handigste en veiligste methode kunnen kiezen.

Vereisten

Om MFA in azure AD in te stellen, hebt u de volgende items nodig:

  1. Licenties: een licentie die Azure AD MFA-functies omvat. Dit kan Azure AD Free zijn (met standaardbeveiligingsinstellingen), Azure AD Premium P1 of P2 (voor voorwaardelijke toegang) of Microsoft 365-licenties die Azure AD Premium bevatten [3].
  2. Beheerderstoegang: een account met machtigingen voor een globale beheerder of verificatiebeheerder in de Azure-portal (portal.azure.com) of het Microsoft Entra-beheercentrum (entra.microsoft.com).
  3. Testapparaten: minimaal één testgebruikersaccount en één apparaat (smartphone) om MFA te configureren en te valideren.
  4. Accounts voor noodtoegang: Het is een goede gewoonte om break-glass-accounts aan te maken en te beveiligen die zijn vrijgesteld van MFA om uitsluitingen te voorkomen in geval van problemen met het MFA-systeem [4].

Stap voor stap: Multi-Factor Authenticatie (MFA) configureren in Azure AD

Er zijn een paar manieren om MFA in azure AD in te schakelen. We bespreken de twee meest voorkomende: Standaardbeveiligingsinstellingen (voor snelle basisconfiguraties) en Beleid voor voorwaardelijke toegang (voor gedetailleerd beheer).

Optie 1: MFA inschakelen met standaard beveiligingsinstellingen (aanbevolen voor kleine en middelgrote bedrijven)

Beveiligingsstandaarden bieden een basisset van door Microsoft aanbevolen beveiligingsbeleid, inclusief het vereisen van MFA voor alle gebruikers en beheerders. Het is een eenvoudige en effectieve manier om de beveiliging snel te vergroten.

  1. Ga naar het Microsoft Entra-beheercentrum: https://entra.microsoft.com.
  2. Ga in het linkernavigatievenster naar Bescherming > Beveiligingsoverzicht.
  3. Klik in de sectie Standaardbeveiligingsinstellingen inschakelen op Standaardbeveiligingsinstellingen beheren.
  4. Stel in het deelvenster Standaardinstellingen voor beveiliging de optie Standaardbeveiligingsinstellingen inschakelen in op Ja.
  5. Klik op Opslaan.

Opmerking: Eenmaal ingeschakeld, vereisen Beveiligingsstandaarden dat alle gebruikers MFA configureren bij de volgende aanmelding. Ze zullen worden gevraagd om de Microsoft Authenticator-app te registreren. Beveiligingsstandaarden zijn ideaal voor organisaties die dit niet hebbenm Azure AD Premium P1- of P2-licenties en hebben een snelle, gestandaardiseerde MFA-implementatie nodig. Het is niet mogelijk om gelijktijdig gebruik te maken van voorwaardelijke toegang en standaardbeveiligingsinstellingen; het een schakelt het ander uit.

Optie 2: MFA inschakelen met beleid voor voorwaardelijke toegang (aanbevolen voor gedetailleerd beheer en grotere ondernemingen)

Met beleid voor voorwaardelijke toegang (CA) kunt u specifieke voorwaarden definiëren waaronder MFA vereist is, wat veel meer flexibiliteit biedt dan standaardbeveiligingsinstellingen. Voor deze optie is een Azure AD Premium P1- of P2-licentie vereist.

2.1. Maak een testgebruikersgroep

Het is een goede gewoonte om het beleid voor voorwaardelijke toegang te testen op een kleine groep gebruikers voordat u het in uw hele organisatie implementeert.

  1. Ga in het Microsoft Login-beheercentrum naar Identiteit > Groepen > Alle groepen.
  2. Klik op Nieuwe groep.
  3. Vul de gegevens in:
    • Groepstype: Beveiliging
    • Groepsnaam: MFA_Users_Test
    • Azure AD-rollen kunnen aan een groep worden toegewezen: Nee
    • Lidmaatschapstype: Toegewezen
  4. Voeg testgebruikers toe als leden en klik op Maken.

2.2. Maak een beleid voor voorwaardelijke toegang om MFA te vereisen

  1. Ga in het Microsoft Login-beheercentrum naar Bescherming > Voorwaardelijke toegang.
  2. Klik op Nieuw beleid > Nieuw beleid maken.
  3. Naam: MFA vereisen voor alle gebruikers (of MFA vereisen voor testgroep bij testen).
  4. Verantwoordelijkheden:
    • Identiteitsgebruikers of werklasten: Selecteer Alle gebruikers (of de groep MFA_Users_Test om te testen).
    • Verwijderen: het is van cruciaal belang om uw accounts voor noodtoegang hier te verwijderen om te voorkomen dat u wordt geblokkeerd. Voeg ook eventuele serviceaccounts toe die geen MFA kunnen gebruiken.
  5. Cloudbronnen of acties: Selecteer Alle cloudapplicaties.
  6. Voorwaarden (optioneel, voor extra granulariteit):
    • U kunt voorwaarden configureren op basis van locatie, apparaten, clientapplicaties, etc. Vereist bijvoorbeeld alleen MFA voor toegang van buiten het bedrijfsnetwerk.
  7. Toekenning:
    • Selecteer Toegang verlenen.
    • Vink Meervoudige authenticatie vereisen aan.
    • Klik op Selecteren.
  8. Sessie (Optioneel):
    • U kunt de inlogfrequentiecontrole of sessiepersistentie configureren.
  9. Beleid inschakelen: Stel in op Alleen rapporteren om de impact te testen voordat u een aanvraag indient, of op Aan om onmiddellijk een aanvraag in te dienen.
  10. Klik op Maken.

2.3. Configureer authenticatiemethoden

Het is belangrijk om te definiëren welke MFA-methoden beschikbaar zijn voor gebruikers.

  1. Ga in het Microsoft Login-beheercentrum naar Beveiliging > Authenticatiemethoden > Beleid.
  2. Hier kunt u methoden zoals Microsoft Authenticator, SMS, Voice Call, enz. in- of uitschakelen. Het wordt aanbevolen om Microsoft Authenticator en SMS als primaire methoden in te schakelen.
  3. Configureer opties voor elke methode, zoals Authenticator-registratiemodus (geen wachtwoord of pushmelding).

Validatie en testen

Na het configureren van MFA is het essentieel om te valideren dat het werkt zoals verwacht.

1. Test een gebruikersaanmelding

  1. Open een browservenster in de incognito-/privémodus.
  2. Navigeer naar een applicatie die onder het MFA-beleid valt (bijvoorbeeld: portal.office.com).
  3. Log in met het account van een gebruiker die is opgenomen in het MFA-beleid.
  4. De gebruiker moet worden gevraagd om MFA te configureren (als dit de eerste login is na het inschakelen) of om de tweede factor op te geven (bijvoorbeeld de melding goedkeuren in Microsoft Authenticator, sms-code invoeren).

2. Controleer de MFA-registratiestatus

  1. Ga in het Microsoft Login-beheercentrum naar Identiteit > Gebruikers > Alle gebruikers.
  2. Klik op een gebruiker en vervolgens op Authenticatiemethoden.
  3. Controleer de authenticatiemethoden die voor de gebruiker zijn geregistreerd. Hiermee wordt bevestigd dat de gebruiker MFA met succes heeft ingesteld.

3. Gebruik de modus Alleen rapport (voor voorwaardelijke toegang)

Als u het beleid voor voorwaardelijke toegang hebt geconfigureerd in de modus Alleen rapporteren, kunt u de resultaten verifiëren zonder afdwinging.

  1. Ga in het Microsoft Login-beheercentrum naar Bescherming > Voorwaardelijke toegang.
  2. Klik op het beleid dat u heeft gemaakt en ga naar het tabblad Alleen rapporteren.
  3. Analyseer de resultaten om te zien welke gebruikers en applicaties door het beleid worden beïnvloed en of MFA vereist is.

Beveiligingstips en best practices

  • MFA vereisen voor beheerders: vereist altijd MFA voor beheerdersaccounts, ongeacht ander beleid. Deze accounts zijn belangrijke doelwitten voor aanvallen.
  • Gebruikerseducatie: Train gebruikers over het belang van MFA en hoe u deze correct kunt configureren en gebruiken. Uitleggen hoe u MFA-phishing-pogingen kunt identificeren en rapporteren.
  • Microsoft Authenticator: Promoot het gebruik van de Microsoft Authenticator-app met pushmeldingen, omdat dit wordt beschouwd als een van de veiligste en gemakkelijkste methoden om te gebruiken, en omdat het bestand is tegen bepaalde soorten phishing-aanvallen.
  • Gedetailleerd beleid voor voorwaardelijke toegang: gebruik voorwaardelijke toegang om te verfijnen wanneer MFA vereist is (bijvoorbeeld buiten het bedrijfsnetwerk, voor toepassingen met een hoog risico, voor gebruikers in bevoorrechte rollen).
  • Periodieke evaluatie: Controleer regelmatig uw MFA-beleid en door de gebruiker geregistreerde authenticatiemethoden om ervoor te zorgen dat ze effectief en veilig blijven.
  • Noodaccounts: voer een strikt proces uit voor noodtoegangsaccounts, inclusief het veilig opslaan van inloggegevens en het regelmatig controleren van het gebruik ervan.

Algemene probleemoplossing

  • Gebruiker kan MFA niet configureren: Controleer of de gebruiker over de juiste licentie beschikt en of de gewenste authenticatiemethoden zijn ingeschakeld. Begeleid de gebruiker bij het zorgvuldig volgen van de registratie-instructies.
  • Gebruiker geblokkeerd na het inschakelen van MFA: Controleer of de gebruiker is uitgesloten van een beleid voor voorwaardelijke toegang of dat er een probleem is met de geconfigureerde MFA-methode. Gebruik indien nodig noodtoegangsaccounts.
  • MFA is niet aangevraagd: controleer of het beleid voor voorwaardelijke toegang is ingeschakeld en is toegewezen aan de juiste gebruikers en applicaties. Als u standaardbeveiligingsinstellingen gebruikt, zorg er dan voor dat er geen conflicterend beleid voor voorwaardelijke toegang bestaat.
  • Authenticator-app-problemen: controleer de netwerkconnectiviteit van uw mobiele apparaat en of meldingen zijn ingeschakeld voor de app. Probeer het account te verwijderen en opnieuw toe te voegen in de app.

Conclusie

Multi-Factor Authenticatie is een fundamentele pijler van moderne identiteitsbeveiliging. Het configureren van MFA in azure AD, met name via beleid voor voorwaardelijke toegang, biedt een robuuste verdediging tegen ongeautoriseerde toegang. Door de richtlijnen in dit artikel te volgen, is uw organisatie beter toegerust om gebruikersidentiteiten en kritieke bronnen te beschermen, risico's te beperken en uw algehele beveiligingspositie te versterken. Vergeet niet dat beveiliging een continu proces is dat voortdurende aanpassing en verbetering vereist.

Referenties:

[1] Microsoft Leer. Wat is meervoudige authenticatie?. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2] Microsoft Leer. Plan een Microsoft Entra multi-factor authenticatie-implementatie. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3] Microsoft Leer. Microsoft Entra Multi-Factor Authenticatielicentie. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4] Microsoft Leer. Maak noodtoegangsaccounts aan op Microsoft Entra ID. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/role-based-access-control/security-emergency-access-accounts