💼 Management Samenvatting
Een Conditional Access-beleid dat meervoudige authenticatie (MFA) vereist voor alle gebruikers bij toegang tot alle cloudapplicaties vormt de fundamentele beveiligingsmaatregel voor identiteitsbescherming in Azure AD. Deze maatregel voorkomt dat gebruikers uitsluitend met gebruikersnaam en wachtwoord kunnen inloggen, wat een kritieke beveiligingszwakte vertegenwoordigt in moderne cloudomgevingen.
Aanbeveling
IMPLEMENTEER MFA VOOR ALLE GEBRUIKERS
Risico zonder
Critical
Risk Score
10/10
Implementatie
10u (tech: 2u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Entra ID
✓ M365
✓ Azure AD
✓ Entra ID
✓ M365
Uit onderzoek blijkt dat 99,9 procent van alle accountcompromitteringen kan worden voorkomen door het implementeren van meervoudige authenticatie. Een Conditional Access-beleid dat MFA afdwingt voor alle gebruikers bij toegang tot alle cloudapplicaties elimineert het grootste beveiligingsrisico: authenticatie uitsluitend op basis van wachtwoorden. Zonder dit beleid kunnen gebruikers inloggen met alleen een gebruikersnaam en wachtwoord, wat hen kwetsbaar maakt voor phishingaanvallen, wachtwoordspraying en credential stuffing-aanvallen. Deze aanvallen vormen de meest voorkomende methoden voor cybercriminelen om ongeautoriseerde toegang te verkrijgen tot organisatieaccounts. Door MFA verplicht te stellen, wordt zelfs bij het lekken van wachtwoorden de toegang geblokkeerd, omdat aanvallers niet beschikken over de tweede authenticatiefactor die vereist is voor succesvolle authenticatie.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze beveiligingsmaatregel verifieert dat er een Conditional Access-beleid bestaat dat voldoet aan de volgende essentiële criteria. Ten eerste moet het beleid gericht zijn op alle gebruikers, inclusief gastgebruikers, om ervoor te zorgen dat geen enkele gebruiker wordt uitgesloten van de MFA-vereiste. Ten tweede moet het beleid van toepassing zijn op alle cloudapplicaties, waardoor een consistente beveiligingslaag wordt gecreëerd ongeacht welke applicatie wordt benaderd. Ten derde moet de toegangscontrole zijn ingesteld op het vereisen van meervoudige authenticatie, wat betekent dat gebruikers naast hun wachtwoord een tweede verificatiemethode moeten gebruiken. Ten vierde moet de beleidsstatus actief zijn en niet in de rapportage-modus, zodat het beleid daadwerkelijk wordt afgedwongen en niet alleen wordt gemonitord. Ten vijfde mogen uitsluitingen alleen worden toegepast op break-glass accounts, ook wel noodtoegangsaccounts genoemd, die uitsluitend worden gebruikt in noodsituaties wanneer normale toegangsprocedures niet kunnen worden gevolgd. Het beleid moet altijd ingeschakeld zijn en geen uitzonderingen hebben, behalve voor deze specifieke noodtoegangsaccounts die strikt gecontroleerd en gemonitord moeten worden.
Vereisten
Voor de succesvolle implementatie van een Conditional Access-beleid voor meervoudige authenticatie zijn verschillende essentiële vereisten van toepassing. Deze vereisten omvatten technische licentievereisten, beveiligingsconfiguraties, beheerrechten en organisatorische voorbereidingen die gezamenlijk de basis vormen voor een effectieve MFA-implementatie. Het begrijpen en voorbereiden van deze vereisten is cruciaal om te voorkomen dat gebruikers onverwacht worden geblokkeerd of dat de organisatie te maken krijgt met complianceproblemen. Een grondige voorbereiding zorgt voor een soepele implementatie en minimaliseert de impact op dagelijkse werkzaamheden.
De primaire technische vereiste betreft de beschikbaarheid van Azure AD Premium P1 licenties voor alle gebruikers die onder het Conditional Access-beleid vallen. Conditional Access is een premium functie die niet beschikbaar is in de gratis versie van Azure AD, waardoor licentievereisten een kritieke voorwaarde vormen. Organisaties moeten ervoor zorgen dat alle gebruikers, inclusief gastgebruikers indien van toepassing, over de juiste licentie beschikken voordat het beleid wordt geactiveerd. Zonder de juiste licenties kunnen gebruikers worden geblokkeerd of kunnen complianceproblemen ontstaan. Het is belangrijk om vooraf een licentie-inventarisatie uit te voeren en te verifiëren dat alle gebruikers over de benodigde licenties beschikken. Voor grote organisaties kan dit een aanzienlijke investering betekenen, maar het is een noodzakelijke voorwaarde voor effectieve identiteitsbeveiliging. Microsoft biedt verschillende licentie-opties, waaronder Azure AD Premium P1 en P2, waarbij P2 aanvullende beveiligingsfuncties biedt zoals Identity Protection en Privileged Identity Management. Organisaties moeten de licentievereisten evalueren in relatie tot hun beveiligingsdoelstellingen en budgettaire overwegingen.
Een tweede essentiële vereiste betreft de configuratie van break-glass accounts, ook wel noodtoegangsaccounts genoemd. Deze accounts moeten vooraf worden geconfigureerd en expliciet worden uitgesloten van het MFA-beleid om te garanderen dat beheerders altijd toegang hebben, zelfs wanneer normale authenticatieprocessen falen of wanneer er sprake is van een beveiligingsincident. Break-glass accounts moeten strikt worden beheerd, met beperkte toegang tot alleen essentiële beheerfuncties, en alle activiteiten op deze accounts moeten worden gemonitord en geaudit. Het is van cruciaal belang dat deze accounts niet worden gebruikt voor dagelijkse beheertaken, maar uitsluitend voor noodsituaties. Deze accounts vormen een kritieke beveiligingscomponent omdat zij toegang garanderen wanneer alle andere authenticatiemethoden falen, bijvoorbeeld tijdens een grootschalige cyberaanval of wanneer het MFA-systeem technische problemen ondervindt. Organisaties moeten een duidelijk beleid ontwikkelen voor het gebruik van break-glass accounts, inclusief procedures voor het aanvragen van toegang, tijdsbeperkingen voor gebruik, en verplichte rapportage na gebruik. Alle activiteiten op deze accounts moeten worden gelogd en regelmatig worden geaudit om misbruik te voorkomen.
Wat betreft beheerrechten is het noodzakelijk dat de persoon die het Conditional Access-beleid configureert beschikt over globale beheerdersrechten of specifiek over de rol van Conditional Access-beheerder. De rol van Conditional Access-beheerder biedt voldoende rechten om beleidsregels te maken, wijzigen en verwijderen zonder de volledige reikwijdte van globale beheerdersrechten, wat een betere beveiligingspraktijk vertegenwoordigt volgens het principe van minimale rechten. Deze rol kan worden toegewezen via Azure AD-rolbeheer en biedt een evenwicht tussen functionaliteit en beveiliging. Het principe van minimale rechten is een fundamenteel beveiligingsconcept dat stelt dat gebruikers en beheerders alleen de minimale rechten moeten hebben die nodig zijn om hun taken uit te voeren. Door de rol van Conditional Access-beheerder te gebruiken in plaats van globale beheerdersrechten, wordt het risico op misbruik of onbedoelde wijzigingen aan andere delen van de Azure AD-configuratie geminimaliseerd. Organisaties moeten een duidelijk proces hebben voor het toewijzen van deze rollen, inclusief goedkeuringsprocedures en regelmatige toegangsreviews om te verifiëren dat alleen geautoriseerde personen over deze rechten beschikken.
Een fundamentele voorwaarde voor succesvolle MFA-implementatie is dat alle gebruikers vooraf zijn geregistreerd voor MFA-verificatiemethoden. Gebruikers moeten ten minste één verificatiemethode hebben geconfigureerd, zoals de Microsoft Authenticator-app, SMS-verificatie, telefonische verificatie of hardwaretokens. Zonder deze registratie kunnen gebruikers niet succesvol authenticeren wanneer het beleid wordt geactiveerd, wat kan leiden tot toegangsproblemen en verhoogde ondersteuningsbelasting. Organisaties moeten daarom een registratiecampagne uitvoeren voordat het beleid wordt geactiveerd, waarbij gebruikers worden begeleid bij het configureren van hun voorkeursverificatiemethode. De registratiecampagne moet gebruiksvriendelijk zijn en gebruikers moeten worden geïnformeerd over de verschillende beschikbare verificatiemethoden en hun voor- en nadelen. De Microsoft Authenticator-app wordt over het algemeen aanbevolen als de meest veilige en gebruiksvriendelijke optie, omdat deze push-meldingen ondersteunt en geen SMS-kosten met zich meebrengt. Organisaties moeten gebruikers ondersteunen bij het configureren van hun verificatiemethode en moeten een helpdesk beschikbaar stellen voor vragen en problemen. Het is ook belangrijk om gebruikers aan te moedigen om meerdere verificatiemethoden te registreren als back-up, zodat zij nog steeds toegang hebben wanneer hun primaire methode niet beschikbaar is.
Tot slot is een uitgebreid gebruikerscommunicatieplan essentieel voor de succesvolle implementatie van MFA-afdwinging. Gebruikers moeten vooraf worden geïnformeerd over de wijzigingen, de redenen voor de implementatie, de verwachte impact op hun dagelijkse werkzaamheden en de stappen die zij moeten ondernemen om zich voor te bereiden. Het communicatieplan moet verschillende kanalen omvatten, zoals e-mail, intranetberichten, trainingen en helpdeskondersteuning, en moet worden afgestemd op verschillende gebruikersgroepen binnen de organisatie. Proactieve communicatie vermindert gebruikersverzet, minimaliseert ondersteuningsvragen en verhoogt de acceptatiegraad van de nieuwe beveiligingsmaatregel. Effectieve communicatie begint met het uitleggen van het waarom: waarom is MFA nodig, wat zijn de risico's zonder MFA, en hoe beschermt MFA zowel de organisatie als de individuele gebruiker. Gebruikers moeten worden geïnformeerd over de verwachte impact op hun dagelijkse werkzaamheden, inclusief de extra stap die zij moeten ondernemen bij het inloggen, en hoe lang deze stap ongeveer duurt. Het is belangrijk om te benadrukken dat MFA een standaard beveiligingsmaatregel is die door veel organisaties wordt gebruikt en dat het een kleine moeite is in vergelijking met de beveiligingsvoordelen die het biedt. Organisaties moeten ook een tijdlijn communiceren voor de implementatie, inclusief belangrijke mijlpalen zoals de start van de registratiecampagne, de pilotfase, en de volledige uitrol. Regelmatige updates en reminders helpen gebruikers om op de hoogte te blijven en actie te ondernemen wanneer dat nodig is.
Implementatie
Gebruik PowerShell-script ca-mfa-policy-all-users.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van een Conditional Access-beleid voor meervoudige authenticatie vereist een gestructureerde aanpak die begint met de configuratie in de Azure AD-portal en wordt gevolgd door een gefaseerde uitrol met uitgebreide monitoring en validatie. Deze aanpak minimaliseert het risico op toegangsproblemen en zorgt voor een soepele overgang naar verhoogde beveiliging. Een goed geplande implementatie voorkomt dat gebruikers onverwacht worden geblokkeerd en zorgt ervoor dat de organisatie kan profiteren van de beveiligingsvoordelen zonder significante verstoring van dagelijkse werkzaamheden. Het implementatieproces moet worden gezien als een project met duidelijke fasen, mijlpalen en successcriteria, waarbij elke fase zorgvuldig wordt gepland en uitgevoerd voordat wordt overgegaan naar de volgende fase.
Het implementatieproces begint met het navigeren naar de Azure AD-beheerportal, waar beheerders toegang krijgen tot de Conditional Access-configuratie. Specifiek moet worden genavigeerd naar Azure AD, gevolgd door Security, en vervolgens naar voorwaardelijke toegang, waar een nieuw beleid kan worden aangemaakt. Deze navigatiepad biedt directe toegang tot alle Conditional Access-beleidsregels en stelt beheerders in staat om nieuwe beleidsregels te creëren of bestaande beleidsregels te wijzigen. Voor organisaties die gebruik maken van de Microsoft Graph API of PowerShell-scripts kan de configuratie ook programmatisch worden uitgevoerd, wat voordelen biedt voor grote organisaties of organisaties die Infrastructure as Code-principes toepassen. Ongeacht de gekozen methode, is het belangrijk dat de configuratie wordt uitgevoerd door geautoriseerd personeel met de juiste beheerrechten en kennis van Conditional Access-beleidsregels.
Bij het aanmaken van een nieuw beleid is het van essentieel belang om een duidelijke en beschrijvende naam te kiezen die de functie en reikwijdte van het beleid weergeeft. Een naam zoals "MFA vereisen voor alle gebruikers" of "Require MFA voor alle Users" maakt onmiddellijk duidelijk wat het doel van het beleid is, wat belangrijk is voor toekomstig beheer en auditing. De naam moet consistent zijn met de naamgevingsconventies van de organisatie en moet voldoende specifiek zijn om verwarring met andere beleidsregels te voorkomen. Een goede naamgevingsconventie kan bijvoorbeeld de volgende elementen omvatten: het type beveiligingsmaatregel (bijvoorbeeld MFA), de reikwijdte (bijvoorbeeld alle gebruikers), en eventueel een versienummer of datum. Dit maakt het gemakkelijker om beleidsregels te beheren in omgevingen met meerdere Conditional Access-beleidsregels en helpt bij het identificeren van de juiste beleidsregel tijdens audits of troubleshooting-activiteiten.
De configuratie van gebruikers en groepen vormt een kritiek onderdeel van het beleid. Het beleid moet worden geconfigureerd om alle gebruikers te omvatten, inclusief reguliere gebruikers, gastgebruikers en serviceaccounts, om ervoor te zorgen dat geen enkele gebruiker wordt uitgesloten van de MFA-vereiste. Tegelijkertijd moet een specifieke uitsluiting worden geconfigureerd voor de break-glass groep, die de noodtoegangsaccounts bevat. Deze uitsluiting is essentieel om te garanderen dat beheerders altijd toegang hebben, zelfs wanneer er problemen zijn met het MFA-systeem of wanneer er sprake is van een beveiligingsincident. Het is belangrijk om te benadrukken dat uitsluitingen zeer beperkt moeten zijn en alleen moeten worden toegepast op break-glass accounts. Andere uitsluitingen, zoals voor specifieke gebruikersgroepen of serviceaccounts, moeten worden vermeden omdat deze de effectiviteit van het beleid kunnen verminderen en beveiligingsrisico's kunnen introduceren. Serviceaccounts kunnen worden beheerd via andere methoden, zoals certificaat-gebaseerde authenticatie of managed identities, zonder dat zij worden uitgesloten van MFA-vereisten voor interactieve aanmeldingen.
Wat betreft cloudapplicaties moet het beleid worden geconfigureerd om van toepassing te zijn op alle cloudapplicaties. Deze brede toepassing zorgt voor consistente beveiliging ongeacht welke applicatie wordt benaderd, of het nu gaat om Microsoft 365-applicaties, Azure-services of andere geïntegreerde cloudapplicaties. Door alle cloudapplicaties te omvatten, wordt voorkomen dat aanvallers kunnen profiteren van applicaties die niet onder het beleid vallen. Dit is een belangrijk beveiligingsprincipe omdat aanvallers vaak zoeken naar zwakke punten in de beveiligingsconfiguratie, en een applicatie die niet onder het MFA-beleid valt, kan worden gebruikt als toegangspunt tot de organisatie. Het is daarom essentieel dat alle cloudapplicaties worden beschermd door het MFA-beleid, zonder uitzonderingen, behalve voor break-glass accounts. Organisaties die specifieke applicaties willen uitsluiten moeten een grondige risicoanalyse uitvoeren en moeten alternatieve beveiligingsmaatregelen implementeren voor deze applicaties.
De toegangscontrole, ook wel de Grant-controle genoemd, moet worden ingesteld op het vereisen van meervoudige authenticatie. Deze instelling zorgt ervoor dat gebruikers naast hun wachtwoord een tweede verificatiemethode moeten gebruiken, zoals een code uit de Microsoft Authenticator-app, een SMS-bericht of een telefonische verificatie. Deze controle is de kern van het beleid en zorgt ervoor dat het beoogde beveiligingsniveau wordt bereikt. Microsoft biedt verschillende opties voor MFA-verificatie, waaronder de Microsoft Authenticator-app (aanbevolen), SMS-verificatie, telefonische verificatie, en hardwaretokens. Organisaties moeten gebruikers aanmoedigen om de Microsoft Authenticator-app te gebruiken omdat deze de meest veilige en gebruiksvriendelijke optie is, met ondersteuning voor push-meldingen en geen kosten voor SMS-berichten. De toegangscontrole kan ook worden geconfigureerd om aanvullende voorwaarden te vereisen, zoals het gebruik van een compliant apparaat of een vertrouwde locatie, wat extra beveiligingslagen toevoegt aan het authenticatieproces.
Na de configuratie van alle benodigde instellingen moet de beleidsstatus worden ingeschakeld door de schakelaar op "Aan" te zetten. Het is belangrijk om te begrijpen dat het beleid pas daadwerkelijk wordt afgedwongen wanneer deze schakelaar is ingeschakeld. In de rapportage-modus wordt het beleid alleen gemonitord zonder daadwerkelijke afdwinging, wat nuttig kan zijn voor testdoeleinden maar niet voor productieomgevingen. De rapportage-modus is een waardevol hulpmiddel tijdens de pilotfase omdat het beheerders in staat stelt om te zien wat de impact zou zijn van het beleid zonder daadwerkelijk gebruikers te blokkeren. Tijdens de pilotfase kunnen beheerders de rapportage-modus gebruiken om te verifiëren dat het beleid correct is geconfigureerd en dat alle gebruikers succesvol kunnen authenticeren voordat het beleid wordt geactiveerd. Zodra de pilotfase succesvol is afgerond en alle problemen zijn opgelost, moet het beleid worden overgeschakeld naar de actieve modus om daadwerkelijke beveiliging te bieden.
Voordat het beleid wordt uitgerold naar alle gebruikers, is het essentieel om eerst te testen met een pilotgroep van gebruikers. Deze pilotgroep moet representatief zijn voor de organisatie en moet gebruikers omvatten met verschillende rollen, verschillende apparaten en verschillende verificatiemethoden. Door eerst met een beperkte groep te testen, kunnen potentiële problemen worden geïdentificeerd en opgelost voordat het beleid wordt uitgerold naar de volledige organisatie. De pilotgroep moet idealiter bestaan uit 5 tot 10 procent van de totale gebruikerspopulatie en moet gebruikers omvatten uit verschillende afdelingen en met verschillende technische vaardigheden. Dit zorgt ervoor dat de pilot een realistische weergave is van de volledige organisatie en dat potentiële problemen worden geïdentificeerd voordat het beleid wordt uitgerold naar alle gebruikers. De pilotfase moet minimaal 48 uur duren, maar kan worden verlengd indien nodig om voldoende data te verzamelen en alle scenario's te testen.
Gedurende de pilotfase, die idealiter minimaal 48 uur duurt, moeten de aanmeldingslogboeken uitgebreid worden gemonitord om te verifiëren dat het beleid correct werkt, dat gebruikers succesvol kunnen authenticeren met MFA, en dat er geen onverwachte toegangsproblemen optreden. De monitoring moet zich richten op geslaagde authenticaties, mislukte authenticaties, gebruikers die hulp nodig hebben, en eventuele foutmeldingen of waarschuwingen die kunnen wijzen op configuratieproblemen. Beheerders moeten dagelijks de aanmeldingslogboeken controleren en moeten contact opnemen met gebruikers die problemen ondervinden om te begrijpen wat de oorzaak is en hoe deze kan worden opgelost. Het is ook belangrijk om feedback te verzamelen van pilotgebruikers over hun ervaring met MFA, inclusief eventuele problemen of verbeterpunten. Deze feedback kan worden gebruikt om de implementatie te verbeteren voordat het beleid wordt uitgerold naar alle gebruikers.
Na een succesvolle pilotfase en na het oplossen van eventuele geïdentificeerde problemen, kan het beleid worden uitgerold naar alle gebruikers binnen de organisatie. Deze uitrol moet worden gecommuniceerd aan alle betrokkenen en moet gepaard gaan met ondersteuning en begeleiding voor gebruikers die hulp nodig hebben bij het configureren of gebruiken van hun MFA-verificatiemethode. Continue monitoring na de volledige uitrol blijft essentieel om te zorgen voor optimale prestaties en gebruikerservaring. De uitrol moet gefaseerd worden uitgevoerd, waarbij eerst gebruikers worden toegevoegd die al zijn geregistreerd voor MFA, gevolgd door gebruikers die nog moeten worden geregistreerd. Dit zorgt voor een soepele overgang en minimaliseert de impact op gebruikers. Tijdens de uitrol moeten beheerders beschikbaar zijn voor ondersteuning en moeten zij snel reageren op vragen en problemen. Het is ook belangrijk om regelmatig te communiceren met gebruikers over de voortgang van de uitrol en om hen te herinneren aan belangrijke stappen die zij moeten ondernemen, zoals het registreren van verificatiemethoden.
Compliance en Auditing
De implementatie van meervoudige authenticatie voor alle gebruikers via Conditional Access-beleid voldoet aan verschillende belangrijke beveiligingsstandaarden en compliancevereisten die van toepassing zijn op Nederlandse overheidsorganisaties en organisaties die werken met gevoelige gegevens. Deze compliance-afstemming is essentieel voor het demonstreren van due diligence en het voldoen aan wettelijke en regelgevende verplichtingen. In de huidige digitale omgeving worden organisaties geconfronteerd met een groeiend aantal compliancevereisten die voortvloeien uit verschillende bronnen, waaronder internationale standaarden, Europese richtlijnen, en nationale wetgeving. Het is daarom van cruciaal belang dat beveiligingsmaatregelen zoals MFA niet alleen effectief zijn in het beschermen tegen bedreigingen, maar ook voldoen aan de relevante compliancevereisten. Door MFA te implementeren, kunnen organisaties aantonen dat zij serieuze stappen ondernemen om hun digitale omgeving te beveiligen en dat zij voldoen aan de verwachtingen van toezichthouders, auditors en andere belanghebbenden.
De CIS Azure Foundations Benchmark versie 3.0.0 bevat specifieke aanbeveling 1.27, die stelt dat meervoudige authenticatie moet zijn ingeschakeld voor alle gebruikers. Deze aanbeveling is geclassificeerd als een Level 1 controle, wat betekent dat deze moet worden geïmplementeerd in alle omgevingen, inclusief ontwikkel- en testomgevingen. De CIS Benchmark wordt wereldwijd erkend als een best practice framework voor cloudbeveiliging en wordt vaak gebruikt als basis voor security assessments en audits. Door te voldoen aan deze controle, demonstreren organisaties dat zij de fundamentele beveiligingsprincipes voor cloudidentiteiten hebben geïmplementeerd. De CIS Benchmark is ontwikkeld door het Center for Internet Security en wordt regelmatig bijgewerkt om rekening te houden met nieuwe bedreigingen en best practices. Level 1 controles worden beschouwd als basisbeveiligingsmaatregelen die moeten worden geïmplementeerd in alle omgevingen, ongeacht de grootte of complexiteit van de organisatie. Organisaties die voldoen aan CIS Benchmark-controles kunnen dit gebruiken als bewijs van hun beveiligingsmaturiteit tijdens audits en assessments, en kunnen dit ook gebruiken als basis voor hun beveiligingsstrategie.
Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang. Thema 09.04 van de BIO richt zich specifiek op veilige log-on procedures en vereist dat organisaties passende authenticatiemechanismen implementeren om ongeautoriseerde toegang te voorkomen. Meervoudige authenticatie wordt expliciet genoemd als een aanbevolen maatregel voor het beveiligen van toegang tot informatiesystemen. Door MFA te implementeren voor alle gebruikers, voldoen organisaties aan deze BIO-vereiste en demonstreren zij dat zij de beveiligingsstandaarden voor de Nederlandse overheid naleven. De BIO is ontwikkeld door het Forum Standaardisatie en is specifiek gericht op Nederlandse overheidsorganisaties. Het framework biedt concrete richtlijnen voor het implementeren van informatiebeveiliging in overheidsorganisaties en wordt gebruikt als basis voor audits en assessments. Thema 09.04 richt zich specifiek op authenticatie en vereist dat organisaties passende maatregelen nemen om ongeautoriseerde toegang te voorkomen. MFA wordt expliciet genoemd als een aanbevolen maatregel, wat betekent dat organisaties die MFA implementeren kunnen aantonen dat zij voldoen aan deze BIO-vereiste. Dit is vooral belangrijk voor overheidsorganisaties die regelmatig worden geaudit op hun naleving van de BIO.
De internationale standaard ISO 27001:2022 bevat verschillende controles die relevant zijn voor meervoudige authenticatie. Controle A.5.17 richt zich op authenticatie-informatie en vereist dat organisaties passende maatregelen nemen om authenticatie-informatie te beveiligen. Controle A.8.5 betreft veilige authenticatie en vereist dat organisaties veilige authenticatiemechanismen implementeren. Meervoudige authenticatie wordt beschouwd als een effectieve maatregel om aan beide controles te voldoen, omdat het de beveiliging van authenticatie-informatie versterkt en robuuste authenticatiemechanismen biedt die bestand zijn tegen verschillende aanvalstypen. ISO 27001 is een internationaal erkende standaard voor informatiebeveiligingsmanagement en wordt gebruikt door organisaties wereldwijd om hun beveiligingspraktijken te structureren en te verbeteren. De standaard bevat een uitgebreide set controles die organisaties kunnen implementeren om hun informatiebeveiliging te verbeteren. Controle A.5.17 richt zich specifiek op het beveiligen van authenticatie-informatie, zoals wachtwoorden en tokens, terwijl controle A.8.5 zich richt op het implementeren van veilige authenticatiemechanismen. MFA helpt bij het voldoen aan beide controles door de beveiliging van authenticatie-informatie te versterken en door robuuste authenticatiemechanismen te bieden die bestand zijn tegen verschillende aanvalstypen, zoals phishing, credential stuffing en brute force-aanvallen.
De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten binnen de Europese Unie, bevat in Artikel 21 specifieke vereisten voor meervoudige authenticatie. Deze richtlijn vereist dat organisaties passende technische en organisatorische maatregelen nemen om de beveiliging van netwerk- en informatiesystemen te waarborgen. Meervoudige authenticatie wordt expliciet genoemd als een aanbevolen beveiligingsmaatregel voor het beschermen van toegang tot kritieke systemen en gegevens. Nederlandse organisaties die onder de NIS2-richtlijn vallen, moeten daarom MFA implementeren om te voldoen aan deze wettelijke verplichting. De NIS2-richtlijn is een Europese richtlijn die gericht is op het verbeteren van de cybersecurity van essentiële en belangrijke entiteiten binnen de Europese Unie. De richtlijn vereist dat organisaties passende technische en organisatorische maatregelen nemen om de beveiliging van hun netwerk- en informatiesystemen te waarborgen. Artikel 21 van de richtlijn bevat specifieke vereisten voor authenticatie en vereist dat organisaties passende maatregelen nemen om ongeautoriseerde toegang te voorkomen. MFA wordt expliciet genoemd als een aanbevolen beveiligingsmaatregel, wat betekent dat organisaties die onder de NIS2-richtlijn vallen, MFA moeten implementeren om te voldoen aan deze wettelijke verplichting. Nederlandse organisaties die onder de NIS2-richtlijn vallen, moeten daarom zorgvuldig evalueren of zij MFA hebben geïmplementeerd en moeten dit kunnen aantonen tijdens audits en assessments.
Het NIST Special Publication 800-63B, dat richtlijnen bevat voor digitale identiteitsrichtlijnen, classificeert authenticatieniveaus in verschillende authenticatie-assurance levels (AAL). Meervoudige authenticatie is vereist voor AAL2, wat het minimale niveau is dat wordt aanbevolen voor de meeste organisatieomgevingen. AAL2 vereist dat authenticatie plaatsvindt met behulp van ten minste twee verschillende authenticatiefactoren, wat precies is wat MFA biedt. Door MFA te implementeren, voldoen organisaties aan de AAL2-vereisten en demonstreren zij dat zij een passend beveiligingsniveau hebben geïmplementeerd voor hun digitale identiteitssystemen. Het NIST Special Publication 800-63B is ontwikkeld door het National Institute of Standards and Technology en biedt richtlijnen voor het implementeren van digitale identiteitssystemen. Het document classificeert authenticatieniveaus in drie categorieën: AAL1, AAL2 en AAL3, waarbij AAL2 het minimale niveau is dat wordt aanbevolen voor de meeste organisatieomgevingen. AAL2 vereist dat authenticatie plaatsvindt met behulp van ten minste twee verschillende authenticatiefactoren, wat precies is wat MFA biedt. Door MFA te implementeren, kunnen organisaties aantonen dat zij voldoen aan de AAL2-vereisten en dat zij een passend beveiligingsniveau hebben geïmplementeerd voor hun digitale identiteitssystemen. Dit is vooral belangrijk voor organisaties die werken met gevoelige gegevens of die moeten voldoen aan strikte beveiligingsvereisten.
Naast deze specifieke standaarden en richtlijnen is meervoudige authenticatie ook relevant voor andere compliance-frameworks, zoals de Algemene Verordening Gegevensbescherming (AVG), die vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. MFA helpt bij het voldoen aan deze vereiste door de beveiliging van toegang tot systemen die persoonsgegevens bevatten te versterken. Organisaties moeten daarom zorgvuldig documenteren hoe hun MFA-implementatie bijdraagt aan het voldoen aan deze verschillende compliance-vereisten, zodat zij tijdens audits en assessments kunnen aantonen dat zij de relevante standaarden en richtlijnen naleven. De AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen, en MFA is een belangrijke technische maatregel die helpt bij het voldoen aan deze vereiste. Door MFA te implementeren, kunnen organisaties aantonen dat zij serieuze stappen ondernemen om de beveiliging van persoonsgegevens te waarborgen en dat zij voldoen aan de verwachtingen van toezichthouders. Het is belangrijk dat organisaties zorgvuldig documenteren hoe hun MFA-implementatie bijdraagt aan het voldoen aan verschillende compliance-vereisten, zodat zij tijdens audits en assessments kunnen aantonen dat zij de relevante standaarden en richtlijnen naleven. Deze documentatie moet duidelijk maken welke compliance-vereisten worden aangepakt door MFA, hoe MFA bijdraagt aan het voldoen aan deze vereisten, en hoe de implementatie wordt gemonitord en geaudit.
Monitoring
Gebruik PowerShell-script ca-mfa-policy-all-users.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van Conditional Access-beleid voor meervoudige authenticatie is essentieel om te verifiëren dat het beleid correct functioneert, om gebruikersproblemen tijdig te identificeren en op te lossen, en om beveiligingsincidenten te detecteren. Continue monitoring stelt beheerders in staat om proactief te reageren op problemen en om te zorgen voor optimale beveiliging en gebruikerservaring. Monitoring is geen eenmalige activiteit, maar een continue proces dat moet worden geïntegreerd in de dagelijkse beheeractiviteiten van de organisatie. Door regelmatig te monitoren, kunnen beheerders trends identificeren, problemen vroegtijdig detecteren, en de effectiviteit van het beleid evalueren. Effectieve monitoring vereist niet alleen technische tools en processen, maar ook duidelijke procedures voor het reageren op geïdentificeerde problemen en het escaleren van kritieke incidenten naar de juiste personen of teams.
De primaire monitoringactiviteit betreft het regelmatig controleren van de aanmeldingslogboeken in Azure AD, die gedetailleerde informatie bevatten over alle aanmeldpogingen, inclusief geslaagde en mislukte authenticaties, de gebruikte verificatiemethoden, en eventuele foutmeldingen of waarschuwingen. Beheerders moeten deze logboeken dagelijks controleren, met bijzondere aandacht voor mislukte MFA-verificaties, gebruikers die herhaaldelijk problemen ondervinden, en ongebruikelijke aanmeldpatronen die kunnen wijzen op beveiligingsincidenten of configuratieproblemen. De aanmeldingslogboeken bevatten waardevolle informatie die kan worden gebruikt om de effectiviteit van het MFA-beleid te evalueren en om problemen te identificeren voordat zij kritiek worden. Beheerders moeten zich richten op verschillende aspecten van de logboeken, waaronder het aantal geslaagde en mislukte authenticaties, de gebruikte verificatiemethoden, de geografische locaties van aanmeldpogingen, en eventuele foutmeldingen of waarschuwingen. Door regelmatig deze logboeken te analyseren, kunnen beheerders trends identificeren, zoals een toename van mislukte authenticaties of een verschuiving in de gebruikte verificatiemethoden, en kunnen zij proactief reageren op potentiële problemen.
Een belangrijke monitoringmetriek betreft de MFA-registratiegraad, die aangeeft welk percentage van de gebruikers daadwerkelijk is geregistreerd voor meervoudige authenticatie. Deze metriek moet regelmatig worden gecontroleerd om te verifiëren dat alle gebruikers over de benodigde verificatiemethoden beschikken. Een lage registratiegraad kan wijzen op gebruikers die hulp nodig hebben bij de registratie, of op technische problemen die de registratie belemmeren. Beheerders moeten streven naar een registratiegraad van 100 procent voor alle gebruikers die onder het beleid vallen. De MFA-registratiegraad is een kritieke metriek omdat gebruikers die niet zijn geregistreerd voor MFA niet succesvol kunnen authenticeren wanneer het beleid wordt geactiveerd, wat kan leiden tot toegangsproblemen en verhoogde ondersteuningsbelasting. Beheerders moeten regelmatig de registratiegraad controleren en moeten actie ondernemen wanneer de registratiegraad onder een acceptabel niveau daalt. Dit kan onder meer het versturen van reminders naar gebruikers omvatten, het organiseren van registratiesessies, of het bieden van extra ondersteuning aan gebruikers die problemen ondervinden bij de registratie.
Daarnaast moeten beheerders de Conditional Access-insights regelmatig controleren, die informatie bieden over hoe vaak het beleid wordt geactiveerd, hoeveel gebruikers worden beïnvloed, en wat de impact is op de gebruikerservaring. Deze insights helpen bij het identificeren van potentiële problemen voordat zij kritiek worden, en bij het optimaliseren van de beleidsconfiguratie voor betere prestaties en gebruikerservaring. Conditional Access-insights bieden een overzicht van de activiteit en impact van Conditional Access-beleidsregels, inclusief informatie over het aantal gebruikers dat wordt beïnvloed, het aantal geslaagde en mislukte authenticaties, en de gebruikte verificatiemethoden. Deze insights kunnen worden gebruikt om trends te identificeren, zoals een toename van mislukte authenticaties of een verschuiving in de gebruikte verificatiemethoden, en om de effectiviteit van het beleid te evalueren. Beheerders moeten regelmatig deze insights controleren en moeten actie ondernemen wanneer zij problemen identificeren, zoals een toename van mislukte authenticaties of een afname van de gebruikerservaring.
Monitoring van beveiligingsincidenten is eveneens van cruciaal belang. Beheerders moeten alert zijn op tekenen van accountcompromittering, zoals aanmeldpogingen vanaf onbekende locaties, ongebruikelijke aanmeldtijden, of meerdere mislukte authenticatiepogingen. Deze signalen kunnen wijzen op pogingen tot ongeautoriseerde toegang en vereisen onmiddellijke actie om de beveiliging te waarborgen. Beveiligingsincidenten kunnen verschillende vormen aannemen, waaronder accountcompromittering, phishing-aanvallen, en brute force-aanvallen. Beheerders moeten alert zijn op verschillende signalen die kunnen wijzen op beveiligingsincidenten, zoals aanmeldpogingen vanaf onbekende locaties, ongebruikelijke aanmeldtijden, meerdere mislukte authenticatiepogingen, of ongebruikelijke activiteiten op accounts. Wanneer beheerders dergelijke signalen identificeren, moeten zij onmiddellijk actie ondernemen om de beveiliging te waarborgen, zoals het blokkeren van verdachte accounts, het forceren van wachtwoordwijzigingen, of het verhogen van de beveiligingsvereisten voor specifieke gebruikers of groepen. Het is ook belangrijk om beveiligingsincidenten te documenteren en te rapporteren aan de relevante beveiligingsteams en autoriteiten, zodat deze kunnen worden geanalyseerd en kunnen worden gebruikt om toekomstige incidenten te voorkomen.
Tot slot moeten beheerders regelmatig de beleidsconfiguratie controleren om te verifiëren dat deze niet onbedoeld is gewijzigd, dat alle vereiste instellingen correct zijn geconfigureerd, en dat er geen onbevoegde wijzigingen zijn aangebracht. Deze verificatie kan worden uitgevoerd door middel van regelmatige audits van de Conditional Access-beleidsregels en door het controleren van auditlogboeken voor wijzigingen aan het beleid. Configuratiewijzigingen kunnen verschillende oorzaken hebben, waaronder onbedoelde wijzigingen door beheerders, kwaadwillige activiteiten, of technische problemen. Het is daarom essentieel dat beheerders regelmatig de beleidsconfiguratie controleren om te verifiëren dat deze niet is gewijzigd zonder autorisatie. Deze verificatie moet worden uitgevoerd door middel van regelmatige audits van de Conditional Access-beleidsregels, waarbij beheerders controleren of alle vereiste instellingen correct zijn geconfigureerd en of er geen onbevoegde wijzigingen zijn aangebracht. Beheerders moeten ook de auditlogboeken controleren voor wijzigingen aan het beleid, zodat zij kunnen identificeren wie wijzigingen heeft aangebracht en wanneer deze wijzigingen hebben plaatsgevonden. Dit helpt bij het detecteren van onbevoegde wijzigingen en bij het waarborgen van de integriteit van de beveiligingsconfiguratie.
Remediatie
Gebruik PowerShell-script ca-mfa-policy-all-users.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoringactiviteiten problemen identificeren met het Conditional Access-beleid voor meervoudige authenticatie, moeten beheerders snel en effectief reageren om deze problemen op te lossen en de beveiliging en functionaliteit te herstellen. Remediatie-activiteiten variëren afhankelijk van de aard en ernst van het geïdentificeerde probleem, maar volgen over het algemeen een gestructureerde aanpak die begint met probleemidentificatie en eindigt met verificatie van de oplossing. Effectieve remediatie vereist niet alleen technische kennis en vaardigheden, maar ook duidelijke procedures, goede communicatie met betrokken partijen, en een systematische aanpak voor het oplossen van problemen. Beheerders moeten beschikken over de juiste tools en resources om snel te kunnen reageren op geïdentificeerde problemen, en moeten een duidelijk escalatieproces hebben voor kritieke incidenten die onmiddellijke aandacht vereisen. Het is ook belangrijk dat remediatie-activiteiten worden gedocumenteerd, zodat organisaties kunnen leren van ervaringen en hun processen kunnen verbeteren.
Een veelvoorkomend probleem betreft gebruikers die niet succesvol kunnen authenticeren met MFA, wat kan worden veroorzaakt door verschillende factoren, zoals niet-geregistreerde verificatiemethoden, verlopen verificatiecodes, of technische problemen met de verificatie-app of -service. In dergelijke gevallen moeten beheerders eerst de specifieke oorzaak identificeren door de aanmeldingslogboeken te controleren en contact op te nemen met de betrokken gebruiker. Vervolgens kunnen beheerders de gebruiker begeleiden bij het opnieuw registreren van verificatiemethoden, het oplossen van technische problemen, of het tijdelijk uitsluiten van het beleid voor specifieke gebruikers indien nodig, met strikte monitoring en een plan voor herinclusie. Gebruikersproblemen met MFA kunnen verschillende oorzaken hebben, waaronder technische problemen met de verificatie-app, verloren of beschadigde apparaten, of onbegrip over hoe MFA werkt. Beheerders moeten een gestructureerde aanpak volgen voor het oplossen van gebruikersproblemen, beginnend met het identificeren van de specifieke oorzaak door middel van logboekanalyse en gebruikerscontact. Vervolgens moeten beheerders de gebruiker begeleiden bij het oplossen van het probleem, waarbij zij verschillende oplossingen kunnen proberen, zoals het opnieuw registreren van verificatiemethoden, het oplossen van technische problemen met de verificatie-app, of het bieden van alternatieve verificatiemethoden. In uitzonderlijke gevallen kan het nodig zijn om gebruikers tijdelijk uit te sluiten van het MFA-beleid, maar dit moet alleen worden gedaan met strikte monitoring en een duidelijk plan voor herinclusie zodra het probleem is opgelost.
Wanneer het beleid niet correct wordt afgedwongen, bijvoorbeeld wanneer gebruikers toegang krijgen zonder MFA-verificatie, moeten beheerders de beleidsconfiguratie grondig controleren om te verifiëren dat alle instellingen correct zijn geconfigureerd. Specifiek moeten beheerders controleren of de beleidsstatus is ingeschakeld, of de juiste gebruikers en applicaties zijn geselecteerd, en of de toegangscontrole correct is ingesteld. Indien nodig moeten beheerders de beleidsconfiguratie corrigeren en de impact van de wijzigingen monitoren om te verifiëren dat het probleem is opgelost. Configuratieproblemen kunnen verschillende oorzaken hebben, waaronder onbedoelde wijzigingen door beheerders, technische problemen met de Azure AD-service, of conflicten met andere Conditional Access-beleidsregels. Beheerders moeten een systematische aanpak volgen voor het identificeren en oplossen van configuratieproblemen, beginnend met het controleren van alle relevante instellingen en het identificeren van de specifieke oorzaak van het probleem. Vervolgens moeten beheerders de configuratie corrigeren en de impact van de wijzigingen monitoren om te verifiëren dat het probleem is opgelost. Het is ook belangrijk om te controleren of er conflicten zijn met andere Conditional Access-beleidsregels, omdat deze kunnen leiden tot onverwachte gedragingen en kunnen voorkomen dat het MFA-beleid correct wordt afgedwongen.
In gevallen waarin beveiligingsincidenten worden gedetecteerd, zoals pogingen tot accountcompromittering of ongeautoriseerde toegang, moeten beheerders onmiddellijk actie ondernemen om de beveiliging te waarborgen. Dit kan onder meer het blokkeren van verdachte accounts omvatten, het forceren van wachtwoordwijzigingen, het verhogen van de beveiligingsvereisten voor specifieke gebruikers of groepen, en het melden van het incident aan de relevante beveiligingsteams en autoriteiten. Snelle en effectieve respons op beveiligingsincidenten is essentieel om de impact te minimaliseren en verdere schade te voorkomen. Beveiligingsincidenten vereisen onmiddellijke actie om de beveiliging te waarborgen en verdere schade te voorkomen. Beheerders moeten beschikken over duidelijke procedures voor het reageren op beveiligingsincidenten, inclusief procedures voor het blokkeren van verdachte accounts, het forceren van wachtwoordwijzigingen, en het verhogen van de beveiligingsvereisten voor specifieke gebruikers of groepen. Het is ook belangrijk om beveiligingsincidenten te documenteren en te rapporteren aan de relevante beveiligingsteams en autoriteiten, zodat deze kunnen worden geanalyseerd en kunnen worden gebruikt om toekomstige incidenten te voorkomen. Beheerders moeten ook samenwerken met andere teams, zoals het security operations center (SOC) of het incident response team, om ervoor te zorgen dat beveiligingsincidenten effectief worden aangepakt en dat alle relevante informatie wordt gedeeld.
Wanneer complianceproblemen worden geïdentificeerd, zoals gebruikers die niet voldoen aan de MFA-vereisten of beleidsconfiguraties die niet voldoen aan relevante standaarden, moeten beheerders de nodige correcties aanbrengen om te zorgen voor naleving. Dit kan onder meer het bijwerken van de beleidsconfiguratie omvatten, het verifiëren dat alle gebruikers correct zijn geconfigureerd, en het documenteren van de genomen maatregelen voor auditdoeleinden. Regelmatige compliance-controles helpen bij het identificeren en oplossen van dergelijke problemen voordat zij leiden tot auditbevindingen of regelgevende problemen. Complianceproblemen kunnen verschillende vormen aannemen, waaronder gebruikers die niet voldoen aan de MFA-vereisten, beleidsconfiguraties die niet voldoen aan relevante standaarden, of ontbrekende documentatie voor auditdoeleinden. Beheerders moeten regelmatig compliance-controles uitvoeren om dergelijke problemen te identificeren en op te lossen voordat zij leiden tot auditbevindingen of regelgevende problemen. Wanneer complianceproblemen worden geïdentificeerd, moeten beheerders de nodige correcties aanbrengen, zoals het bijwerken van de beleidsconfiguratie, het verifiëren dat alle gebruikers correct zijn geconfigureerd, of het verbeteren van de documentatie. Het is ook belangrijk om alle genomen maatregelen te documenteren voor auditdoeleinden, zodat organisaties kunnen aantonen dat zij voldoen aan de relevante compliancevereisten en dat zij proactief werken aan het oplossen van geïdentificeerde problemen.
Na het uitvoeren van remediatie-activiteiten moeten beheerders altijd de effectiviteit van de genomen maatregelen verifiëren door middel van follow-up monitoring en validatie. Dit omvat het controleren van aanmeldingslogboeken om te verifiëren dat problemen zijn opgelost, het contact opnemen met gebruikers om te bevestigen dat zij geen verdere problemen ondervinden, en het documenteren van de genomen maatregelen en resultaten voor toekomstige referentie en continue verbetering. Follow-up monitoring en validatie zijn essentieel om te verifiëren dat remediatie-activiteiten effectief zijn geweest en dat problemen daadwerkelijk zijn opgelost. Beheerders moeten regelmatig de aanmeldingslogboeken controleren om te verifiëren dat problemen zijn opgelost en dat er geen nieuwe problemen zijn ontstaan. Het is ook belangrijk om contact op te nemen met gebruikers om te bevestigen dat zij geen verdere problemen ondervinden en om feedback te verzamelen over de effectiviteit van de genomen maatregelen. Alle genomen maatregelen en resultaten moeten worden gedocumenteerd voor toekomstige referentie en continue verbetering, zodat organisaties kunnen leren van ervaringen en hun processen kunnen verbeteren. Deze documentatie kan ook worden gebruikt tijdens audits en assessments om aan te tonen dat organisaties proactief werken aan het oplossen van geïdentificeerde problemen en dat zij continue verbetering nastreven.
Compliance & Frameworks
- CIS M365: Control 1.27 (L1) - Zorg ervoor dat MFA is ingeschakeld voor alle gebruikers
- BIO: 09.04 - BIO Baseline Informatiebeveiliging Overheid - Thema 9: Veilige log-on procedures
- ISO 27001:2022: A.5.17, A.8.5 - Authenticatie-informatie en veilige authenticatie
- NIS2: Artikel - Vereiste voor meervoudige authenticatie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
CA MFA Policy All Users
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.12
Controleert MFA policy voor alle gebruikers.
.NOTES
Filename: ca-mfa-policy-all-users.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.12
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "CA MFA Policy All Users"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - MFA required voor alle gebruikers" -ForegroundColor Gray
Write-Host " - Users: All users (excl. break-glass)" -ForegroundColor Gray
Write-Host " - Cloud apps: All cloud apps" -ForegroundColor Gray
Write-Host " - Grant: Require MFA" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: MFA for all users" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - MFA required voor alle gebruikers" -ForegroundColor Gray
Write-Host " - Users: All users (excl. break-glass)" -ForegroundColor Gray
Write-Host " - Cloud apps: All cloud apps" -ForegroundColor Gray
Write-Host " - Grant: Require MFA" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: MFA for all users" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Zonder meervoudige authenticatie is elk gecompromitteerd wachtwoord gelijk aan accountovername. Volgens Microsoft blokkeert MFA 99,9 procent van alle aanvallen. Accountcompromitteringen leiden tot datalekken met kosten tussen één en vier miljoen euro, ransomware-aanvallen en regelgevende boetes. Compliancevereisten: CIS 1.27, BIO 9.04, ISO 27001, NIS2. Het risico is KRITIEK voor ALLE tenants.
Management Samenvatting
Conditional Access-beleid: alle gebruikers naar alle cloudapplicaties met vereiste meervoudige authenticatie. Vereist Azure AD Premium P1. Uitsluiting alleen voor break-glass accounts. Voldoet aan CIS 1.27 L1, BIO 9.04, NIS2. Implementatie: 2 uur technisch plus 8 uur organisatorisch. Effectiviteit van 99,9 procent.
- Implementatietijd: 10 uur
- FTE required: 0.05 FTE