💼 Management Samenvatting
Het afdwingen dat gebruikers hun MFA-contactgegevens periodiek herbevestigen is een cruciale verdedigingslaag binnen de Nederlandse Baseline voor Veilige Cloud, omdat het verouderde telefoonnummers, persoonlijke e-mailadressen en authenticator-apps tijdig opspoort en daarmee aanmeldprocessen betrouwbaar houdt.
Aanbeveling
Activeer en handhaaf de periodieke herbevestiging van MFA-contactgegevens zodat elke gebruiker minimaal elke 180 dagen zijn gegevens valideert en logging beschikbaar blijft voor audit en incidentrespons.
Risico zonder
Low
Risk Score
3/10
Implementatie
0.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
Wanneer organisaties deze controle overslaan, stapelen verouderde contactgegevens zich op, ontstaan blokkades tijdens noodherstel, raken servicedesks overbelast en kunnen kwaadwillenden ongemerkt profiteren van achterhaalde verificatiemethoden, wat rechtstreeks leidt tot non-compliance met BIO 09.04 en AVG artikel 32.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Binnen Azure wordt de control uitgevoerd door in Entra ID de instelling "Require users to re-confirm authentication information" te activeren, aangevuld met geautomatiseerde scripts en Intune-communicaties zodat elke gebruiker elke 180 dagen een begeleide herbevestiging ontvangt die wordt gelogd en gerapporteerd.
Vereisten
Een succesvolle configuratie van de herbevestigingsperiode begint met de juiste licenties en tenantinstellingen. Entra ID P1 is vereist omdat de functionaliteit voor het vernieuwen van MFA-methoden alleen beschikbaar is in tenants met geavanceerde identiteitsfuncties. Naast licenties moet de tenant beschikken over consistent toegepaste policies voor voorwaardelijke toegang, reserve authenticatiemethoden en uniforme naamgevingsconventies. Leg bovendien vast welke gebruikersgroepen, zoals beheerders, ketenpartners en dienstverlenende bureaus, prioriteit krijgen zodat de instellingen aansluiten bij de risicoprofielen.
Zorg dat roltoewijzing en bevoegdheden vooraf op orde zijn. Alleen globale beheerders of identity administrators mogen de instelling wijzigen, maar organiseer change control via een wijzigingsberaad waarin security officers, service managers en functioneel beheerders vertegenwoordigd zijn. Richt auditing en secure score rapportages in zodat elke wijziging automatisch wordt vastgelegd. Leg in beheerhandleidingen vast hoe lang configuraties geldig zijn, hoe rollback plaatsvindt en hoe uitzonderingen onderbouwd moeten worden.
Voor de technische implementatie is een testtenant of pilotgroep nodig waarin nieuwe instellingen minimaal één volledige authenticatiecyclus doorlopen voordat ze productie bereiken. Definieer duidelijke succescriteria: gebruikers moeten zonder verstoringen kunnen aanmelden, notificaties moeten binnen de officiële communicatiekanalen vallen en servicedeskmedewerkers moeten draaiboeken hebben voor scenario's waarin medewerkers hun oude telefoon niet meer bezitten. Maak gebruik van staged roll-out en rapportages om te bevestigen dat de aanpassingen stabiel zijn.
Naast technische randvoorwaarden vereist deze control volwassen processen voor identiteitsbeheer. Koppel de herbevestigingscyclus aan HR-processen zodat wijzigingen in mobiele nummers of vaste lijnen direct worden geverifieerd. Neem het onderwerp op in onboarding en periodieke bewustwordingscampagnes, zodat gebruikers begrijpen waarom actuele contactgegevens essentieel zijn en hoe zij zelf wijzigingen kunnen doorvoeren via MySecurityInfo. Een herkenbare communicatiestrategie voorkomt dat herbevestigingsverzoeken als phishing worden aangezien.
Voorzie de servicedesk van tooling om gebruikers te begeleiden tijdens herbevestigingen. Beschrijf welke controlevragen aan de telefoon gesteld moeten worden, hoe escalaties verlopen en welke alternatieve verificatiemethoden tijdelijk mogen worden geactiveerd. Integreer deze processen met het ITSM-platform zodat elk verzoek traceerbaar is en in rapportages kan worden meegenomen. Hiermee ontstaat een sluitende keten van licentiebeheer, technische configuratie en operationele ondersteuning.
Tot slot moeten compliance-, privacy- en risicomanagementteams inzicht hebben in de configuratie. Het aantonen dat authenticatiemiddelen periodiek gevalideerd worden ondersteunt BIO 09.04, terwijl logging en retentie-eisen afgestemd moeten worden op AVG-richtlijnen. Stel indicatoren vast, zoals het percentage gebruikers met verouderde contactgegevens, het aantal escalaties en de gemiddelde doorlooptijd voor updates. Deze meetwaarden geven bestuurders inzicht in de volwassenheid van MFA-beheer en vormen de basis voor continue verbetering.
Monitoring
Gebruik PowerShell-script reconfirm-auth-info-days.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoringsproces richt zich op het aantonen dat elke gebruiker binnen de afgesproken termijn een herbevestiging uitvoert en dat eventuele blokkades vroegtijdig zichtbaar zijn. De primaire meetlat is de verhouding tussen gebruikers met actuele gegevens en gebruikers die een waarschuwing ontvangen omdat hun termijn bijna verloopt. Door deze cijfers wekelijks op te vragen behoudt de organisatie grip op de betrouwbaarheid van MFA.
Gebruik Microsoft Graph rapportages en de sign-in logs om de output van het monitoringsscript te verrijken. Koppel de gegevens aan Azure Monitor of Log Analytics om trendlijnen te bouwen waarin zichtbaar wordt hoeveel gebruikers per afdeling herbevestigingen afronden, hoeveel meldingen de servicedesk ontvangt en welke authenticatiemethoden het vaakst worden bijgewerkt. Deze context helpt bij het onderscheiden van normale fluctuaties en echte incidenten.
Stel duidelijke drempelwaarden vast. Wanneer meer dan vijf procent van de gebruikers de deadline nadert, moet het monitoringsscript automatisch een waarschuwing versturen naar het identity-team en het ITSM-platform. Combineer dit met adaptieve meldingen: stuur gerichte e-mails en Teams-berichten naar getroffen gebruikers, log de communicatie in het ticketingsysteem en vraag om bevestiging zodra een gebruiker de herbevestiging heeft voltooid.
Naast geautomatiseerde metingen zijn steekproeven belangrijk. Laat periodiek een auditor of security-analist gebruikerslogs controleren om te bevestigen dat de geregistreerde tijdstempels overeenkomen met feitelijke aanmeldpogingen. Controleer of de promptfrequentie overeenkomt met het ingestelde aantal dagen en verifieer dat er geen differentiatie bestaat tussen interne en externe accounts, tenzij dit expliciet is gedocumenteerd en goedgekeurd.
Rapportages moeten ook inzicht geven in uitzonderingen. Documenteer waarom specifieke accounts, zoals break-glass of serviceaccounts, mogelijk niet deelnemen aan de herbevestiging en welke compensatoire maatregelen gelden. Houd bij welke locaties of netwerken afwijkingen laten zien, zodat een mogelijk fraudeonderzoek snel kan starten wanneer meerdere mislukte prompts dezelfde bron delen.
Tot slot moet monitoring aantoonbaar aansluiten op compliance. Bewaar rapportages minimaal zeven jaar, koppel ze aan de BIO-controleresultaten en gebruik ze tijdens interne audits. Door monitoring te koppelen aan risicoregisters en managementrapportages ontstaat een doorlopende verbetercyclus waarbij afwijkingen meteen leiden tot bijgestuurde instructies of aangepaste beleidsteksten.
Implementatie
Gebruik PowerShell-script reconfirm-auth-info-days.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie start met een gedegen plan waarin doelgroepen, communicatie en technische stappen worden beschreven. Breng bestaande MFA-methoden in kaart, identificeer gebruikers met meerdere telefoonnummers en bepaal of specifieke groepen, zoals leveranciers of hulpdiensten, een afwijkende frequentie nodig hebben. Leg afspraken vast in het identity-beveiligingsbeleid en koppel ze aan de governanceprocessen van de Nederlandse Baseline voor Veilige Cloud.
Gebruik het implementatiescript om de huidige instellingen uit te lezen en eventuele afwijkingen te registreren. Documenteer per tenant welke waarde is geconfigureerd, wanneer deze voor het laatst is gewijzigd en welke administrators verantwoordelijk zijn. Maak screenshots en exporteer configuratierapporten zodat je een herleidbare basislijn hebt voordat wijzigingen worden doorgevoerd. Deze basislijn is cruciaal voor rollback en audit.
Pas vervolgens de instelling in de Entra-beheerportal aan naar 180 dagen of een waarde die past bij het risicoprofiel. Combineer de configuratie met een staged deployment: begin met een representatieve pilotgroep, evalueer hun ervaring en breid daarna gecontroleerd uit. Synchroniseer wijzigingen met Intune of andere endpointmanagementsystemen die notificaties kunnen pushen naar mobiele toestellen.
Communicatie vormt een essentieel onderdeel van de implementatie. Verstrek gebruikers duidelijke instructies via intranetartikelen, e-mails en korte video's die uitleggen hoe ze hun telefoonnummer of authenticator-app controleren. Geef servicedesks een FAQ, standaardantwoorden en extra training zodat zij consistent advies geven. Stem de communicatie af met privacy- en compliance officers om te voorkomen dat gegevens buiten de afgesproken kanalen worden gedeeld.
Borg change management door elk wijzigingsverzoek te registreren, CAB-goedkeuring vast te leggen en geautomatiseerde tests in te plannen. Laat een reeks geautomatiseerde aanmeldingen draaien die controleren of gebruikers precies volgens schema een herbevestigingsprompt zien. Combineer dit met gebruikerservaring-enquêtes zodat je zowel technische als menselijke feedback verzamelt. Documenteer alle bevindingen in het identity service portfolio.
Sluit de implementatie af met een evaluatie waarin wordt vastgesteld of de control de gewenste risicoverlaging oplevert. Meet het aantal incidenten waarbij MFA faalde door verouderde gegevens, controleer of break-glass-accounts correct zijn uitgesloten en werk draaiboeken bij. Plan herbeoordelingen, bijvoorbeeld elk halfjaar, om te toetsen of de gekozen termijn van 180 dagen nog aansluit bij de dreigingsanalyse en veranderende wetgeving.
Compliance en Auditing
BIO 09.04 schrijft voor dat organisaties sterke authenticatie inzetten en periodiek toetsen of middelen nog geschikt zijn. Door gebruikers te verplichten hun contactgegevens elke 180 dagen te bevestigen toont de organisatie aan dat MFA niet alleen wordt uitgerold maar ook actief wordt onderhouden. Deze maatregel onderbouwt dat het identiteitsbeheer voldoet aan de eisen van de Baseline Informatiebeveiliging Overheid.
Documenteer per wijziging wie het besluit nam, welke risicoanalyse eraan voorafging en welke deelsystemen zijn geraakt. Leg vast hoe uitzonderingen worden goedgekeurd en hoe compensatoire maatregelen eruitzien. Bewaar configuratie-exports, screenshots van de Entra-portaalinstelling en de output van het monitoringsscript als auditbewijs. Deze artefacten maken het voor auditors eenvoudig om te bevestigen dat de control structureel werkt.
AVG artikel 32 vereist passende technische en organisatorische maatregelen voor authenticatie. Het herbevestigen van contactgegevens minimaliseert het risico dat pogingen tot wachtwoordreset of meervoudige authenticatie mislukken doordat het telefoonnummer niet meer toebehoort aan de gebruiker. Neem in privacyregisters op welke gegevens worden verwerkt, hoe lang deze worden bewaard en hoe gebruikers hun gegevens kunnen actualiseren.
Tijdens audits moet je kunnen aantonen dat meldingen binnen vierentwintig uur worden onderzocht en dat afwijkingen leiden tot concrete verbeteracties. Richt een audittrail in waaruit blijkt dat waarschuwingen vanuit monitoring leiden tot tickets, dat deze tickets zijn gekoppeld aan verantwoordelijken en dat de oplossing wordt geregistreerd. Zorg dat auditlogs minimaal zeven jaar beschikbaar blijven en dat toegang tot deze logs wordt gelimiteerd tot auditors en security officers.
Let ook op ketenafhankelijkheden. Leveranciers of samenwerkingspartners die federatieve toegang gebruiken moeten aantonen dat zij vergelijkbare controles uitvoeren. Leg deze eisen vast in verwerkersovereenkomsten en controleer ze tijdens periodieke assessments. Wanneer leveranciers hiervan afwijken, definieer je aanvullende maatregelen, zoals het inkorten van de herbevestigingstermijn of het beperken van de rechten.
Door compliance-eisen te koppelen aan concrete indicatoren, zoals het percentage gebruikers met geverifieerde contactgegevens of het aantal openstaande auditbevindingen, ontstaat een voorspelbaar sturingsmechanisme. Rapporteer deze indicatoren aan het CISO-office en neem ze op in de kwartaalrapportage over de Nederlandse Baseline voor Veilige Cloud. Zo blijft duidelijk welke verbeteringen nog nodig zijn en welk residueel risico wordt geaccepteerd.
Remediatie
Gebruik PowerShell-script reconfirm-auth-info-days.ps1 (functie Invoke-Remediation) – Herstellen.
Remediatie start zodra monitoring laat zien dat gebruikers hun gegevens niet binnen de afgesproken termijn bevestigen of wanneer incidenten aantonen dat aanmeldingen mislukken door verouderde informatie. Het doel is om de authenticatieketen onmiddellijk te herstellen zodat kritieke processen geen vertraging oplopen en gebruikers snel weer toegang hebben.
Gebruik het remediatiescript om de instelling opnieuw af te dwingen en eventuele afwijkende waarden terug te zetten naar de standaard van 180 dagen. Documenteer welke tenants zijn aangepast, welke accounts tijdelijk zijn uitgesloten en hoe lang deze uitzonderingen geldig blijven. Integreer het script met change management zodat elke actie traceerbaar is.
Parallel aan de technische correctie moet de communicatie richting gebruikers starten. Stuur gerichte berichten die uitleggen dat hun MFA-informatie moet worden bijgewerkt en biedt directe links naar het selfserviceportaal. Voor medewerkers zonder toegang tot hun oorspronkelijke apparaat wordt een fallback-proces ingericht waarbij de servicedesk identiteit controleert via secundaire registraties zoals HR-gegevens of PKI-kaarten.
Wanneer meerdere gebruikers binnen één afdeling worden geraakt, stel je een probleemrecord op en onderzoek je of er een onderliggende oorzaak is, zoals een recente migratie of een fout in Intune-profielen. Escaleer incidenten naar het CISO-team als blijkt dat kwaadwillenden misbruik hebben gemaakt van de verouderde gegevens. Leg forensische data veilig vast voor eventueel onderzoek.
Na elke remediatieperiode volgt een evaluatie. Analyseer of de monitoringdrempels tijdig in werking traden, of communicatiekanalen voldoende bereik realiseerden en of extra training nodig is. Werk draaiboeken, FAQ's en instructievideo's bij zodat toekomstige incidenten sneller worden opgelost. Documenteer verbeteracties in het risicoregister en wijs een eigenaar toe.
Tot slot wordt een lessons-learned rapport opgesteld dat gedeeld wordt met management en audit. Hierin staat welke controls goed functioneerden, welke processen vertraging opliepen en welke structurele maatregelen worden doorgevoerd, zoals het verhogen van de frequentie van herbevestigingen of het automatiseren van contactgegevens vanuit het HR-systeem. Op deze manier leidt elke remediatie direct tot een hogere volwassenheid van het identiteitsbeheerprogramma.
Compliance & Frameworks
- BIO: 09.04 - Authentication management
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Reconfirm Auth Info Days
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.44
Controleert dat authentication info reconfirmation is ingesteld.
.NOTES
Filename: reconfirm-auth-info-days.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.44
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Reconfirm Auth Info Days"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Security > Authentication methods" -ForegroundColor Gray
Write-Host " - Registration campaign settings" -ForegroundColor Gray
Write-Host " - Users asked to re-confirm auth info" -ForegroundColor Gray
Write-Host " - Recommended: elke 180 dagen" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Auth info reconfirmation" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Security > Authentication methods" -ForegroundColor Gray
Write-Host " - Registration campaign settings" -ForegroundColor Gray
Write-Host " - Users asked to re-confirm auth info" -ForegroundColor Gray
Write-Host " - Recommended: elke 180 dagen" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Auth info reconfirmation" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: Wanneer contactgegevens verouderen raken gebruikers uitgesloten tijdens noodsituaties, mislukken herstelprocedures en ontstaat aantoonbaar bewijs dat BIO 09.04 niet wordt nageleefd, wat zowel productiviteitsverlies als reputatieschade veroorzaakt.
Management Samenvatting
Configureer in Entra ID de instelling voor herbevestiging op 180 dagen, combineer dit met monitoring- en communicatiescripts en borg dat incidenten direct worden hersteld, zodat MFA-methoden actueel blijven en identiteitsbeheer aantoonbaar in lijn is met de Nederlandse Baseline voor Veilige Cloud.
- Implementatietijd: 0.5 uur
- FTE required: 0.01 FTE