BIO 14.02.01 ISO A.9.4.2

Azure AD Website SSO Discovery Uitgeschakeld

📅 2025-10-30
⏱️ 7 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het uitschakelen van Azure AD Website SSO voorkomt dat Microsoft Edge automatisch Azure AD-accounts detecteert en gebruikt voor single sign-on op websites. Door deze functionaliteit uit te schakelen wordt de privacy verbeterd en behouden organisaties volledige controle over het authenticatieproces op websites.

Aanbeveling
CONSIDER
Risico zonder
Medium
Risk Score
4/10
Implementatie
4u (tech: 2u)
Van toepassing op:
Edge
Azure AD
Entra ID

De functie AADWebSiteSSOUsingThisProfileEnabled in Microsoft Edge maakt automatisch single sign-on mogelijk met Azure AD-accounts op websites die Azure AD-integratie ondersteunen. Hoewel dit gemak biedt voor gebruikers, introduceert deze functie meerdere privacy- en beveiligingsrisico's voor zakelijke omgevingen. Het grootste privacyrisico betreft de automatische accountdetectie. Edge detecteert automatisch Azure AD-accounts op het apparaat en gebruikt deze voor single sign-on zonder expliciete toestemming van de gebruiker per website. Dit creëert privacyzorgen omdat gebruikers niet weten welke websites toegang krijgen tot hun identiteitsinformatie. Websites kunnen bovendien Azure AD-profielinformatie correleren met browsergedrag, waardoor cross-site tracking mogelijk wordt gemaakt. Websites die Azure AD-integratie implementeren, kunnen op deze manier gebruikersvolgen over verschillende websites heen, wat de privacy verder aantast. Een ander kritiek punt is de bypass van gebruikerstoestemming. Traditionele OAuth-flows vereisen expliciete gebruikerstoestemming door middel van een toestemmingsscherm waarin de gebruiker wordt gevraagd of de applicatie toegang mag krijgen tot persoonlijke informatie. Deze Edge-functie kan echter single sign-on uitvoeren zonder deze expliciete toestemmingsstap, waardoor gebruikers minder controle hebben over welke websites toegang krijgen tot hun bedrijfsidentiteit. Daarnaast krijgen websites mogelijk toegang tot bedrijfs-e-mail, weergavenaam en andere profielattributen zonder dat gebruikers zich bewust zijn van deze gegevensuitwisseling. Dit vormt een risico voor informatielekken, vooral wanneer medewerkers websites bezoeken die ze niet volledig vertrouwen. In multi-tenantomgevingen kan Edge per ongeluk de verkeerde tenant-referenties gebruiken, wat verwarring en potentiële beveiligingsproblemen veroorzaakt. Tot slot maakt automatische single sign-on het moeilijker om te traceren welke websites toegang hebben gekregen tot Azure AD-identiteiten, wat compliance-monitoring compliceert en de audit trail minder betrouwbaar maakt. Een praktijkscenario illustreert deze privacyrisico's: een gebruiker surft naar een SaaS-applicatie van een derde partij die Azure AD SSO ondersteunt. Edge authenticeert de gebruiker automatisch met bedrijfsreferenties zonder een expliciete machtigingsprompt te tonen. De SaaS-applicatie krijgt toegang tot bedrijfs-e-mail en profielinformatie, terwijl de gebruiker zich niet bewust is dat de bedrijfsidentiteit is gedeeld. Dit kan leiden tot privacyschendingen en potentiële gegevenslekken naar derde partijen. Voor zakelijke omgevingen met strikte privacyvereisten is het raadzaam om single sign-on te beheren via expliciete Conditional Access-beleidsregels en beheerde browserscenario's in plaats van automatische browsergebaseerde single sign-on.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze beveiligingscontrole configureert de Edge-beleidsregel AADWebSiteSSOUsingThisProfileEnabled en schakelt deze uit door de waarde op 0 (uitgeschakeld) te zetten. De configuratie gebeurt via de registerinstelling HKLM:\SOFTWARE\Policies\Microsoft\Edge\AADWebSiteSSOUsingThisProfileEnabled met waarde 0 (DWORD). Wanneer dit beleid is uitgeschakeld, zal Edge niet automatisch Azure AD-referenties gebruiken voor websiteauthenticatie. Gebruikers moeten expliciet inloggen op websites via een omleiding naar de Azure AD-aanmeldpagina. De traditionele OAuth-toestemmingsflow blijft actief, waardoor gebruikers het bekende toestemmingsscherm zien met de vraag of de app toegang mag krijgen. IT-afdelingen kunnen single sign-on beheren via Conditional Access-beleidsregels, wat meer controle en audit zichtbaarheid biedt. Azure AD-aanmeldingslogboeken blijven volledig traceerbaar per applicatie, wat compliance en monitoring verbetert. Een belangrijk onderscheid is dat het uitschakelen van automatische browsergebaseerde single sign-on geen invloed heeft op beheerde applicaties via Azure AD App Proxy, expliciete Azure AD-authenticatieflows waarbij gebruikers op 'Aanmelden met Microsoft' klikken, Conditional Access-beleidsregels die actief blijven, en authenticatie van Azure AD-gekoppelde apparaten waarbij apparaatniveau single sign-on blijft werken. Wanneer de functie wel is ingeschakeld, gebruikt Edge profielreferenties voor automatische single sign-on, wat zorgt voor een naadloze gebruikerservaring zonder extra aanmeldprompts. Het nadeel is echter dat er minder privacybescherming is en minder controle over het delen van gegevens. De zakelijke aanbeveling is om deze functie uit te schakelen en single sign-on te beheren via Conditional Access-beleidsregels voor goedgekeurde applicaties, Azure AD Application Proxy voor interne apps, Intune MAM-beleidsregels voor mobiele scenario's, en expliciete gebruikersauthenticatieflows met volledige auditlogging.

Vereisten

Voor het implementeren van deze beveiligingscontrole zijn verschillende technische en organisatorische vereisten van toepassing. Op technisch gebied is het essentieel dat alle apparaten Microsoft Edge browser versie 85 of hoger gebruiken, omdat deze functionaliteit pas in deze versie werd geïntroduceerd en de bijbehorende beleidsregel ondersteuning vereist. Organisaties moeten ervoor zorgen dat alle werkstations waarop deze controle wordt toegepast Windows 10 of Windows 11 gebruiken, of Windows Server 2019 of nieuwer in het geval van serveromgevingen. Deze besturingssysteemvereisten zijn noodzakelijk omdat de register- en groepsbeleidsregelondersteuning voor moderne Edge-beleidsregels volledige integratie met het besturingssysteem vereist. Voor de implementatie zelf zijn administrator-rechten vereist, aangezien de configuratie plaatsvindt via groepsbeleid of Microsoft Intune, wat beide beheerdersniveau vereist. Organisaties die cloudgebaseerd beheer gebruiken, moeten over een actief Microsoft Intune-abonnement beschikken, terwijl organisaties met on-premises Active Directory-omgevingen groepsbeleidsondersteuning nodig hebben en de nieuwste Edge ADMX-sjablonen moeten hebben geïnstalleerd.

Naast de technische vereisten is een grondige beoordeling van huidige single sign-on gebruikspatronen essentieel. IT-afdelingen moeten inzicht hebben in welke applicaties en websites medewerkers regelmatig bezoeken en welke van deze applicaties Azure AD single sign-on ondersteunen. Deze inventarisatie helpt bij het identificeren van potentiële impact op gebruikerswerkflows en stelt organisaties in staat om proactief alternatieve authenticatiemethoden te configureren via Conditional Access-beleidsregels. Zonder deze voorbereiding bestaat het risico dat gebruikers onverwacht worden geconfronteerd met extra aanmeldstappen op kritieke bedrijfsapplicaties, wat productiviteitsverlies en gebruikersontevredenheid kan veroorzaken.

Een ander kritiek vereiste betreft de communicatiestrategie met gebruikers. Organisaties moeten gebruikers informeren over de wijziging in het authenticatiegedrag, zodat zij begrijpen waarom zij mogelijk expliciet moeten inloggen op websites die voorheen automatische single sign-on ondersteunden. Transparante communicatie voorkomt verwarring en helpt gebruikers te begrijpen dat deze wijziging deel uitmaakt van de privacy- en beveiligingsstrategie van de organisatie. Gebruikers moeten ook worden geïnformeerd over hoe zij kunnen herkennen wanneer een website legitieme Azure AD-authenticatie vraagt versus mogelijk frauduleuze aanmeldprompts.

Tot slot vereist deze controle dat organisaties een alternatieve single sign-on strategie hebben geconfigureerd via Conditional Access-beleidsregels voor goedgekeurde applicaties. Dit is essentieel om te voorkomen dat gebruikersproductiviteit wordt beïnvloed door het uitschakelen van automatische browsergebaseerde single sign-on. IT-afdelingen moeten Conditional Access-beleidsregels configureren die naadloze single sign-on mogelijk maken voor vertrouwde en goedgekeurde bedrijfsapplicaties, terwijl ze tegelijkertijd de controle behouden over welke applicaties toegang krijgen tot bedrijfsidentiteiten. Deze gecontroleerde aanpak combineert gebruikersgemak met privacybescherming en compliance.

Implementatie

De implementatie van deze beveiligingscontrole kan op twee verschillende manieren worden uitgevoerd, afhankelijk van de beheerstructuur van de organisatie. Voor cloudgebaseerde organisaties met Microsoft Intune als primair beheermiddel is implementatie via Intune-configuratieprofielen de aanbevolen methode. Deze aanpak biedt gecentraliseerd beheer, automatische compliance-rapportage en vereenvoudigde implementatie voor apparaten die al zijn geregistreerd in Microsoft Intune. Organisaties met on-premises Active Directory-omgevingen gebruiken groepsbeleid voor de implementatie, wat zorgt voor consistente configuratie via traditionele groepsbeleidobjecten.

Voor Intune-implementatie starten beheerders in het Microsoft Intune-beheercentrum door naar Apparaten te navigeren en vervolgens te klikken op Configuratieprofielen. Beheerders maken een nieuw profiel aan en selecteren Platform: Windows 10 en later als doelplatform. Het profieltype wordt ingesteld op Sjablonen gevolgd door Administratieve sjablonen, wat toegang geeft tot alle beschikbare Edge-beleidsregels. In de instellingen zoeken beheerders naar Microsoft Edge en selecteren vervolgens de specifieke beleidsregel AADWebSiteSSOUsingThisProfileEnabled. Deze beleidsregel wordt geconfigureerd op Uitgeschakeld, wat overeenkomt met waarde 0 in het register. Het profiel wordt vervolgens toegewezen aan alle apparaten, of indien gewenst aan specifieke beveiligingsgroepen gebaseerd op privacyvereisten van verschillende afdelingen of gebruikersgroepen. Na implementatie kunnen beheerders compliance monitoren via Intune-rapportage, wat inzicht geeft in welke apparaten het beleid correct hebben ontvangen en toegepast.

Gebruik PowerShell-script discover-aad-disabled.ps1 (functie Invoke-Remediation) – PowerShell-script voor lokale verificatie en herstel van AAD SSO-status via register.

Voor organisaties die groepsbeleid gebruiken, is het eerste vereiste het downloaden van de nieuwste Edge ADMX-sjablonen van Microsoft. Deze sjablonen bevatten alle beschikbare Edge-beleidsregels en moeten worden geïnstalleerd op de groepsbeleidbeheerserver of in het centrale opslaggebied voor groepsbeleidssjablonen. De msedge.admx-bestand wordt gekopieerd naar C:\Windows\PolicyDefinitions of naar het gedeelde netwerkpad \\domeinnaam\SYSVOL\domeinnaam\Policies\PolicyDefinitions. Het bijbehorende taalbestand msedge.adml wordt gekopieerd naar de juiste taalmap, bijvoorbeeld C:\Windows\PolicyDefinitions\nl-NL voor Nederlandse taalondersteuning. In de Groepsbeleidsbeheerconsole bewerken beheerders het gewenste groepsbeleidobject en navigeren naar Computerconfiguratie, gevolgd door Administratieve sjablonen en Microsoft Edge. De beleidsregel met de naam 'Azure AD-aanmelding voor websites met dit profiel inschakelen' wordt gevonden en ingesteld op Uitgeschakeld. Het groepsbeleidobject wordt gekoppeld aan de juiste organisatie-eenheden en na implementatie wordt op apparaten gpupdate /force uitgevoerd om het beleid onmiddellijk te activeren.

Na implementatie via beide methoden is verificatie essentieel om te bevestigen dat het beleid correct wordt toegepast. Gebruikers kunnen handmatig verifiëren door Edge te openen en naar edge://policy te navigeren. In deze interne beleidspagina zoeken gebruikers naar 'AADWebSiteSSOUsingThisProfileEnabled' en controleren de status. Het beleid zou moeten tonen dat het is toegepast met de waarde false, of indien het beleid niet aanwezig is, is de standaardinstelling uitgeschakeld. Voor functionele verificatie bladeren gebruikers naar een Azure AD-geïntegreerde website zoals office.com. Het verwachte gedrag is dat gebruikers expliciet moeten inloggen via de Azure AD-aanmeldpagina, zonder automatische single sign-on. Als gebruikers automatisch worden aangemeld zonder tussenkomst, is het beleid mogelijk niet correct toegepast of actief.

Een gefaseerde implementatiestrategie is cruciaal voor succesvolle implementatie zonder bedrijfsverstoring. Fase één omvat implementatie naar een IT- en beveiligingspilotgroep, waarbij wordt geverifieerd dat er geen bedrijfsverstoring optreedt en dat gebruikers de nieuwe authenticatieflow accepteren. Fase twee breidt de pilot uit naar een bredere groep met representatieve gebruikers van verschillende afdelingen, wat helpt bij het identificeren van departementsspecifieke uitdagingen of applicatieafhankelijkheden. Fase drie bestaat uit het monitoren van gebruikersfeedback en het bijhouden van single sign-on gerelateerde helpdesktickets, wat inzicht geeft in potentiële problemen of gebruikersfrustraties. Fase vier betreft het aanpassen van Conditional Access-beleidsregels indien nodig om naadloze toegang tot goedgekeurde applicaties te garanderen, waarbij gebruikerservaring en beveiliging in balans worden gebracht. Fase vijf markeert de volledige productierollout na een succesvolle pilotfase, waarbij alle geleerde lessen en aanpassingen zijn geïmplementeerd voordat de controle wordt uitgerold naar de gehele organisatie.

Monitoring

Gebruik PowerShell-script discover-aad-disabled.ps1 (functie Invoke-Monitoring) – Beheert AADWebSiteSSOUsingThisProfileEnabled status via registercontrole.

Continue monitoring is essentieel om te verzekeren dat deze beveiligingscontrole effectief blijft en om potentiële problemen vroegtijdig te identificeren. Voor organisaties die Microsoft Intune gebruiken, biedt het Edge-beleid compliance-rapportagedashboard gedetailleerd inzicht in welke apparaten het beleid hebben ontvangen en correct hebben toegepast. Beheerders kunnen via dit dashboard compliancepercentages per apparaat of gebruikersgroep bekijken, waardoor snel kan worden geïdentificeerd waar aanvullende actie vereist is. Het dashboard toont ook wanneer beleidsregels voor het laatst zijn gesynchroniseerd en of er fouten zijn opgetreden tijdens de beleidstoepassing, wat helpt bij het oplossen van implementatieproblemen.

Voor organisaties die groepsbeleid gebruiken, kunnen beheerders de groepsbeleidsresultaten controleren via de gpresult-command met de parameter /h om een HTML-rapport te genereren. Dit rapport toont alle toegepaste groepsbeleidobjecten en hun instellingen, waardoor beheerders kunnen verifiëren dat het Edge-beleid correct is toegepast. Het rapport toont ook eventuele conflicterende beleidsregels of groepsbeleidsobjecten die mogelijk de gewenste configuratie overschrijven, wat cruciaal is voor effectief beleidsbeheer in complexe Active Directory-omgevingen.

Azure AD-aanmeldingslogboeken bieden waardevolle inzichten in authenticatiegedrag en kunnen worden gebruikt om te verifiëren dat gebruikers inderdaad expliciete authenticatieflows doorlopen in plaats van automatische single sign-on. Beheerders moeten monitoren op traditionele OAuth-flows waarbij gebruikers expliciete toestemming geven, wat zichtbaar is in de aanmeldingslogboeken door de aanwezigheid van toestemmingsschermen. Als automatische single sign-on wordt gedetecteerd in de logboeken zonder toestemmingsscreens, kan dit wijzen op niet-naleving van het beleid of onjuiste configuratie. Daarnaast bieden Azure AD-auditlogboeken inzicht in applicatietoegangspatronen, waardoor organisaties kunnen identificeren welke applicaties gebruikers proberen te gebruiken en of deze correct zijn geconfigureerd in Conditional Access-beleidsregels.

Gebruikersfeedback vormt een belangrijke indicator voor de effectiviteit en gebruikerservaring van deze controle. Helpdesktickets gerelateerd aan problemen met het automatisch aanmelden op websites kunnen wijzen op gebruikersfrustraties of onbegrip over de nieuwe authenticatieflow. Deze tickets moeten worden geanalyseerd om te bepalen of ze wijzen op echte technische problemen, gebruikersonduidelijkheid, of juist bevestigen dat gebruikers zich bewust zijn van de wijziging en deze accepteren. Securitymonitoring via Azure AD-auditlogboeken helpt bij het identificeren van verdachte toegangspatronen of pogingen om toegang te krijgen tot applicaties die niet goedgekeurd zijn, wat kan wijzen op beveiligingsincidenten of pogingen tot ongeautoriseerde toegang.

Belangrijke metrieken die moeten worden bijgehouden omvatten het beleidscompliancepercentage, met een streefdoel van 100 procent compliant apparaten. Dit percentage geeft direct inzicht in de effectiviteit van de implementatie en helpt bij het identificeren van apparaten die mogelijk aanvullende configuratie of troubleshooting vereisen. Helpdesktickets gerelateerd aan single sign-on-problemen zouden minimaal moeten zijn als Conditional Access-beleidsregels correct zijn geconfigureerd voor goedgekeurde applicaties, omdat gebruikers dan naadloze toegang behouden tot vertrouwde bedrijfsapplicaties. De Azure AD-aanmeldingsslagingspercentage zou hoog moeten blijven, omdat gebruikers zich aanpassen aan expliciete aanmelding en Conditional Access-beleidsregels naadloze toegang blijven bieden voor goedgekeurde applicaties. Gebruikerstevredenheid kan worden gemeten via periodieke enquêtes over de authenticatie-ervaring, waarbij wordt gevraagd naar gebruikersgemak, duidelijkheid van authenticatieprompts en algemene tevredenheid met de beveiligingsmaatregelen. Daarnaast moeten organisaties de adoptie monitoren van voorwaardelijke toegang-beheerde single sign-on als voorkeursmethode, omdat dit aangeeft dat gebruikers en IT-afdelingen succesvol zijn overgestapt van automatische browsergebaseerde single sign-on naar een meer gecontroleerde aanpak. Kwartaalreviews helpen bij het beoordelen of het uitschakelen van automatische single sign-on heeft geleid tot gebruikerservaringsproblemen of beveiligingsverbeteringen, wat input geeft voor toekomstige aanpassingen of strategiebeslissingen.

Remediatie

Wanneer Azure AD single sign-on wordt gevonden in ingeschakelde staat, wat betekent dat apparaten niet-naleving vertonen, is onmiddellijke remediatie vereist om de beveiligingscontrole te herstellen. De eerste stap in het remediatieproces is verificatie van de beleidstoewijzing. Beheerders moeten controleren of Intune-configuratieprofielen of groepsbeleidobjecten correct zijn toegewezen aan de juiste apparaten of gebruikersgroepen. In Intune kunnen beheerders het compliance-rapportagedashboard raadplegen om te zien welke apparaten het beleid hebben ontvangen en welke apparaten mogelijk buiten de toewijzingsscope vallen. Voor groepsbeleidobjecten moeten beheerders verifiëren dat de objecten correct zijn gekoppeld aan de juiste organisatie-eenheden en dat er geen conflicterende groepsbeleidobjecten zijn die het beleid mogelijk overschrijven.

Gebruik PowerShell-script discover-aad-disabled.ps1 (functie Invoke-Remediation) – Automatisch uitschakelen van AAD SSO via registerwijziging.

Als de beleidstoewijzing correct blijkt te zijn maar het beleid niet wordt toegepast, is het forceren van een beleidsverversing vaak de oplossing. Voor Intune-apparaten kunnen beheerders via het Microsoft Intune-beheercentrum een apparaatsync forceren, waardoor het apparaat onmiddellijk het nieuwste beleid ophaalt. Gebruikers kunnen ook handmatig een apparaatsync activeren via Instellingen op Windows-apparaten door naar Accounts en Access work or school te navigeren en vervolgens op Synchroniseren te klikken. Voor apparaten die groepsbeleid gebruiken, kunnen beheerders via een verhoogde PowerShell of opdrachtprompt gpupdate /force uitvoeren, wat het apparaat dwingt om alle groepsbeleidobjecten opnieuw te evalueren en toe te passen, inclusief het Edge-beleid.

In gevallen waarin beleidsverversing niet effectief is of voor apparaten die direct remediatie vereisen zonder te wachten op beleidssynchronisatie, kan handmatige remediatie worden uitgevoerd via registerwijziging. Beheerders kunnen met verhoogde rechten PowerShell gebruiken om het register direct te wijzigen met de opdracht Set-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Edge' -Name 'AADWebSiteSSOUsingThisProfileEnabled' -Value 0 -Type DWord. Deze opdracht maakt de registerinstelling direct aan of wijzigt de bestaande waarde naar 0, wat automatische single sign-on uitschakelt. Na deze wijziging moeten alle Edge-instanties worden gesloten en opnieuw worden geopend, omdat Edge de beleidsregels alleen laadt bij het starten van de browser. Het sluiten van alle Edge-instanties kan worden gedaan via Taakbeheer of door gebruikers te vragen alle Edge-vensters te sluiten voordat de browser opnieuw wordt geopend.

Na handmatige remediatie is verificatie essentieel om te bevestigen dat het beleid correct is toegepast. Gebruikers of beheerders kunnen Edge openen en naar edge://policy navigeren om te verifiëren dat het beleid nu wordt weergegeven als toegepast met de waarde false. Als het beleid nog steeds niet wordt weergegeven of als de waarde onjuist is, kan dit wijzen op conflicterende registerinstellingen, corrupte registerwaarden, of problemen met Edge-profielcache. In dergelijke gevallen kan het nodig zijn om Edge-profielgegevens te wissen of Edge volledig opnieuw te installeren om de configuratie te herstellen.

Na remediatie is gebruikerscommunicatie essentieel om gebruikers te informeren over de wijziging in authenticatiegedrag. Gebruikers moeten worden geïnformeerd dat expliciete aanmelding mogelijk nu vereist is voor sommige websites die voorheen automatische single sign-on ondersteunden. Deze communicatie helpt gebruikers te begrijpen waarom ze mogelijk extra aanmeldstappen zien en voorkomt verwarring of frustratie. Gebruikers moeten ook worden geïnformeerd over hoe ze legitieme Azure AD-aanmeldprompts kunnen herkennen versus mogelijk frauduleuze aanmeldprompts, wat helpt bij het voorkomen van phishing-aanvallen. Tot slot moeten beheerders ervoor zorgen dat Conditional Access-beleidsregels correct zijn geconfigureerd om naadloze single sign-on te bieden voor goedgekeurde applicaties, zodat gebruikersproductiviteit niet wordt beïnvloed door de wijziging in automatische browsergebaseerde single sign-on.

Compliance en Auditing

Deze beveiligingscontrole draagt substantieel bij aan naleving van diverse privacy- en beveiligingsframeworks die van toepassing zijn op Nederlandse overheidsorganisaties en zakelijke entiteiten. Op het gebied van de Algemene Verordening Gegevensbescherming (AVG), ook wel bekend als GDPR, helpt deze controle bij naleving van artikel 5, dat gegevensminimalisatie vereist. Door automatische single sign-on uit te schakelen wordt onnodige uitwisseling van identiteitsinformatie met websites voorkomen, wat overeenkomt met het AVG-principe dat organisaties alleen die persoonsgegevens mogen verzamelen en verwerken die strikt noodzakelijk zijn voor het beoogde doel. Organisaties kunnen op deze manier aantonen dat zij actief maatregelen nemen om gegevensuitwisseling te minimaliseren en alleen identificatiegegevens delen wanneer dit expliciet nodig is en met toestemming van de gebruiker.

AVG artikel 25, dat privacy by design en privacy by default vereist, wordt ondersteund door deze controle doordat gebruikers meer controle krijgen over het authenticatieproces. Privacy by design vereist dat privacybescherming is ingebouwd in systemen vanaf het ontwerp, terwijl privacy by default vereist dat standaardinstellingen de hoogste privacybescherming bieden. Door automatische single sign-on uit te schakelen als standaardinstelling, voldoen organisaties aan het privacy by default-principe en stellen zij gebruikers in staat om bewuste keuzes te maken over welke websites toegang krijgen tot hun bedrijfsidentiteit. Dit geeft gebruikers volledige controle over het authenticatieproces en stelt hen in staat om expliciet toestemming te geven voordat hun identiteitsinformatie wordt gedeeld met websites.

Voor Nederlandse overheidsorganisaties die voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) draagt deze controle bij aan naleving van BIO-norm 14.02, die beveiligingseisen stelt voor authenticatie en toegangsbeheer. Deze norm vereist dat organisaties minimale authenticatieprocedures implementeren die gebruikersbewustzijn en controle bevorderen. Door automatische authenticatie zonder gebruikersbewustzijn te minimaliseren, voldoen organisaties aan deze BIO-eis en kunnen zij aantonen dat zij passende maatregelen hebben genomen om gebruikers te beschermen tegen ongeautoriseerde toegang en identiteitsmisbruik. Dit is vooral belangrijk voor overheidsorganisaties die gevoelige informatie beheren en extra verantwoordelijkheid hebben voor de bescherming van burgergegevens.

Op het gebied van ISO 27001-standaarden voor informatiebeveiliging helpt deze controle bij naleving van beheerdoelstelling A.9.4.2, dat veilige aanmeldprocedures vereist. Deze beheerdoelstelling geeft aan dat expliciete authenticatie de voorkeur verdient boven automatische authenticatie, vooral in omgevingen waar gevoelige informatie wordt verwerkt. Door automatische single sign-on uit te schakelen en gebruikers te verplichten expliciete authenticatiestappen te doorlopen, voldoen organisaties aan deze ISO 27001-eis en kunnen zij tijdens audits aantonen dat zij passende aanmeldprocedures hebben geïmplementeerd. Daarnaast draagt deze controle bij aan naleving van ISO 27001 beheerdoelstelling A.18.1.4, dat privacy en bescherming van persoonsgegevens vereist, door gebruikers volledige controle te geven over wanneer en met welke partijen identiteitsinformatie wordt gedeeld.

Het NIST Privacy Framework, dat richtlijnen biedt voor privacybeheer in organisaties, wordt ondersteund door deze controle doordat het gebruikerscontrole over identiteitsuitwisseling biedt. Het framework benadrukt het belang van transparantie en gebruikerskeuze bij gegevensverwerking, wat overeenkomt met de aanpak van deze controle waarbij gebruikers expliciet toestemming moeten geven voordat hun identiteitsinformatie wordt gedeeld met websites. Daarnaast helpen zakelijke privacybeleidsregels, die vaak corporate standards bevatten voor gegevensuitwisseling met derde partijen, bij de ondersteuning van deze controle. Veel organisaties hebben interne beleidsregels die vereisen dat gegevensuitwisseling met externe partijen wordt gecontroleerd en dat gebruikers zich bewust zijn van wanneer hun gegevens worden gedeeld. Deze controle helpt bij het implementeren van dergelijke beleidsregels door gebruikers transparantie en controle te bieden over identiteitsuitwisseling met externe websites.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Discover AAD Disabled .DESCRIPTION CIS - AAD account discovery moet disabled (privacy). .NOTES Filename: discover-aad-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\AADWebSiteSSOUsingThisProfileEnabled|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "AADWebSiteSSOUsingThisProfileEnabled"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "discover-aad-disabled.ps1"; PolicyName = "AAD Discover Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default config"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "AAD SSO disabled" }else { $r.Details += "AAD SSO enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "AAD discover disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Gemiddeld privacyrisico: automatische Azure AD single sign-on zonder expliciete gebruikerstoestemming kan leiden tot onbedoelde identiteitsuitwisseling naar websites van derde partijen, verminderd gebruikersbewustzijn over welke websites de bedrijfsidentiteit gebruiken, nalevingszorgen met privacyvoorschriften zoals AVG-gegevensminimalisatie, en potentiële verwarring bij cross-tenant authenticatie. De impact is vooral hoog voor organisaties met strikte privacyvereisten, multi-tenantomgevingen, of industrieën die werken met gevoelige gegevens.

Management Samenvatting

Schakel Azure AD Website SSO-ontdekking uit in Edge om privacy te verbeteren en controle over het authenticatieproces te behouden. Gebruikers moeten expliciet inloggen op websites via OAuth-flow, maar hebben meer controle en bewustzijn. Beheer single sign-on via Conditional Access-beleidsregels voor goedgekeurde applicaties. Voldoet aan AVG-gegevensminimalisatie, BIO 14.02, ISO 27001 A.18.1.4. Implementatie: 2-4 uur inclusief pilottest. Aanbevolen voor organisaties die privacybewust zijn.