Hiaten in sterke verificatiedekking voor uw beheerders zoeken en oplossen
Meervoudige verificatie (MFA) vereisen voor de beheerders in uw tenant is een van de eerste stappen die u kunt uitvoeren om de beveiliging van uw tenant te verbeteren. In dit artikel wordt beschreven hoe u ervoor kunt zorgen dat al uw beheerders worden gedekt door meervoudige verificatie.
Huidig gebruik detecteren voor ingebouwde Microsoft Entra-beheerdersrollen
De Secure Score van Microsoft Entra ID biedt een score voor MFA vereisen voor beheerdersrollen in uw tenant. Met deze verbeteringsactie wordt het MFA-gebruik van gebruikers met beheerdersrollen bijgehouden.
Er zijn verschillende manieren om te controleren of uw beheerders worden gedekt door een MFA-beleid.
Als u problemen met aanmelding voor een specifieke beheerder wilt oplossen, kunt u de aanmeldingslogboeken gebruiken. Met de aanmeldingslogboeken kunt u filteren op Verificatievereiste voor specifieke gebruikers. Een aanmelding waarbij Verificatievereisteis ingesteld op Verificatie met één factor, betekent dat er geen meervoudig verificatiebeleid is vereist voor de aanmelding.
Wanneer u de details van een specifieke aanmelding bekijkt, selecteert u het tabblad Verificatiedetails voor meer informatie over de MFA-vereisten. Zie Details van aanmeldingslogboekactiviteiten voor meer informatie.
Als u wilt kiezen welk beleid moet worden ingeschakeld op basis van uw gebruikerslicenties, hebben we een nieuwe MFA-activeringswizard waarmee u MFA-beleid kunt vergelijken en kunt zien welke stappen geschikt zijn voor uw organisatie. De wizard toont beheerders die in de afgelopen 30 dagen zijn beveiligd door MFA.
U kunt dit script uitvoeren om programmatisch een rapport te genereren van alle gebruikers met directoryroltoewijzingen die zich in de afgelopen 30 dagen met of zonder MFA hebben aangemeld. Met dit script worden alle actieve ingebouwde en aangepaste roltoewijzingen, alle in aanmerking komende ingebouwde en aangepaste roltoewijzingen en groepen met toegewezen rollen opgesomd.
Meervoudige verificatie afdwingen voor uw beheerders
Als u beheerders vindt die niet worden beveiligd door meervoudige verificatie, kunt u ze op een van de volgende manieren beveiligen:
Als uw beheerders een licentie hebben voor Microsoft Entra ID P1 of P2, kunt u een beleid voor voorwaardelijke toegang maken om MFA af te dwingen voor beheerders. U kunt dit beleid ook bijwerken om MFA te vereisen van gebruikers die een aangepaste rol hebben.
Voer de MFA-activeringswizard uit om uw MFA-beleid te kiezen.
Als u aangepaste of ingebouwde beheerdersrollen in Privileged Identity Management toewijst, moet u meervoudige verificatie vereisen bij het activeren van rollen.
Gebruik wachtwoordloze en tegen phishing bestendige verificatiemethoden voor uw beheerders
Nadat uw beheerders zijn afgedwongen voor meervoudige verificatie en deze al een tijdje gebruiken, is het tijd om de verificatiesterkte te verhogen en gebruik te maken van wachtwoordloze en phishingbestendige verificatiemethoden:
Meer informatie over deze verificatiemethoden en hun beveiligingsoverwegingen vindt u in Microsoft Entra-verificatiemethoden.
Volgende stappen
Aanmelden zonder wachtwoord inschakelen met Microsoft Authenticator