Herstellen na onjuiste configuratie
Configuratie-instellingen in Microsoft Entra-id kunnen van invloed zijn op elke resource in de Microsoft Entra-tenant via gerichte of tenantbrede beheeracties.
Wat is configuratie?
Configuraties zijn wijzigingen in Microsoft Entra-id die het gedrag of de mogelijkheden van een Microsoft Entra-service of -functie wijzigen. Wanneer u bijvoorbeeld een beleid voor voorwaardelijke toegang configureert, wijzigt u wie toegang heeft tot de doeltoepassingen en onder welke omstandigheden.
U moet de configuratie-items begrijpen die belangrijk zijn voor uw organisatie. De volgende configuraties hebben een grote invloed op uw beveiligingspostuur.
Tenantbrede configuraties
Externe identiteiten: beheerders voor de tenant identificeren en beheren de externe identiteiten die in de tenant kunnen worden ingericht. Ze bepalen:
- Of externe identiteiten in de tenant moeten worden toegestaan.
- Van waaruit externe domeinen kunnen worden toegevoegd.
- Of gebruikers gebruikers van andere tenants kunnen uitnodigen.
Benoemde locaties: beheerders kunnen benoemde locaties maken, die vervolgens kunnen worden gebruikt om:
- Blokkeer aanmeldingen vanaf specifieke locaties.
- Activeer beleidsregels voor voorwaardelijke toegang, zoals meervoudige verificatie.
Toegestane verificatiemethoden: beheerders stellen de verificatiemethoden in die zijn toegestaan voor de tenant.
Selfserviceopties: beheerders stellen selfserviceopties in, zoals selfservice voor wachtwoordherstel en maken Office 365-groepen op tenantniveau.
De implementatie van sommige tenantbrede configuraties kan worden beperkt, mits ze niet worden overschreven door globaal beleid. Voorbeeld:
- Als de tenant is geconfigureerd om externe identiteiten toe te staan, kan een resourcebeheerder deze identiteiten nog steeds uitsluiten van toegang tot een resource.
- Als de tenant zodanig is geconfigureerd dat persoonlijke apparaatregistratie is toegestaan, kan een resourcebeheerder deze apparaten uitsluiten van toegang tot specifieke resources.
- Als benoemde locaties zijn geconfigureerd, kan een resourcebeheerder beleidsregels configureren waarmee toegang van deze locaties wordt toegestaan of uitgesloten.
Configuraties voor voorwaardelijke toegang
Beleidsregels voor voorwaardelijke toegang zijn configuraties voor toegangsbeheer die signalen samenbrengen om beslissingen te nemen en organisatiebeleid af te dwingen.
Zie Wat is voorwaardelijke toegang in Microsoft Entra ID? voor meer informatie over beleid voor voorwaardelijke toegang.
Notitie
Hoewel de configuratie het gedrag of de mogelijkheden van een object of beleid wijzigt, zijn niet alle wijzigingen in een object configuratie. U kunt de gegevens of kenmerken wijzigen die aan een item zijn gekoppeld, zoals het wijzigen van het adres van een gebruiker, zonder dat dit van invloed is op de mogelijkheden van dat gebruikersobject.
Wat is onjuiste configuratie?
Onjuiste configuratie is een configuratie van een resource of beleid dat afwijkt van uw organisatiebeleid of -plannen en onbedoelde of ongewenste gevolgen veroorzaakt.
Een onjuiste configuratie van tenantbrede instellingen of beleidsregels voor voorwaardelijke toegang kan ernstig van invloed zijn op uw beveiliging en de openbare installatiekopieën van uw organisatie door:
Wijzigen hoe beheerders, tenantgebruikers en externe gebruikers communiceren met resources in uw tenant:
- Onnodige beperking van de toegang tot resources.
- Toegangsbeheer voor gevoelige resources losmaken.
Het wijzigen van de mogelijkheid van uw gebruikers om te communiceren met andere tenants en externe gebruikers om te communiceren met uw tenant.
Het veroorzaken van denial of service, bijvoorbeeld door klanten geen toegang te geven tot hun accounts.
Belangrijke afhankelijkheden tussen gegevens, systemen en toepassingen die leiden tot fouten in bedrijfsprocessen.
Wanneer treedt onjuiste configuratie op?
Onjuiste configuratie treedt waarschijnlijk op wanneer:
- Er wordt een fout gemaakt tijdens ad-hocwijzigingen.
- Er wordt een fout gemaakt als gevolg van probleemoplossingsoefeningen.
- Er is een actie uitgevoerd met kwaadwillende bedoelingen door een slechte actor.
Onjuiste configuratie voorkomen
Het is van cruciaal belang dat wijzigingen in de beoogde configuratie van een Microsoft Entra-tenant onderhevig zijn aan robuuste wijzigingsbeheerprocessen, waaronder:
- Documenteer de wijziging, inclusief de vorige status en de beoogde status na wijziging.
- Het gebruik van Privileged Identity Management (PIM) om ervoor te zorgen dat beheerders met de bedoeling om te wijzigen hun bevoegdheden opzettelijk moeten escaleren. Zie Wat is Privileged Identity Management? voor meer informatie over PIM.
- Het gebruik van een sterke goedkeuringswerkstroom voor wijzigingen, bijvoorbeeld het vereisen van goedkeuring van PIM-escalatie van bevoegdheden.
Controleren op configuratiewijzigingen
Hoewel u onjuiste configuratie wilt voorkomen, kunt u de balk voor wijzigingen niet zo hoog instellen dat dit van invloed is op de mogelijkheid van beheerders om hun werk efficiënt uit te voeren.
Controleer de configuratiewijzigingen nauwkeurig door te kijken naar de volgende bewerkingen in uw Microsoft Entra-auditlogboek:
- Toevoegen
- Maken
- Bijwerken
- Instellen
- Delete
De volgende tabel bevat informatieve vermeldingen in het auditlogboek waarnaar u kunt zoeken.
Configuratiewijzigingen voor voorwaardelijke toegang en verificatiemethode
Beleid voor voorwaardelijke toegang wordt gemaakt op de pagina Voorwaardelijke toegang in Azure Portal. Wijzigingen in beleidsregels worden aangebracht op de pagina met beleidsdetails voor voorwaardelijke toegang voor het beleid.
| Servicefilter | Activiteiten | Mogelijke gevolgen |
|---|---|---|
| Voorwaardelijke toegang | Beleid voor voorwaardelijke toegang toevoegen, bijwerken of verwijderen | Gebruikerstoegang wordt verleend of geblokkeerd wanneer dit niet het geval mag zijn. |
| Voorwaardelijke toegang | Benoemde locatie toevoegen, bijwerken of verwijderen | Netwerklocaties die door het beleid voor voorwaardelijke toegang worden gebruikt, zijn niet geconfigureerd zoals bedoeld, waardoor hiaten ontstaan in beleidsvoorwaarden voor voorwaardelijke toegang. |
| Verificatiemethode | Beleid voor verificatiemethoden bijwerken | Gebruikers kunnen zwakkere verificatiemethoden gebruiken of worden geblokkeerd voor een methode die ze moeten gebruiken. |
Configuratiewijzigingen voor gebruikers en wachtwoorden opnieuw instellen
Wijzigingen in gebruikersinstellingen worden aangebracht op de pagina Gebruikersinstellingen in Azure Portal. Wijzigingen in het opnieuw instellen van wachtwoorden worden aangebracht op de pagina Wachtwoord opnieuw instellen . Wijzigingen die op deze pagina's zijn aangebracht, worden vastgelegd in het auditlogboek, zoals beschreven in de volgende tabel.
| Servicefilter | Activiteiten | Mogelijke gevolgen |
|---|---|---|
| Hoofddirectory | Bedrijfsinstellingen bijwerken | Gebruikers kunnen toepassingen mogelijk wel of niet registreren, in tegenstelling tot intentie. |
| Hoofddirectory | Bedrijfsgegevens instellen | Gebruikers hebben al dan niet toegang tot de Microsoft Entra-beheerportal, in tegenstelling tot de intentie. Aanmeldingspagina's vertegenwoordigen het bedrijfsmerk niet, met mogelijke schade aan reputatie. |
| Hoofddirectory | Activiteit: Bijgewerkte service-principal Doel: 0365 LinkedIn-verbinding |
Gebruikers kunnen hun Microsoft Entra-account al dan niet verbinden met LinkedIn, in tegenstelling tot de intentie. |
| Groepsbeheer via selfservice | De functiewaarde MyApps bijwerken | Gebruikers kunnen gebruikersfuncties al dan niet gebruiken, in tegenstelling tot intentie. |
| Groepsbeheer via selfservice | Functiewaarde ConvergedUXV2 bijwerken | Gebruikers kunnen gebruikersfuncties al dan niet gebruiken, in tegenstelling tot intentie. |
| Groepsbeheer via selfservice | Functiewaarde MyStaff bijwerken | Gebruikers kunnen gebruikersfuncties al dan niet gebruiken, in tegenstelling tot intentie. |
| Hoofddirectory | Activiteit: Service-principal bijwerken Doel: Microsoft-service voor wachtwoordherstel |
Gebruikers kunnen hun wachtwoord niet opnieuw instellen, in tegenstelling tot de intentie. Gebruikers zijn vereist of niet vereist om zich te registreren voor selfservice voor wachtwoordherstel, in tegenstelling tot de intentie. Gebruikers kunnen hun wachtwoord opnieuw instellen met behulp van methoden die niet zijn goedgekeurd, bijvoorbeeld door beveiligingsvragen te gebruiken. |
Configuratiewijzigingen voor externe identiteiten
U kunt wijzigingen aanbrengen in deze instellingen op de pagina's Externe identiteiten of instellingen voor externe samenwerking in Azure Portal.
| Servicefilter | Activiteiten | Mogelijke gevolgen |
|---|---|---|
| Hoofddirectory | Een partner toevoegen, bijwerken of verwijderen om toegangsinstelling voor meerdere tenants toe te voegen, bij te werken of te verwijderen | Gebruikers hebben uitgaande toegang tot tenants die moeten worden geblokkeerd. Gebruikers van externe tenants die moeten worden geblokkeerd, hebben binnenkomende toegang. |
| B2C | Id-provider maken of verwijderen | Id-providers voor gebruikers die moeten kunnen samenwerken ontbreken, waardoor de toegang voor die gebruikers wordt geblokkeerd. |
| Hoofddirectory | Mapfunctie voor tenant instellen | Externe gebruikers hebben meer of minder zichtbaarheid van mapobjecten dan bedoeld. Externe gebruikers kunnen al dan niet andere externe gebruikers uitnodigen voor uw tenant, in tegenstelling tot de intentie. |
| Hoofddirectory | Federatie-instellingen voor domein instellen | Externe gebruikersuitnodigingen worden mogelijk of niet verzonden naar gebruikers in andere tenants, in tegenstelling tot de intentie. |
| AuthorizationPolicy | Autorisatiebeleid bijwerken | Externe gebruikersuitnodigingen worden mogelijk of niet verzonden naar gebruikers in andere tenants, in tegenstelling tot de intentie. |
| Hoofddirectory | Updatebeleid | Externe gebruikersuitnodigingen worden mogelijk of niet verzonden naar gebruikers in andere tenants, in tegenstelling tot de intentie. |
Configuratiewijzigingen voor aangepaste rollen en mobiliteitsdefinities
| Servicefilter | Activiteiten/portal | Mogelijke gevolgen |
|---|---|---|
| Hoofddirectory | Roldefinitie toevoegen | Aangepast rolbereik is smaller of breder dan bedoeld. |
| PIM | Rolinstelling bijwerken | Aangepast rolbereik is smaller of breder dan bedoeld. |
| Hoofddirectory | Roldefinitie bijwerken | Aangepast rolbereik is smaller of breder dan bedoeld. |
| Hoofddirectory | Roldefinitie verwijderen | Aangepaste rollen ontbreken. |
| Hoofddirectory | Gedelegeerde machtigingstoestemming toevoegen | De configuratie van het beheer van mobiele apparaten of het beheer van mobiele toepassingen ontbreekt of is onjuist geconfigureerd, wat leidt tot het mislukken van apparaat- of toepassingsbeheer. |
Detailweergave auditlogboek
Als u enkele controlevermeldingen in het auditlogboek selecteert, krijgt u meer informatie over de oude en nieuwe configuratiewaarden. Voor configuratiewijzigingen voor beleid voor voorwaardelijke toegang ziet u bijvoorbeeld de informatie in de volgende schermopname.
Werkmappen gebruiken om wijzigingen bij te houden
Met Azure Monitor-werkmappen kunt u configuratiewijzigingen controleren.
De werkmap Gevoelige bewerkingen kan helpen bij het identificeren van verdachte toepassings- en service-principalactiviteit die kan duiden op een inbreuk, waaronder:
- Toepassings- of service-principalreferenties of verificatiemethoden gewijzigd.
- Nieuwe machtigingen die zijn verleend aan service-principals.
- Updates voor directory-rollen en groepslidmaatschappen voor service-principals.
- Federatie-instellingen gewijzigd.
Met de werkmap toegangsactiviteiten voor meerdere tenants kunt u controleren welke toepassingen in externe tenants uw gebruikers openen en welke toepassingen uw externe tenantgebruikers openen. Gebruik deze werkmap om te zoeken naar afwijkende wijzigingen in binnenkomende of uitgaande toepassingstoegang tussen tenants.