Een basislijn voor identiteits- en toegangsbeheer maken

  • 5 minuten

Identiteits- en toegangsbeheer (IAM) is essentieel voor het verlenen van toegang en het verbeteren van de beveiliging van bedrijfsactiva. Om op de cloud gebaseerde assets te beveiligen en beheren, moet u identiteit en toegang beheren voor uw Azure-beheerders, toepassingsontwikkelaars en toepassingsgebruikers.

IAM-beveiligingsaanbeveling

In de volgende secties worden de IAM-aanbevelingen beschreven die zich in CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0 bevinden. Inbegrepen bij elke aanbeveling zijn de basisstappen die u in Azure Portal moet uitvoeren. Voer deze stappen uit voor uw eigen abonnement en gebruik uw eigen resources om elke beveiligingsaanaanveling te valideren. Houd er rekening mee dat opties op niveau 2 bepaalde functies of activiteiten kunnen beperken, dus overweeg zorgvuldig welke beveiligingsopties u wilt afdwingen.

Belangrijk

U moet een beheerder zijn van het Microsoft Entra-exemplaar om een aantal van deze stappen uit te voeren.

Toegang tot de Microsoft Entra-beheerportal beperken - Niveau 1

Gebruikers die geen beheerders zijn, mogen geen toegang hebben tot de Microsoft Entra-beheerportal, omdat de gegevens gevoelig zijn en onder de regels van minimale bevoegdheid staan.

  1. Meld u aan bij het Azure-portaal. Zoek Microsoft Entra ID en selecteer deze.

  2. Selecteer Gebruikers in het linkermenu onder Beheren.

  3. Selecteer gebruikersinstellingen in het linkermenu.

  4. Controleer in gebruikersinstellingen onder Beheercentrum of De toegang tot het Microsoft Entra-beheercentrum is ingesteld op Ja. Als u deze waarde instelt op Ja , kunnen alle niet-beheerders geen toegang krijgen tot gegevens in de Microsoft Entra-beheerportal. De instelling beperkt de toegang tot het gebruik van PowerShell of een andere client, zoals Visual Studio, niet.

  5. Als u instellingen wijzigt, selecteert u Opslaan in de menubalk.

Schermopname van Azure Portal met de optie Toegang tot Microsoft Entra-beheerportal beperken ingesteld op Ja.

Meervoudige verificatie inschakelen voor Microsoft Entra-gebruikers

  • Meervoudige verificatie inschakelen voor gebruikers met uitgebreide Microsoft Entra-id - Niveau 1
  • Meervoudige verificatie inschakelen voor niet-bevoegde gebruikers van Microsoft Entra - Niveau 2

Meervoudige verificatie inschakelen voor alle Microsoft Entra-gebruikers.

  1. Meld u aan bij het Azure-portaal. Zoek Microsoft Entra ID en selecteer deze.

  2. Selecteer Gebruikers in het linkermenu onder Beheren.

  3. Selecteer in de menubalk Alle gebruikers MFA per gebruiker.

    Schermopname van de optie voor meervoudige verificatie in het deelvenster Microsoft Entra van Azure Portal.

  4. Schakel in het venster Meervoudige verificatie per gebruiker het selectievakje in voor alle gebruikers en selecteer Vervolgens MFA inschakelen.

    Schermopname van het inschakelen van meervoudige verificatie voor een gebruiker met behulp van de koppeling snelle stappen.

Onthoud niet meer meervoudige verificatie op vertrouwde apparaten - Niveau 2

Het onthouden van de functie voor meervoudige verificatie voor apparaten en browsers die door de gebruiker worden vertrouwd, is een gratis functie voor alle gebruikers met meervoudige verificatie. Gebruikers kunnen de volgende verificaties gedurende een opgegeven aantal dagen na het aanmelden bij een apparaat overslaan met behulp van meervoudige verificatie.

Als een account of apparaat is aangetast, kan het onthouden van meervoudige verificatie voor vertrouwde apparaten de beveiliging negatief beïnvloeden. Een beveiligingsaanaanbieding is het uitschakelen van meervoudige verificatie voor vertrouwde apparaten.

  1. Meld u aan bij het Azure-portaal. Zoek Microsoft Entra ID en selecteer deze.

  2. Selecteer Gebruikers in het linkermenu onder Beheren.

  3. Selecteer in de menubalk Alle gebruikers MFA per gebruiker.

  4. Selecteer een gebruiker in het venster Meervoudige verificatie per gebruiker. Selecteer de knop MFA-instellingen van gebruiker.

    Schermopname van het venster Multifactor Authentication-gebruikers van Microsoft Entra en de koppeling gebruikersinstellingen beheren.

  5. Schakel het selectievakje Meervoudige verificatie herstellen op alle onthouden apparaten in en selecteer Opslaan.

    Schermopname van de optie Meervoudige verificatie herstellen op alle onthouden apparaten geselecteerd.

Zorg ervoor dat gastgebruikers regelmatig worden beoordeeld - Niveau 1

Zorg ervoor dat er geen gastgebruikers bestaan, of als het bedrijf gastgebruikers vereist, ervoor zorgen dat gastmachtigingen beperkt zijn.

  1. Meld u aan bij het Azure-portaal. Zoek Microsoft Entra ID en selecteer deze.

  2. Selecteer Gebruikers in het linkermenu onder Beheren.

  3. Selecteer de knop Filters toevoegen.

  4. Selecteer voor Filters het type Gebruiker. Selecteer Voor Waarde de optie Gast. Selecteer Toepassen om te controleren of er geen gastgebruikers bestaan.

    Schermopname van Azure Portal met het filteren van Microsoft Entra-id's voor gastgebruikers.

  5. Als u instellingen wijzigt, selecteert u Opslaan in de menubalk.

Wachtwoordopties

  • Gebruikers waarschuwen bij opnieuw instellen van wachtwoord - Niveau 1
  • Alle beheerders waarschuwen wanneer andere beheerders wachtwoorden opnieuw instellen - Niveau 2
  • Twee methoden vereisen om wachtwoorden opnieuw in te stellen - Niveau 1

Met meervoudige verificatieset moet een aanvaller beide identiteitsverificatieformulieren in gevaar komen voordat ze het wachtwoord van een gebruiker kwaadwillend opnieuw kunnen instellen. Zorg ervoor dat wachtwoordherstel twee vormen van identiteitsverificatie vereist.

  1. Meld u aan bij het Azure-portaal. Zoek Microsoft Entra ID en selecteer deze.

  2. Selecteer in het linkermenu onder Beheren de optie Wachtwoord opnieuw instellen.

  3. Selecteer verificatiemethoden in het linkermenu onder Beheren.

  4. Stel Het aantal methoden dat is vereist om het wachtwoord opnieuw in te stellen in op 2.

  5. Als u instellingen wijzigt, selecteert u Opslaan in de menubalk.

Schermopname van Azure Portal waarin het deelvenster Verificatiemethoden voor wachtwoordherstel van Microsoft Entra wordt weergegeven met het aantal methoden dat is vereist voor het opnieuw instellen van de waarde 2.

Een interval instellen voor het opnieuw bevestigen van gebruikersverificatiemethoden - Niveau 1

Als verificatie opnieuw bevestigen is uitgeschakeld, wordt geregistreerde gebruikers niet gevraagd hun verificatiegegevens opnieuw te bevestigen. De veiligere optie is het opnieuw bevestigen van verificatie in te schakelen voor een bepaald interval.

  1. Meld u aan bij het Azure-portaal. Zoek Microsoft Entra ID en selecteer deze.

  2. Selecteer in het linkermenu onder Beheren de optie Wachtwoord opnieuw instellen.

  3. Selecteer Registratie in het linkermenu onder Beheren.

  4. Zorg ervoor dat het aantal dagen voordat gebruikers wordt gevraagd om hun verificatiegegevens opnieuw te bevestigen, niet is ingesteld op 0. De standaardwaarde is 180 dagen.

  5. Als u instellingen wijzigt, selecteert u Opslaan in de menubalk.

Schermopname van Azure Portal met het formulier voor het aantal dagen om verificatiegegevens opnieuw te bevestigen.

Instelling voor uitnodiging voor gasten - Niveau 2

Alleen beheerders moeten gastgebruikers kunnen uitnodigen. Als u uitnodigingen voor beheerders beperkt, zorgt u ervoor dat alleen geautoriseerde accounts toegang hebben tot Azure-resources.

  1. Meld u aan bij het Azure-portaal. Zoek Microsoft Entra ID en selecteer deze.

  2. Selecteer Gebruikers in het linkermenu onder Beheren.

  3. Selecteer gebruikersinstellingen in het linkermenu.

  4. Selecteer in het deelvenster Gebruikersinstellingen onder Externe gebruikers de optie Instellingen voor externe samenwerking beheren.

  5. Selecteer in instellingen voor externe samenwerking, onder Instellingen voor gastnodiging, alleen gebruikers die zijn toegewezen aan specifieke beheerdersrollen gastgebruikers uitnodigen.

    Schermopname van de instellingen voor gastuitnodiging met alleen gebruikers die zijn toegewezen aan specifieke beheerdersrollen, kunnen gastgebruikers uitnodigen die zijn geselecteerd.

  6. Als u instellingen wijzigt, selecteert u Opslaan in de menubalk.

Gebruikers kunnen beveiligingsgroepen maken en beheren - Niveau 2

Wanneer deze functie is ingeschakeld, kunnen alle gebruikers in Microsoft Entra ID nieuwe beveiligingsgroepen maken. U moet het maken van beveiligingsgroepen beperken tot beheerders.

  1. Meld u aan bij het Azure-portaal. Zoek Microsoft Entra ID en selecteer deze.

  2. Selecteer Groepen in het linkermenu onder Beheren.

  3. Selecteer Algemeen in het deelvenster Alle groepen in het linkermenu onder Instellingen.

  4. Voor beveiligingsgroepen moet u ervoor zorgen dat gebruikers beveiligingsgroepen kunnen maken in Azure Portals, API of PowerShell is ingesteld op Nee.

    Schermopname van het deelvenster Algemene instellingen voor groepen, met de optie Gebruikers kunnen beveiligingsgroepen maken ingesteld op Nee.

  5. Als u instellingen wijzigt, selecteert u Opslaan in de menubalk.

Self-service voor groepsbeheer ingeschakeld - Niveau 2

Tenzij uw bedrijf selfservicegroepsbeheer aan verschillende gebruikers moet delegeren, raden we u aan deze functie uit te schakelen als voorzorgsmaatregel.

  1. Meld u aan bij het Azure-portaal. Zoek Microsoft Entra ID en selecteer deze.

  2. Selecteer Groepen in het linkermenu onder Beheren.

  3. Selecteer Algemeen in het deelvenster Alle groepen in het linkermenu onder Instellingen.

  4. Controleer onder Selfservicegroepsbeheer of alle opties zijn ingesteld op Nee.

  5. Als u instellingen wijzigt, selecteert u Opslaan in de menubalk.

Schermopname van de selfservice groepsopties van Microsoft Entra ingesteld op Nee.

Toepassingsopties - Gebruikers toestaan om apps te registreren - Niveau 2

U kunt als volgt vereisen dat beheerders aangepaste toepassingen moeten registreren.

  1. Meld u aan bij het Azure-portaal. Zoek Microsoft Entra ID en selecteer deze.

  2. Selecteer Gebruikers in het linkermenu onder Beheren.

  3. Selecteer gebruikersinstellingen in het linkermenu.

  4. Controleer in het deelvenster Gebruikersinstellingen of App-registraties is ingesteld op Nee.

  5. Als u instellingen wijzigt, selecteert u Opslaan in de menubalk.

Schermopname van Microsoft Entra-gebruikers met app-registraties ingesteld op Nee.