5 security functionaliteiten om de Azure Active Directory accounts te beveiligen

Door de corona-uitbraak in de wereld is thuiswerken belangrijker dan ooit. Naast het thuiswerken zijn ook de samenwerkingsportals zoals Slack en Teams enorm populair om goed te kunnen samenwerken en om productief te blijven. Deze gebeurtenis raakt veel bedrijven, maar ook de ransomware en malware nemen een flinke sprong en richten zich op het coronavirus en de mogelijkheden dat bedrijven massaal thuiswerken. Het is daarom verstandig om de accounts goed te beveiligen of je nu op kantoor, thuis of op een externe locatie zit te werken.

In dit artikel gaan we in op een aantal services welke vanuit Microsoft aanwezig zijn om de Azure Active Directory accounts beter te beveiligen.

1. Multi-Factor Authentication

In een van de vorige artikelen zijn we al een keer uitgebreid ingegaan op de nieuwe manieren van authenticatie. Het gaat hierbij om eenvoudige toepassingen zoals Password Protection en Password-less werken. De basis start bij de Multi-Factor Authentication. Een identity van een gebruiker is goud waard voor kwaadwillenden, een simpel wachtwoord en password is niet meer voldoende, er is een tweede factor nodig.

Steeds meer organisaties maken gebruik van Multi-Factor Authentication (MFA). Deze techniek vereist naast het gebruik van een wachtwoord een extra vorm van authenticatie. Hierdoor moet de gebruiker altijd beschikken over het device om de MFA te activeren.

Azure MFA is te vinden in Azure Active Directory. De MFA mogelijkheden zijn ook te combineren met security toevoegingen zoals Password-Less of via een fysieke security key.

Meer informatie over Password-Less werken via Windows Hello, Yubikey of de Authenticator hebben we eerder toegelicht in een uitgebreid artikel.

2. Privileged Identity Management

In een organisatie zijn de beheeraccounts de eerste stap om goed te beveiligen. Traditioneel beschikken de meeste beheerders over een apart beheeraccount. Alleen beschikt dit account meestal wel over veel rollen, welke ook buiten werktijden aanwezig zijn op het account. Qua security niet ideaal, maar Priviled Identity Management geeft hiervoor een oplossing.

Het is tegenwoordig sterk afgeraden om de hoge rechten zoals een Global Administrator permanent toe te kennen.

Met PIM kunnen alle “built-in administrative roles” van Azure en Office 365 beheerd worden. Vervolgens heeft de gebruiker/beheerder de mogelijkheid om de rollen te activeren voor een bepaalde periode. Per rol zijn er een tal van configuraties mogelijk, zoals de duur, goedkeuring vanuit opgeven personen of extra verificatie via een MFA verzoek.

Per rol is het mogelijk om een notificatie te laten versturen als er een rol geactiveerd is en/of een ticketnummer te laten opvoeren, zodat de werkzaamheden voor de specifieke rol achterhaald kunnen worden.

Het toepassen van een “Least Privilege” methode geeft voordelen aan de beveiligingslaag, vooral als de tijden niet te ruim staan ingesteld – mocht er toch iets gebeuren met het account is de schade minimaal doordat er geen hoge rechten aanwezig zijn. Voor deze functie is wel een Azure AD Premium P2-licentie vereist.

3. Wachtwoord beveiligen via Password Protection

Via Password Protection is het mogelijk om de wachtwoorden veiliger te maken. Met Password Protection is het mogelijk om een custom lockout te configureren en een lockout threshold. Doormiddel van een algoritme worden veel gebruikte wachtwoorden standaard tegengehouden. Ook is het mogelijk een eigen wachtwoordenlijst te maken met wachtwoorden die niet toegestaan zijn. Bijvoorbeeld door woorden te blokkeren welke vaak voorkomen in de organisatie.

Password Protection maakt gebruik van een slim algoritme. In dit artikel bespreken we alle functionaliteiten rondom Password Protection. Een voordeel van de Password Protection is dat deze toepassing vrijwel zonder extra impact toegepast kan worden – vooral door de audit mode te activeren om eenvoudig het gedrag te bekijken.

4. Conditional Access

Cloud diensten zijn wereldwijd te bereiken en hiermee ook toegankelijk voor de kwaadwillenden. Met Conditional Access is het mogelijk om de diensten te beschermen op de toegang afhankelijk van inkomende signalen.

Met Conditional Access worden de signalen samen gebracht waarop vervolgens een beleid op toegepast kan worden.

Er zijn veel configuraties en beleid instellingen mogelijk – de onderstaande zijn een van de belangrijkste voor de identity bescherming, uiteraard is er enorm veel mogelijk als het gaat om Conditional Access.

  • MFA afdwingen voor gebruikers en apps
  • MFA afdwingen voor admin accounts/ rollen
  • Device/ user compliance
  • Afdwingen Outlook mailclient voor iOS en Android

Blokkeren van legacy authenticatie: Niet alle applicaties maken gebruik van Modern Authentication. Wanneer een app overweg kan met Modern Authentication is deze geschikt voor het toepassen van MFA/ moderne authenticatie.

5. Passwordless sign-in

Wachtwoorden zijn momenteel nog de meest gebruikte mogelijkheid voor het inloggen. Een groot deel van de online accounts bevat vooralsnog een wachtwoord. Maar we zien langzaam een verandering van een wachtwoord methode naar een Password-less methode.

Microsoft is momenteel volop aan het investeren in de ontwikkelingen rondom password-less werken en de security van je account. Hiervoor heeft Microsoft verschillende ontwikkelingen op de markt gebracht, zoals de Authenticator app, Windows Hello for Business en security keys ondersteuning.

Een veelgebruikte opmerking is waarom inloggen zonder wachtwoord als Multi-Factor is geactiveerd? Voor een multifactor heb je nog altijd een wachtwoord en kan je het in feite zien als een twee stap. Het is altijd een tweestaps-login.

Windows Hello

Windows Hello is momenteel de meest gebruikte oplossing binnen de zakelijke markt voor Windows 10 devices. Met Windows Hello is het mogelijk om via een aantal kenmerken zoals een pincode, vingerafdruk of gezichtsherkenning in te loggen.

Phone Sign-in via Authenticator

De Microsoft Authenticator app is ook benodigd voor Multifactor-authenticatie. Maar sinds vorig jaar is de functionaliteit aanwezig om via Phone Sign-in in te loggen. Hiermee zie je op de website een code, welke je vervolgens moet selecteren in de Authenticator app. Vervolgens is er een biometrische authenticatie vereist, zoals een gezichtsherkenning, pincode of vingerafdruk.

Hiermee is de identiteit van de medewerker gecontroleerd en zal de sessie geopend worden. Vooral als we kijken naar de gebruiksvriendelijkheid geeft dit enorme voordelen – en het belangrijkste geen wachtwoorden meer.

Voor de tweede factor maakt je met Phone Sign-in gebruik van de gezichtsherkenning, vingerafdrukherkenning of een PIN-code welke op het device is ingesteld.

Meer security

Uiteraard is er nog veel meer mogelijk qua security. Maar met deze 5 security oplossingen heb je een begin. Bekijk de categorie Enterprise voor meer artikelen rondom Microsoft, security en cloud.