L1 BIO 09.01 ISO A.9.1.2 CIS 1.11

Azure: Administrator Consent Verplicht Stellen Voor Applicatie-machtigingen

📅 2025-10-29
⏱️ 5 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Het verplichten van beheerdersconsent voor OAuth-applicaties voorkomt dat gebruikers ongecontroleerd machtigingen kunnen verlenen aan apps van derden die toegang krijgen tot organisatiegegevens. Deze maatregel is essentieel voor het voorkomen van kwaadwillige app-registraties en ongeautoriseerde gegevenstoegang via OAuth consent phishing-aanvallen.

Aanbeveling
IMPLEMENTEER BEHEERDERSCONSENT VERPLICHT
Risico zonder
High
Risk Score
8/10
Implementatie
3u (tech: 1u)
Van toepassing op:
Azure

Gebruikerstoestemming voor applicaties vormt een aanzienlijk beveiligingsrisico dat regelmatig wordt misbruikt door aanvallers via consent phishing-aanvallen. Kwaadwillige OAuth-applicaties presenteren zich als legitieme tools met aantrekkelijke functionaliteit zoals 'Free PDF Converter', 'Email Productivity Tool' of 'Calendar Sync App', maar vragen bij het consent-scherm om brede machtigingen zoals toegang tot alle e-mails, bestanden in OneDrive en SharePoint, contactenlijsten en kalendergegevens. Onwetende gebruikers klikken op 'Accept' zonder de implicaties te begrijpen, waarna de kwaadwillige app permanent toegang heeft tot hun organisatiegegevens zonder verdere authenticatie. Deze aanvallen zijn succesvol omdat consent-schermen technisch jargon bevatten dat gebruikers niet begrijpen, de app legitiem lijkt door professionele branding en overtuigende beschrijvingen, en gebruikers niet beseffen dat zij organisatiegegevens blootstellen in plaats van alleen hun persoonlijke gegevens. De gevolgen zijn ernstig: aanvallers kunnen alle e-mails van de gebruiker verzamelen inclusief gevoelige bedrijfscommunicatie, documenten uit SharePoint en OneDrive stelen inclusief contracten en financiële gegevens, contactenlijsten schrapen voor verder gerichte phishing-aanvallen, en de gestolen toegang gebruiken voor laterale beweging binnen de organisatie. Statistieken tonen aan dat consent phishing-aanvallen zijn toegenomen met meer dan 200 procent in recente jaren. Het verplicht stellen van beheerdersconsent voorkomt deze aanvallen door gebruikers te blokkeren bij het verlenen van app-machtigingen, waarbij elke consent-aanvraag moet worden beoordeeld en goedgekeurd door IT- of beveiligingsbeheerders die de gevraagde machtigingen kunnen evalueren, kwaadwillige apps kunnen identificeren aan de hand van verdachte machtigingsverzoeken of onbekende uitgevers, en alleen legitieme goedgekeurde bedrijfsapps kunnen autoriseren. Deze governance is essentieel voor naleving met ISO 27001 controle A.9.4.5 voor toegangscontrole op programmacode en NIS2 Artikel 21 voor toegangscontrolevereisten.

PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph

Implementatie

Deze maatregel configureert de Azure AD tenant-niveau gebruikersconsentinstellingen om gebruikerstoestemming volledig te blokkeren. De implementatie gebeurt via Azure Portal onder Entra ID → Enterprise applications → Toestemming en machtigingen → Gebruikerstoestemming instellingen, waar de optie 'Gebruikerstoestemming niet toestaan' moet worden geselecteerd. Dit betekent dat wanneer een gebruiker probeert een applicatie te autoriseren die om machtigingen vraagt, zij een bericht krijgen dat beheerdersgoedkeuring vereist is in plaats van een toestemmingsknop. De applicatie krijgt geen toegang totdat een beheerder formeel beheerdersconsent verleent na beveiligingsbeoordeling. Voor operationele efficiëntie moet een beheerdersconsentwerkstroom worden geconfigureerd die e-mailnotificaties stuurt naar aangewezen beheerders (bijvoorbeeld het IT-beveiligingsteam) wanneer gebruikers om applicatiegoedkeuring vragen. De werkstroom omvat dat de gebruiker een rechtvaardiging moet verstrekken waarom zij de applicatie nodig hebben, beheerders de applicatie kunnen beoordelen op uitgeversverificatie (geverifieerde applicaties zijn betrouwbaarder), gevraagde machtigingen kunnen analyseren om overdreven machtigingen te identificeren, de applicatie kunnen goedkeuren of afwijzen met reden, en goedgekeurde applicaties automatisch toestemming krijgen voor de aanvragende gebruiker of tenantbreed afhankelijk van de keuze. Best practice is om alleen geverifieerde uitgevers toe te staan waar mogelijk en applicaties van niet-geverifieerde uitgevers extra aandacht te geven. Een lijst van vooraf goedgekeurde applicaties (bijvoorbeeld Microsoft eerstepartij applicaties zoals Office 365, Teams, SharePoint) kan worden onderhouden voor snellere goedkeuringswerkstromen. De implementatie kost 2 uur voor configuratie en workflowconfiguratie plus 3 uur voor documentatie van goedkeuringsprocedures en beheerdersopleiding. Lopende overhead is circa 0,05 FTE voor het beoordelen van applicatietoestemmingsverzoeken. Deze maatregel is verplicht voor alle Azure AD-tenants en voldoet aan CIS Azure Foundations controle 1.1.15 Niveau 1 en ISO 27001 controle A.9.4.5.

Vereisten

Voordat u begint met de implementatie van administrator consent requirements voor Azure AD applicaties, moet u ervoor zorgen dat u over de juiste technische infrastructuur en bevoegdheden beschikt. Deze maatregel vereist toegang tot de Azure Active Directory (nu Entra ID genoemd) tenant-configuratie, wat betekent dat u een actieve Azure AD-tenant nodig heeft met een geldig abonnement. De tenant moet volledig operationeel zijn en toegankelijk via de Azure Portal of via PowerShell met de Microsoft Graph API. Zonder een werkende Entra ID-omgeving is het onmogelijk om de consent-instellingen te configureren, omdat deze functionaliteit volledig afhankelijk is van de Azure AD-infrastructuur. De meest kritische vereiste is het bezitten van globale beheerder rechten binnen de Azure AD-tenant. Deze rol is essentieel omdat het wijzigen van tenant-level consent-instellingen een van de meest gevoelige beveiligingsconfiguraties is die een organisatie kan doorvoeren. Globale beheerders hebben de hoogste bevoegdheidsniveaus binnen Azure AD en kunnen alle aspecten van de tenant beheren, inclusief identiteits- en toegangsbeheer, applicatieregistraties, en beveiligingsinstellingen. Het is belangrijk om te begrijpen dat deze wijziging invloed heeft op alle gebruikers en applicaties binnen de tenant, wat betekent dat een verkeerde configuratie kan leiden tot service-onderbrekingen of beveiligingslekken. Naast de technische vereisten moet u ook overwegen of uw organisatie klaar is voor de operationele impact van deze wijziging. Wanneer gebruikerstoestemming wordt uitgeschakeld, zullen alle nieuwe applicatie-consent-aanvragen moeten worden goedgekeurd door een beheerder. Dit betekent dat u een duidelijk proces moet hebben voor het behandelen van deze aanvragen, inclusief wie verantwoordelijk is voor het beoordelen en goedkeuren van applicaties, wat de criteria zijn voor goedkeuring, en hoe lang het duurt voordat een aanvraag wordt verwerkt. Zonder een goed gedefinieerd proces kunnen gebruikers gefrustreerd raken wanneer ze niet snel toegang krijgen tot applicaties die ze nodig hebben voor hun werk. U moet ook rekening houden met de bestaande applicaties in uw tenant. Voordat u de wijziging doorvoert, is het verstandig om een inventarisatie te maken van alle applicaties die momenteel gebruikerstoestemming gebruiken, zodat u kunt bepalen welke applicaties mogelijk problemen kunnen veroorzaken na de wijziging. Sommige applicaties kunnen afhankelijk zijn van gebruikerstoestemming en kunnen niet meer functioneren wanneer deze wordt uitgeschakeld, tenzij een beheerder expliciet admin consent verleent. Het is daarom belangrijk om te communiceren met gebruikers en applicatie-eigenaren over de geplande wijziging en om een overgangsperiode in te plannen waarin bestaande applicaties kunnen worden geëvalueerd en indien nodig admin consent kunnen krijgen. Ten slotte moet u ervoor zorgen dat u over de juiste monitoring- en audit-tools beschikt om de impact van deze wijziging te kunnen volgen. Azure AD biedt verschillende logging- en monitoringmogelijkheden, zoals Azure AD audit logs en sign-in logs, die u kunnen helpen om te begrijpen welke applicaties worden gebruikt, welke consent-aanvragen worden gedaan, en of er problemen zijn met de nieuwe configuratie. Deze informatie is essentieel voor het optimaliseren van uw beveiligingspostuur en het waarborgen van een goede gebruikerservaring.

Monitoring

Gebruik PowerShell-script admin-consent-required-azure.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve monitoring van beheerdersconsent-instellingen is cruciaal voor het waarborgen van de beveiliging van uw Azure AD-tenant en het identificeren van potentiële problemen voordat ze kritiek worden. Het monitoren van deze configuratie omvat verschillende aspecten, waaronder het verifiëren dat de instellingen correct zijn geconfigureerd, het volgen van toestemmingsaanvragen en goedkeuringen, het identificeren van verdachte applicatie-activiteiten, en het waarborgen van naleving met interne beleidsregels en externe regelgeving. De primaire monitoringtaak is het regelmatig verifiëren dat gebruikerstoestemming daadwerkelijk is uitgeschakeld in de Enterprise-applicaties instellingen. Dit kan worden gedaan via de Azure Portal door te navigeren naar Entra ID, vervolgens naar Enterprise-applicaties, en dan naar Toestemming en machtigingen, waar u de Gebruikerstoestemming instellingen kunt controleren. De instelling moet expliciet zijn ingesteld op 'Gebruikerstoestemming niet toestaan' om ervoor te zorgen dat gebruikers geen toestemming kunnen verlenen zonder beheerdersgoedkeuring. Het is belangrijk om deze verificatie regelmatig uit te voeren, bijvoorbeeld maandelijks of na belangrijke wijzigingen in de tenant-configuratie, omdat onbedoelde wijzigingen of misconfiguraties kunnen leiden tot beveiligingsrisico's. Naast het controleren van de configuratie zelf, moet u ook de toestemmingsaanvragen en goedkeuringen monitoren om te begrijpen hoe de nieuwe werkstroom functioneert en om potentiële problemen te identificeren. Azure AD biedt uitgebreide auditlogboeken die alle toestemmingsactiviteiten vastleggen, inclusief wanneer gebruikers proberen toegang te krijgen tot applicaties, wanneer beheerders toestemming verlenen of weigeren, en welke machtigingen worden aangevraagd. Door deze logboeken regelmatig te analyseren, kunt u patronen identificeren, zoals welke applicaties het meest worden aangevraagd, welke gebruikers of afdelingen de meeste aanvragen doen, en of er ongebruikelijke of verdachte activiteiten zijn die nader onderzoek vereisen. Een belangrijk aspect van monitoring is het identificeren van potentiële beveiligingsrisico's, zoals kwaadwillige applicaties die proberen toegang te krijgen tot organisatiegegevens. U moet alert zijn op applicaties die om overdreven machtigingen vragen, zoals toegang tot alle e-mails, alle bestanden, of alle gebruikersgegevens, vooral wanneer deze machtigingen niet nodig zijn voor de functionaliteit van de applicatie. Ook moet u letten op applicaties van onbekende of niet-geverifieerde uitgevers, omdat deze een hoger risico vormen dan applicaties van geverifieerde uitgevers zoals Microsoft of andere bekende softwareleveranciers. Door deze signalen te monitoren en te reageren, kunt u potentiële aanvallen voorkomen voordat ze schade kunnen aanrichten. Monitoring moet ook rekening houden met de gebruikerservaring en operationele efficiëntie. Als u merkt dat toestemmingsaanvragen te lang duren om te worden verwerkt, of dat gebruikers regelmatig klagen over het niet kunnen gebruiken van legitieme applicaties, kan dit wijzen op problemen met uw goedkeuringswerkstroom of op de noodzaak om bepaalde applicaties vooraf goed te keuren. Door deze metriek te volgen en te analyseren, kunt u uw processen verbeteren en ervoor zorgen dat beveiliging en gebruiksvriendelijkheid in balans blijven. Ten slotte is het belangrijk om monitoring te integreren met uw algemene beveiligings- en nalevingsrapportage. De informatie die u verzamelt over toestemmingsactiviteiten moet worden opgenomen in uw reguliere beveiligingsrapporten en nalevingsaudits, zodat u kunt aantonen dat u effectieve controles heeft geïmplementeerd en dat u voldoet aan relevante regelgeving zoals ISO 27001, BIO, en NIS2. Dit vereist niet alleen technische monitoring, maar ook documentatie en rapportage van uw bevindingen en acties.

Implementatie

Gebruik PowerShell-script admin-consent-required-azure.ps1 (functie Invoke-Implementation) – Implementeren.

De implementatie van beheerdersconsent vereisten begint met toegang tot de Azure Portal en navigatie naar de juiste configuratiesectie. U moet eerst inloggen met een account dat globale beheerder rechten heeft binnen de Azure AD-tenant, omdat alleen deze rol de benodigde wijzigingen kan doorvoeren. Zodra u bent ingelogd, navigeert u naar Entra ID, wat de nieuwe naam is voor Azure Active Directory. Vanuit het Entra ID-overzicht gaat u naar Enterprise-applicaties, een sectie die alle applicaties bevat die zijn geregistreerd of geïntegreerd met uw tenant. Binnen Enterprise-applicaties vindt u de optie Toestemming en machtigingen, die u toegang geeft tot alle instellingen die betrekking hebben op hoe gebruikers en beheerders toestemming kunnen verlenen aan applicaties. Dit is de centrale locatie waar u de tenant-niveau toestemmingsinstellingen kunt configureren. Wanneer u deze sectie opent, ziet u verschillende opties voor het beheren van toestemming, waaronder Gebruikerstoestemming instellingen, die specifiek betrekking hebben op de vraag of gewone gebruikers zelf toestemming kunnen verlenen aan applicaties. De kritieke configuratiestap is het instellen van gebruikerstoestemming op 'Gebruikerstoestemming niet toestaan'. Deze optie betekent dat gebruikers volledig worden geblokkeerd van het verlenen van toestemming aan applicaties, ongeacht welke machtigingen worden aangevraagd. Wanneer een gebruiker probeert een applicatie te autoriseren, krijgt hij of zij een bericht dat beheerdersgoedkeuring vereist is, en de applicatie krijgt geen toegang tot organisatiegegevens totdat een beheerder expliciet beheerdersconsent verleent. Deze instelling is essentieel voor het voorkomen van toestemmingsphishing-aanvallen en ongeautoriseerde gegevenstoegang. Naast het uitschakelen van gebruikerstoestemming moet u ook de Beheerdersconsentwerkstroom inschakelen om ervoor te zorgen dat er een gestructureerd proces is voor het behandelen van toestemmingsaanvragen. Deze werkstroom stuurt automatisch e-mailnotificaties naar aangewezen beheerders wanneer gebruikers proberen toegang te krijgen tot applicaties die beheerdersconsent vereisen. De werkstroom kan worden geconfigureerd om meerdere beheerders te notificeren, zodat er altijd iemand beschikbaar is om aanvragen te beoordelen, zelfs tijdens vakantieperiodes of buiten kantooruren. Dit zorgt voor een goede balans tussen beveiliging en operationele continuïteit. De Beheerdersconsentwerkstroom biedt ook de mogelijkheid om aanvullende informatie te verzamelen van gebruikers die om applicatietoegang vragen. Gebruikers kunnen worden gevraagd om een rechtvaardiging te verstrekken waarom ze de applicatie nodig hebben, welke functionaliteit ze willen gebruiken, en welke afdeling of project de aanvraag ondersteunt. Deze informatie helpt beheerders om weloverwogen beslissingen te nemen over het goedkeuren of afwijzen van aanvragen, en het kan ook worden gebruikt voor audit- en nalevingsdoeleinden. Wanneer een beheerder een toestemmingsaanvraag beoordeelt, heeft hij of zij verschillende opties. De applicatie kan worden goedgekeurd voor alleen de aanvragende gebruiker, wat betekent dat alleen die specifieke gebruiker toegang krijgt tot de applicatie. Alternatief kan de applicatie worden goedgekeurd voor de hele tenant, wat betekent dat alle gebruikers in de organisatie toegang krijgen zonder verdere goedkeuring. De keuze tussen deze opties hangt af van de aard van de applicatie, de gevraagde machtigingen, en het organisatiebeleid. Voor veelgebruikte applicaties zoals Microsoft Office 365 of Teams is tenantbrede toestemming meestal geschikt, terwijl voor gespecialiseerde of experimentele applicaties gebruikersspecifieke toestemming beter kan zijn. Na het configureren van de basisinstellingen is het belangrijk om te communiceren met gebruikers over de wijziging en om hen te informeren over het nieuwe proces voor het aanvragen van applicatietoegang. Gebruikers moeten begrijpen waarom deze wijziging wordt doorgevoerd, wat de voordelen zijn voor beveiliging, en hoe ze nieuwe applicaties kunnen aanvragen wanneer ze die nodig hebben. Goede communicatie kan helpen om frustratie te voorkomen en om ervoor te zorgen dat gebruikers het nieuwe proces begrijpen en accepteren. Ten slotte moet u ervoor zorgen dat u een proces heeft voor het regelmatig evalueren en bijwerken van uw toestemmingsconfiguratie. Dit omvat het monitoren van toestemmingsaanvragen om te zien of er patronen zijn die wijzen op de noodzaak om bepaalde applicaties vooraf goed te keuren, het bijwerken van uw lijst van goedgekeurde applicaties wanneer nieuwe standaardapplicaties worden geïntroduceerd, en het regelmatig controleren of de configuratie nog steeds correct is ingesteld. Door deze stappen te volgen, kunt u een effectieve en veilige beheerdersconsent-implementatie realiseren die zowel beveiliging als gebruiksvriendelijkheid waarborgt.

Compliance en Auditing

Het implementeren van beheerdersconsent vereisten is niet alleen een best practice voor beveiliging, maar ook een vereiste voor naleving met verschillende nationale en internationale standaarden en regelgeving. Deze maatregel helpt organisaties om te voldoen aan specifieke controles binnen frameworks zoals CIS, BIO, en ISO 27001, die allemaal nadruk leggen op het belang van gecontroleerde toegang tot systemen en gegevens. De CIS Azure Foundations Benchmark controle 1.11 specificeert expliciet dat beheerdersconsent vereist moet zijn voor alle applicaties die toegang vragen tot organisatiegegevens. Deze controle is geclassificeerd als Niveau 1, wat betekent dat het wordt beschouwd als een fundamentele beveiligingsmaatregel die door alle organisaties moet worden geïmplementeerd, ongeacht hun grootte of complexiteit. De controle richt zich op het voorkomen van ongeautoriseerde toegang tot gegevens via kwaadwillige of slecht geconfigureerde applicaties, en het waarborgen dat alle applicatietoegang wordt beoordeeld en goedgekeurd door bevoegde beheerders voordat deze wordt verleend. Door deze controle te implementeren, kunnen organisaties aantonen dat ze effectieve controles hebben geïmplementeerd voor het beheren van applicatietoegang, wat essentieel is voor nalevingsaudits en certificeringen. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang. BIO controle 09.01 richt zich op toegangscontrole en authenticatie, en vereist dat organisaties effectieve mechanismen hebben voor het beheren en controleren van toegang tot informatiesystemen. Beheerdersconsent vereisten voldoen aan deze controle door ervoor te zorgen dat alle applicatietoegang wordt beoordeeld en goedgekeurd door bevoegde personen, en door te voorkomen dat gebruikers zelfstandig toegang kunnen verlenen zonder adequate controle. Dit is vooral belangrijk voor overheidsorganisaties die werken met gevoelige of vertrouwelijke gegevens, omdat het helpt om te voldoen aan de hoge beveiligingsstandaarden die worden vereist voor de bescherming van overheidsinformatie. ISO 27001 controle A.9.1.2 behandelt toegangscontrole en vereist dat organisaties een formeel proces hebben voor het beheren van toegang tot informatiesystemen en gegevens. Deze controle benadrukt het belang van het controleren en goedkeuren van toegangsverzoeken voordat toegang wordt verleend, en het regelmatig beoordelen van bestaande toegangsrechten om ervoor te zorgen dat ze nog steeds nodig en geschikt zijn. Beheerdersconsent vereisten voldoen aan deze controle door een gestructureerd proces te bieden voor het beoordelen en goedkeuren van applicatietoegang, en door ervoor te zorgen dat alle toegangsverzoeken worden gedocumenteerd en geaudit. Dit helpt organisaties om te voldoen aan ISO 27001-certificeringsvereisten en om hun informatiebeveiligingsmanagementsysteem (ISMS) effectief te beheren. Naast deze specifieke controles helpen beheerdersconsent vereisten ook om te voldoen aan bredere nalevingsvereisten, zoals die worden gesteld door de Algemene Verordening Gegevensbescherming (AVG) en de Network and Information Systems Directive 2 (NIS2). De AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen, en het controleren van applicatietoegang is een belangrijk onderdeel van deze maatregelen. NIS2 vereist dat organisaties effectieve beveiligingsmaatregelen implementeren voor het beschermen van netwerken en informatiesystemen, en beheerdersconsent vereisten helpen om te voldoen aan deze vereisten door ongeautoriseerde toegang tot systemen en gegevens te voorkomen. Voor nalevingsaudits is het belangrijk om uitgebreide documentatie bij te houden van alle toestemmingsactiviteiten, inclusief welke applicaties zijn aangevraagd, wie de aanvragen heeft gedaan, welke beheerders de aanvragen hebben beoordeeld en goedgekeurd of afgewezen, en wat de redenen waren voor deze beslissingen. Deze documentatie kan worden gebruikt om aan te tonen dat de organisatie effectieve controles heeft geïmplementeerd en dat alle toegangsverzoeken op de juiste wijze worden behandeld. Azure AD biedt uitgebreide auditlogboeken die automatisch alle toestemmingsactiviteiten vastleggen, wat het gemakkelijker maakt om deze informatie te verzamelen en te presenteren tijdens audits. Het is ook belangrijk om regelmatig nalevingsbeoordelingen uit te voeren om ervoor te zorgen dat de geïmplementeerde controles nog steeds effectief zijn en dat ze blijven voldoen aan de vereisten van relevante standaarden en regelgeving. Deze beoordelingen moeten worden uitgevoerd door onafhankelijke auditors of door interne nalevingsteams, en ze moeten de effectiviteit van de controles evalueren, eventuele tekortkomingen identificeren, en aanbevelingen doen voor verbeteringen. Door regelmatig te beoordelen en bij te werken, kunnen organisaties ervoor zorgen dat hun beveiligingspostuur en nalevingsstatus op peil blijven, zelfs wanneer nieuwe bedreigingen ontstaan of wanneer regelgeving wordt bijgewerkt.

Remediatie

Gebruik PowerShell-script admin-consent-required-azure.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring of nalevingsaudits aantonen dat beheerdersconsent vereisten niet correct zijn geconfigureerd, of wanneer er beveiligingsincidenten zijn die verband houden met ongeautoriseerde applicatietoegang, is het belangrijk om snel en effectief te reageren om de beveiligingspostuur te herstellen. Remediatie omvat verschillende stappen, afhankelijk van de specifieke situatie, maar het algemene doel is altijd om ervoor te zorgen dat de juiste configuratie wordt geïmplementeerd en dat eventuele beveiligingsrisico's worden geëlimineerd. Als eerste stap moet u de huidige configuratie controleren om te bepalen wat er precies mis is. Dit betekent dat u de Gebruikerstoestemming instellingen in Azure AD moet controleren om te zien of gebruikerstoestemming is ingeschakeld wanneer dit niet zou moeten zijn, of om te verifiëren dat de Beheerdersconsentwerkstroom correct is geconfigureerd. U moet ook controleren of er recente wijzigingen zijn geweest in de configuratie die mogelijk hebben geleid tot de huidige situatie, en of er applicaties zijn die toegang hebben gekregen zonder de juiste goedkeuring. Deze informatie helpt u om te begrijpen wat er moet worden hersteld en welke stappen nodig zijn om de beveiliging te herstellen. Als gebruikerstoestemming onbedoeld is ingeschakeld, moet u deze onmiddellijk uitschakelen door naar de Azure Portal te navigeren en de instelling te wijzigen naar 'Gebruikerstoestemming niet toestaan'. Dit voorkomt dat gebruikers verdere toestemming kunnen verlenen aan applicaties zonder beheerdersgoedkeuring, en het stopt de onmiddellijke beveiligingsdreiging. Echter, het uitschakelen van gebruikerstoestemming betekent niet dat bestaande toestemmingen automatisch worden ingetrokken, dus u moet ook actie ondernemen om bestaande toestemmingen te beoordelen en indien nodig in te trekken. Voor applicaties die al toegang hebben gekregen via gebruikerstoestemming, moet u een beoordeling uitvoeren om te bepalen welke applicaties legitiem zijn en welke mogelijk kwaadwillig of onveilig zijn. Legitieme applicaties die nodig zijn voor het bedrijfsproces moeten worden geëvalueerd door beheerders, en indien goedgekeurd, moet beheerdersconsent worden verleend om ervoor te zorgen dat ze blijven functioneren. Voor applicaties die verdacht zijn of die om overdreven machtigingen vragen, moet u de toegang onmiddellijk intrekken en eventuele gegevens die mogelijk zijn blootgesteld onderzoeken. Het intrekken van applicatietoestemming kan worden gedaan via de Azure Portal door naar Enterprise-applicaties te navigeren, de specifieke applicatie te selecteren, en de gebruikers en groepen te beheren die toegang hebben. U kunt individuele gebruikers verwijderen of alle toegang intrekken, afhankelijk van wat nodig is. Het is belangrijk om te begrijpen dat het intrekken van toegang betekent dat gebruikers de applicatie niet meer kunnen gebruiken, dus u moet communiceren met gebruikers over waarom deze actie wordt ondernomen en wat de alternatieven zijn als de applicatie legitiem is maar opnieuw moet worden goedgekeurd via het juiste proces. Na het herstellen van de configuratie en het intrekken van ongeautoriseerde toegang, moet u ook onderzoeken of er daadwerkelijk een beveiligingsincident heeft plaatsgevonden. Dit betekent dat u moet controleren of er ongebruikelijke activiteiten zijn geweest, zoals het ophalen van grote hoeveelheden gegevens, het wijzigen van instellingen, of het uitvoeren van andere verdachte acties. Azure AD auditlogboeken en aanmeldlogboeken kunnen u helpen om deze activiteiten te identificeren en te begrijpen wat er is gebeurd. Als er bewijs is van een beveiligingsincident, moet u uw incidentresponsprocedures volgen, inclusief het documenteren van het incident, het informeren van relevante belanghebbenden, en het nemen van aanvullende beveiligingsmaatregelen indien nodig. Om te voorkomen dat dergelijke situaties zich in de toekomst voordoen, moet u ook uw monitoring en controleprocessen verbeteren. Dit kan betekenen dat u regelmatiger controleert of de configuratie correct is, dat u waarschuwingen configureert die u alarmeren wanneer er wijzigingen worden aangebracht in toestemmingsinstellingen, of dat u aanvullende controles implementeert om te voorkomen dat onbevoegde personen wijzigingen kunnen aanbrengen. U moet ook ervoor zorgen dat alle beheerders die verantwoordelijk zijn voor het beheren van toestemmingsinstellingen goed zijn getraind en begrijpen waarom deze configuratie belangrijk is en hoe ze deze correct moeten beheren. Ten slotte is het belangrijk om de remediatie-acties te documenteren voor nalevings- en auditdoeleinden. U moet vastleggen wat het probleem was, welke stappen zijn ondernomen om het te herstellen, welke applicaties zijn beoordeeld en welke acties zijn ondernomen, en wat er is gedaan om te voorkomen dat het probleem zich opnieuw voordoet. Deze documentatie kan worden gebruikt om aan te tonen dat u effectief hebt gereageerd op beveiligingsproblemen en dat u processen heeft geïmplementeerd om dergelijke problemen in de toekomst te voorkomen. Door deze stappen te volgen, kunt u ervoor zorgen dat uw tenant-beveiliging snel wordt hersteld en dat u voldoet aan uw nalevingsvereisten.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Admin Consent Required Azure .DESCRIPTION CIS Azure Foundations Benchmark - Control 1.2 Controleert of admin consent is vereist voor apps. .NOTES Filename: admin-consent-required-azure.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 1.2 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Admin Consent Required Azure" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } try { Connect-RequiredServices if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray Write-Host " - Enterprise applications > Consent and permissions" -ForegroundColor Gray Write-Host " - User consent settings = Do not allow user consent" -ForegroundColor Gray Write-Host " - Admin consent workflow enabled" -ForegroundColor Gray } else { Write-Host "`n⚠️ Manual verification: Admin consent required" -ForegroundColor Yellow } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray Write-Host " - Enterprise applications > Consent and permissions" -ForegroundColor Gray Write-Host " - User consent settings = Do not allow user consent" -ForegroundColor Gray Write-Host " - Admin consent workflow enabled" -ForegroundColor Gray } else { Write-Host "`n⚠️ Manual verification: Admin consent required" -ForegroundColor Yellow } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
High: Kwaadwillige OAuth-apps kunnen via gebruikersconsent gegevens exfiltreren zonder beheerderssupervisie. Phishing-apps vragen toestemming voor e-mail- en bestandstoegang - gebruikers klikken op 'Accept' zonder begrip van de risico's. Gegevenslek via kwaadwillige apps. Naleving: CIS 1.11, BIO, NIS2. Het risico is hoog voor alle tenants met gevoelige gegevens.

Management Samenvatting

Beheerdersconsent Verplicht: Schakel gebruikersconsent uit voor OAuth-applicaties, Verplicht beheerdersgoedkeuring voor applicatiemachtigingen, Beheerder beoordeelt applicatielegitimiteit voor toekenning. Activatie: Azure AD → Enterprise-applicaties → Gebruikerstoestemming instellingen → Gebruikerstoestemming niet toestaan. Gratis. Verplicht CIS 1.11, BIO, NIS2. Implementatie: 1-2 uur (configuratie + gebruikerscommunicatie). Voorkomt gegevensexfiltratie door kwaadwillige applicaties.