Identity Access
Azure: Beheerdersaccounts Scheiden Van Dagelijks Gebruikersaccounts
Administratieve accounts moeten volledig gescheiden zijn van dagelijkse gebruikersaccounts om het risico op inbreuk op referenties en misbruik van bevoegdheden te minimaliseren door middel van toegewijde beheerdersidentiteiten.
Azure: Administrator Consent Verplicht Stellen Voor Applicatie-machtigingen
Het verplichten van beheerdersconsent voor OAuth-applicaties voorkomt dat gebruikers ongecontroleerd machtigingen kunnen verlenen aan apps van derden die toegang krijgen tot organisatiegegevens. Deze maatregel is essentieel voor het voorkomen van kwaadwillige app-registraties en ongeautoriseerde gegevenstoegang via OAuth consent phishing-aanvallen.
Azure: App Registrations Beperken Tot Alleen Beheerders
Het beperken van app-registraties in Azure AD tot alleen beheerders voorkomt dat gebruikers ongecontroleerd OAuth-applicaties kunnen aanmaken die als toegangspoort kunnen dienen voor gegevensexfiltratie, privilege escalation en backdoor-toegang tot de tenant. Deze restrictie is essentieel voor het behouden van controle over welke applicaties toegang hebben tot organisatiegegevens.
Azure AD App Registrations: Beheer En Beveiliging
Azure AD App Registrations vormen de basis voor moderne authenticatie en autorisatie in cloudomgevingen, maar vereisen zorgvuldig beheer om beveiligingsrisico's te voorkomen. Effectief beheer van app-registraties is essentieel voor het behouden van controle over welke applicaties toegang hebben tot organisatiegegevens en welke machtigingen deze applicaties hebben.
Azure AD B2C Configuratie En Beveiliging
Azure AD B2C (Business-to-Consumer) is een customer identity and access management oplossing die organisaties in staat stelt om veilige authenticatie te bieden voor klantgerichte applicaties zonder dat klanten een account nodig hebben in de interne Azure AD-tenant. Voor Nederlandse overheidsorganisaties die digitale diensten aanbieden aan burgers, biedt B2C een schaalbare en veilige manier om miljoenen gebruikers te authenticeren terwijl privacy en beveiliging worden gewaarborgd.
Azure AD Connect Configuratie En Beveiliging
Azure AD Connect is de kritieke synchronisatiecomponent die on-premises Active Directory verbindt met Azure AD (Entra ID), waardoor hybride identiteitsbeheer mogelijk wordt gemaakt. Voor Nederlandse overheidsorganisaties met hybride omgevingen is een correcte en beveiligde configuratie van Azure AD Connect essentieel om te zorgen dat gebruikersidentiteiten veilig en betrouwbaar worden gesynchroniseerd tussen on-premises en cloud-omgevingen, terwijl beveiligingsrisico's worden geminimaliseerd.
Azure AD: Privileged Identity Management Voor Azure AD-rollen Configureren
Privileged Identity Management voor Azure AD-rollen elimineert permanente bevoorrechte toegang door tijdsbeperkte, goedkeuringsgebaseerde, just-in-time verhoging van Azure AD-beheerdersrollen te implementeren. Gebruikers ontvangen alleen beheerdersrechten wanneer dit daadwerkelijk noodzakelijk is, voor maximaal acht uur, na een goedkeuringsworkflow, met verplichte meervoudige authenticatie en volledige auditlogging van alle bevoorrechte verhogingen.
Azure: B2B Collaboration Settings Restrictief Configureren Voor Gastgebruikers
B2B-samenwerkingsinstellingen moeten restrictief worden geconfigureerd om ongeautoriseerde uitnodigingen voor gastgebruikers en excessieve gastrechten te voorkomen.
Azure: Legacy Authenticatieprotocollen Blokkeren Via Conditional Access
Legacy authenticatieprotocollen zoals Basic Authentication omzeilen moderne beveiligingsmaatregelen zoals meervoudige authenticatie, voorwaardelijke toegang en Azure AD identiteitsbescherming. Door legacy authenticatie te blokkeren worden organisaties gedwongen moderne authenticatie te gebruiken met superieure beveiliging.
Azure: Break-Glass Noodtoegangsaccounts Configureren
Break-glass accounts, ook wel noodtoegangsaccounts genoemd, zijn speciaal geconfigureerde beheerdersaccounts die gegarandeerde toegang bieden tot de Azure-tenant wanneer normale beheerders-toegang is geblokkeerd door verkeerde configuraties, service-uitval, Conditional Access-problemen of authenticatiefouten. Deze accounts zijn essentieel voor bedrijfscontinuïteit en voorkomen permanente uitsluitingsscenario's waarbij organisaties geen toegang meer hebben tot hun eigen cloudomgeving.
Azure: Conditional Access Met Compliant Devices Vereiste Configureren
Conditional Access-beleidsregels die compliant devices vereisen blokkeren toegang vanaf onbeheerde of niet-compliant apparaten, waardoor alleen beveiligde, up-to-date en beleidscompliant apparaten toegang krijgen tot organisatieresources. Deze maatregel vormt een essentieel onderdeel van een Zero Trust-beveiligingsstrategie waarbij elk apparaat moet voldoen aan strikte beveiligingsvereisten voordat toegang wordt verleend tot gevoelige bedrijfsgegevens en applicaties.
Azure: Device Code Flow Blokkeren Via Conditional Access Tegen Phishing
Device Code Flow moet worden geblokkeerd via voorwaardelijke toegang omdat deze authenticatiemethode steeds vaker wordt misbruikt in geavanceerde phishingaanvallen waarbij aanvallers gebruikers misleiden om hun toegangsrechten te autoriseren op frauduleuze authenticatiepagina's. Deze aanvalstechniek omzeilt traditionele meervoudige authenticatie omdat gebruikers zelf de autorisatie verlenen via een legitiem uitziende Microsoft-aanmeldingspagina.
Azure: Conditional Access Geografische Locatie-beperkingen Instellen
Geografische locatiegebaseerde toegangsbeperkingen vormen een essentiële beveiligingslaag die aanmeldingen vanuit onverwachte landen of regio's blokkeert om diefstal van inloggegevens en onbevoegde toegang te detecteren en te voorkomen. Deze maatregel voegt een extra dimensie toe aan de beveiligingsstrategie door de fysieke locatie van de gebruiker te gebruiken als een factor bij het bepalen van toegangsrechten.
Azure: Conditional Access MFA-beleid Voor Beheerportalen Configureren
Conditional Access-beleid dat meervoudige authenticatie (MFA) vereist voor toegang tot beheerportalen zoals Azure Portal, Microsoft 365 Admin Center en Microsoft Defender voor Cloud, beschermt organisaties tegen onbevoegde administratieve toegang en vormt een kritieke beveiligingsmaatregel voor Nederlandse overheidsorganisaties. Dit beleid vormt de eerste verdedigingslinie tegen geavanceerde cyberaanvallen waarbij aanvallers proberen toegang te krijgen tot beheerportalen met gecompromitteerde inloggegevens.
Azure: Conditional Access MFA Voor Azure Management Interfaces Afdwingen
Voorwaardelijke toegang beleid dat meervoudige authenticatie (MFA) afdwingt voor toegang tot Azure-beheerinterfaces beschermt organisaties tegen onbevoegde wijzigingen aan kritieke infrastructuur. Deze maatregel vormt een essentiële beveiligingslaag voor alle beheeractiviteiten via de Azure Portal, Azure CLI, Azure PowerShell en de Azure Resource Manager API.
Azure: Conditional Access MFA-beleid Voor Alle Gebruikers Configureren
Een Conditional Access-beleid dat meervoudige authenticatie (MFA) vereist voor alle gebruikers bij toegang tot alle cloudapplicaties vormt de fundamentele beveiligingsmaatregel voor identiteitsbescherming in Azure AD. Deze maatregel voorkomt dat gebruikers uitsluitend met gebruikersnaam en wachtwoord kunnen inloggen, wat een kritieke beveiligingszwakte vertegenwoordigt in moderne cloudomgevingen.
Azure: Conditional Access MFA Voor Risicovolle Inlogpogingen Afdwingen
Meervoudige authenticatie moet verplicht zijn bij risicovolle inlogpogingen die worden gedetecteerd door Entra ID Identity Protection om real-time respons te bieden op indicatoren van gecompromitteerde inloggegevens.
Azure: Conditional Access Locatiebeperkingen Voor Azure Management
Azure Management toegang moet beperkt zijn tot goedgekeurde locaties en landen om ongeautoriseerde geografische toegang tot Azure resources te blokkeren.
Azure: Aangepaste Verboden Wachtwoordenlijst Configureren
Een aangepaste verboden wachtwoordenlijst voorkomt dat medewerkers voorspelbare, organisatiegebonden wachtwoorden kiezen en vormt daarmee een robuuste extra laag bovenop het standaardbeleid van Microsoft. Door bedrijfsnamen, productcodes en interne acroniemen actief te blokkeren wordt password spraying een stuk minder kansrijk.
Azure: Aangepaste RBAC-rollen Documenteren En Periodiek Reviewen
Aangepaste RBAC-rollen moeten volledig gedocumenteerd zijn met rechtvaardiging, machtigingen en eigenaarschap om rolvervuiling en buitensporige machtigingen te voorkomen.
Azure: Aangepaste Rollen Voorkomen Van Resource Lock Verwijdering
Aangepaste RBAC-rollen mogen geen Microsoft.Authorization/locks/delete-machtiging bevatten om te voorkomen dat resource locks onbevoegd worden verwijderd.
Azure: Directory-rollen Beschermen Via Conditional Access Policies
Specifieke Conditional Access-beleidsregels voor directoryrol-leden (zoals Globale beheerder, Beveiligingsbeheerder en andere beheerdersrollen) dwingen extra beveiligingsmaatregelen af bovenop de standaard gebruikersbeleidsregels. Deze omvatten phishing-resistente meervoudige authenticatie, uitsluitend compliante apparaten, vertrouwde locaties en het blokkeren van riskante aanmeldingen.
Azure: Global Administrator-rol Beperken Tot Maximaal 5 Accounts
Het beperken van Global Administrator-roltoewijzingen tot maximaal vijf accounts volgt het least privilege-principe en minimaliseert het aanvalsoppervlak voor de meest krachtige beheerdersrol in Azure en Microsoft 365. Deze restrictie is essentieel voor het reduceren van het risico op volledige tenant-overname bij accountcompromittering.
Azure: Gastgebruikers-machtigingen Beperken Tot Minimum
Het beperken van machtigingen voor gastgebruikers in Microsoft Entra ID is geen cosmetische instelling maar een cruciaal beveiligingsanker voor elke organisatie die vertrouwelijke gegevens in de cloud onderbrengt. Wanneer externe consultants, leveranciers of ketenpartners zonder duidelijke afbakening toegang krijgen, verandert de tenant ongemerkt in een adressenboek vol bruikbare metadata over medewerkers, teams en bedrijfsapplicaties. Door het toegangsniveau standaard te verlagen naar de optie 'Most restrictive' maak je expliciet dat een uitnodiging voor samenwerking niet gelijkstaat aan rechten binnen de volledige directory. Deze maatregel beschermt projectdossiers, onderzoekstrajecten en beleidsconcepten tegen nieuwsgierige ogen, maar voorkomt ook dat kwaadwillenden de tenant gebruiken als startpunt voor phishingcampagnes of social-engineeringaanvallen die vertrekken vanuit authentieke gegevens. Het belang van deze beperking neemt alleen maar toe nu hybride werken en publiek-private samenwerkingen structureel zijn geworden binnen de Nederlandse overheid. Gastgebruikers komen tegenwoordig uit uiteenlopende domeinen: start-ups die innovatieve functionaliteit leveren, regionale samenwerkingsverbanden rondom veiligheidsregio's of Europese partners in subsidieprogramma's. Elk van deze partijen heeft een legitiem belang om een specifiek Team, dossier of dashboard te gebruiken, maar geen van hen heeft behoefte aan inzage in personeelslijsten, hierarchische relaties of applicatieregistraties. Door het meest strikte beleid te kiezen leg je vast dat zichtbaarheid een privilege is dat wordt verdiend, niet iets wat per ongeluk wordt meegeleverd met een gastaccount. Bovendien creeert deze instelling rust binnen het securityteam. Zonder aanvullende maatregelen moeten beheerders voortdurend uitleggen waarom externe gebruikers onverwacht contact opnemen met interne medewerkers, of waarom gevoelige teamnamen opduiken in screenshots van leveranciers. Met beperkte rechten verdwijnt die discussie: wat niet zichtbaar is, kan ook niet per ongeluk worden gedeeld. De instelling sluit naadloos aan op het principe van minimale rechten dat in de Baseline Informatiebeveiliging Overheid (BIO) centraal staat en vormt een tastbare invulling van artikel 32 van de AVG, dat vereist dat organisaties 'passende technische en organisatorische maatregelen' nemen. Tot slot geeft het afdwingen van strikte beperkingen een helder signaal af richting bestuurders en auditors. Het laat zien dat de organisatie controle heeft over externe samenwerking en dat het cloudlandschap niet drijft op impliciete aannames maar op gedocumenteerde keuzes. In audittrajecten van de Algemene Rekenkamer of bij sectorale toezichthouders zoals de Autoriteit Persoonsgegevens kun je aantonen dat directory-inzage systematisch is begrensd en dat uitzonderingen bewust worden afgehandeld. Daarmee positioneer je Microsoft Entra ID als een gecontroleerd samenwerkingsplatform waarin vertrouwen en transparantie hand in hand gaan, zonder dat dit ten koste gaat van wendbaarheid of innovatie. Door in projectopdrachten expliciet te melden dat gastrechten bewust zijn begrensd, schep je bovendien duidelijke verwachtingen bij leveranciers en partners. Zij weten dat aanvullende zichtbaarheid altijd via een changeproces moet worden aangevraagd en krijgen direct inzicht in de redenatie achter een eventuele weigering. Dat voorkomt irritatie, versnelt besluitvorming in crisissituaties en zorgt ervoor dat de organisatie zelfs bij een snelle opschaling, bijvoorbeeld een landelijke vaccinatiecampagne of een acute energiestoring, de regie houdt over wie welke informatie ziet. Het streng configureren van gastmachtigingen is daarmee niet slechts een technisch vinkje, maar een governance-keuze die de betrouwbaarheid van de gehele Nederlandse Baseline voor Veilige Cloud ondersteunt.
Azure: Gastgebruiker-uitnodigingen Beperken Tot Alleen Beheerders
Alleen beheerders mogen gastgebruikers uitnodigen om onbevoegde externe toegang te voorkomen.
Azure: Gastgebruiker Uitnodigingsbeperkingen Configureren
Uitnodigingsbeperkingen voor gastgebruikers voorkomen ongecontroleerde externe toegang tot organisatieresources.
Gastgebruiker Toegangsbeleid: Configuratie En Beheer
Gastgebruiker toegangsbeleid vormt de ruggengraat van veilige externe samenwerking in Microsoft 365 en Azure. Deze beleidsregels bepalen niet alleen welke rechten gastgebruikers hebben binnen de directory, maar ook hoe zij toegang krijgen tot resources, welke beperkingen gelden voor hun activiteiten, en hoe hun toegang wordt beheerd gedurende de gehele levenscyclus. Zonder doordacht toegangsbeleid ontstaan beveiligingsrisico's waarbij externe partners meer toegang krijgen dan nodig is, waardoor gevoelige informatie kan worden gecompromitteerd en compliance-vereisten worden geschonden.
Azure: Gastgebruikers Periodiek Reviewen En Opruimen
Gastgebruikers moeten kwartaalijks worden beoordeeld om verweesde accounts te identificeren en onnodige toegang te voorkomen.
Azure: Gastgebruikers Regelmatig Reviewen
Deze aanvullende controle vormt een duplicaatverificatie van de primaire controle voor periodieke reviews van gastgebruikers. Deze controle dient als extra validatiemiddel om te waarborgen dat organisaties daadwerkelijk voldoen aan de vereisten voor regelmatige toegangsreviews van externe gebruikers. Voor de volledige implementatiedocumentatie en gedetailleerde procedures verwijzen we naar het primaire controlebestand guest-users-periodic-review.json, dat de complete technische en organisatorische aanpak beschrijft. Deze aanvullende verificatie is essentieel voor organisaties die moeten voldoen aan strikte nalevingsvereisten en die willen aantonen dat hun toegangsbeheerproces robuust en effectief functioneert.
Azure: Smart Lockout Duur Instellen Op 60 Seconden
Een smart lockoutduur van 60 seconden vormt de optimale balans tussen beveiliging en bruikbaarheid. Deze configuratie beperkt geautomatiseerde brute force-aanvallen effectief, terwijl legitieme gebruikers die per ongeluk een typefout maken relatief snel opnieuw kunnen proberen in te loggen zonder onnodige frustratie.
Azure: Smart Lockout Drempel Instellen Op 10 Mislukte Pogingen
Azure AD Smart Lockout met een drempelwaarde van tien mislukte aanmeldpogingen beschermt organisaties tegen brute force-aanvallen en wachtwoordspraying door gebruikersaccounts tijdelijk te blokkeren na een overmatig aantal mislukte pogingen. Deze beveiligingsmaatregel vormt een essentieel onderdeel van de identiteitsbeveiliging voor Nederlandse overheidsorganisaties en voorkomt dat aanvallers onbeperkt kunnen proberen wachtwoorden te raden.
Azure: Beheerde Identiteiten Configureren
Beheerde identiteiten in Azure elimineren de noodzaak voor hardcoded credentials, wachtwoorden en connection strings in applicatiecode door Azure-resources automatisch te authenticeren met Microsoft Entra ID. Deze zero-secrets architectuur vormt een fundamenteel onderdeel van de Nederlandse Baseline voor Veilige Cloud omdat het het risico op credential leakage drastisch vermindert, automatische credential rotation mogelijk maakt en naadloze integratie biedt met Azure RBAC voor fine-grained toegangscontrole. Wanneer applicaties, virtuele machines, container instances of andere Azure-resources gebruik maken van beheerde identiteiten, hoeven ontwikkelaars en beheerders geen secrets meer op te slaan in code, configuratiebestanden of environment variables. In plaats daarvan verleent Azure automatisch een identiteit aan de resource die kan worden gebruikt voor authenticatie bij andere Azure-services zoals Key Vault, Storage Accounts, SQL Database, Service Bus en honderden andere services. Deze identiteit wordt volledig beheerd door Azure, inclusief automatische token refresh en credential rotation, zonder dat er developer intervention nodig is. Het belang van beheerde identiteiten wordt nog duidelijker wanneer we kijken naar de realiteit van moderne cloud-omgevingen. Onderzoek toont aan dat meer dan 60% van alle data breaches het gevolg is van gestolen of gelekte credentials. Hardcoded wachtwoorden in applicatiecode die per ongeluk worden gecommit naar GitHub, connection strings in configuratiebestanden die in logbestanden terechtkomen, of service principal secrets die worden gedeeld via onveilige kanalen vormen dagelijks een bedreiging voor organisaties. Beheerde identiteiten elimineren deze risico's volledig door een zero-secrets architectuur te implementeren waarbij geen enkele credential in code, configuratie of environment variables hoeft te worden opgeslagen. Dit is met name kritiek voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte compliance-eisen vanuit de AVG, BIO en NIS2, waarbij het veilig beheren van credentials een expliciete vereiste is. Bovendien biedt de implementatie van beheerde identiteiten operationele voordelen die verder gaan dan alleen beveiliging. Wanneer applicaties gebruik maken van beheerde identiteiten, wordt credential management volledig geautomatiseerd. Azure zorgt automatisch voor token refresh, zodat applicaties altijd valide credentials hebben zonder dat ontwikkelaars of beheerders hier handmatig actie voor hoeven te ondernemen. Dit vermindert de operationele overhead aanzienlijk en voorkomt downtime die kan optreden wanneer credentials verlopen. Daarnaast biedt beheerde identiteit naadloze integratie met Azure RBAC, waardoor organisaties fine-grained toegangscontrole kunnen implementeren op basis van de least privilege principle. Elke beheerde identiteit kan exact de rechten krijgen die nodig zijn voor de specifieke taak, zonder dat er overbodige permissions worden verleend. De audit- en compliance-voordelen zijn eveneens aanzienlijk. Wanneer beheerde identiteiten worden gebruikt, wordt elke authenticatiepoging automatisch gelogd in Azure AD sign-in logs, waardoor organisaties een complete audittrail hebben van wanneer en hoe resources toegang krijgen tot services. Dit is essentieel voor compliance-frameworks zoals ISO 27001, waarbij organisaties moeten aantonen dat toegang tot systemen wordt gecontroleerd en gemonitord. Bovendien maakt de zero-secrets architectuur het onmogelijk dat credentials per ongeluk worden gecommit naar version control systems, gedeeld via onveilige kanalen of opgeslagen in onbeveiligde locaties. Dit vermindert het risico op credential leakage aanzienlijk en maakt het voor auditors eenvoudiger om te verifiëren dat credentials veilig worden beheerd. Tot slot biedt beheerde identiteit flexibiliteit door twee verschillende typen te ondersteunen: system-assigned en user-assigned. Een system-assigned identity is uniek gekoppeld aan een specifieke Azure-resource en wordt automatisch verwijderd wanneer de resource wordt verwijderd. Dit is ideaal voor resources die een dedicated identiteit nodig hebben. Een user-assigned identity bestaat onafhankelijk van resources en kan worden toegewezen aan meerdere resources tegelijkertijd. Dit is handig wanneer meerdere resources dezelfde identiteit moeten delen, bijvoorbeeld voor toegang tot een gedeelde Key Vault of Storage Account. Door de juiste keuze te maken tussen deze twee typen kunnen organisaties een optimale balans vinden tussen beveiliging, flexibiliteit en beheerbaarheid.
Azure: Multi-Factor Authentication Verplicht Stellen Voor Alle Gebruikers
Het verplichten van multifactorauthenticatie (MFA) voor alle Azure-gebruikers vormt de belangrijkste beveiligingsmaatregel tegen inbreuk op inloggegevens en accountovernames. MFA vereist twee of meer verificatiefactoren: iets dat u weet (wachtwoord), iets dat u bezit (telefoon of token), of iets dat u bent (biometrie).
Azure: Multi-Factor Authentication Status Verifiëren Voor Alle Gebruikers
Meervoudige authenticatie (MFA) voor alle Azure-gebruikers vormt de meest effectieve beveiligingsmaatregel tegen accountcompromittering, met een bewezen preventiepercentage van 99,9% tegen accountovernames volgens Microsoft-beveiligingsinformatie.
Azure: MFA Verificatie Voor Bevoorrechte Rollen
Deze controle vormt een aanvullende verificatie voor de afdwinging van meervoudige authenticatie (MFA) op bevoorrechte rollen. Voor volledige documentatie verwijzen wij naar de primaire controle: privileged-accounts-mfa-azure.json.
Azure: MFA 'Onthouden Op Dit Apparaat' Functie Uitschakelen
Het gemak van de functie "MFA onthouden op dit apparaat" lijkt aantrekkelijk voor medewerkers die dagelijks meerdere keren inloggen, maar voor organisaties binnen de publieke sector vertegenwoordigt dezelfde functie een aanzienlijke aanvalsvector. Zodra een apparaat wordt vertrouwd, hoeft de gebruiker gedurende veertien tot negentig dagen geen tweede factor meer te leveren en ontstaat een periode waarin alleen een wachtwoord of zelfs een sessietoken voldoende is om toegang te krijgen tot staatsgevoelige gegevens. In een tijd waarin mobiele apparaten veelvuldig worden meegenomen naar vergaderingen, thuiswerkplekken en publieke locaties, neemt de kans toe dat een onbevoegde persoon fysieke toegang krijgt. Wanneer dat gebeurt terwijl de bewaartermijn van de MFA-token nog loopt, kan de aanvaller zich voordoen als de rechtmatige gebruiker zonder alarmsignalen in de SIEM-omgeving te genereren. Deze realiteit dwingt beheerders van Nederlandse overheidsnetwerken om comfortfuncties kritisch te heroverwegen en te beoordelen of het beperkte gebruiksgemak opweegt tegen het regenereren van volledige vertraging bij incidentrespons, reputatieschade en mogelijke AVG-meldingen. Door vanuit deze invalshoek te redeneren wordt MFA-herinnering niet langer gezien als handig en onschuldig, maar als een beleidsbeslissing met strategische impact op de gehele digitale weerbaarheid.
Azure: MFA Verplicht Stellen Voor Device Registration En Azure AD Join
Het afdwingen van meervoudige authenticatie bij iedere device-registratie in Azure AD sluit een populaire aanvalsketen af waarin gestolen wachtwoorden worden misbruikt om een ogenschijnlijk vertrouwd apparaat binnen de tenant te brengen.
Azure: Named Locations Configureren Voor Geografische Toegangscontrole
Named locations binnen Microsoft Entra ID (voorheen Azure AD) vormen het fundament voor geografische toegangscontrole binnen de Nederlandse Baseline voor Veilige Cloud. Door IP-bereiken van rijkskantoren, gemeentelijke datacenters, strategische leveranciers en centrale VPN-uitgangen te registreren, ontstaat een betrouwbaar overzicht van netwerken die expliciet als vertrouwd zijn aangemerkt. Deze inventaris kan vervolgens worden gebruikt in voorwaardelijke-toegangsbeleidsregels, waardoor authentications vanaf bekende locaties soepel verlopen terwijl afwijkende patronen onmiddellijk aanvullende verificatie vereisen. De controle sluit aan op zero-trustprincipes en helpt bestuurders aantoonbaar te maken dat toegang tot staatsgevoelige cloudmiddelen niet afhankelijk is van impliciete aannames.
Azure: Aangepaste Subscription Owner Rollen Vermijden
Aangepaste rollen met subscription-niveau Owner-equivalente machtigingen moeten worden vermeden. Gebruik in plaats daarvan de ingebouwde Owner-rol in combinatie met Privileged Identity Management (PIM) voor adequate governance en beveiliging.
Azure: Beheerders Waarschuwen Bij Wachtwoordresets Van Admin-accounts
Beheerders binnen Nederlandse ministeries en gemeenten moeten onmiddellijk een waarschuwing ontvangen zodra een privileged account een wachtwoordreset ondergaat, omdat dit vaak het eerste tastbare signaal is dat een aanvaller voet aan de grond probeert te krijgen.
Azure: Gebruikers Waarschuwen Bij Wachtwoordresets
E-mailmeldingen naar gebruikers bij wachtwoordresets waarschuwen gebruikers direct wanneer hun wachtwoord wordt gewijzigd, wat snelle detectie mogelijk maakt van onbevoegde wachtwoordresets door aanvallers. Deze beveiligingscontrole vormt een cruciaal onderdeel van moderne identiteitsbeveiliging in Azure Active Directory en helpt organisaties bij het tijdig detecteren van verdachte activiteiten. In een tijdperk waarin cyberaanvallen steeds geavanceerder worden, is proactieve gebruikerswaarschuwing essentieel voor het behoud van beveiligingsbewustzijn en snelle incidentrespons.
Azure: Groepseigenaren Beheer Van Lidmaatschapsverzoeken Beperken
Groepseigenaren die lidmaatschapsverzoeken beheren zonder toezicht vormt een risico voor toegangscontrole en authenticatie.
Azure: Password Protection Uitrollen Naar On-Premises Active Directory
Azure Entra wachtwoordbescherming moet worden uitgerold naar on-premises Active Directory om een consistent en uniform wachtwoordbeleid te waarborgen tussen cloud en on-premises omgevingen, waardoor organisaties een alomvattende beveiligingsstrategie kunnen implementeren die zwakke wachtwoorden voorkomt ongeacht waar gebruikers hun wachtwoord wijzigen.
Azure: Phishing-Resistente MFA Verplicht Stellen Voor Beheerders-accounts
Phishing-resistente meervoudige authenticatie gebruikt cryptografische verificatie die niet kan worden ge-phisht, in tegenstelling tot traditionele MFA-methoden zoals SMS-codes of pushmeldingen die gevoelig zijn voor AiTM-aanvallen (Adversary-in-the-Middle). Voor geprivilegieerde accounts is phishing-resistente MFA essentieel vanwege de extreme impact van een gecompromitteerd beheerdersaccount.
Azure: PIM-waarschuwingen Configureren Voor Activering Van Geprivilegieerde Rollen
PIM-waarschuwingen vormen een kritieke beveiligingslaag die het beveiligingsteam direct informeert over belangrijke gebeurtenissen rondom geprivilegieerde rollen. Deze waarschuwingen signaleren niet alleen activaties van beheerdersrollen, maar detecteren ook verdachte patronen, verlopen toewijzingen en potentieel misbruik van bevoegdheden. In een tijd waarin geprivilegieerde toegang een primair doelwit is voor cyberaanvallen, bieden PIM-waarschuwingen de essentiële zichtbaarheid die nodig is voor proactieve beveiliging. Het implementeren van een robuust waarschuwingssysteem voor Privileged Identity Management is geen optionele luxe, maar een fundamentele vereiste voor organisaties die serieus omgaan met cybersecurity. Deze waarschuwingen fungeren als de ogen en oren van het beveiligingsteam, waardoor zij real-time inzicht krijgen in alle activiteiten die betrekking hebben op geprivilegieerde toegang. Zonder adequate waarschuwingen opereren beveiligingsteams in het donker, waarbij zij pas achteraf ontdekken dat er misbruik heeft plaatsgevonden van beheerdersrechten. Moderne cyberaanvallen richten zich primair op het verkrijgen van geprivilegieerde toegang, omdat deze machtige rechten de sleutel vormen tot gevoelige systemen en data. Aanvallers begrijpen dat eenmaal in bezit van beheerdersrechten, zij praktisch ongehinderd kunnen opereren binnen de IT-infrastructuur. Deze realiteit maakt het monitoren van geprivilegieerde toegang tot een van de belangrijkste beveiligingsactiviteiten die een organisatie kan ondernemen. PIM-waarschuwingen verschaffen het beveiligingsteam niet alleen inzicht in wie wanneer welke rechten activeert, maar ook in de context en omstandigheden rondom deze activaties. Deze contextuele informatie is cruciaal voor het onderscheiden tussen legitieme activiteiten en verdachte patronen die mogelijk wijzen op een inbreuk of insider bedreiging. De waarschuwingsmechanismen analyseren niet alleen individuele gebeurtenissen, maar identificeren ook trends en anomalieën over tijd die kunnen wijzen op gecoördineerde aanvallen of systematisch misbruik van bevoegdheden.
Azure: Privileged Identity Management Voor Azure RBAC-rollen Implementeren
Privileged Identity Management (PIM) voor Azure RBAC-rollen elimineert permanente bevoorrechte toegang door tijdsbeperkte, goedkeuringsgebaseerde, just-in-time verhoging van Azure-beheerdersrollen te implementeren. Gebruikers ontvangen alleen beheerdersrechten wanneer dit daadwerkelijk noodzakelijk is, voor maximaal acht uur, na een goedkeuringsworkflow, met verplichte meervoudige authenticatie en volledige auditlogging van alle bevoorrechte verhogingen.
Azure: Privilege Escalation Detecteren En Monitoren
Privilege escalation-pogingen moeten worden gemonitord via Azure Activiteitenlogs om ongeautoriseerde verhoging van beheerdersrechten te detecteren en te voorkomen.
Azure: Multi-Factor Authentication Verplicht Stellen Voor Beheerdersaccounts
Meervoudige authenticatie voor geprivilegieerde accounts, zoals accounts met globale beheerderrechten, beveiligingsbeheerder en andere beheerdersrollen, vormt een absoluut minimale beveiligingsvereiste omdat deze accounts volledige controle over de tenant hebben.
Azure: Bevoorrechte Roltoewijzingen Periodiek Beoordelen En Auditen
Periodieke toegangsbeoordelingen van bevoorrechte roltoewijzingen zorgen ervoor dat alleen gebruikers die beheerdersrechten daadwerkelijk nodig hebben deze behouden, wat het opkruipen van bevoegdheden voorkomt en het principe van minimale bevoegdheden afdwingt.
Azure: Herbevestiging Van Authenticatie-informatie Na X Dagen Configureren
Het afdwingen dat gebruikers hun MFA-contactgegevens periodiek herbevestigen is een cruciale verdedigingslaag binnen de Nederlandse Baseline voor Veilige Cloud, omdat het verouderde telefoonnummers, persoonlijke e-mailadressen en authenticator-apps tijdig opspoort en daarmee aanmeldprocessen betrouwbaar houdt.
Azure: Toegang Tot Beheerportalen Beperken Tot Administrators
Het beperken van toegang tot beheerportalen tot alleen beheerders vormt een essentiële beveiligingsmaatregel om informatielek en verkenning door aanvallers te voorkomen, waarbij niet-beheergebruikers worden geblokkeerd van toegang tot gevoelige beheerinterfaces zoals Azure Portal-beheersecties en het Microsoft 365 Beheercentrum.
Azure: Toegang Tot 'Mijn Groepen' Portal Beperken
Beperk de toegang tot het Mijn Groepen-portal (myaccount.microsoft.com/groepen) om te voorkomen dat gebruikers zelfstandig groepsbeheer uitvoeren buiten de IT-governance om.
Azure: Tenant Aanmaken Beperken Tot Administrators
Gebruikers mogen geen nieuwe Entra ID-tenants aanmaken om schaduw-IT te voorkomen en governance te waarborgen.
SAML Federation Configuratie En Beveiliging
SAML (Security Assertion Markup Language) federation vormt een kritieke beveiligingscomponent voor moderne identiteits- en toegangsbeheerarchitecturen, waarbij organisaties gebruikers kunnen authenticeren via externe identiteitsproviders terwijl zij toegang behouden tot cloudservices zoals Microsoft 365 en Azure. Voor Nederlandse overheidsorganisaties die werken met gevoelige gegevens en strikte compliance-vereisten, is een correct geconfigureerde en beveiligde SAML federation implementatie niet alleen een technische vereiste, maar een essentiële beveiligingsmaatregel die direct bijdraagt aan compliance met de Baseline Informatiebeveiliging Overheid (BIO), de NIS2-richtlijn en internationale standaarden zoals ISO 27001.
Azure: Security Defaults Uitschakelen Bij Conditional Access Deployment
Security Defaults moet uitgeschakeld zijn wanneer Conditional Access-beleidsregels worden gebruikt, omdat beide systemen niet gelijktijdig kunnen functioneren. Deze configuratie is essentieel voor organisaties die geavanceerde toegangscontrole willen implementeren met behulp van Conditional Access-beleidsregels.
Azure: Security Defaults Inschakelen Of Vervangen Door Conditional Access Policies
Security Defaults vormen een verzameling standaard beveiligingsinstellingen die automatisch worden toegepast in Azure AD en die meervoudige authenticatie verplicht stellen, verouderde authenticatiemethoden blokkeren en extra bescherming bieden voor beheerderaccounts. Deze instellingen leveren fundamentele identiteitsbeveiliging zonder dat er premium licenties voor voorwaardelijke toegang nodig zijn, waardoor ze bij uitstek geschikt zijn voor organisaties met beperkte budgetten die toch essentiële beveiligingsmaatregelen willen implementeren.
Azure: Service Principal Eigenaarschap Documenteren En Beheren
Service principals zijn onmisbare bouwstenen voor automatisering in Azure, maar zonder expliciet eigenaarschap verandert een technisch hulpmiddel al snel in een onbeheerde toegangspoort. De Nederlandse Baseline voor Veilige Cloud vereist daarom dat elke applicatie-identiteit is gekoppeld aan een verantwoordelijke persoon of afdeling, inclusief transparante documentatie over doel, machtigingen en credentialbeheer.
Azure: Sign-in Risk Policy Configureren Via Identity Protection
Het sign-in risicobeleid in Azure AD Identiteitsbescherming detecteert verdachte aanmeldpogingen zoals ongebruikelijke locaties, anonieme IP-adressen en atypische reispatronen, en dwingt meervoudige authenticatie af of blokkeert toegang op basis van het berekende risiconiveau.
Azure: Self-Service Password Reset Inschakelen Voor Alle Gebruikers
Self-Service Password Reset (SSPR) stelt gebruikers in staat om zelf hun wachtwoord te resetten via veilige verificatiemethoden zonder tussenkomst van de helpdesk, wat zowel de beveiliging als de productiviteit van gebruikers verbetert.
Azure: Self-Service Password Reset Minimaal 2 Verificatiemethoden Vereisen
Self-service wachtwoordreset moet minimaal twee verificatiemethoden vereisen voor sterkere identiteitsverificatie.
Azure: Subscription Tenant Transfer Beperken Voor Governance
Abonnementsoverdrachten tussen tenants moeten worden beperkt om onbevoegde resource-overdrachten te voorkomen.
Azure: Vertrouwde Locaties Definiëren Voor Voorwaardelijke Toegang
Vertrouwde locaties vormen een essentieel onderdeel van een robuust voorwaardelijk toegangsbeleid binnen Microsoft Entra ID. Deze controle verifieert of organisaties vertrouwde locaties hebben gedefinieerd op basis van IP-adresbereiken, waardoor beveiligingsbeleid kan worden afgestemd op de geografische en netwerkcontext van gebruikers. Door vertrouwde locaties te configureren, kunnen organisaties de balans vinden tussen beveiliging en gebruikerservaring, waarbij authenticatievereisten worden aangepast op basis van de betrouwbaarheid van de netwerkomgeving.
Azure: User Access Administrator Rol Beperken En Monitoren
De User Access Administrator rol vormt een van de meest kritieke beveiligingsrisico's binnen Azure-omgevingen vanwege de uitgebreide machtigingen die deze rol verleent. Deze controle verifieert of organisaties de toewijzingen van de User Access Administrator rol hebben geminimaliseerd en effectief monitoren, omdat deze rol kan worden gebruikt voor privilege escalation door het toewijzen van RBAC-rollen, inclusief het zichzelf toekennen van de Owner rol. Door deze rol te beperken en te monitoren, kunnen organisaties een fundamentele beveiligingslaag implementeren die voorkomt dat gebruikers onbevoegd toegang krijgen tot kritieke resources en systemen.
Azure: Gebruikerstoestemming Voor Applicaties Blokkeren En Admin Approval Vereisen
Het blokkeren van gebruikerstoestemming voor applicaties voorkomt dat gebruikers ongeautoriseerd OAuth-machtigingen kunnen verlenen aan apps van derden die toegang krijgen tot organisatiegegevens. Deze essentiële beveiligingsmaatregel vormt een eerste verdedigingslinie tegen OAuth-phishing aanvallen en ongeautoriseerde toegang tot gevoelige bedrijfsgegevens via externe applicaties.
Azure: Gebruikerstoestemming Beperken Tot Geverifieerde Uitgevers
Als gebruikerstoestemming voor applicaties is toegestaan, beperk dit dan uitsluitend tot geverifieerde uitgevers om kwaadaardige app-registraties te voorkomen.
Azure: Gebruikersrisicobeleid Configureren Via Identiteitsbescherming
Het gebruikersrisicobeleid in Azure AD Identiteitsbescherming detecteert gecompromitteerde accounts via gelekte inloggegevens, malware-infecties en gedragsafwijkingen, en dwingt automatisch een veilige wachtwoordwijziging af.
Azure: Microsoft 365 Groups Aanmaken Beperken Voor Governance
Gebruikers mogen geen Microsoft 365 Groups aanmaken om ongecontroleerde groeiproblemen te voorkomen.
Azure: Beveiligingsgroepen Aanmaken Beperken Tot Beheerders
Het beperken van het aanmaken van beveiligingsgroepen voorkomt dat gebruikers ongecontroleerd beveiligingsgroepen kunnen creëren die worden gebruikt voor resourcemachtigingen en toegangsbeheer.
Azure: Applicatie-registraties Beperken Tot Beheerders Voor Governance
Het beperken van applicatieregistraties voorkomt dat gebruikers ongecontroleerd OAuth-applicaties kunnen aanmaken die toegang krijgen tot organisatiedata.