Azure: MFA Verificatie Voor Bevoorrechte Rollen (Aanvullende Controle)

De bescherming van bevoorrechte rollen via meervoudige authenticatie is van cruciaal belang voor de beveiliging van de Azure-tenant. Om deze reden bestaan er meerdere verificatiemechanismen die elkaar aanvullen. Deze specifieke controle verifieert de relatie tussen roltoewijzingen en de MFA-registratiestatus van gebruikers. De primaire controle (privileged-accounts-mfa-azure) verifieert daarentegen de afdwinging via Conditional Access-beleid. Door beide controles te combineren, ontstaat een gelaagde beveiligingsaanpak die zowel de technische configuratie als de daadwerkelijke gebruikersstatus valideert.

Implementatie

Deze controle verifieert dat alle gebruikers met directoryroltoewijzingen, zoals Globale beheerder, Security Administrator, User Administrator en andere bevoorrechte rollen, daadwerkelijk zijn geregistreerd voor meervoudige authenticatie en dat deze registratie wordt afgedwongen via Conditional Access-beleid. De controle controleert expliciet de status van roltoewijzingen ten opzichte van de MFA-registratiestatus en vormt daarmee een aanvulling op de primaire controle. Voor volledige dekking dient deze controle te worden gecross-referenced met de privileged-accounts-mfa-azure controle, zodat zowel de beleidsconfiguratie als de gebruikersstatus worden gevalideerd.

Vereisten

Voor de succesvolle implementatie van deze aanvullende controle voor meervoudige authenticatie op bevoorrechte rollen, dienen organisaties te beschikken over een reeks fundamentele vereisten die de basis vormen voor een robuuste beveiligingsaanpak. Deze vereisten zijn niet alleen technisch van aard, maar omvatten ook organisatorische en procesmatige aspecten die essentieel zijn voor het effectief functioneren van de controle. Het is van cruciaal belang dat organisaties eerst de primaire controle hebben geïmplementeerd zoals beschreven in privileged-accounts-mfa-azure.json, aangezien deze aanvullende controle specifiek is ontworpen om de primaire implementatie te versterken en niet als standalone oplossing dient te worden beschouwd. De synergie tussen beide controles zorgt voor een gelaagde beveiligingsaanpak waarbij zowel de beleidsconfiguratie als de daadwerkelijke gebruikersstatus worden gevalideerd.

De eerste en meest fundamentele vereiste betreft de configuratie van Conditional Access-beleid specifiek voor beheerdersrollen binnen de Azure Active Directory-omgeving. Dit beleid moet zodanig zijn geconfigureerd dat het meervoudige authenticatie afdwingt voor alle gebruikers die zijn toegewezen aan bevoorrechte directoryrollen, ongeacht de specifieke rol die zij vervullen. Het Conditional Access-beleid dient nauwkeurig te worden gekoppeld aan de relevante roltoewijzingen en moet actief zijn voor alle beheerdersaccounts, ongeacht hun geografische locatie, het apparaat dat wordt gebruikt, of de netwerkcontext waarin zij zich bevinden. De configuratie moet bovendien zodanig zijn ingesteld dat gebruikers die niet voldoen aan de MFA-vereisten, onmiddellijk worden geblokkeerd of worden gedwongen om de registratie te voltooien voordat toegang wordt verleend tot gevoelige functies en gegevens. Dit vereist een diepgaand begrip van de Conditional Access-beleidsregels en de manier waarop deze interacteren met roltoewijzingen binnen de Azure-tenant.

De tweede essentiële vereiste betreft de registratie van beheerdersaccounts voor meervoudige authenticatie via de Azure Active Directory Multi-Factor Authentication-service. Alle gebruikers met bevoorrechte roltoewijzingen, waaronder Globale beheerders, Security Administrators, User Administrators en andere kritieke rollen, moeten daadwerkelijk zijn geregistreerd voor MFA en moeten beschikken over actieve en geldige authenticatiemethoden. Deze registratie omvat niet alleen de initiële configuratie waarbij gebruikers hun authenticatiemethoden instellen, maar ook de continue verificatie dat deze methoden actief blijven en niet zijn verlopen of uitgeschakeld. Organisaties dienen een proactief proces te hebben geïmplementeerd waarbij regelmatig wordt gecontroleerd of de geregistreerde methoden nog steeds geldig zijn en of gebruikers niet onbewust zijn teruggevallen op verouderde of onveilige authenticatiemethoden. Dit proces moet ook voorzien in de mogelijkheid om gebruikers te waarschuwen wanneer hun authenticatiemethoden binnenkort verlopen, zodat zij tijdig nieuwe methoden kunnen registreren zonder onderbreking van hun toegang tot kritieke systemen.

Daarnaast is het absoluut noodzakelijk dat organisaties beschikken over de juiste Microsoft Graph API-machtigingen en PowerShell-modules om de verificatie uit te voeren. De Microsoft.Graph.Identity.SignIns module moet zijn geïnstalleerd en correct geconfigureerd op de systemen waarop de controle wordt uitgevoerd, en de verbinding met Microsoft Graph moet zijn geautoriseerd met de benodigde rechten om directoryrollen en MFA-registratiestatus te kunnen lezen. Deze machtigingen omvatten typisch Directory.Read.All of Directory.ReadWrite.All, afhankelijk van de specifieke functionaliteit die wordt gebruikt. Zonder deze technische vereisten kan de controle niet worden uitgevoerd en blijven organisaties blind voor potentiële beveiligingsrisico's die voortvloeien uit niet-compliant bevoorrechte gebruikers. Het is daarom essentieel dat IT-beheerders en security teams beschikken over de juiste training en documentatie om deze technische vereisten correct te implementeren en te onderhouden.

Tot slot vereist deze controle dat organisaties beschikken over een duidelijk, actueel en compleet overzicht van alle directoryroltoewijzingen binnen hun Azure Active Directory-tenant. Dit overzicht moet niet alleen een momentopname zijn, maar moet regelmatig worden bijgewerkt om ervoor te zorgen dat nieuwe roltoewijzingen onmiddellijk worden gedetecteerd en gecontroleerd op compliance met MFA-vereisten. Organisaties dienen bovendien een gestructureerd proces te hebben geïmplementeerd voor het beheren van roltoewijzingen, waarbij nieuwe toewijzingen automatisch worden gecontroleerd op MFA-registratiestatus voordat de toewijzing definitief wordt gemaakt. Dit proces moet ook voorzien in de mogelijkheid om bestaande roltoewijzingen periodiek te herzien en te verifiëren dat alle gebruikers nog steeds voldoen aan de vereisten. Het proces moet worden gedocumenteerd en geïntegreerd in de algemene identity governance-strategie van de organisatie, zodat het een duurzame en schaalbare oplossing vormt voor het beheren van bevoorrechte toegang.

Monitoring en Verificatie

Gebruik PowerShell-script mfa-privileged-roles.ps1 (functie Invoke-Monitoring) – Controleren.

Het monitoren van de MFA-registratiestatus voor bevoorrechte rollen vormt een kritieke en onmisbare component van de beveiligingsstrategie voor Azure Active Directory. Deze controle dient niet als een eenmalige activiteit te worden beschouwd, maar als een continu proces dat regelmatig en systematisch wordt uitgevoerd om ervoor te zorgen dat alle gebruikers met bevoorrechte roltoewijzingen daadwerkelijk zijn geregistreerd voor meervoudige authenticatie en dat deze registratie wordt afgedwongen via Conditional Access-beleid. Het monitoringproces omvat een uitgebreide en systematische verificatie van elke gebruiker met een bevoorrechte roltoewijzing, waarbij meerdere essentiële aspecten worden gecontroleerd om een complete beveiligingspostuur te waarborgen. Het doel van dit monitoringproces is niet alleen het identificeren van niet-compliant gebruikers, maar ook het creëren van een proactieve beveiligingscultuur waarin compliance met MFA-vereisten als vanzelfsprekend wordt beschouwd.

Het eerste en meest fundamentele aspect van het monitoringproces betreft de gedetailleerde verificatie van de MFA-registratiestatus per individuele bevoorrechte gebruiker. Voor elke gebruiker met een directoryroltoewijzing, zoals Globale beheerder, Security Administrator, User Administrator, Exchange Administrator, SharePoint Administrator of andere kritieke bevoorrechte rollen, dient een uitgebreide controle te worden uitgevoerd om te verifiëren of deze gebruiker daadwerkelijk is geregistreerd voor meervoudige authenticatie. Deze verificatie omvat niet alleen de controle of de registratie heeft plaatsgevonden, maar ook een diepgaande analyse van de geregistreerde authenticatiemethoden om te bevestigen dat deze actief en geldig zijn. Gebruikers die wel zijn geregistreerd maar waarvan de authenticatiemethoden zijn verlopen, zijn uitgeschakeld, of niet meer voldoen aan de beveiligingsvereisten van de organisatie, vormen eveneens een significant beveiligingsrisico en dienen onmiddellijk te worden geïdentificeerd en aangepakt. Het monitoringproces moet daarom niet alleen kijken naar de aanwezigheid van registratie, maar ook naar de kwaliteit en geldigheid van de geregistreerde methoden.

Het tweede cruciale aspect van het monitoringproces betreft de verificatie dat Conditional Access-beleid daadwerkelijk meervoudige authenticatie afdwingt voor deze bevoorrechte gebruikers bij elke aanmeldpoging. Het is onvoldoende dat gebruikers simpelweg zijn geregistreerd voor MFA; het Conditional Access-beleid moet ook zodanig zijn geconfigureerd en actief zijn dat het deze registratie daadwerkelijk afdwingt bij elke poging tot toegang tot gevoelige functies en gegevens. De controle dient te verifiëren dat het beleid niet alleen bestaat, maar ook actief is, correct is gekoppeld aan de relevante roltoewijzingen, en dat er geen uitzonderingen, bypasses of andere configuratiefouten zijn die de beveiliging kunnen ondermijnen. Dit omvat ook de verificatie dat het beleid correct is geprioriteerd en dat er geen conflicterende beleidsregels zijn die de MFA-afdwinging kunnen omzeilen. Het monitoringproces moet daarom een holistische benadering volgen waarbij zowel de gebruikersstatus als de beleidsconfiguratie worden gecontroleerd.

Wanneer de monitoring controle niet-compliant bevoorrechte gebruikers identificeert, dient onmiddellijk en zonder uitstel actie te worden ondernomen volgens een vooraf gedefinieerd en getest remediatieproces. Deze gebruikers vormen een kritiek en onacceptabel beveiligingsrisico, aangezien zij toegang hebben tot de meest gevoelige functies en gegevens binnen de Azure-tenant zonder de vereiste meervoudige authenticatie. Een gecompromitteerd wachtwoord van een niet-compliant bevoorrechte gebruiker kan leiden tot volledige overname van de tenant, met catastrofale gevolgen voor de organisatie en de gegevens die zij beheert. Het rapportageproces moet daarom zodanig zijn ingericht dat niet-compliant gebruikers onmiddellijk worden gemeld aan de beveiligingsteams, security officers en andere relevante stakeholders, en dat er een duidelijk, gedocumenteerd en getest proces bestaat voor het herstellen van de compliance. Dit proces omvat typisch de onmiddellijke notificatie van de gebruiker over de niet-compliant status, de verplichting tot het voltooien van de MFA-registratie binnen een gespecificeerde tijdsperiode, en de verificatie dat de registratie daadwerkelijk is voltooid en actief is voordat de gebruiker opnieuw volledige toegang krijgt tot bevoorrechte functies.

De monitoring dient regelmatig en consistent te worden uitgevoerd, bij voorkeur dagelijks of in ieder geval wekelijks, om ervoor te zorgen dat nieuwe roltoewijzingen onmiddellijk worden gedetecteerd en gecontroleerd op compliance met MFA-vereisten. Automatisering van het monitoringproces via PowerShell-scripts, zoals het beschikbare Invoke-Monitoring script, maakt het mogelijk om deze controles efficiënt, consistent en zonder menselijke fouten uit te voeren zonder handmatige tussenkomst. Deze automatisering zorgt ervoor dat het monitoringproces schaalbaar is en kan worden uitgevoerd ongeacht de grootte van de organisatie of het aantal bevoorrechte gebruikers. De resultaten van de monitoring dienen te worden gedocumenteerd, opgeslagen en geanalyseerd voor auditdoeleinden, trendanalyse en compliance-rapportage, zodat organisaties kunnen aantonen dat zij proactief en regelmatig controleren op compliance met MFA-vereisten voor bevoorrechte rollen. Deze documentatie vormt een essentieel onderdeel van de audit trail en kan worden gebruikt om compliance aan te tonen tijdens externe audits en certificeringsprocessen.

Compliance en Audit

De implementatie van meervoudige authenticatie voor bevoorrechte rollen is niet alleen een best practice voor beveiliging, maar vormt ook een verplichte vereiste onder verschillende internationale en nationale compliance frameworks die van toepassing zijn op organisaties in de Nederlandse publieke sector. Organisaties die opereren binnen deze sector dienen te voldoen aan specifieke normen, richtlijnen en wetgeving die de bescherming van bevoorrechte accounts en gevoelige gegevens vereisen. Deze controle draagt direct en substantieel bij aan de naleving van meerdere belangrijke compliance frameworks, waaronder het CIS Azure Foundations Benchmark, de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001:2022, en de NIS2-richtlijn. Het niet naleven van deze vereisten kan leiden tot significante juridische, financiële en reputatierisico's voor organisaties, waardoor de implementatie van deze controle niet alleen een technische keuze is, maar een strategische noodzaak voor organisaties die serieus omgaan met compliance en risicomanagement.

Het CIS Azure Foundations Benchmark v3.0.0, specifiek controle 1.26, vereist expliciet en zonder uitzondering dat meervoudige authenticatie wordt geïmplementeerd voor alle bevoorrechte gebruikersaccounts binnen Azure-omgevingen. Deze controle vormt een Level 1 (L1) controle, wat betekent dat deze als essentieel en fundamenteel wordt beschouwd voor de basisbeveiliging van Azure-omgevingen en niet kan worden overgeslagen zonder significante beveiligingsrisico's te accepteren. De CIS Benchmark wordt wereldwijd erkend en gerespecteerd als een toonaangevende standaard voor cloudbeveiliging en wordt vaak gebruikt als basis voor compliance-audits, certificeringsprocessen en beveiligingsbeoordelingen door externe partijen. Door deze controle te implementeren en regelmatig te verifiëren, kunnen organisaties aantonen dat zij voldoen aan deze belangrijke beveiligingsstandaard en kunnen zij hun beveiligingspostuur verbeteren in vergelijking met organisaties die deze controle niet hebben geïmplementeerd. Dit kan leiden tot betere verzekeringsvoorwaarden, meer vertrouwen van stakeholders, en een sterkere concurrentiepositie in aanbestedingen en partnerships.

Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder en kritiek belang, aangezien deze de verplichte basis vormt voor informatiebeveiliging binnen de Nederlandse overheid. Specifiek vereist BIO controle 09.04 dat bevoorrechte toegang wordt beschermd via meervoudige authenticatie, waarbij geen uitzonderingen zijn toegestaan voor bevoorrechte accounts. De BIO is niet alleen een richtlijn, maar een verplichte standaard voor alle overheidsorganisaties, inclusief ministeries, provincies, gemeenten, waterschappen en andere publieke entiteiten. Niet-naleving van BIO-vereisten kan leiden tot significante gevolgen, waaronder mogelijke sancties van toezichthouders, het verlies van vertrouwen van burgers en stakeholders, negatieve publiciteit, en in extreme gevallen zelfs juridische consequenties. Deze controle helpt organisaties om te voldoen aan deze cruciale vereiste en vormt een essentieel en onmisbaar onderdeel van de compliance-strategie voor Nederlandse overheidsorganisaties. Het regelmatig verifiëren van compliance met deze controle is daarom niet alleen een technische activiteit, maar een verplichting die direct verband houdt met de wettelijke en ethische verantwoordelijkheden van overheidsorganisaties.

Daarnaast draagt deze controle substantieel bij aan de naleving van ISO 27001:2022, specifiek controle A.9.4.3, die betrekking heeft op het beheer en de controle van bevoorrechte toegangsrechten binnen informatiebeveiligingsmanagementsystemen. ISO 27001 is een internationaal erkende en gerespecteerde standaard voor informatiebeveiligingsmanagementsystemen en wordt wereldwijd gebruikt als basis voor certificering, compliance-audits en beveiligingsbeoordelingen. De standaard vereist dat organisaties passende, proportionele en effectieve maatregelen treffen om bevoorrechte toegang te beheren, te controleren en te monitoren, waarbij meervoudige authenticatie wordt beschouwd als een essentiële en fundamentele component van deze maatregelen. Meervoudige authenticatie vormt niet alleen een technische beveiligingsmaatregel, maar ook een organisatorische controle die aantoont dat de organisatie serieus omgaat met het beheer van bevoorrechte toegang. Aangezien gecompromitteerde wachtwoorden een van de meest voorkomende oorzaken zijn van beveiligingsincidenten, vermindert meervoudige authenticatie de risico's van gecompromitteerde wachtwoorden aanzienlijk en vormt het een cruciale verdedigingslinie tegen ongeautoriseerde toegang tot gevoelige systemen en gegevens.

Voor auditdoeleinden en compliance-verificatie is het absoluut essentieel dat organisaties kunnen aantonen en documenteren dat zij regelmatig, systematisch en proactief controleren op compliance met deze vereisten. Dit omvat niet alleen de initiële implementatie van de controle, maar ook de continue en regelmatige verificatie dat alle bevoorrechte gebruikers daadwerkelijk zijn geregistreerd voor MFA, dat deze registratie actief en geldig is, en dat deze registratie wordt afgedwongen via Conditional Access-beleid. De resultaten van de monitoring controles dienen te worden gedocumenteerd, opgeslagen en bewaard volgens de vereiste bewaartermijnen voor auditdoeleinden, zodat organisaties tijdens externe audits, certificeringsprocessen en compliance-beoordelingen kunnen aantonen dat zij proactief en consistent werken aan het handhaven van compliance met deze belangrijke beveiligingsvereisten. Deze documentatie vormt een essentieel onderdeel van de audit trail en kan worden gebruikt om aan te tonen dat de organisatie voldoet aan haar verplichtingen onder verschillende compliance frameworks. Zonder deze documentatie kunnen organisaties niet aantonen dat zij voldoen aan de vereisten, wat kan leiden tot negatieve auditbevindingen, het verlies van certificeringen, en mogelijke sancties van toezichthouders.

Remediatie

Gebruik PowerShell-script mfa-privileged-roles.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer de monitoring controle niet-compliant bevoorrechte gebruikers identificeert, dient onmiddellijk en zonder enige vertraging een gestructureerd, gedocumenteerd en getest remediatieproces te worden gestart volgens vooraf gedefinieerde procedures. Dit proces is van cruciaal en onmisbaar belang, aangezien niet-compliant bevoorrechte gebruikers een kritiek, onacceptabel en onmiddellijk beveiligingsrisico vormen voor de gehele Azure-tenant en alle daarin opgeslagen gegevens en systemen. Elke minuut dat een niet-compliant bevoorrechte gebruiker toegang heeft tot gevoelige functies zonder meervoudige authenticatie, verhoogt het risico op een succesvolle aanval en potentiële datalekken. Het remediatieproces moet daarom zodanig zijn ingericht dat het snel, efficiënt, volledig en traceerbaar is, zodat de beveiligingspostuur van de organisatie zo snel mogelijk wordt hersteld en het risico wordt gemitigeerd tot een acceptabel niveau. Het proces moet ook voorzien in escalatieprocedures voor gevallen waarin gebruikers niet binnen de gestelde termijn voldoen aan de vereisten.

Het eerste en meest kritieke stadium van het remediatieproces betreft de onmiddellijke identificatie en prioritering van niet-compliant gebruikers op basis van de kritiekheid van hun roltoewijzingen en de potentiële impact op de beveiliging van de organisatie. Gebruikers met de hoogste en meest bevoorrechte rollen, zoals Globale beheerders, Security Administrators, en andere rollen met brede toegangsrechten, dienen de absolute hoogste prioriteit te krijgen, aangezien deze accounts de grootste en meest directe impact hebben op de beveiliging van de tenant en in staat zijn om wijzigingen aan te brengen die de gehele organisatie kunnen beïnvloeden. Het remediatiescript, beschikbaar via de Invoke-Remediation functie, kan worden gebruikt om automatisch een geprioriteerde lijst te genereren van alle niet-compliant gebruikers, gesorteerd op basis van de kritiekheid van hun roltoewijzingen, de duur van de niet-compliant status, en andere relevante risicofactoren. Deze prioritering zorgt ervoor dat de meest kritieke risico's eerst worden aangepakt en dat de beperkte resources van het beveiligingsteam optimaal worden ingezet.

Voor elke geïdentificeerde niet-compliant gebruiker dient een specifiek, op maat gemaakt en gedocumenteerd remediatieplan te worden uitgevoerd dat is afgestemd op de individuele situatie en de kritiekheid van de roltoewijzing. Dit plan begint met de onmiddellijke en duidelijke notificatie van de gebruiker over de vereiste om meervoudige authenticatie te registreren, waarbij de urgentie van de situatie en de potentiële gevolgen van niet-naleving expliciet worden gecommuniceerd. De notificatie moet niet alleen informeren over de vereiste, maar ook motiveren waarom deze vereiste essentieel is voor de beveiliging van de organisatie en de gegevens die zij beheert. Gebruikers dienen te worden voorzien van duidelijke, stap-voor-stap instructies over hoe zij de MFA-registratie kunnen voltooien, inclusief links naar relevante documentatie, video-tutorials, ondersteuningsbronnen, en contactgegevens voor technische ondersteuning indien zij problemen ondervinden tijdens het registratieproces. De notificatie moet ook een duidelijke deadline bevatten waarbinnen de registratie moet zijn voltooid, en de consequenties van niet-naleving binnen deze termijn.

Tijdens het remediatieproces dienen organisaties zorgvuldig te overwegen om tijdelijke, proportionele en gedocumenteerde beperkingen toe te passen op niet-compliant accounts, indien dit technisch mogelijk is zonder de kritieke bedrijfsvoering te verstoren of essentiële dienstverlening te onderbreken. Deze beperkingen kunnen bijvoorbeeld bestaan uit het beperken van toegang tot alleen essentiële functies die absoluut noodzakelijk zijn voor de dagelijkse werkzaamheden, het vereisen van extra goedkeuringen voor bepaalde acties, het beperken van toegang tot specifieke tijdvensters, of het implementeren van aanvullende monitoring en logging voor acties die door niet-compliant gebruikers worden uitgevoerd. Deze maatregelen helpen om het beveiligingsrisico te verminderen en te mitigeren terwijl de gebruiker de MFA-registratie voltooit, zonder de bedrijfsvoering volledig te blokkeren. Het is echter essentieel dat deze beperkingen proportioneel zijn, duidelijk worden gecommuniceerd aan de gebruiker, en worden gedocumenteerd voor auditdoeleinden. Organisaties moeten ook voorzien in een proces voor het verzoeken van uitzonderingen in uitzonderlijke omstandigheden, waarbij deze verzoeken worden beoordeeld door beveiligingsteams en worden gedocumenteerd.

Na voltooiing van de MFA-registratie door de gebruiker, dient onmiddellijk een uitgebreide en onafhankelijke verificatiecontrole te worden uitgevoerd om te bevestigen dat de registratie daadwerkelijk is voltooid, dat de geregistreerde authenticatiemethoden actief en geldig zijn, en dat deze methoden voldoen aan de beveiligingsvereisten van de organisatie. Deze verificatie moet worden uitgevoerd voordat eventuele tijdelijke beperkingen worden opgeheven en de gebruiker volledige toegang krijgt tot bevoorrechte functies, om ervoor te zorgen dat het beveiligingsrisico daadwerkelijk is gemitigeerd en niet alleen op papier is opgelost. Het remediatiescript kan worden gebruikt om deze verificatie automatisch uit te voeren en te rapporteren over de status van de remediatie, maar het is aan te raden om ook een handmatige verificatie uit te voeren voor de meest kritieke accounts om extra zekerheid te bieden. De verificatie moet ook controleren of de Conditional Access-beleidsregels correct zijn geconfigureerd om de MFA-registratie af te dwingen voor deze specifieke gebruiker.

Het is absoluut essentieel dat het volledige remediatieproces, van identificatie tot verificatie, volledig en gedetailleerd wordt gedocumenteerd voor auditdoeleinden, compliance-verificatie en toekomstige referentie. Deze documentatie moet omvatten: de identificatie van niet-compliant gebruikers met timestamps, de genomen remediatieacties met details over wie welke acties heeft ondernomen en wanneer, de tijdlijn van het volledige proces van identificatie tot verificatie, de communicatie met gebruikers inclusief notificaties en reacties, eventuele toegepaste tijdelijke beperkingen en de redenen hiervoor, en de verificatie van de voltooide remediatie met bewijs van de actieve MFA-registratie. Deze documentatie helpt organisaties om te voldoen aan compliance-vereisten onder verschillende frameworks, vormt een belangrijk en onmisbaar onderdeel van de audit trail voor beveiligingscontroles, en kan worden gebruikt voor trendanalyse en het verbeteren van het remediatieproces in de toekomst. Zonder deze documentatie kunnen organisaties niet aantonen dat zij proactief omgaan met beveiligingsrisico's en kunnen zij problemen ondervinden tijdens externe audits en compliance-beoordelingen.

Compliance & Frameworks

• CIS M365: Control 1.26 (L1) - Zorg ervoor dat meervoudige authenticatie is geïmplementeerd voor bevoorrechte rollen
• BIO: 09.04 - Meervoudige authenticatie voor bevoorrechte toegang
• ISO 27001:2022: A.9.4.3 - Beheer van bevoorrechte toegangssystemen

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Aanvullende verificatie voor meervoudige authenticatie van bevoorrechte accounts. Zie privileged-accounts-mfa-azure.json voor volledige implementatie. Verifieer dat alle directoryrollen meervoudige authenticatie hebben. Verplicht onder CIS en BIO 9.04.

• Implementatietijd: 1 uur
• FTE required: 0.01 FTE