💼 Management Samenvatting
Beheerdersaccounts in Microsoft 365 beschikken over uitgebreide privileges die directe toegang geven tot gevoelige configuraties, gebruikersgegevens en bedrijfskritieke systemen. Een compromittering van een beheerdersaccount zonder multi-factor authenticatie (MFA) kan binnen minuten leiden tot volledige tenant-overname, datalekken en operationele verstoringen. Verplichte MFA voor alle beheerdersrollen vormt daarom de absolute minimumvereiste voor moderne cloudbeveiliging.
Aanbeveling
IMPLEMENT
Risico zonder
Kritiek
Risk Score
10/10
Implementatie
10u (tech: 4u)
Van toepassing op:
✓ M365
✓ Entra ID
✓ Entra ID
Beheerdersaccounts zijn het primaire doelwit van cyberaanvallen omdat ze toegang bieden tot de kroonjuwelen van een organisatie. Aanvallers gebruiken geavanceerde technieken zoals phishing, password spraying, credential stuffing en social engineering om beheerderswachtwoorden te bemachtigen. Zonder MFA is een gestolen wachtwoord voldoende om volledige controle over de Microsoft 365-tenant te verkrijgen. Een gecompromitteerd beheerdersaccount kan worden misbruikt om security controls uit te schakelen, alle data te exporteren, ransomware te implementeren, nieuwe beheerdersaccounts aan te maken of toegang te verlenen aan externe partijen. Recente incidentanalyses tonen aan dat meer dan 90% van de succesvolle tenant-compromitteringen begint bij een beheerdersaccount zonder adequate MFA-bescherming. Voor Nederlandse overheidsorganisaties en vitale sectoren levert dit niet alleen operationele risico's op, maar ook non-compliance met kaders zoals de BIO, NIS2 en AVG, die expliciet eisen dat privileged access wordt beschermd met sterke authenticatie. MFA blokkeert naar schatting 99,9% van de accountovernamepogingen, zelfs wanneer wachtwoorden zijn gecompromitteerd.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Dit artikel beschrijft hoe u als CISO, security architect of Microsoft 365-beheerder verplichte multi-factor authenticatie implementeert voor alle beheerdersaccounts in uw organisatie. We behandelen de verschillende beheerdersrollen in Microsoft 365 en Entra ID, de risico's per rol, en hoe u via Conditional Access policies MFA afdwingt voor directory roles. Vervolgens werken we uit welke aanvullende maatregelen nodig zijn: phishing-resistente MFA-methoden zoals FIDO2 en Windows Hello for Business voor hoog-privilege rollen, break-glass accounts voor noodgevallen, en monitoring van MFA-registratiestatus en -gebruik. Tot slot behandelen we governance-aspecten: hoe u periodiek controleert of alle beheerders daadwerkelijk MFA gebruiken, hoe u nieuwe beheerders onmiddellijk registreert, en hoe u dit aantoonbaar maakt voor audits en compliance-verificaties.
Risicoanalyse: Waarom beheerdersaccounts zonder MFA kritiek zijn
Beheerdersaccounts in Microsoft 365 en Entra ID beschikken over privileges die ver reiken buiten de normale gebruikersrechten. Een Globale beheerder kan bijvoorbeeld alle gebruikersaccounts aanpassen of verwijderen, security policies uitschakelen, nieuwe beheerdersrollen toewijzen, data exporteren uit alle SharePoint-sites en Teams-channels, en zelfs de tenant-configuratie fundamenteel wijzigen. Andere kritieke rollen zoals Exchange-beheerder, SharePoint-beheerder, Security-beheerder en Compliance-beheerder hebben toegang tot gevoelige informatie en kunnen security controls omzeilen. Wanneer een aanvaller toegang krijgt tot een beheerdersaccount zonder MFA, heeft hij of zij binnen enkele minuten volledige controle over de tenant.
Het dreigingslandschap voor beheerdersaccounts is de afgelopen jaren aanzienlijk geëvolueerd. Aanvallers gebruiken geautomatiseerde tools voor password spraying: ze proberen veelgebruikte wachtwoorden tegen duizenden accounts tegelijk, waarbij beheerdersaccounts vaak als eerste worden getarget omdat ze de hoogste waarde bieden. Phishing-campagnes zijn geraffineerder geworden en richten zich specifiek op IT-personeel en beheerders met valse Microsoft-aanmeldingspagina's. Credential stuffing maakt gebruik van gelekte wachtwoorden uit andere datalekken, waarbij aanvallers aannemen dat beheerders dezelfde wachtwoorden hergebruiken op meerdere platforms. Social engineering-aanvallen proberen beheerders te overtuigen om tijdelijke toegang te verlenen of security controls uit te schakelen. Zonder MFA zijn al deze aanvallen effectief: zodra het wachtwoord bekend is, kan de aanvaller direct inloggen.
De impact van een gecompromitteerd beheerdersaccount is catastrofaal. Operationeel kan dit leiden tot volledige uitval van Microsoft 365-diensten, verlies van alle data, ransomware-implementatie tenant-breed, en verstoring van primaire bedrijfsprocessen. Financieel lopen organisaties risico op aanzienlijke schadeclaims, boetes van toezichthouders, en herstelkosten die kunnen oplopen tot honderdduizenden euro's. Reputatieschade is vaak onherstelbaar, vooral voor overheidsorganisaties die vertrouwen moeten behouden bij burgers en partners. Compliance-risico's zijn eveneens groot: een datalek met persoonsgegevens via een gecompromitteerd beheerdersaccount kan leiden tot AVG-boetes tot 20 miljoen euro of 4% van de wereldwijde omzet. Voor vitale sectoren kan een dergelijk incident zelfs leiden tot nationale veiligheidsrisico's wanneer gevoelige informatie in verkeerde handen valt.
Multi-factor authenticatie vormt de meest effectieve verdediging tegen deze dreigingen. MFA vereist dat gebruikers naast iets wat ze weten (wachtwoord) ook iets bewijzen wat ze hebben (zoals een telefoon met authenticator-app) of iets wat ze zijn (biometrische verificatie). Zelfs wanneer een aanvaller een wachtwoord heeft gestolen, kan hij of zij niet inloggen zonder toegang tot de tweede factor. Microsoft-onderzoek toont aan dat MFA 99,9% van de accountovernamepogingen blokkeert. Voor beheerdersaccounts is MFA daarom niet langer een optionele beveiligingsmaatregel, maar een absolute minimumvereiste die door vrijwel alle security frameworks en compliance-kaders wordt geëist.
Implementatie van verplichte MFA voor beheerders via Conditional Access
De implementatie van verplichte MFA voor beheerders begint met een inventarisatie van alle beheerdersrollen in uw Microsoft 365-tenant. In Entra ID en Microsoft 365 bestaan tientallen ingebouwde beheerdersrollen, variërend van de zeer krachtige Globale beheerder tot meer gespecialiseerde rollen zoals Exchange-beheerder, SharePoint-beheerder, Security-beheerder, Compliance-beheerder, en Application-beheerder. Daarnaast kunnen organisaties aangepaste rollen hebben met specifieke privileges. Het is belangrijk om te begrijpen welke rollen in uw organisatie daadwerkelijk worden gebruikt, welke gebruikers deze rollen hebben toegewezen gekregen, en of er mogelijk onnodige beheerdersrechten zijn verleend die kunnen worden teruggedraaid.
De primaire methode om MFA af te dwingen voor beheerders is via Conditional Access policies in Entra ID. U maakt een specifiek Conditional Access-beleid dat alle directory roles (beheerdersrollen) target, alle cloud-apps omvat, en als grant control 'Require multi-factor authentication' instelt. Deze policy moet worden ingesteld op 'enabled' status en mag geen uitzonderingen bevatten voor reguliere beheerdersaccounts. Break-glass accounts voor noodgevallen kunnen worden uitgesloten, maar moeten zelf worden beschermd met zeer sterke wachtwoorden, strikt beheer en periodieke controles. Het is verstandig om de policy eerst in 'report-only' mode te activeren om de impact te monitoren voordat u deze volledig afdwingt.
Voor hoog-privilege rollen zoals Globale beheerder, Security-beheerder en Privileged Role Administrator is het aan te raden om niet alleen MFA af te dwingen, maar ook te eisen dat gebruikers phishing-resistente MFA-methoden gebruiken. Phishing-resistente MFA omvat methoden zoals FIDO2 security keys, Windows Hello for Business, en Microsoft Authenticator met number matching. Deze methoden zijn bestand tegen geavanceerde phishing-aanvallen waarbij aanvallers MFA-prompts proberen te onderscheppen. U configureert dit door in de Conditional Access policy een 'authentication strength' requirement toe te voegen die specifiek phishing-resistente methoden vereist. Voor andere beheerdersrollen kan standaard MFA voldoende zijn, afhankelijk van uw risicoprofiel en compliance-vereisten.
Naast Conditional Access policies is het belangrijk om te zorgen dat alle beheerders daadwerkelijk zijn geregistreerd voor MFA. U kunt dit controleren via de Entra ID-portal onder 'Users' > 'Per-user MFA' of via PowerShell-scripts die de MFA-registratiestatus van alle beheerders ophalen. Nieuwe beheerders moeten onmiddellijk worden geregistreerd voor MFA voordat ze hun eerste taken uitvoeren. Overweeg het gebruik van een MFA-registratiecampagne die beheerders automatisch uitnodigt om MFA in te stellen wanneer ze een beheerdersrol krijgen toegewezen. Daarnaast is monitoring cruciaal: controleer periodiek of alle beheerders daadwerkelijk MFA gebruiken bij hun aanmeldingen, en onderzoek eventuele aanmeldingen zonder MFA als potentiële security-incidenten.
Governance, monitoring en continue verificatie
Verplichte MFA voor beheerders is geen eenmalige configuratie, maar een doorlopend programma dat governance, monitoring en periodieke verificatie vereist. Het CISO-office of security team moet expliciete policies definiëren die vastleggen dat alle beheerdersaccounts MFA moeten gebruiken, zonder uitzonderingen behalve voor gedocumenteerde break-glass accounts. Deze policies moeten worden gecommuniceerd naar alle IT-personeel en beheerders, en moeten worden opgenomen in security awareness-trainingen. Wijzigingen aan Conditional Access policies voor beheerders moeten worden goedgekeurd via een change management-proces en moeten worden gedocumenteerd in configuratiemanagement-systemen.
Monitoring speelt een centrale rol in het verifiëren dat MFA daadwerkelijk wordt afgedwongen en gebruikt. Via sign-in logs in Entra ID kunt u zien welke beheerders MFA hebben gebruikt bij hun aanmeldingen en welke aanmeldingen mogelijk MFA hebben omzeild. Automatische controles via PowerShell-scripts kunnen periodiek verifiëren of de Conditional Access policy voor beheerders-MFA nog actief is, of alle beheerders zijn geregistreerd voor MFA, en of er aanmeldingen zijn geweest zonder MFA. Deze scripts kunnen worden geïntegreerd in bestaande SIEM-systemen of compliance-dashboards voor continue monitoring. Daarnaast is het verstandig om periodiek handmatige controles uit te voeren waarbij u de lijst van beheerders verifieert en controleert of iedereen daadwerkelijk MFA gebruikt.
Voor compliance en verantwoording is aantoonbaarheid essentieel. Documenteer daarom niet alleen de Conditional Access policy-configuratie, maar ook de rationale achter de keuzes, de lijst van beheerders die onder de policy vallen, eventuele uitzonderingen met bijbehorende risico-afwegingen, en de resultaten van periodieke controles. Koppel de MFA-vereiste expliciet aan controls in de BIO, ISO 27001, CIS-benchmarks en NIS2, zodat u bij audits direct kunt aantonen welke maatregelen zijn genomen om privileged access te beschermen. Bewaar audit evidence zoals exports van Conditional Access policies, rapportages van MFA-registratiestatus, en verslagen van monitoring-activiteiten. Op die manier wordt verplichte MFA voor beheerders niet alleen een technische beveiligingsmaatregel, maar ook een stevig verankerd onderdeel van de bredere governance en compliance van de organisatie.
Technische monitoring met PowerShell
Gebruik PowerShell-script mfa-required-admins.ps1 (functie Invoke-Monitoring) – Controleert of er een Conditional Access policy actief is die MFA afdwingt voor alle beheerdersrollen en verifieert of alle beheerders daadwerkelijk zijn geregistreerd voor MFA..
Operationele opvolging en remediatie
Gebruik PowerShell-script mfa-required-admins.ps1 (functie Invoke-Remediation) – Biedt beheerteams een gestructureerde checklist en ondersteuning voor het implementeren van verplichte MFA voor beheerdersaccounts wanneer deze nog niet is geconfigureerd..
Compliance & Frameworks
- CIS M365: Control 1.1.6 (L1) - Zorg ervoor dat multi-factor authenticatie is ingeschakeld voor alle beheerdersaccounts in Microsoft 365.
- BIO: 09.04, 12.01 - Zorg voor passende toegangsbeveiliging tot informatiesystemen met sterke authenticatie voor beheerdersaccounts en implementeer detectie- en responsmaatregelen voor ongeautoriseerde toegangspogingen.
- ISO 27001:2022: A.9.4.3, A.8.2 - Toegangsbeveiliging en identiteitsbeheer voor privileged accounts, inclusief sterke authenticatie en monitoring van toegangsgebeurtenissen.
- NIS2: Artikel Artikel 21 - Beveiligingsmaatregelen voor netwerk- en informatiesystemen, inclusief sterke authenticatie voor beheerdersaccounts en monitoring van beveiligingsgebeurtenissen.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
MFA Verplicht voor Beheerders - Basisbeveiliging controleren
.DESCRIPTION
Controleert of in Microsoft Entra ID (Azure AD) verplichte multi-factor authenticatie (MFA)
is afgedwongen voor alle beheerdersaccounts via Conditional Access policies.
Het script verifieert:
- Of er een Conditional Access policy actief is die MFA afdwingt voor directory roles (beheerdersrollen)
- Of alle beheerders daadwerkelijk zijn geregistreerd voor MFA
Het script voert GEEN automatische wijzigingen uit, maar geeft een duidelijk overzicht en exit-codes
die gebruikt kunnen worden in geautomatiseerde controles of CI/CD-pijplijnen.
.NOTES
NL Baseline: Nederlandse Baseline voor Veilige Cloud
Workload : Microsoft 365 / Entra ID
Vereist : Microsoft.Graph PowerShell (Policy.Read.All, User.Read.All, Directory.Read.All)
.EXAMPLE
.\mfa-required-admins.ps1 -Monitoring
Controleert of MFA verplicht is voor beheerdersaccounts.
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Monitoring
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "MFA Verplicht voor Beheerders" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert of MFA verplicht is voor beheerdersaccounts.
.DESCRIPTION
Valideert of er:
- Minimaal één ingeschakelde Conditional Access policy is die MFA afdwingt voor directory roles
- Alle beheerders zijn geregistreerd voor MFA
De controle is bewust generiek gehouden zodat deze toepasbaar is op verschillende tenants,
zonder exacte beleidsnamen te vereisen.
#>
try {
Write-Host "[INFO] Verbinden met Microsoft Graph..." -ForegroundColor Gray
Connect-MgGraph -Scopes "Policy.Read.All", "User.Read.All", "Directory.Read.All" -ErrorAction Stop -NoWelcome
Write-Host "[INFO] Ophalen Conditional Access policies..." -ForegroundColor Gray
$policies = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies"
if (-not $policies.value) {
Write-Host "[WARN] Er zijn geen Conditional Access policies gevonden in de tenant." -ForegroundColor Yellow
Write-Host "[FAIL] NON-COMPLIANT - Geen Conditional Access policies geconfigureerd." -ForegroundColor Red
exit 1
}
$enabledPolicies = $policies.value | Where-Object { $_.state -eq 'enabled' }
Write-Host "`n Totaal aantal policies : $($policies.value.Count)" -ForegroundColor Cyan
Write-Host " Ingeschakelde policies : $($enabledPolicies.Count)" -ForegroundColor Cyan
# Zoek naar policies die directory roles (beheerdersrollen) targeten en MFA vereisen
$adminMfaPolicies = @()
foreach ($policy in $enabledPolicies) {
$targetsAdminRoles = $false
$requiresMFA = $false
# Check of policy directory roles target
if ($policy.conditions.users.includeRoles -and $policy.conditions.users.includeRoles.Count -gt 0) {
$targetsAdminRoles = $true
}
# Check of policy alle gebruikers target (wat ook beheerders omvat)
if ($policy.conditions.users.includeUsers -contains 'All') {
$targetsAdminRoles = $true
}
# Check of policy MFA vereist
if ($policy.grantControls -and $policy.grantControls.builtInControls -contains 'mfa') {
$requiresMFA = $true
}
# Check of policy authentication strength vereist (wat ook MFA impliceert)
if ($policy.grantControls -and $policy.grantControls.authenticationStrength) {
$requiresMFA = $true
}
if ($targetsAdminRoles -and $requiresMFA) {
$adminMfaPolicies += $policy
}
}
Write-Host "`n Beleidsregels voor beheerders-MFA:" -ForegroundColor Cyan
if ($adminMfaPolicies.Count -gt 0) {
Write-Host " [OK] MFA-beleid voor beheerders gevonden:" -ForegroundColor Green
foreach ($policy in $adminMfaPolicies) {
Write-Host " - $($policy.displayName) (State: $($policy.state))" -ForegroundColor Gray
}
}
else {
Write-Host " [FAIL] Geen ingeschakeld Conditional Access-beleid gevonden dat MFA afdwingt voor beheerdersrollen." -ForegroundColor Red
}
# Controleer MFA-registratiestatus van beheerders
Write-Host "`n[INFO] Controleren MFA-registratiestatus van beheerders..." -ForegroundColor Gray
# Haal alle directory roles op
$directoryRoles = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/directoryRoles"
# Verzamel alle beheerders
$allAdmins = @()
foreach ($role in $directoryRoles.value) {
$roleMembers = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/directoryRoles/$($role.id)/members"
if ($roleMembers.value) {
foreach ($member in $roleMembers.value) {
if ($member.'@odata.type' -eq '#microsoft.graph.user') {
if ($allAdmins | Where-Object { $_.id -eq $member.id }) {
continue
}
$allAdmins += $member
}
}
}
}
Write-Host " Totaal aantal beheerders gevonden: $($allAdmins.Count)" -ForegroundColor Cyan
if ($allAdmins.Count -eq 0) {
Write-Host " [WARN] Geen beheerders gevonden in directory roles." -ForegroundColor Yellow
}
else {
# Controleer MFA-status voor elke beheerder
$mfaRegisteredCount = 0
$mfaNotRegistered = @()
foreach ($admin in $allAdmins) {
try {
$userAuthMethods = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/users/$($admin.id)/authentication/methods"
# Check of gebruiker MFA-methoden heeft geregistreerd
$hasMfaMethod = $false
if ($userAuthMethods.value) {
foreach ($method in $userAuthMethods.value) {
if ($method.'@odata.type' -in @('#microsoft.graph.microsoftAuthenticatorAuthenticationMethod',
'#microsoft.graph.phoneAuthenticationMethod',
'#microsoft.graph.fido2AuthenticationMethod',
'#microsoft.graph.windowsHelloForBusinessAuthenticationMethod')) {
$hasMfaMethod = $true
break
}
}
}
if ($hasMfaMethod) {
$mfaRegisteredCount++
}
else {
$mfaNotRegistered += $admin
}
}
catch {
# Als we de MFA-status niet kunnen ophalen, tellen we dit als niet-geregistreerd
$mfaNotRegistered += $admin
}
}
Write-Host " Beheerders met MFA geregistreerd: $mfaRegisteredCount / $($allAdmins.Count)" -ForegroundColor $(if ($mfaRegisteredCount -eq $allAdmins.Count) { 'Green' } else { 'Yellow' })
if ($mfaNotRegistered.Count -gt 0) {
Write-Host " [WARN] Beheerders zonder MFA-registratie:" -ForegroundColor Yellow
foreach ($admin in $mfaNotRegistered) {
Write-Host " - $($admin.userPrincipalName) ($($admin.displayName))" -ForegroundColor Gray
}
}
}
# Bepaal overall compliance
$hasPolicy = $adminMfaPolicies.Count -gt 0
$allAdminsRegistered = ($allAdmins.Count -eq 0) -or ($mfaRegisteredCount -eq $allAdmins.Count)
if ($hasPolicy -and $allAdminsRegistered) {
Write-Host "`n[OK] COMPLIANT - MFA is verplicht voor beheerders en alle beheerders zijn geregistreerd." -ForegroundColor Green
exit 0
}
elseif ($hasPolicy -and -not $allAdminsRegistered) {
Write-Host "`n[WARN] PARTIALLY COMPLIANT - MFA-beleid is aanwezig, maar niet alle beheerders zijn geregistreerd." -ForegroundColor Yellow
Write-Host " Registreer alle beheerders voor MFA om volledig compliant te zijn." -ForegroundColor Yellow
exit 1
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT - Geen Conditional Access policy gevonden die MFA afdwingt voor beheerders." -ForegroundColor Red
Write-Host " Configureer een Conditional Access policy die MFA vereist voor alle directory roles." -ForegroundColor Yellow
exit 1
}
}
catch {
Write-Host "`n[FAIL] Fout tijdens controle: $_" -ForegroundColor Red
Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Biedt beheerders een remediatiechecklist.
.DESCRIPTION
Voert zelf geen wijzigingen door, maar verwijst beheerders naar de monitoringuitvoer en
beschrijft welke stappen nodig zijn om MFA verplicht te maken voor beheerders.
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit script voert geen automatische configuratiewijzigingen uit." -ForegroundColor Yellow
Write-Host "[INFO] Gebruik de volgende checklist om MFA verplicht te maken voor beheerders:" -ForegroundColor Cyan
Write-Host "`n 1. Conditional Access Policy Configureren:" -ForegroundColor Gray
Write-Host " - Ga naar Azure Portal > Entra ID > Security > Conditional Access" -ForegroundColor Gray
Write-Host " - Maak een nieuwe policy: 'MFA Verplicht voor Beheerders'" -ForegroundColor Gray
Write-Host " - Users: Selecteer 'Directory roles' en kies alle beheerdersrollen" -ForegroundColor Gray
Write-Host " - Cloud apps: Selecteer 'All cloud apps'" -ForegroundColor Gray
Write-Host " - Grant: Selecteer 'Require multi-factor authentication'" -ForegroundColor Gray
Write-Host " - Voor hoog-privilege rollen: Overweeg 'Require authentication strength' met phishing-resistant methoden" -ForegroundColor Gray
Write-Host " - State: Start met 'Report-only', monitor impact, activeer daarna" -ForegroundColor Gray
Write-Host "`n 2. MFA Registratie voor Beheerders:" -ForegroundColor Gray
Write-Host " - Zorg dat alle beheerders zijn geregistreerd voor MFA" -ForegroundColor Gray
Write-Host " - Gebruik MFA-registratiecampagne om beheerders automatisch uit te nodigen" -ForegroundColor Gray
Write-Host " - Controleer periodiek of alle beheerders MFA gebruiken" -ForegroundColor Gray
Write-Host "`n 3. Break-glass Accounts:" -ForegroundColor Gray
Write-Host " - Configureer uitzonderingen voor break-glass accounts (met sterke wachtwoorden)" -ForegroundColor Gray
Write-Host " - Documenteer break-glass accounts en beheer ze strikt" -ForegroundColor Gray
Write-Host "`n 4. Monitoring en Governance:" -ForegroundColor Gray
Write-Host " - Monitor sign-in logs voor aanmeldingen zonder MFA" -ForegroundColor Gray
Write-Host " - Voer periodieke controles uit met dit script" -ForegroundColor Gray
Write-Host " - Documenteer de policy en rationale voor audits" -ForegroundColor Gray
Write-Host "`n[INFO] Start nu de monitoring-check om de actuele situatie te controleren..." -ForegroundColor Cyan
Invoke-Monitoring
}
try {
if ($Monitoring) {
Invoke-Monitoring
}
else {
Write-Host "Gebruik: .\mfa-required-admins.ps1 -Monitoring" -ForegroundColor Yellow
Write-Host "Dit script controleert of MFA verplicht is voor beheerdersaccounts via Conditional Access." -ForegroundColor Cyan
Write-Host "`nGebruik -Monitoring om de controle uit te voeren." -ForegroundColor Cyan
Write-Host "Gebruik de functie Invoke-Remediation voor een remediatiechecklist." -ForegroundColor Cyan
}
}
catch {
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Kritiek: Zonder verplichte MFA voor beheerdersaccounts blijft de organisatie extreem kwetsbaar voor accountovername-aanvallen. Een gestolen beheerderswachtwoord is voldoende voor volledige tenant-compromittering, wat kan leiden tot wekenlange uitval, verlies van alle data, aanzienlijke financiële schade en mogelijk AVG-boetes tot 20 miljoen euro. Recente incidentanalyses tonen aan dat meer dan 90% van de succesvolle tenant-compromitteringen begint bij een beheerdersaccount zonder adequate MFA-bescherming.
Management Samenvatting
Implementeer verplichte MFA voor alle beheerdersrollen via Conditional Access policies. Voor hoog-privilege rollen gebruik phishing-resistente MFA-methoden zoals FIDO2. Zorg dat alle beheerders zijn geregistreerd, monitor periodiek het gebruik, en documenteer dit voor compliance. Voldoet aan CIS 1.1.6 L1, BIO 09.04, ISO 27001 A.9.4.3 en NIS2 Artikel 21.
- Implementatietijd: 10 uur
- FTE required: 0.05 FTE