Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Beheerders Uitgezonderd van MFA CA-beleid [CHK-1189]

Deze controle detecteert beheerdersaccounts met verhoogde rechten die zijn uitgezonderd van Multi-Factor Authentication (MFA) Conditional Access-beleid in Microsoft Entra ID. De controle vergelijkt de lijst van permanente beheerders (CHK-1105) en PIM-beheerders (CHK-1106) met gebruikers- en groepsuitsluitingen die geconfigureerd zijn in alle ingeschakelde Conditional Access-beleidsregels die MFA afdwingen. Zowel directe gebruikersuitsluitingen als groepsgebaseerde uitsluitingen (door groepslidmaatschappen op te lossen) worden gecontroleerd. Geconfigureerde nood-/break-glass-accounts en beheerders op de whitelist worden uitgesloten van meldingen.

Rationale

Multi-Factor Authentication is een van de meest effectieve verdedigingen tegen diefstal van inloggegevens en ongeautoriseerde toegang. Wanneer beheerders — met name die met verhoogde rechten — worden uitgezonderd van MFA-afdwinging, worden zij het primaire doelwit voor aanvallers. Een gecompromitteerd beheerdersaccount zonder MFA-beveiliging kan leiden tot volledige overname van de tenant, gegevensdiefstal en blijvende toegang. Aanvallers richten zich vaak op beheerdersaccounts met behulp van phishing, password spraying en token theft-technieken, die allemaal aanzienlijk worden beperkt door MFA.

Fix

Er is geen geautomatiseerde fix beschikbaar voor deze controle.

Handmatige stappen:

  1. Open de Azure Portal en navigeer naar Microsoft Entra ID > Protection > Conditional Access.
  2. Identificeer de MFA-afdwingende beleidsregels uit het incidentrapport en bekijk de gebruikers- en groepsuitsluitingslijsten.
  3. Verwijder beheerdersaccounts van de uitsluitingslijsten zodat zij onderworpen zijn aan MFA-afdwinging.
  4. Als een beheerdersaccount uitgezonderd moet blijven (bijv. een break-glass- of noodtoegangsaccount), configureer het dan als het noodbeheerdersaccount in Attic of voeg het toe aan de Toegestane Beheerders whitelist (CHK1189_allowedAdmins) met een gedocumenteerde rechtvaardiging.
  5. Controleer of de wijzigingen effectief zijn door te bevestigen dat de beheerdersaccounts bij hun volgende aanmelding om MFA worden gevraagd.

Impact

Het verwijderen van beheerdersuitsluitingen uit MFA-beleid zorgt ervoor dat alle accounts met verhoogde rechten beschermd zijn door multi-factor authenticatie. Dit vermindert het risico op credential-gebaseerde aanvallen op beheerdersaccounts aanzienlijk. Legitieme break-glass-accounts kunnen worden onderhouden via de noodbeheerdersconfiguratie of de whitelist voor toegestane beheerders, waardoor operationele continuïteit behouden blijft met behoud van beveiliging.

Meer informatie