Beleid voor Aanmeldingsrisico's [CHK-1334]
Deze controle verifieert of er een beleid is ingesteld voor aanmeldingsrisico's (Sign-In risk policies).
Rationale
Multi-Factor Authenticatie (MFA) voegt een extra laag van beveiliging toe bovenop gebruikersnaam en wachtwoord. Microsoft heeft met Sign-In Risk policies slimme controles ontwikkeld om risicovolle aanmeldpogingen te herkennen. Dit maakt het ingewikkelder voor iemand met gestolen inloggegevens om vanaf een willekeurige plek ter wereld aan te melden.
Fix
Een geautomatiseerde fix is beschikbaar via Attic.
Handmatige stappen:
- Navigeer naar Entra ID portal op https://entra.microsoft.com
- Ga naar Conditional Access > Policies
- Klik op "New policy"
- Geef het beleid de naam "Attic - Sign-in risk policy"
- Onder "Assignments > Users", selecteer "All users"
- Onder "Assignments > Cloud apps", selecteer "All cloud apps"
- Onder "Conditions > Sign-in risk", stel in op "Yes" en selecteer risiconiveaus (Medium en high, of alleen High)
- Onder "Access controls > Grant", selecteer "Grant access" en vink "Require multifactor authentication" aan
- Stel "Enable policy" in op "On"
- Klik op "Create"
Impact
Het inschakelen van het beleid voor aanmeldingsrisico's verhoogt de beveiliging van uw accounts door MFA te forceren bij risicovolle inlogpogingen.
Meer informatie
Deze maatregel is in lijn met het volgende item uit de Center for Internet Security (CIS) Microsoft 365 Foundations Benchmark:
- CIS M365 1.1.9 - (L2) Enable Azure AD Identity Protection sign-in risk policies