CA Locatie-Gebaseerde MFA Exclusies [CHK-1182]
Deze check identificeert Conditional Access policies die specifieke locaties of IP-adressen uitsluiten van MFA-vereisten. De check scant alle actieve Conditional Access policies die MFA afdwingen (inclusief zowel legacy MFA controls als moderne authentication strength) en onderzoekt vervolgens hun locatievoorwaarden op exclusies.
De check vertaalt named location ID's naar hun weergavenamen en categoriseert ze als IP-based, IP-based (Trusted) of Country-based. Locaties die zijn geconfigureerd in de toegestane locaties whitelist (CHK1182_allowedLocations) worden uitgesloten van rapportage.
Reden
Locatie-gebaseerde exclusies in Conditional Access policies worden vaak gebruikt om MFA-frictie te verminderen voor gebruikers die inloggen vanaf vertrouwde kantoornetwerken of bekende IP-ranges. Deze exclusies brengen echter aanzienlijke beveiligingsrisico's met zich mee die vaak worden onderschat.
Een aanvaller die toegang krijgt tot een vertrouwd netwerk — via VPN compromise, netwerkinfiltratrie of door fysiek aanwezig te zijn op de locatie — kan MFA volledig omzeilen. IP-based exclusies zijn bijzonder gevaarlijk omdat aanvallers verkeer kunnen routeren via gecompromitteerde infrastructuur binnen vertrouwde IP-ranges. Country-based exclusies zijn nog breder en eenvoudiger te omzeilen met behulp van VPN-diensten of gecompromitteerde hosts in het toegestane land.
Deze check biedt inzicht in welke policies locatie-exclusies hebben, zodat beveiligingsteams kunnen beoordelen of elke exclusie nog gerechtvaardigd, goed afgebakend en in lijn met de risicobereidheid van de organisatie is. Het regelmatig beoordelen van deze exclusies is een essentieel onderdeel van het handhaven van een sterke zero-trust posture.
Fix
Er is geen geautomatiseerde fix beschikbaar voor deze check.
Handmatige stappen:
- Open de Azure Portal en navigeer naar Microsoft Entra ID > Protection > Conditional Access.
- Bekijk elke policy die in de check output wordt vermeld met locatie-gebaseerde MFA-exclusies.
- Beoordeel voor elke uitgesloten locatie of de exclusie nog noodzakelijk en goed afgebakend is.
- Verwijder waar mogelijk locatie-exclusies en dwing MFA af voor alle locaties. Overweeg om compliant device requirements te gebruiken als alternatief voor locatie-gebaseerd vertrouwen.
- Als een locatie-exclusie moet blijven bestaan (bijvoorbeeld een vertrouwd kantoornetwerk), voeg deze dan toe aan de Allowed Locations whitelist (CHK1182_allowedLocations) met een gedocumenteerde rechtvaardiging.
- Zorg ervoor dat uitgesloten IP-ranges zo smal mogelijk zijn — vermijd brede CIDR-ranges die meer dekken dan het beoogde netwerk.
Impact
Dit is een data-only monitoring check die geen tickets aanmaakt of alerts triggert. De check biedt beveiligingsteams een overzicht van alle locatie-gebaseerde MFA-exclusies in Conditional Access policies, waardoor een weloverwogen risicobeoordeling mogelijk is. Het verwijderen van onnodige locatie-exclusies versterkt de algehele MFA posture door ervoor te zorgen dat authenticatie-uitdagingen worden toegepast ongeacht waar de sign-in vandaan komt.
Meer informatie
- Microsoft: Conditional Access - Locatievoorwaarde
- Microsoft: Named locations definiëren in Conditional Access
- Microsoft: Conditional Access policy configuratie beveiligen