Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Gebruikers zonder MFA-beleid [CHK-1187]

Deze controle identificeert gebruikers in uw Microsoft Entra ID-tenant die niet worden gedekt door een Conditional Access-beleid met Multi-Factor Authentication (MFA). De controle gaat verder dan een basisanalyse van Conditional Access door groepslidmaatschappen te resolven en beleidsoverlappingen te evalueren om de werkelijke gebruikersdekking vast te stellen. Dekking wordt geclassificeerd als "volledig" wanneer een beleid alle cloud-apps of het Office 365-bereik dekt, en als "gedeeltelijk" wanneer het alleen specifieke applicaties dekt.

Rationale

Multi-Factor Authentication is een van de meest effectieve maatregelen tegen ongeautoriseerde toegang en credential-gebaseerde aanvallen. Gebruikers die niet door een MFA-beleid worden gedekt, zijn aanzienlijk kwetsbaarder voor phishing, password spraying en brute-force aanvallen. Een enkel ongedekt account kan dienen als toegangspunt voor aanvallers om zich lateraal binnen de organisatie te bewegen. Volledige MFA-dekking voor alle actieve gebruikers is een fundamentele beveiligingsbest practice die wordt aanbevolen door Microsoft en belangrijke beveiligingsframeworks.

Fix

Er is geen geautomatiseerde fix beschikbaar voor deze controle. Handmatige stappen:

  1. Open de Azure Portal en navigeer naar Microsoft Entra ID > Protection > Conditional Access.
  2. Bekijk de bestaande MFA-beleidsregels en hun gebruikers- en groepstoewijzingen. Vergelijk deze met de ongedekte gebruikers uit het alertrapport.
  3. Werk bestaande Conditional Access-beleidsregels bij om de ongedekte gebruikers of groepen op te nemen, of maak een nieuw beleid aan dat op hen is gericht.
  4. Zorg ervoor dat beleidsregels Alle cloud-apps of minimaal Office 365 dekken om volledige MFA-dekking te bereiken in plaats van gedeeltelijke applicatiespecifieke dekking.
  5. Gebruik voor het inschakelen van beleidsregels in productie de modus Alleen rapport om de verwachte impact op gebruikers te verifi\u00ebren.
  6. Controleer na het inschakelen van de beleidsregels of de eerder ongedekte gebruikers nu MFA moeten uitvoeren bij het inloggen.

Impact

Het uitbreiden van MFA-dekking naar alle gebruikers vermindert het risico op accountcompromittering aanzienlijk. Gebruikers die eerder niet waren gedekt, worden bij hun volgende aanmelding gevraagd om zich te registreren voor en gebruik te maken van MFA. Dit kan voorafgaande communicatie naar betrokken gebruikers vereisen, vooral als zij zich niet eerder voor MFA hebben aangemeld. Er is geen negatieve operationele impact zodra gebruikers de MFA-registratie hebben voltooid.

Meer informatie

Voor meer informatie over Conditional Access-beleid en MFA, zie de Microsoft-documentatie over Conditional Access en de handleiding voor het plannen van een Conditional Access-implementatie.