Blog: Security in Microsoft 365

Door: Gibran Nikijuluw

Op 29 april gaf Jan Bakker een interessante kennissessie over Microsoft 365 security. Jan is Freelance Consultant en MVP. Zijn focus ligt op Microsoft 365, waarbinnen hij zich vooral richt op security. Dit blog is geschreven voor iedereen die de kennissessie heeft gemist en meer wil weten over het onderwerp.
Security in Microsoft 365 is een zeer relevant onderwerp, met name door de transitie het afgelopen jaar waarin vrijwel iedereen thuiswerkt en waarin Office 365 voor velen de standaard is. In dit blog komen de onderwerpen aan bod die besproken zijn in de sessie, hoe je beveiligingsinstellingen aanzet, tips en trucs en verwijzingen naar nuttige links.

De kennissessie, en ook dit blog, bestaat grof gezegd uit drie onderwerpen:

  • Azure Multi-Factor Authentication
  • Conditional Access
  • Passwordless sign-in


Veiligheid en wachtwoorden in het algemeen
Iedereen kent de strijd met wachtwoorden. Een veilig wachtwoord betekent immers dat je het regelmatig aan moet passen en wachtwoorden die gemakkelijk te onthouden zijn, zijn over het algemeen niet veilig.

Hackers worden steeds slimmer in het kraken van wachtwoorden. Er zijn verschillende manieren die daarbij ingezet worden, zoals keylogging (daarmee kunnen de toetsaanslagen of muisbewegingen van een stukje software geregistreerd worden) en phishing (toegang krijgen tot een account door mensen te verleiden op een onveilige link te klikken).

Jan adviseert een wachtwoordmanager te gebruiken. Uitgebreide informatie daarover vind je hier: Wachtwoordmanagers met waarschuwingen – Achtergrond – Tweakers.

Azure Multi-Factor Authentication
Voor extra veiligheid is het aan te raden om Azure MFA aan te zetten. Er zijn drie manieren om dat te doen: via Azure AD Security Defaults, per user-account en met Conditional Access.

Azure AD Security Defaults
Als je dit aanzet wordt MFA automatisch geactiveerd voor alle accounts. Het is aan te raden deze optie aan te zetten, zeker voor kleinere organisaties, maar denk goed na voor je die keuze maakt. Wat je er verder over moet weten:

  • Na activatie hebben gebruikers 14 dagen om zich te registreren. Eventueel kan dat uitgesteld worden, bijvoorbeeld als een gebruiker op vakantie is.
  • Iedereen met een admin account zal MFA moeten gebruiken en beheerwerkzaamheden beschermen met MFA.
  • Gebruikers worden niet continu gevraagd met MFA in te loggen, maar alleen wanneer het nodig is. Bijvoorbeeld wanneer er een nieuw apparaat gedetecteerd wordt of wanneer er ingelogd wordt vanuit het buitenland.
  • Security Defaults is niet te combineren met oudere protocollen. Zo kunnen office 2010 gebruikers geen verbinding maken met Exchange Online en ook oudere mailprotocollen zoals IMAP, POP en SMTP worden geblokkeerd.
  • MFA is alleen beschikbaar via de Authenticator App.
  • Security Defaults kan niet gebruikt worden in combinatie met Conditional Access. Als je een oudere tenant hebt krijg je een error te zien, in nieuwe tenants staat Security Defaults standaard aan.

Bij de service settings voor MFA stel je de algemene tenant instellingen in. Daarin staan vier onderwerpen centraal:

  • App passwords – Hiermee kun je een tijdelijke token genereren die je als een tweede wachtwoord kunt gebruiken. Dit is echter niet aan te raden en een verouderde methode.
  • Trusted IP’s – Gebruik in plaats van Trusted IP’s Named Locations aangezien je dan uitzonderingen maakt voor bepaalde IP reeksen. Het gebruik van Trusted IP’s is niet aan te raden aangezien het de kans op datalekken vergroot. Bijvoorbeeld als een apparaat gestolen wordt. 
  • Verification options – Gebruikers kunnen, mits aangezet, kiezen tussen gebeld worden, sms ontvangen, via de app goedkeuring geven of de code handmatig invoeren. 
  • Remember MFA – Hiermee kun je als admin instellen dat je gebruikers tijdelijk wel of juist niet wil laten inloggen via MFA. Dit is echter beter in te regelen in Conditional Access. 


Additional verification page
Er zijn verschillende verificatiemethodes voor de gebruiker om MFA in te stellen. De administrator stelt de verschillende opties voor de gebruiker beschikbaar.
Hieronder wordt uitgelegd hoe het werkt en hoe je het kunt instellen: What is the Additional verification page? – Azure AD | Microsoft Docs.

Zie voor meer informatie ook: Azure Active Directory security defaults | Microsoft Docs.


MFA per user-account

Dit spreek voor zich, MFA is aan te zetten per gebruiker. Het is echter niet aan te raden. Het vergt veel onderhoud en de gebruiker moet MFA gebruiken bij inloggen in elke willekeurige applicatie. Dit is iets wat je waarschijnlijk niet wil.

Azure AD Conditional Access
Met Conditional Access kun je aangeven onder welke voorwaarden een gebruiker een bepaalde aktie uit moet voeren. Bijvoorbeeld de voorwaarde dat er via MFA ingelogd moet worden als een gebruiker vanuit het buitenland inlogt. Er zijn verschillende opties en restricties aan te zetten.

In de onderstaande afbeelding zie je weergegeven hoe Conditional Access werkt: er komt een signal binnen, vervolgens wordt deze geverifieerd en krijgt de gebruiker wel of geen toegang tot apps en data.

Meer informatie vind je hier: What is Conditional Access in Azure Active Directory? | Microsoft Docs.

Condities
Er zijn verschillende condities die je kunt verifiëren:

Device platforms
Hiermee kun je instellen welke platforms je toegang wil geven. Bijvoorbeeld dat alleen Windows Desktop devices toegang hebben. Verschillende platformen die in te stellen zijn: Android, IOS, Windows Phone, Windows Desktop, MacOS en Linux.

Device state
Met Conditional Access kun je nagaan of een apparaat die gebruikt wordt voor authenticatie onder de controle van de organisatie valt. Dit heet managed devices. Om een apparaat als managed device aan te merken moet het onderdeel zijn van een hybride Azure AD joined apparaat of gemarkeerd zijn als veilig.

Locations
Hiermee kun je inloggen vanuit bepaalde landen of regio’s blokkeren. Je kunt ze whitelisten of blacklisten. Kantoorlocaties kun je door middel van IP toegang geven.

Client Apps
Je kunt verschillende protocollen instellen, bijvoorbeeld dat het alleen voor browsers, apps of computers geldt. Je kunt een aantal dingen blokkeren zoals EAS of Legacy Authentication (Basic, WS-Trust, POP/IMAP/SMTP).

Sign-in risk en User risk
LET OP: hiervoor heb je een AZURE AD P2 licentie nodig en je gebruikt Azure AD Identitity Protection.
Je kan op basis van het risico controles instellen. Je kunt bijvoorbeeld controleren op het inloggen van een anoniem IP of wanneer er ingelogd wordt vanuit onbekende locaties.

Control types: grant or session
Vervolgens zijn er een aantal voorwaarden in te stellen; een gebruiker kan wel of niet inloggen, eventueel met restricties na het inloggen. De mogelijkheden zijn als volgt:

  • Block Acces
  • Require MFA
  • Require compliant device
  • Require Hybrid Azure AD Joined device
  • Require approved client app

Session controls
Per sessie kun je instellen welke toegang je wilt geven na inloggen via Exchange online of in Sharepoint.
Meer informatie vind je hier: Configure authentication session management – Azure Active Directory | Microsoft Docs.

Common Conditional Access Policies
Instelbaar op eigen scenario:

  • Block legacy authentication – Hiermee kun je verouderde protocollen blokkerenaangezien MFA dan niet bruikbaar is.
  • Require MFA for Administrator – Het vereisen van MFA voor deze accounts is een eenvoudige manier om het risico te verkleinen dat deze accounts worden aangetast.
  • Require MFA for Azure Management – MFA vereisen bij Azure Beheer.
  • Require MFA for all users – MFA vereisen voor alle gebruikers.
  • Risk-Based Conditional Access – De meeste gebruikers vertonen normaal gedrag dat kan worden getraceerd. Met deze optie kun je de gebruiker blokkeren of vragen om MFAwanneer ze buiten de norm vallen.
  • Securing info registration – Beveiliging wanneer en hoe gebruikers zich registreren voor Azure AD Multi-Factor Authentication.
  • Block access by location – Je kunt de toegang tot uw cloud-apps beheren op basis van de netwerklocatie van een gebruiker.
  • Require compliant devices – Vereist compatible apparaten.
  • Block access to specific cloud apps – Het blokkeren van bepaalde cloud apps die niet veilig zijn bijvoorbeeld.

Tot slot vind je hier nog twee handige bookmarks over Conditonal Access:
https://danielchronlund.com/2020/11/26/azure-a
ConditionalAccess/PolicySets at master · AlexFilipin/ConditionalAccess · GitHub

Tips en trucs

  • Maak gebruik van Break-Glass accounts die je uitsluit van alle policies. Met dit noodaccount kom je toch nog in je tenant als je er niet meer in komt. Dus bewaak dit account extra goed.
  • Af te raden is om geen MFA te zetten op Directory sync accounts.
  • Integreer Log Analytics als je begint met Conditional Access. Zo kun je zien wat de impact kan zijn als je Conditional Access aanzet.
  • Start altijd report only mode als je een policy aanzet, want je weet niet wat het gedrag is van de policy of wat voor impact het heeft op het netwerk. Kijk goed naar wat het doet en of het correct werkt.
  • Start altijd met een pilot groep. Zo weet je wat je kunt verwachten en zet je het netwerk niet onder druk als er iets fout gaat.
  • Less is more, maak niet teveel policies. Probeer policies in elkaar te schuiven en hanteer er maximaal 20. Zo houd je overzicht en begrijpt iedereen welke policy wat doet.
  • Gebruik de ‘What-If’ tool om Conditional Access te verifiëren en te zien wat het en hoe het zich gedraagt.
  • Door jezelf niet uit te sluiten van de tenant(s) kun je jezelf moeite besparen.
  • Neem je tijd, je hebt te maken met een enorme verantwoordelijkheid. Kijk wat de vereisten zijn vanuit de business en kijk wat er mogelijk is, test altijd eerst voordat je iets implementeert en raadpleeg anderen als je er niet uitkomt. Voorkomen is beter dan genezen.
  • En last but nog least: documenteer alles goed.

Passwordless sign-in
Sinds 2015 ondersteunt Windows 10 FIDO authenticatie. MFA is eigenlijk een lapmiddel, een tussenstap om helemaal geen wachtwoorden meer te gebruiken en dat kan met passwordless sign-in.

Er zijn drie opties:

  • Windows Hello voor Business
  • Microsoft Authenticator (app)
  • FIDO2 Security Keys

Daarnaast is het mogelijk om een tijdelijke toegangspas uit te geven met een tijdelijk wachtwoord. De pas is eenmalig te gebruiken.

Over ResultaatGroep
ResultaatGroep levert IT expertise op het gebied van cloud, security, infrastuctuur en workspace. Als partner van Microsoft hebben wij uitgebreide expertise op het gebied van Azure. Heb je daar vragen over of heb je vragen naar aanleiding van dit blog? Neem dan contact op met Marvin Kneppers via +31618405818 of Marvin.kneppers@resultaatgroep.nl. Hij zal je in contact brengen met een van onze Microsoft specialisten.