Algemeen
Deze controleert of beleid voor voorwaardelijke toegang is ingesteld om extra sterke multi-factor authenticatie (MFA) af te dwingen voor beheerders.
Rationale
Aanvallers proberen actief MFA te omzeilen en zo toegang te krijgen tot organisaties. Er bestaan phishingbestendige methoden voor MFA, maar die zijn minder gebruiksvriendelijk en/of duurder om te implementeren. Daarom zijn dit soort methoden wellicht niet voor alle gebruikers haalbaar, maar voor accounts met beheerrechten is het zeker de moeite waard.
Attic Fix
Voor deze check is een fix beschikbaar! Deze zal via een ticket in Attic worden aangeboden waarna u kunt accepteren.
De eerste keer dat de fix wordt uitgevoerd, zal deze het beleid aanmaken in alleen-rapporteren modus. Dit stelt u in staat om in logbestanden te zien welke beheerders zouden worden geblokkeerd door het beleid, zodat u deze beheerders nog kunt voorzien van extra MFA methodes.
De tweede keer zal dit beleid worden aangepast naar 'ingeschakeld' waarna het beleid ook daadwerkelijk wordt afgedwongen.
Handmatige instructie
Voer deze stappen uit om de instelling aan te passen:
- Open het Entra ID admin portal via https://entra.microsoft.com
- Ga naar Protection en dan Conditional Access
- Klik op Create new policy from templates
- Zoek op phishing
- Klik de policy aan met titel "Require phishing-resistant multifactor authentication for admins" en klik op Review + create
- Klik op Create om de policy in Reporting only aan te maken
Op een later moment kunt u de policy openenen de policy state op On zetten om deze in te schakelen.
Impact
Beheerders zonder phishingbestendige MFA-methode kunnen zich niet meer aanmelden zodra het beleid is ingeschakeld.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.