Hoe schakel ik MFA in voor alle gebruikers in Microsoft 365 met behulp van voorwaardelijke toegang?
Het instellen van MFA (Multi-Factor Authentication) voor alle gebruikers in Microsoft 365 kan in eerste instantie overweldigend lijken, vooral als u bang bent uzelf buiten te sluiten of verkeerde configuraties te maken. Het goede nieuws is dat het gebruik van beleidsregels voor voorwaardelijke toegang dit vrij eenvoudig maakt en een solide manier is om de beveiliging te versterken zonder al te veel gedoe. Zodra dit is ingesteld, moet iedereen zich bij het inloggen verifiëren met een tweede authenticatiefactor, wat accountkaping aanzienlijk vermindert. Let op: omdat sommige configuraties zich onverwacht kunnen gedragen, is het verstandig om eerst te testen in de modus ‘Alleen rapporteren’ voordat u de beleidsregels afdwingt. Op die manier kunt u zien wie erdoor wordt beïnvloed en indien nodig aanpassingen maken.
Hoe u MFA voor alle gebruikers in Microsoft 365 kunt afdwingen met een beleid voor voorwaardelijke toegang
Vereisten:
- Microsoft Entra ID-beheerdersrechten.(Dit is de beheerdersrol waarmee u beleidsregels voor voorwaardelijke toegang kunt maken en beheren.)
- Een Microsoft 365 Business Premium-abonnement of hoger is vereist voor de functies van Voorwaardelijke Toegang.
In principe houdt dit hele proces in dat je naar het Microsoft Entra-beheercentrum gaat, een nieuw beleid opstelt en ervoor zorgt dat iedereen behalve je beheerders MFA (multi-factor authenticatie) krijgt voordat ze toegang krijgen tot gevoelige gegevens. Klinkt eenvoudig, maar de details zijn cruciaal, vooral om te voorkomen dat je jezelf buitensluit.
Hoe stel je het MFA-handhavingsbeleid in?
Ga naar het beheerderscentrum en maak een nieuw beleid aan.
- Open je browser en ga naar het Microsoft Entra-beheercentrum. Hier gebeurt alles.
- Klik op Beveiliging en ga vervolgens naar Voorwaardelijke toegang. Klik daar op Beleid maken.
Geef uw beleid een naam en bepaal het toepassingsgebied.
- Geef het een duidelijke naam; iets als “MFA verplichten voor alle gebruikers” maakt toekomstige controles eenvoudiger.
- Klik onder Gebruikers of groepen (voorbeeld) op Inclusie en kies Alle gebruikers. U wilt dat dit beleid op iedereen van toepassing is, maar vergeet niet uw beheerdersaccounts uit te sluiten!
- Ga naar het tabblad ‘Uitsluiten’, selecteer ‘Gebruikers en groepen’ en kies vervolgens uw Microsoft 365-beheerdersaccounts, met name de accounts die worden gebruikt voor noodtoegang (de zogenaamde ‘Break Glass’-accounts).Zo voorkomt u dat u buitengesloten raakt als MFA niet goed werkt.
Selecteer de juiste apps en handhaaf de MFA-vereiste.
- Ga naar Cloud-apps of -acties en selecteer Alle cloud-apps om ervoor te zorgen dat alles wat voor u belangrijk is, wordt meegenomen.
- Kies onder ‘Toegang verlenen’ de optie ‘Toegang verlenen’ en vink vervolgens ‘ Meervoudige authenticatie vereisen’ aan. Klik daarna op ‘Selecteren’. Dit is de cruciale stap om MFA af te dwingen.
Activeer en test het beleid.
- Zet de schakelaar ‘Beleid inschakelen ‘ op ‘Aan’. Of, als u voorzichtig wilt zijn, selecteer ‘ Alleen rapporteren’ om te zien wie erdoor wordt getroffen zonder iedereen direct buiten te sluiten.
- Na het opslaan, wacht indien mogelijk een paar dagen en bekijk vervolgens de impact in ‘Beleidsimpact bekijken’. Hier ziet u welke gebruikers succesvol MFA hebben toegepast en welke mogelijk niet zijn geaccepteerd of zijn overgeslagen – handig voor het verfijnen van het beleid.
Laatste tip
Soms kunnen MFA-prompts op bepaalde computers of browsers inconsistent zijn. Het is onduidelijk waarom het de ene dag wel werkt en de volgende dag niet, maar het is de moeite waard om uw MFA-methoden en registratielinks te controleren in Mijn aanmeldingen en beveiligingsgegevens. Als gebruikers worden buitengesloten of de MFA-procedure niet kunnen voltooien, is het bovendien cruciaal om speciale beheerdersaccounts aan te maken voor noodtoegang. Vergeet niet om MFA voor deze accounts weer uit te schakelen zodra het probleem is opgelost.
Samenvatting
Het implementeren van MFA via Conditional Access is een van die beveiligingsupgrades die de moeite waard is. Het creëert in feite een barrière die veel moeilijker te doorbreken is voor kwaadwillenden, vooral wanneer ze alleen gebruikmaken van gestolen wachtwoorden. Zolang beheerdersaccounts beveiligd zijn en er vooraf zorgvuldig getest wordt, is dit niet al te ingewikkeld – alleen een beetje zenuwslopend als je bang bent dat je mensen buitensluit.
Hopelijk helpt dit iemand de nachtmerrie van beveiligingslekken of het buitensluiten van beheerders. Soms is het gewoon een kwestie van de tijd nemen om alles goed in te stellen – daarna is gemoedsrust heerlijk.
Samenvatting
Het afdwingen van MFA voor alle gebruikers met een beleid voor voorwaardelijke toegang is een belangrijke stap in de richting van een veiligere Microsoft 365-omgeving. Het proces lijkt in eerste instantie misschien wat ingewikkeld, maar zodra u de stappen en het belang van uitzonderingen en testmodi begrijpt, wordt het eenvoudiger. We kunnen niet garanderen dat elke configuratie in één keer perfect is, maar met geduld zal dit uw beveiliging aanzienlijk versterken.
Samenvatting
- Gebruik het Microsoft Entra-beheercentrum om een nieuw beleid voor voorwaardelijke toegang te maken.
- Neem alle gebruikers op, maar sluit beheerdersaccounts uit, met name die accounts die voor hersteldoeleinden worden gebruikt.
- Richt je op alle cloudapplicaties en vereis MFA voor toegang.
- Test het apparaat eerst in de modus “Alleen rapporteren” voordat u het volledig inschakelt.
- Houd de impact in de gaten en pas indien nodig aan.
Ik hoop dat dit helpt bij het stroomlijnen van de MFA-implementatie. Het is in ieder geval iets dat op meerdere systemen heeft gewerkt – en hopelijk helpt het om vervelende datalekken in de toekomst te voorkomen.