Ben jij goed voorbereid op de verplichte multifactorauthenticatie (MFA)?

Een van de SURF Huisregels voor Azure zegt dat je MFA moet instellen voor toegang tot de onder andere de Azure Portal. Bij Microsoft was dit altijd een optie, maar vanaf heden wordt dit verplicht voor alle accounts die inloggen op de Azure portal, M365 Admin portal en de Intune portal. In dit artikel lees je wat er gaat veranderen.

Beveiliging in de cloud is topprioriteit. Dat blijkt wel uit de aankondiging die Microsoft onlangs deed. Om de beveiliging tegen accountaanvallen aanzienlijk te verhogen verplichten ze multifactorauthenticatie (MFA) voor alle aanmeldingen binnen de Azure-omgeving. Deze verplichting komt niet alleen voort uit een veiligheidsvraagstuk, maar ook uit de groeiende dreiging voor gevoelige onderwijsdata. De toegang tot waardevolle en privacygevoelige gegevens van universiteiten, hogescholen en mbo’s wordt hiermee immers aanzienlijk beter beschermd. Onderzoek toont aan dat MFA tot wel 99,2% van deze aanvallen kan blokkeren. 

Beheer je vaak grote hoeveelheden gebruikers en is je onderwijsinstelling gevoelig voor cyberdreigingen, dan is een goede voorbereiding natuurlijk onmisbaar. In deze blogpost lees je om welke beheerdersportalen het gaat, welke belangrijke stappen je moet nemen, en waarom tijdig MFA implementeren noodzakelijk is. 

Voor welke beheerdersportalen geldt de nieuwe MFA-verplichting?

Door de wijziging krijg je alleen toegang tot deze portalen met MFA-verificatie. Dit geldt zowel voor lees-, wijzig- als verwijderbewerkingen, als de zogenaamde 'break-glass' accounts die vaak worden ingezet als noodmaatregel bij incidenten. De nieuwe beveiligingseis geldt voor de volgende beheerdersportalen: 

Vanaf 2024

  • Azure-portaal 
  • Microsoft Entra-beheercentrum 
  • Microsoft Intune-beheercentrum 

Vanaf begin 2025

  • Azure CLI 
  • Azure PowerShell 
  • Azure mobiele app 
  • Infrastructure as Code (IaC) tools

Wat moet je doen?

Deze MFA-verplichting geldt voor alle gebruikers met beheerdersrechten, van IT-medewerkers tot beleidsmakers binnen de onderwijsinstelling. Om je goed voor te bereiden, doorloop je de volgende stappen:  

  1. Activeer extra beveiliging voor 'break-glass' accounts, zoals FIDO2-passkeys of certificaatgebaseerde verificatie.  
  2. Controleer voor gebruikers die moeten authenticeren om diensten en applicaties te beheren, of er migraties nodig zijn voor bepaalde accounts. Zet bijvoorbeeld gebruikersaccounts die werken als serviceaccounts om naar specifieke workload-identiteiten. Mogelijk moet je scripts en automatiseringsprocessen aanpassen. 
  3. Past jouw instelling al MFA toe, dan heb je mogelijk al een deel van deze maatregelen getroffen. Evalueer toch opnieuw het Conditional Access-beleid. Heb je voor jouw instelling MFA nog niet breed toegepast? Doe dit op korte termijn alsnog.

Gefaseerde invoering MFA-verplichting

De uitrol van MFA gaat in twee fasen. Door een gefaseerde uitrol kun je op tijd maatregelen nemen en trapsgewijs MFA-strategieën implementeren

Fase 1 
Vanaf de tweede helft van 2024 is MFA verplicht voor beheerportalen van: 

  • Azure 
  • Entra 
  • Intune 

Fase 2 
Begin 2025 wordt de MFA-verplichting uitgebreid naar: 

  • Azure CLI 
  • Azure PowerShell 
  • Azure mobiele app 
  • IaC-tools 

Overstappen naar externe MFA-oplossingen en identiteitsproviders

Microsoft laat je externe MFA-oplossingen toepassen via hun externe authenticatiemethoden. Gebruikt je instelling een eigen identiteitsprovider en wil daarbij MFA via federatie doorvoeren? Stel de identiteitsprovider correct in om een MFA-claim door te sturen naar Microsoft Entra ID.

Een veilige basis leg je met een grondige voorbereiding

Implementeer MFA tijdig en licht beheerders en gebruikers in over de nieuwe eisen. Zo kun je anticiperen op de striktere beveiligingseisen in je cloudomgevingen. Met proactief beheer en voorbereiding is je onderwijsinstelling compliant en versterk je gegevensbescherming voor de toekomst. 

Auteur

Reacties

Dit artikel heeft 0 reacties