Weerbaarheid van een Azure tenant verhogen
Omdat een veilige Microsoft Azure tenant in ieders voordeel is, hebben we een aantal stappen opgesteld waarmee Microsoft partners beveiligings- en controlemaatregelen kunnen instellen op hun klant-tenants.
Vereisten
DAP en GDAP rechten
Voor de stappen in dit deck is het een vereiste dat er een DAP of GDAP relatie is ingesteld tussen de Microsoft partner tenant en de klant tenant.
Is dit niet het geval? Zorg er dan voor dat je dit configureert voordat je verder gaat. De stappen om dit te doen staan beschreven op: Het verkrijgen van gedetailleerde beheerdersmachtigingen voor het beheren
van de service van een klant - Partner Center | Microsoft Learn
Opvolging van notificaties
In het stappenplan worden een aantal notificaties (in de vorm van een e-mail) geconfigureerd. Bij het instellen van deze notificaties is het nodig om een e-mailadres op te geven. Het is van belang om een proces in te richten rondom het monitoren van deze e-mailbox en de notificaties die hierop binnen komen. Het instellen van deze notificaties zonder het adequaat monitoren en snel reageren heeft geen zin.
š De 4 stappen
1. MFA voor Azure afdwingen
Het afdwingen van MFA om in te loggen op de Microsoft omgeving (en in het specifiek de Azure omgeving) is de belangrijkste stap in het voorkomen van ongewenste toegang.
2. Budget & AntiFraud Alerts
Binnen partner center kunnen alerts worden ingesteld op het overschrijden van een bepaalde consumptie.
Op die manier kunnen afwijkingen snel gedetecteerd worden.
3. Cost Management
Door restricties op de maximale kosten die op een tenant gemaakt mogen worden op te leggen, kan de impact van een incident beperkt worden.
4. Secure Score
Met behulp van de Secure Score kunnen verbeterpunten makkelijk worden geĆÆdentificeerd en snel worden verholpen.
1. MFA voor Azure afdwingen
Voorwaardelijke toegang instellen voor Microsoft Azure
Deze stappen worden gedaan in de klant-tenant.
Let op: Hiermee wordt vereist dat iedere gebruiker die naar de Azure management omgeving gaat een Multi Factor Authenticatie doet. Wij adviseren, als volgende maatregel, om MFA af te dwingen op alle accounts.
Uiteraard is het belangrijk voordat je dit instelt dat je Multi Factor Authenticatie hebt ingesteld voor je account, zodat je jezelf niet buiten sluit van de Azure omgeving.
Aanmelding voor Microsoft 365 instellen voor meervoudige verificatie - Microsoft Ondersteuning
Voorbereiden voor Voorwaardelijke toegang
Navigeer in een in-private venster van Microsoft Edge naar de Azure Active Directory pagina
(https://aad.portal.azure.com)Meld je aan met het beheerdersaccount van de klant omgeving.
Klik in het linker navigatievenster op Azure Active Directory
Scroll in het middelste navigatievenster naar beneden en klik op Eigenschappen
Klik helemaal onderin rechts op de regel Standaardinstellingen voor beveiliging beheren.
Schakel de standaardinstellingen voor beveiliging in op Nee
Selecteer Mijn organisatie gebruikt voorwaardelijke toegang
Bevestig door helemaal naar beneden in het venster op Opslaan te klikken
Klik op het X icoon rechts bovenin
Voorwaardelijke toegang instellen voor Microsoft Azure
Klik nu in het linker menu op Azure Active Directory
Klik in het Azure Active Directory menu op Beveiliging
Klik nu op de optie Voorwaardelijke toegang


Klik op Nieuw beleid
Naam: MFA voor beheerders
Klik op 0 gebruikers en groepen geselecteerd
Onder Opnemen vink het rondje aan van Alle gebruikers
Klik in het middelste navigatievenster op Er zijn geen cloud-apps,acties of authenticatiecontexten geselecteerd onder Cloud-apps of acties.
Klik op Apps selecteren, en klik dan op het woord Geen onder
āSelecterenāType het woord āAzureā in het scherm om Cloudapps te selecteren
en kies onderin de lijst voor Microsoft Azure Management.Klik nu op de knop Selecteren onderin rechts.
Klik in het middelste navigatiedeelvenster onder
āBesturingselementen voor toegangā bij het kopje āVerlenenā 0 besturingselementen geselecteerdVink in het deelvenster āToegang verlenenā de optie Meervoudige verificatie vereisen aan.
Bevestig door helemaal naar beneden in het venster op Selecteren te klikken.
Onder Beleid inschakelen klik op Aan
Klik op Ik begrijp dat dit beleid gevolgen heeft voor mijn account. Doorgaan.
Klik op de knop Maken
2. Budget & Anti Fraud Alerts & instellen
(Partner Center)
Budget & Anti Fraud Alerts in Partner Center (1/2)
Meld u aan bij het Partnercentrum en selecteer Facturering.
Selecteer Azure-uitgaven.
Selecteer op de pagina Azure-uitgaven onder Klanten met Microsoft Azure-abonnementen de klanten voor wie u een budget wilt instellen.
Voer een waarde in voor Maandbudget. Denk hier bijvoorbeeld aan het verbruik vorige maand +10%. Op deze manier kunnen afwijkingen gedetecteerd worden.
Kies Toepassen om uw wijzigingen op te slaan.
Doe dit zowel op de tabs Azure als Azure Plan.
Budget & Anti Fraud Alerts in Partner Center (2/2)
Meld u aan bij het Partnercentrum en selecteer het pictogram
Meldingen (bel).Selecteer Mijn voorkeuren.
Configureer een voorkeurs-e-mailadres als u dat nog niet hebt gedaan.
Configureer de voorkeurstaal voor de melding.
Selecteer alle selectievakjes in de werkruimte Facturering & Klanten onder de sectie Meldingsvoorkeuren.
3. Cost Management instellen
Cost Management
Log in op de tenant van de CSP provider op het Azure Portal en selecteer Cost Management + Billing.
Selecteer het relevante billing account voor de Microsoft Partner Agreement en selecteer vervolgens Customers. De lijst met klanten is gekoppeld aan het billing account.Selecteer de klant waarvoor je cost management wilt instellen in de lijst.
Selecteer nu Budgets in het menu en selecteer Add.
Hier kan het forecasted budget gebruikt worden of kan handmatig een budget ingevuld worden.
Bijvoorbeeld het verbruik van vorige maand +10%.Controleer in het Create budget scherm dat de scope goed staat voor de geselecteerde klant.
Klik op Next en geef de condities en het e-mailadres naar wens op.
4. Secure Score verhogen
Met behulp van de Secure Score binnen Defender for Cloud kan je eenvoudig inzicht krijgen in de openstaande verbeterpunten op het gebied van beveiliging voor Azure.
Log in op het Azure Portal van de klantomgeving en zoek op
Defender for Cloud.Activeer Defender for Cloud (basic) gratis via de Subscriptions pagina voor de relevante subscriptions.
Ga terug naar het Dashboard en gebruik de Secure Score en de daarbij behorende aanbevelingen om de beveiliging te verhogen.