Omdat een veilige Microsoft Azure tenant in ieders voordeel is, hebben we een aantal stappen opgesteld waarmee Microsoft partners beveiligings- en controlemaatregelen kunnen instellen op hun klant-tenants.

Vereisten

DAP en GDAP rechten

Voor de stappen in dit deck is het een vereiste dat er een DAP of GDAP relatie is ingesteld tussen de Microsoft partner tenant en de klant tenant.

Is dit niet het geval? Zorg er dan voor dat je dit configureert voordat je verder gaat. De stappen om dit te doen staan beschreven op: Het verkrijgen van gedetailleerde beheerdersmachtigingen voor het beheren
van de service van een klant - Partner Center | Microsoft Learn

Opvolging van notificaties

In het stappenplan worden een aantal notificaties (in de vorm van een e-mail) geconfigureerd. Bij het instellen van deze notificaties is het nodig om een e-mailadres op te geven. Het is van belang om een proces in te richten rondom het monitoren van deze e-mailbox en de notificaties die hierop binnen komen. Het instellen van deze notificaties zonder het adequaat monitoren en snel reageren heeft geen zin.

šŸ“˜ De 4 stappen

1. MFA voor Azure afdwingen

Het afdwingen van MFA om in te loggen op de Microsoft omgeving (en in het specifiek de Azure omgeving) is de belangrijkste stap in het voorkomen van ongewenste toegang.

2. Budget & AntiFraud Alerts

Binnen partner center kunnen alerts worden ingesteld op het overschrijden van een bepaalde consumptie.
Op die manier kunnen afwijkingen snel gedetecteerd worden.

3. Cost Management

Door restricties op de maximale kosten die op een tenant gemaakt mogen worden op te leggen, kan de impact van een incident beperkt worden.

4. Secure Score

Met behulp van de Secure Score kunnen verbeterpunten makkelijk worden geĆÆdentificeerd en snel worden verholpen.

1. MFA voor Azure afdwingen

Voorwaardelijke toegang instellen voor Microsoft Azure

  • Deze stappen worden gedaan in de klant-tenant.

  • Let op: Hiermee wordt vereist dat iedere gebruiker die naar de Azure management omgeving gaat een Multi Factor Authenticatie doet. Wij adviseren, als volgende maatregel, om MFA af te dwingen op alle accounts.

  • Uiteraard is het belangrijk voordat je dit instelt dat je Multi Factor Authenticatie hebt ingesteld voor je account, zodat je jezelf niet buiten sluit van de Azure omgeving.

Aanmelding voor Microsoft 365 instellen voor meervoudige verificatie - Microsoft Ondersteuning

Voorbereiden voor Voorwaardelijke toegang

  1. Navigeer in een in-private venster van Microsoft Edge naar de Azure Active Directory pagina
    (https://aad.portal.azure.com)

  2. Meld je aan met het beheerdersaccount van de klant omgeving.

  3. Klik in het linker navigatievenster op Azure Active Directory

  4. Scroll in het middelste navigatievenster naar beneden en klik op Eigenschappen

  5. Klik helemaal onderin rechts op de regel Standaardinstellingen voor beveiliging beheren.

  6. Schakel de standaardinstellingen voor beveiliging in op Nee

  7. Selecteer Mijn organisatie gebruikt voorwaardelijke toegang

  8. Bevestig door helemaal naar beneden in het venster op Opslaan te klikken

  9. Klik op het X icoon rechts bovenin

Voorwaardelijke toegang instellen voor Microsoft Azure

  1. Klik nu in het linker menu op Azure Active Directory

  2. Klik in het Azure Active Directory menu op Beveiliging

  3. Klik nu op de optie Voorwaardelijke toegang

  1. Klik op Nieuw beleid

  2. Naam: MFA voor beheerders

  3. Klik op 0 gebruikers en groepen geselecteerd

  4. Onder Opnemen vink het rondje aan van Alle gebruikers

  5. Klik in het middelste navigatievenster op Er zijn geen cloud-apps,acties of authenticatiecontexten geselecteerd onder Cloud-apps of acties.

  6. Klik op Apps selecteren, en klik dan op het woord Geen onder
    ā€œSelecterenā€

  7. Type het woord ā€œAzureā€ in het scherm om Cloudapps te selecteren
    en kies onderin de lijst voor Microsoft Azure Management.

  8. Klik nu op de knop Selecteren onderin rechts.

  1. Klik in het middelste navigatiedeelvenster onder
    ā€œBesturingselementen voor toegangā€ bij het kopje ā€œVerlenenā€ 0 besturingselementen geselecteerd

  2. Vink in het deelvenster ā€œToegang verlenenā€ de optie Meervoudige verificatie vereisen aan.

  3. Bevestig door helemaal naar beneden in het venster op Selecteren te klikken.

  4. Onder Beleid inschakelen klik op Aan

  5. Klik op Ik begrijp dat dit beleid gevolgen heeft voor mijn account. Doorgaan.

  6. Klik op de knop Maken

2. Budget & Anti Fraud Alerts & instellen
(Partner Center)

Budget & Anti Fraud Alerts in Partner Center (1/2)

  1. Meld u aan bij het Partnercentrum en selecteer Facturering.

  2. Selecteer Azure-uitgaven.

  3. Selecteer op de pagina Azure-uitgaven onder Klanten met Microsoft Azure-abonnementen de klanten voor wie u een budget wilt instellen.

  4. Voer een waarde in voor Maandbudget. Denk hier bijvoorbeeld aan het verbruik vorige maand +10%. Op deze manier kunnen afwijkingen gedetecteerd worden.

  5. Kies Toepassen om uw wijzigingen op te slaan.

  6. Doe dit zowel op de tabs Azure als Azure Plan.

Budget & Anti Fraud Alerts in Partner Center (2/2)

  1. Meld u aan bij het Partnercentrum en selecteer het pictogram
    Meldingen (bel).

  2. Selecteer Mijn voorkeuren.

  3. Configureer een voorkeurs-e-mailadres als u dat nog niet hebt gedaan.

  4. Configureer de voorkeurstaal voor de melding.

  5. Selecteer alle selectievakjes in de werkruimte Facturering & Klanten onder de sectie Meldingsvoorkeuren.

3. Cost Management instellen

Cost Management

  1. Log in op de tenant van de CSP provider op het Azure Portal en selecteer Cost Management + Billing.
    Selecteer het relevante billing account voor de Microsoft Partner Agreement en selecteer vervolgens Customers. De lijst met klanten is gekoppeld aan het billing account.

  2. Selecteer de klant waarvoor je cost management wilt instellen in de lijst.

  3. Selecteer nu Budgets in het menu en selecteer Add.

  4. Hier kan het forecasted budget gebruikt worden of kan handmatig een budget ingevuld worden.
    Bijvoorbeeld het verbruik van vorige maand +10%.

  5. Controleer in het Create budget scherm dat de scope goed staat voor de geselecteerde klant.

  6. Klik op Next en geef de condities en het e-mailadres naar wens op.

4. Secure Score verhogen

Met behulp van de Secure Score binnen Defender for Cloud kan je eenvoudig inzicht krijgen in de openstaande verbeterpunten op het gebied van beveiliging voor Azure.

  1. Log in op het Azure Portal van de klantomgeving en zoek op
    Defender for Cloud.

  2. Activeer Defender for Cloud (basic) gratis via de Subscriptions pagina voor de relevante subscriptions.

  3. Ga terug naar het Dashboard en gebruik de Secure Score en de daarbij behorende aanbevelingen om de beveiliging te verhogen.