24/7 Incident Response Support
w-full h-full object-cover
Terug naar Blog
Cloud Security

Hoe configureer je enterprise-applicaties veilig in Microsoft 365

16 December 2024 5 leestijd
Jean

door Jean de Cuba

Security Specialist

Wat zijn Enterprise-applicaties?

Enterprise-applicaties stellen Microsoft in staat om derden toegang te geven tot functionaliteiten binnen de Microsoft 365-omgeving. Denk aan een e-mailapp ontwikkeld door een externe partij die namens de gebruiker e-mails kan lezen en verzenden. Wanneer een gebruiker toestemming geeft aan zo'n applicatie, wordt deze automatisch toegevoegd aan de Microsoft 365-tenant als een Enterprise-applicatie.

Voor een gebruiker ziet het autoriseren van een applicatie van een derde er als volgt uit:

App

Bron: https://learn.microsoft.com/en-us/purview/media/o365-thirdpartydataconnector-optin1.png

Wanneer op de knop ‘Accepteren’ wordt geklikt, verleent de gebruiker de applicatie bepaalde rechten binnen zijn account. Als de standaardinstellingen zijn geactiveerd, kunnen gebruikers deze rechten aan vrijwel elke applicatie verlenen zonder enige betrokkenheid of goedkeuring van een beveiligingsexpert.

Als beheerder kunt u precies zien welke applicaties toegang hebben tot een of meer accounts in de tenant door het volgende te doen:

  1. Ga naar Entra ID. Onder 'Beheren' en 'Enterprise-applicaties' vindt u een lijst van alle Enterprise-applicaties in de tenant.

  2. Selecteer een Enterprise-applicatie. Onder 'Beveiliging' en 'Machtigingen' ziet u de verleende machtigingen. Let op het onderscheid tussen 'admin toestemming' en 'gebruikers toestemming'. Hier ziet u welke gebruikers de applicatie hebben geautoriseerd en met welke machtigingen.

Vormt dit een beveiligingsrisico voor de Microsoft 365-tenant?

Ja, externe applicaties kunnen een beveiligingsrisico vormen voor de Microsoft 365-omgeving. Hoe dan? Een kwaadwillende derde partij kan een applicatie gebruiken om volledige toegang tot het account van een gebruiker aan te vragen. Als de gebruiker accepteert, heeft deze derde partij toegang tot de Microsoft 365-omgeving, inclusief alle gegevens en bestanden waartoe de gebruiker toegang heeft.

Bovendien is er een potentieel indirect risico. Een derde partij heeft misschien geen kwaadaardige bedoelingen, maar als hun eigen beveiliging zwak is en een aanvaller via hen binnenkomt, is uw Microsoft 365-omgeving nog steeds in gevaar. De aanvaller kan toegang krijgen tot de goedgekeurde applicatie en uw organisatie infiltreren. Daarom is het cruciaal om de toegang te beperken tot vertrouwde applicaties en de verleende machtigingen zoveel mogelijk te minimaliseren.

Wat kan ik als beheerder doen om de Microsoft 365-omgeving te beschermen?

Als beheerder is het essentieel om te begrijpen welke applicaties toegang hebben tot de tenant en welke machtigingen ze hebben. Zoals eerder vermeld, is het belangrijk om de instellingen te controleren. Standaardinstellingen kunnen gebruikers in staat stellen volledige toegang te verlenen aan willekeurige applicaties. Om dit risico te beperken, kunt u verschillende maatregelen nemen.

Machtigingen blokkeren

Ten eerste is het mogelijk om gebruikers volledig te blokkeren in het verlenen van rechten aan applicaties van derden. Dit beperkt de eerder genoemde risico's effectief. Deze instelling wordt geconfigureerd in de Azure Portal onder Entra ID, "Enterprise-applicaties" → "Beveiliging" → "Toestemming en machtigingen" → "Gebruikerstoestemmingsinstellingen". Pas hier de volgende twee instellingen aan:

  1. Stel "Gebruikerstoestemming voor applicaties" in op "Geen gebruikers toestemming toestaan".
  2. Stel "Groepseigenaarstoestemming" in op "Geen groepseigenaarstoestemming toestaan".

Deze optie is niet geschikt voor elke Microsoft 365-omgeving. In veel organisaties zijn vertrouwde applicaties noodzakelijk voor de dagelijkse taken van gebruikers, en deze zouden dan ook worden geblokkeerd. Hieronder leggen we uit hoe u dit probleem kunt voorkomen.

Beheerdergoedkeuring

Om vertrouwde applicaties van derden toe te staan, kunt u ervoor kiezen alleen applicaties goed te keuren die door een beheerder zijn geautoriseerd.

Deze instelling is beschikbaar in de Azure Portal onder Entra ID, "Enterprise-applicaties" → "Beveiliging" → "Toestemming en machtigingen" → "Beheerderstoestemmingsinstellingen". Selecteer "Ja" bij "Gebruikers kunnen beheerderstoestemming aanvragen voor apps waarvoor zij zelf geen toestemming kunnen geven". Configureer vervolgens de details voor "Beheerderstoestemmingsverzoeken".

Houd er rekening mee dat deze instellingen alleen van toepassing zijn op apps die gebruikers niet zelf kunnen autoriseren. De stappen onder “Machtigingen blokkeren” zijn ook nodig om beheerdergoedkeuring voor alle applicaties af te dwingen.

Niet-gevoelige machtigingen standaard toestaan

Als uitbreiding op de vorige optie kunt u bepaalde machtigingen standaard toestaan voor alle applicaties, zonder tussenkomst van een beheerder. Dit kan gelden voor applicaties die zeer beperkte toegang nodig hebben, zoals het lezen van het e-mailadres van een gebruiker voor Single Sign-On.

Dit kan worden geconfigureerd in de Azure Portal onder Entra ID, "Enterprise-applicaties" → "Toestemming en machtigingen" → "Machtigingsclassificaties". Microsoft geeft op deze pagina aanbevelingen voor welke veelgebruikte, niet-gevoelige machtigingen u kunt instellen, inclusief machtigingen voor Single Sign-On.

Volgende stappen

Wanneer de toestemmingsinstellingen correct zijn geconfigureerd, is het ook essentieel om eerder verleende machtigingen te evalueren. Gebruikers kunnen in het verleden onbetrouwbare applicaties hoge toegang hebben verleend.

DEFION Security: Uw partner voor een veilige Microsoft 365-omgeving

Het beveiligen van uw Microsoft 365-omgeving kan een uitdagende taak zijn. Wij helpen u bij het configureren en beheren van uw Microsoft 365-omgeving, zodat uw beveiligingsinstellingen altijd optimaal zijn. Tijdens een Microsoft 365-beveiligingsbeoordeling werken we nauw met u samen om de huidige instellingen te beoordelen. We onderzoeken hoe de eerder genoemde toestemmingsinstellingen zijn geconfigureerd en bekijken welke Enterprise-applicaties al toegang hebben binnen uw omgeving.

Na deze grondige evaluatie bespreken we met u de beste beveiligingsmaatregelen die passen bij uw organisatie. Er zijn tal van opties om Enterprise-applicaties te beheren en te beperken, en wij helpen u de juiste keuzes te maken. Ons doel? De veiligste omgeving creëren met minimale impact op het dagelijkse gebruik van uw medewerkers.

Naast Enterprise-applicaties bekijken we de gehele opzet en het gebruik van uw Microsoft 365-omgeving, waarbij we ons niet richten op de beveiliging van Microsoft-diensten zelf, maar op hoe uw organisatie deze diensten configureert en gebruikt.

Wie gaat u bellen? DEFION Security!

Geïnteresseerd om uw Microsoft 365-omgeving nog veiliger te maken? Neem contact met ons op via [email protected] of bel +31 (0)88 733 13 37 en wij nemen snel contact met u op.

Onze experts beschermen uw belangen - letterlijk 24/7

Onze digitale meldkamer biedt gespecialiseerde ogen en oren. Zij nemen onnodige ruis weg en treden op bij incidenten. Zo ontzorgen wij onze klanten. Benieuwd naar wat wij voor u kunnen doen? Wij staan voor u klaar.

Neem contact met ons op