Wanneer je organisatie gebruikmaakt van Microsoft 365, krijgen medewerkers automatisch toegang tot zogeheten 'Enterprise Applications', mits de standaardinstellingen actief zijn. Maar wat houdt dit precies in? En vormen deze applicaties een mogelijk risico voor de veiligheid van jouw Microsoft 365-omgeving en de gevoelige gegevens binnen je organisatie? In dit artikel duiken we dieper in op wat Enterprise Applications zijn en bieden we praktische adviezen om je beveiliging te versterken.
Wat zijn Enterprise Applications?
Enterprise Applications is de manier waarop Microsoft functionaliteiten van de Microsoft 365-omgeving kan ontsluiten naar derde partijen. Denk hierbij aan een e-mailapp ontwikkeld door een externe partij, die namens de gebruiker e-mails kan lezen en verzenden. Wanneer een medewerker deze applicatie toestemming verleent, wordt deze automatisch toegevoegd aan de Microsoft 365-tenant als een Enterprise Application.
Voor een gebruiker ziet het autoriseren van een applicatie van een derde partij er als volgt uit:
Bron: https://learn.microsoft.com/en-us/purview/media/o365-thirdpartydataconnector-optin1.png
Wanneer er op ‘Accept’ of (‘Toestaan’) wordt geklikt, verleent de gebruiker de applicatie bepaalde rechten binnen het eigen account. Zijn de standaardinstellingen geactiveerd, dan kunnen gebruikers deze rechten toekennen aan vrijwel elke applicatie, zonder enige tussenkomst of goedkeuring van een beveiligingsexpert.
Als beheerder heb je de mogelijkheid om in het Azure Portal precies te zien welke applicaties toegang hebben tot één of meerdere accounts in de tenant. Dit doe je als volgt:
- Ga naar Entra ID. Onder 'Manage' en 'Enterprise applications' vind je een lijst met alle Enterprise Applications in de tenant.
- Klik een Enterprise Application aan. Onder 'Security' en 'Permissions' vind je de toegekende permissies. Let hierbij op het onderscheid tussen 'admin consent' en 'user consent'. Onder deze kopjes zie je welke gebruikers de applicatie geautoriseerd hebben en met welke permissies.
Levert dit een securityrisico op voor de Microsoft 365-tenant?
Ja, externe applicaties kunnen een security-risico voor de Microsoft 365-omgeving vormen. Hoe werkt dat? Een kwaadwillende derde partij kan via een applicatie vragen om volledige toegang tot het account van een gebruiker. Als de gebruiker de vraag accepteert dan heeft de kwaadwillende derde partij toegang tot de Microsoft 365-omgeving, daarmee heeft de partij ook toegang tot alle data en bestanden waar de gebruiker toegang tot heeft.
Daarnaast is er ook nog een via-via risico. Het is mogelijk dat een derde partij zelf geen kwaad in de zin heeft, maar als hun eigen beveiliging niet op orde is en een aanvaller via die partij binnendringt, kan jouw Microsoft 365-omgeving alsnog gevaar lopen. De aanvaller kan via deze omweg toegang krijgen tot de geaccepteerde applicatie en zo je organisatie binnendringen. Daarom is het cruciaal om toegang te beperken tot enkel vertrouwde applicaties en om de verleende toegang zo veel mogelijk in te perken.
Wat kan ik als beheerder doen om de Microsoft 365-omgeving te beschermen?
Als beheerder is het van groot belang om grip te krijgen op welke applicaties toegang hebben tot de tenant en met welke rechten. Zoals eerder genoemd, is het cruciaal om naar de instellingen te kijken. Standaardinstellingen kunnen gebruikers in staat stellen om volledige toegang aan willekeurige applicaties te verlenen. Om dit risico te beperken, kun je verschillende maatregelen nemen.
Blokkeren
Allereerst is het mogelijk om het toekennen van rechten aan derde-partij-applicaties door gebruikers volledig te blokkeren. Hiermee kun je de eerder genoemde risico's effectief mitigeren. Dit kan onder andere in Azure Portal ingesteld worden in Entra ID, onder "Enterprise applications" "Security" "Consent and permissions" "User consent settings", pas dan de volgende twee instellingen aan:
- Stel "User consent for applications" in op "Do not allow user consent".
- Stel "Group owner consent" in op "Do not allow group owner consent".
Deze optie is alleen niet voor elke Microsoft 365-omgeving geschikt. In veel organisaties zijn vertrouwde applicaties noodzakelijk voor de dagelijkse werkzaamheden van gebruikers. En ook die worden dan automatisch geblokkeerd. Hieronder leggen we uit hoe je dat probleem kan voorkomen.
Goedkeuring van beheerder
Om vertrouwde derde-partij-applicaties toch toe te staan, kun je ervoor kiezen om alleen applicaties goed te keuren die door een beheerder zijn geautoriseerd.
Dit kan onder andere in Azure Portal ingesteld worden in Entra ID, onder "Enterprise applications" "Security" "Consent and permissions" "Admin consent settings". Daar kies je bij "Users can request admin consent to apps they are unable to consent to" voor "Yes". Vervolgens stel je bij "Admin consent requests" de details van deze flow verder in.
Let hierbij op dat deze instellingen alleen van toepassing zijn op apps waarvoor de gebruiker zelf niet gemachtigd is om toestemming te verlenen. De stappen onder “Blokkeren” zijn daarom ook nodig om goedkeuring van een beheerder af te dwingen voor alle applicaties.
Niet-gevoelige rechten standaard toestaan
Als uitbreiding op de vorige optie is het mogelijk om bepaalde rechten standaard toe te staan voor alle applicaties, zonder tussenkomst van een beheerder. Dit kan bijvoorbeeld toegepast worden voor applicaties die zeer beperkte rechten nodig hebben, zoals enkel het lezen van het e-mailadres van de gebruiker voor Single Sign-On.
Dit kan onder andere in Azure Portal ingesteld worden in Entra ID, onder "Enterprise applications" "Consent and permissions" "Permission classifications". Microsoft geeft op deze pagina adviezen over welke veelgebruikte niet-gevoelige rechten aanbevolen worden om hier in te stellen, waaronder rechten voor Single Sign-On.
Vervolgstappen
Wanneer de consentinstellingen correct ingesteld zijn, is het ook belangrijk reeds toegestane permissies te evalueren. Misschien hebben gebruikers in het verleden onvertrouwde applicaties hoge toegang gegeven.
Computest Security: Jouw partner voor een veilige Microsoft 365-omgeving
Het beveiligen van je Microsoft 365-omgeving kan een uitdagende taak zijn. Wij ondersteunen je bij het configureren en beheren van je Microsoft 365-omgeving, zodat je altijd zeker weet dat je beveiliging op orde is. Tijdens een Microsoft 365 security assessment werken we nauw met je samen om de huidige instellingen door te lichten. Zo bekijken we onder andere hoe de eerdergenoemde consentinstellingen zijn geconfigureerd en onderzoeken we welke Enterprise Applications al toegang hebben binnen je omgeving.
Na deze grondige evaluatie bespreken we samen welke beveiligingsmaatregelen het beste passen bij jouw organisatie. Er zijn diverse mogelijkheden om Enterprise Applications te beheren en te beperken, en wij helpen je om de juiste keuzes te maken. Ons doel? Een zo veilig mogelijke omgeving, met minimale impact op het dagelijkse gebruik door je medewerkers.
Daarnaast kijken we verder dan alleen de Enterprise Applications. Tijdens het assessment nemen we de volledige inrichting en het gebruik van je Microsoft 365-omgeving onder de loep. Hierbij richten we ons niet op de beveiliging van de Microsoft-diensten zelf, maar juist op hoe jouw organisatie deze diensten configureert en gebruikt.
Who are you gonna call? Computest Security!
Ben je benieuwd hoe we jouw Microsoft 365-omgeving nog veiliger kunnen maken? Neem dan contact op via info@computest.nl, bel +31 (0)88 733 13 37 of laat je gegevens achter in ons contactformulier. We vertellen je graag meer over onze aanpak en bespreken samen de beste stappen voor jouw organisatie.
