Voorwaardelijke toegang: op risico gebaseerde voorwaardelijke toegang voor aanmelding

De meeste gebruikers vertonen normaal gedrag dat kan worden getraceerd. Wanneer ze buiten de norm hiervoor vallen, zou het riskant kunnen zijn om hen toe te staan zich zomaar aan te melden. Misschien wilt u die gebruiker blokkeren of hen vragen om meervoudige verificatie uit te voeren om te bewijzen dat ze echt zijn wie ze zeggen dat ze zijn.

Een aanmeldingsrisico geeft de waarschijnlijkheid aan dat een bepaalde verificatieaanvraag niet wordt geautoriseerd door de identiteitseigenaar. Organisaties met Azure AD Premium P2 licenties kunnen beleidsregels voor voorwaardelijke toegang maken met Azure AD Identity Protection-aanmeldingsrisicodetecties.

Er zijn twee locaties waar dit beleid kan worden geconfigureerd, voorwaardelijke toegang en identiteitsbeveiliging. Configuratie met behulp van een beleid voor voorwaardelijke toegang is de voorkeursmethode die meer context biedt, waaronder verbeterde diagnostische gegevens, integratie van rapportmodus, Graph API ondersteuning en de mogelijkheid om andere kenmerken voor voorwaardelijke toegang te gebruiken, zoals aanmeldingsfrequentie in het beleid.

Het beleid op basis van aanmeldingsrisico's beschermt gebruikers tegen het registreren van MFA in riskante sessies. Als gebruikers niet zijn geregistreerd voor MFA, worden hun riskante aanmeldingen geblokkeerd en zien ze een AADSTS53004-fout.

Sjabloonimplementatie

Organisaties kunnen ervoor kiezen dit beleid te implementeren met behulp van de onderstaande stappen of met behulp van de sjablonen voor voorwaardelijke toegang (preview).

Inschakelen met beleid voor voorwaardelijke toegang

  1. Meld u aan bij de Azure Portal als globale beheerder, beveiligingsbeheerder of voorwaardelijke toegangsbeheerder.
  2. Blader naarvoorwaardelijke toegang voor Azure Active Directory-beveiliging>>.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.
  5. Selecteer onder Toewijzingengebruikers- of workloadidentiteiten.
    1. Selecteer onder Opnemenalle gebruikers.
    2. Selecteer onder Uitsluitengebruikers en groepen en kies de toegang tot noodgevallen of break-glass-accounts van uw organisatie.
  6. Selecteer onder Cloud-apps of -acties>Opnemenalle cloud-apps.
  7. Stel Onder Voorwaarden>aanmeldingsrisicoconfigureren in op Ja. Onder Selecteer het risiconiveau voor aanmelden waarop dit beleid van toepassing is.
    1. Selecteer Hoog en Gemiddeld.
    2. Selecteer Gereed.
  8. Onder Toegangsbeheer>verlenen.
    1. Selecteer Toegang verlenen, Meervoudige verificatie vereisen.
    2. Kies Selecteren.
  9. Onder Sessie.
    1. Selecteer aanmeldingsfrequentie.
    2. Zorg ervoor dat elke keer wordt geselecteerd.
    3. Kies Selecteren.
  10. Bevestig uw instellingen en stel Beleid in opAlleen-rapport inschakelen.
  11. Selecteer Maken om uw beleid in te schakelen.

Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van Alleen-rapport naar Aan verplaatsen.

Volgende stappen