Share via

Beleid voor voorwaardelijke toegang toepassen op privétoegang-apps

  • Artikel

Het toepassen van beleid voor voorwaardelijke toegang op uw Microsoft Entra-privétoegang-apps is een krachtige manier om beveiligingsbeleid af te dwingen voor uw interne, persoonlijke resources. U kunt beleid voor voorwaardelijke toegang toepassen op uw snelle toegangs- en privétoegang-apps vanuit globale beveiligde toegang (preview).

In dit artikel wordt beschreven hoe u beleid voor voorwaardelijke toegang toepast op uw apps Snelle toegang en Persoonlijke toegang.

Vereisten

  • Beheer istrators die interactie hebben met De preview-functies van Global Secure Access moeten een of meer van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren.
    • De rol global Secure Access Beheer istrator om de preview-functies van Global Secure Access te beheren.
    • De Beheer istrator voor voorwaardelijke toegang om beleid voor voorwaardelijke toegang te maken en te gebruiken.
  • U moet Snelle toegang of persoonlijke toegang hebben geconfigureerd.
  • Voor de preview is een Licentie voor Microsoft Entra ID P1 vereist. Indien nodig kunt u licenties kopen of proeflicenties krijgen.

Bekende beperkingen

  • Op dit moment is het maken van verbinding via de Global Secure Access-client vereist om privétoegangsverkeer te verkrijgen.

Voorwaardelijke toegang en globale beveiligde toegang

U kunt een beleid voor voorwaardelijke toegang maken voor uw snelle toegangs- of privétoegang-apps vanuit globale beveiligde toegang. Als u het proces start vanuit Global Secure Access, wordt de geselecteerde app automatisch toegevoegd als doelresource voor het beleid. U hoeft alleen de beleidsinstellingen te configureren.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.

  2. Blader naar Algemene Secure Access -toepassingen (preview)>Bedrijfstoepassingen.>

  3. Selecteer een toepassing in de lijst.

    Schermopname van de details van de bedrijfstoepassingen.

  4. Selecteer Voorwaardelijke toegang in het zijmenu. Alle bestaande beleidsregels voor voorwaardelijke toegang worden weergegeven in een lijst.

    Schermopname van de menuoptie Voorwaardelijke toegang.

  5. Selecteer Nieuw beleid maken. De geselecteerde app wordt weergegeven in de details van de doelbronnen .

    Schermopname van het beleid voor voorwaardelijke toegang met de app Snelle toegang geselecteerd.

  6. Configureer de voorwaarden, toegangsbeheer en wijs indien nodig gebruikers en groepen toe.

U kunt ook beleid voor voorwaardelijke toegang toepassen op een groep toepassingen op basis van aangepaste kenmerken. Ga voor meer informatie naar Filteren voor toepassingen in beleid voor voorwaardelijke toegang (preview).

Voorbeeld van toewijzingen en besturingselementen voor toegang

Pas de volgende beleidsdetails aan om een beleid voor voorwaardelijke toegang te maken waarvoor meervoudige verificatie, apparaatcompatibiliteit of een hybride apparaat van Microsoft Entra is vereist voor uw Quick Access-toepassing. De gebruikerstoewijzingen zorgen ervoor dat de accounts voor noodgevallen of break-glass-accounts van uw organisatie worden uitgesloten van het beleid.

  1. Selecteer onder Toewijzingen gebruikers:
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Onder Uitsluiten selecteert u Gebruikers en groepen en kiest u de noodtoegangs- of 'break glass'-accounts van uw organisatie.
  2. Onder Toegangsbeheer>verlenen:
    1. Selecteer Meervoudige verificatie vereisen, Vereisen dat het apparaat als compatibel wordt gemarkeerd en Vereisen dat het hybride apparaat van Microsoft Entra is gekoppeld
  3. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.

Nadat beheerders de beleidsinstellingen hebben bevestigd met de modus Alleen-rapport, kan een beheerder de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:

  • noodtoegangaccounts of break glass-accounts om tenantbrede accountvergrendeling te voorkomen. In het onwaarschijnlijke scenario zijn alle beheerders uitgesloten van uw tenant, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden bij de tenant om stappen te ondernemen om de toegang te herstellen.
  • Serviceaccounts en service-principals, zoals het Microsoft Entra-Verbinding maken-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gebonden aan een bepaalde gebruiker. Ze worden normaal gebruikt door back-end services die programmatische toegang tot toepassingen mogelijk maken, maar worden ook gebruikt om in te loggen op systemen voor administratieve doeleinden. Serviceaccounts zoals deze moeten worden uitgesloten omdat MFA niet programmatisch kan worden voltooid. Oproepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workload-identiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
    • Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten. Als tijdelijke oplossing kunt u deze specifieke accounts uitsluiten van het basislijnbeleid.

Volgende stappen