Voorwaardelijke toegang: voorwaarden

Binnen een beleid voor voorwaardelijke toegang kan een beheerder gebruikmaken van signalen van voorwaarden zoals risico, apparaatplatform of locatie om zijn beleidsbeslissingen te verbeteren.

Een beleid voor voorwaardelijke toegang definiëren en voorwaarden opgeven

Meerdere voorwaarden kunnen worden gecombineerd om gedetailleerd en specifiek beleid voor voorwaardelijke toegang te maken.

Bij het openen van een gevoelige toepassing kan een beheerder bijvoorbeeld informatie over aanmeldingsrisico's van Identity Protection en locatie meenemen in hun toegangsbeslissing, naast andere besturingselementen zoals meervoudige verificatie.

Aanmeldingsrisico

Voor klanten met toegang tot Identity Protection kan het aanmeldingsrisico worden geëvalueerd als onderdeel van een beleid voor voorwaardelijke toegang. Aanmeldingsrisico geeft de kans aan dat een bepaalde verificatieaanvraag niet door de identiteitseigenaar wordt geautoriseerd. Meer informatie over aanmeldingsrisico's vindt u in de artikelen Wat is risico en Procedure: Risicobeleid configureren en inschakelen.

Gebruikersrisico

Voor klanten met toegang tot Identity Protection kunnen gebruikersrisico's worden geëvalueerd als onderdeel van een beleid voor voorwaardelijke toegang. Gebruikersrisico geeft de kans aan dat van een bepaalde identiteit of een bepaald account misbruik wordt gemaakt. Meer informatie over gebruikersrisico's vindt u in de artikelen Wat is risico en Procedure: Risicobeleid configureren en inschakelen.

Apparaatplatformen

Het apparaatplatform wordt gekenmerkt door besturingssysteem dat wordt uitgevoerd op een apparaat. Azure AD identificeert het platform met behulp van informatie die door het apparaat wordt verstrekt, zoals tekenreeksen van de gebruikersagent. Aangezien tekenreeksen van de gebruikersagent kunnen worden gewijzigd, is deze informatie niet geverifieerd. Het apparaatplatform moet worden gebruikt in combinatie met het Microsoft Intune-nalevingsbeleid voor apparaten of als onderdeel van een blokinstructie. De standaardinstelling moet van toepassing zijn op alle apparaatplatforms.

Voorwaardelijke toegang van Azure AD ondersteunt de volgende apparaatplatformen:

  • Android
  • iOS
  • Windows
  • macOS
  • Linux

Als u verouderde verificatie blokkeert met behulp van de voorwaarde Andere clients , kunt u ook de apparaatplatformvoorwaarde instellen.

Belangrijk

Microsoft raadt u aan een beleid voor de voorwaardelijke toegang te hebben voor niet-ondersteunde apparaatplatformen. Als u bijvoorbeeld de toegang tot uw bedrijfsresources vanuit Chrome OS of andere niet-ondersteunde clients wilt blokkeren, moet u een beleid configureren met een apparaatplatformvoorwaarde die elk apparaat omvat en ondersteunde apparaatplatforms uitsluit en Beheer verlenen is ingesteld op Toegang blokkeren.

Locaties

Bij het configureren van locatie als voorwaarde kunnen organisaties ervoor kiezen om locaties op te nemen of uit te sluiten. Deze benoemde locaties kunnen de openbare IPv4-netwerkgegevens, het land of de regio of zelfs onbekende gebieden bevatten die niet zijn toegewezen aan specifieke landen of regio's. Alleen IP-bereiken kunnen worden gemarkeerd als een vertrouwde locatie.

Wanneer u een locatie opneemt, omvat deze optie alle IP-adressen op internet, niet alleen geconfigureerde benoemde locaties. Bij het selecteren van een locatie kunnen beheerders ervoor kiezen om alle vertrouwde of geselecteerde locaties uit te sluiten.

Sommige organisaties kunnen er bijvoorbeeld voor kiezen om meervoudige verificatie niet te vereisen wanneer hun gebruikers zijn verbonden met het netwerk op een vertrouwde locatie, zoals hun fysieke hoofdkantoor. Beheerders kunnen een beleid maken dat elke locatie bevat, maar de geselecteerde locaties voor hun hoofdkantoornetwerken uitsluit.

Meer informatie over locaties vindt u in het artikel Wat is de locatievoorwaarde in voorwaardelijke toegang van Azure Active Directory.

Client-apps

Standaard zijn alle nieuw gemaakte beleidsregels voor voorwaardelijke toegang van toepassing op alle typen client-apps. Zelfs als de voorwaarde voor client-apps niet is geconfigureerd.

Notitie

Het gedrag van de voorwaarde voor client-apps is bijgewerkt in augustus 2020. Als u bestaande beleidsregels voor voorwaardelijke toegang hebt, blijven deze ongewijzigd. Als u echter op een bestaand beleid klikt, is de configuratieknop verwijderd en worden de client-apps waarop het beleid van toepassing is geselecteerd.

Belangrijk

Aanmeldingen van verouderde verificatieclients bieden geen ondersteuning voor MFA en geven geen apparaatstatusgegevens door aan Azure AD. Daarom worden ze geblokkeerd door besturingselementen voor het verlenen van voorwaardelijke toegang, zoals het vereisen van MFA of compatibele apparaten. Als u accounts hebt die verouderde verificatie moeten gebruiken, moet u deze accounts uitsluiten van het beleid of het beleid configureren om alleen van toepassing te zijn op moderne verificatieclients.

De schakelknop Configureren wanneer deze is ingesteld op Ja is van toepassing op ingeschakelde items, wanneer deze is ingesteld op Nee op alle client-apps, inclusief moderne en verouderde verificatieclients. De schakelknop wordt niet weergegeven in beleidsregels die zijn gemaakt vóór augustus 2020.

  • Moderne verificatieclients
    • Browser
      • Deze omvatten webtoepassingen die gebruikmaken van protocollen zoals SAML, WS-Federation, OpenID Connect of services die zijn geregistreerd als een vertrouwelijke OAuth-client.
    • Mobiele apps en desktopclients
      • Deze optie omvat toepassingen zoals de bureaublad- en telefoontoepassingen van Office.
  • Verouderde verificatieclients
    • clients Exchange ActiveSync
      • Deze selectie omvat het gebruik van het EAS-protocol (Exchange ActiveSync).
      • Wanneer beleid het gebruik van Exchange ActiveSync ontvangt de betrokken gebruiker één quarantaine-e-mail. Deze e-mail met informatie over waarom ze zijn geblokkeerd en bevatten indien mogelijk herstelinstructies.
      • Beheerders kunnen beleid alleen toepassen op ondersteunde platforms (zoals iOS, Android en Windows) via de Microsoft Graph API voor voorwaardelijke toegang.
    • Andere clients
      • Deze optie omvat clients die gebruikmaken van basis-/verouderde verificatieprotocollen die geen ondersteuning bieden voor moderne verificatie.
        • Geverifieerde SMTP: wordt gebruikt door POP- en IMAP-clients om e-mailberichten te verzenden.
        • Autodiscover: wordt gebruikt door Outlook- en EAS-clients om postvakken in Exchange Online te zoeken en er verbinding mee te maken.
        • Exchange Online PowerShell: wordt gebruikt om verbinding te maken met Exchange Online met externe PowerShell. Als u basisverificatie voor Exchange Online PowerShell blokkeert, moet u de Exchange Online PowerShell-module gebruiken om verbinding te maken. Zie Verbinding maken met Exchange Online PowerShell met behulp van meervoudige verificatie voor instructies.
        • Exchange Web Services (EWS): een programmeerinterface die wordt gebruikt door Outlook, Outlook voor Mac en apps van derden.
        • IMAP4: wordt gebruikt door IMAP-e-mailclients.
        • MAPI via HTTP (MAPI/HTTP): wordt gebruikt door Outlook 2010 en hoger.
        • Offline Address Book (OAB): een kopie van adreslijstverzamelingen die door Outlook worden gedownload en gebruikt.
        • Outlook Anywhere (RPC via HTTP): wordt gebruikt door Outlook 2016 en eerder.
        • Outlook-service: wordt gebruikt door de app Mail en Agenda voor Windows 10.
        • POP3: wordt gebruikt door POP-e-mailclients.
        • Reporting Web Services: wordt gebruikt om rapportgegevens op te halen in Exchange Online.

Deze voorwaarden worden vaak gebruikt bij het vereisen van een beheerd apparaat, het blokkeren van verouderde verificatie en het blokkeren van webtoepassingen, maar het toestaan van mobiele of desktop-apps.

Ondersteunde browsers

Deze instelling werkt met alle browsers. Om echter te voldoen aan een apparaatbeleid, zoals een compatibele apparaatvereiste, worden de volgende besturingssystemen en browsers ondersteund. Besturingssystemen en browsers die niet meer worden ondersteund, worden niet weergegeven in deze lijst:

Besturingssystemen Browsers
Windows 10 + Microsoft Edge, Chrome, Firefox 91+
Windows Server 2022 Microsoft Edge, Chrome
Windows Server 2019 Microsoft Edge, Chrome
iOS Microsoft Edge, Safari (zie de opmerkingen)
Android Microsoft Edge, Chrome
macOS Microsoft Edge, Chrome, Safari

Deze browsers ondersteunen apparaatverificatie, zodat het apparaat kan worden geïdentificeerd en gevalideerd op basis van een beleid. De apparaatcontrole mislukt als de browser in de privémodus wordt uitgevoerd of als cookies zijn uitgeschakeld.

Notitie

Edge 85+ vereist dat de gebruiker is aangemeld bij de browser om de apparaatidentiteit correct door te geven. Anders gedraagt het zich als Chrome zonder de extensie voor accounts. Deze aanmelding vindt mogelijk niet automatisch plaats in een scenario voor hybride Azure AD join.

Safari wordt ondersteund voor voorwaardelijke toegang op basis van apparaten, maar het kan niet voldoen aan de beleidsvoorwaarden Goedgekeurde client-app vereisen of App-beveiliging vereisen . Een beheerde browser zoals Microsoft Edge voldoet aan de goedgekeurde vereisten voor client-apps en app-beveiligingsbeleid. Op iOS met mdm-oplossing van derden alleen Microsoft Edge-browser apparaatbeleid ondersteunt.

Firefox 91+ wordt ondersteund voor voorwaardelijke toegang op basis van apparaten, maar 'Eenmalige aanmelding van Windows toestaan voor Microsoft-, werk- en schoolaccounts' moet zijn ingeschakeld.

Waarom zie ik een certificaatprompt in de browser?

In Windows 7, iOS, Android en macOS identificeert Azure AD het apparaat met behulp van een clientcertificaat dat wordt ingericht wanneer het apparaat wordt geregistreerd bij Azure AD. Wanneer een gebruiker zich voor het eerst aanmeldt via de browser, wordt de gebruiker gevraagd het certificaat te selecteren. De gebruiker moet dit certificaat selecteren voordat de browser wordt gebruikt.

Chrome-ondersteuning

Voor Chrome-ondersteuning in Windows 10-makersupdate (versie 1703) of hoger installeert u de Windows-accounts of Office-extensies. Deze extensies zijn vereist wanneer een beleid voor voorwaardelijke toegang apparaatspecifieke details vereist.

Als u deze extensie automatisch wilt implementeren in Chrome-browsers, maakt u de volgende registersleutel:

  • Pad HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Naam 1
  • Typ REG_SZ (tekenreeks)
  • Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Voor Chrome-ondersteuning in Windows 8.1 en 7 maakt u de volgende registersleutel:

  • Pad HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Naam 1
  • Typ REG_SZ (tekenreeks)
  • Gegevens {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Ondersteunde mobiele toepassingen en desktopclients

Organisaties kunnen Mobiele apps en desktopclients selecteren als client-app.

Deze instelling heeft invloed op toegangspogingen van de volgende mobiele apps en desktopclients:

Client-apps Doelservice Platform
Dynamics CRM-app Dynamics CRM Windows 10, Windows 8.1, iOS en Android
App Mail/Agenda/Mensen, Outlook 2016, Outlook 2013 (met moderne verificatie) Exchange Online Windows 10
MFA en locatiebeleid voor apps. Beleid op basis van apparaten wordt niet ondersteund. Alle Mijn apps app-service Android en iOS
Microsoft Teams-services: deze client-app beheert alle services die ondersteuning bieden voor Microsoft Teams en alle bijbehorende client-apps - Windows Desktop, iOS, Android, WP en webclient Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android en macOS
Office 2016-apps, Office 2013 (met moderne verificatie), OneDrive-synchronisatie-client SharePoint Windows 8.1, Windows 7
Office 2016-apps, Universele Office-apps, Office 2013 (met moderne verificatie), OneDrive-synchronisatie client SharePoint Online Windows 10
Office 2016 (alleen Word, Excel, PowerPoint, OneNote). SharePoint macOS
Office 2019 SharePoint Windows 10, macOS
Office Mobile-apps SharePoint Android, iOS
Office Yammer-app Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (Office voor macOS) Exchange Online macOS
Outlook 2016, Outlook 2013 (met moderne verificatie), Skype voor Bedrijven (met moderne verificatie) Exchange Online Windows 8.1, Windows 7
Mobiele Outlook-app Exchange Online Android, iOS
Power BI-app Power BI-service Windows 10, Windows 8.1, Windows 7, Android en iOS
Skype voor Bedrijven Exchange Online Android, iOS
Visual Studio Team Services-app Visual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS en Android

clients Exchange ActiveSync

  • Organisaties kunnen alleen Exchange ActiveSync clients selecteren bij het toewijzen van beleid aan gebruikers of groepen. Als u Alle gebruikers, Alle gast- en externe gebruikers of Directory-rollen selecteert, worden alle gebruikers onderworpen aan het beleid.
  • Wanneer u een beleid maakt dat is toegewezen aan Exchange ActiveSync-clients, moet Exchange Online de enige cloudtoepassing zijn die aan het beleid is toegewezen.
  • Organisaties kunnen het bereik van dit beleid beperken tot specifieke platforms met behulp van de voorwaarde Apparaatplatforms .

Als het toegangsbeheer dat aan het beleid is toegewezen, gebruikmaakt van Goedgekeurde client-app vereisen, wordt de gebruiker omgeleid om de mobiele Outlook-client te installeren en te gebruiken. In het geval dat Meervoudige verificatie, gebruiksvoorwaarden of aangepaste besturingselementen vereist zijn, worden betrokken gebruikers geblokkeerd, omdat basisverificatie deze besturingselementen niet ondersteunt.

Raadpleeg voor meer informatie de volgende artikelen:

Andere clients

Door Andere clients te selecteren, kunt u een voorwaarde opgeven die van invloed is op apps die basisverificatie gebruiken met e-mailprotocollen zoals IMAP, MAPI, POP, SMTP en oudere Office-apps die geen moderne verificatie gebruiken.

Apparaatstatus (afgeschaft)

Deze preview-functie is afgeschaft. Klanten moeten de voorwaarde Filter op apparaten in het beleid voor voorwaardelijke toegang gebruiken om te voldoen aan scenario's die eerder zijn bereikt met behulp van de voorwaarde Apparaatstatus (preview).

De apparaatstatusvoorwaarde is gebruikt om apparaten die hybride Azure AD gekoppeld zijn en/of apparaten die zijn gemarkeerd als compatibel met een Microsoft Intune-nalevingsbeleid uit te sluiten van het beleid voor voorwaardelijke toegang van een organisatie.

Bijvoorbeeld: Alle gebruikers die toegang hebben tot de Microsoft Azure Management-cloud-app, inclusief Alle apparaatstatus, met uitzondering van apparaat hybride Azure AD gekoppeld en Apparaat gemarkeerd als compatibel en voor Toegangsbeheerblokkeren.

  • In dit voorbeeld wordt een beleid gemaakt dat alleen toegang toestaat tot Microsoft Azure Management vanaf apparaten die hybride Azure AD gekoppeld zijn of apparaten die zijn gemarkeerd als compatibel.

Het bovenstaande scenario kan worden geconfigureerd met behulp van Alle gebruikers die toegang hebben tot de Microsoft Azure Management-cloud-app met de voorwaarde Filter voor apparaten in de uitsluitingsmodus met behulp van de volgende regel device.trustType -eq "ServerAD" -or device.isCompliant -eq True en voor Toegangsbeheer, Blokkeren.

  • In dit voorbeeld wordt een beleid gemaakt waarmee de toegang tot Microsoft Azure Management-cloud-app wordt geblokkeerd vanaf niet-beheerde of niet-compatibele apparaten.

Belangrijk

Apparaatstatus en filters voor apparaten kunnen niet samen worden gebruikt in beleid voor voorwaardelijke toegang. Filters voor apparaten bieden gedetailleerdere targeting, waaronder ondersteuning voor het richten van apparaatstatusgegevens via de trustType eigenschap en isCompliant .

Filteren op apparaten

Er is een nieuwe optionele voorwaarde in voorwaardelijke toegang met de naam filter voor apparaten. Bij het configureren van een filter voor apparaten als voorwaarde kunnen organisaties ervoor kiezen om apparaten op te nemen of uit te sluiten op basis van een filter met behulp van een regelexpressie voor apparaateigenschappen. De regelexpressie voor het filter voor apparaten kan worden gemaakt met behulp van de opbouwfunctie voor regels of de syntaxis van regels. Deze ervaring is vergelijkbaar met de ervaring die wordt gebruikt voor dynamische lidmaatschapsregels voor groepen. Zie het artikel Voorwaardelijke toegang: Filteren op apparaten (preview) voor meer informatie.

Volgende stappen