Voorwaardelijke toegang: Filteren op toepassingen

  • Artikel

Op dit moment kan beleid voor voorwaardelijke toegang worden toegepast op alle apps of op afzonderlijke apps. Organisaties met een groot aantal apps vinden dit proces mogelijk moeilijk te beheren in meerdere beleidsregels voor voorwaardelijke toegang.

Met toepassingsfilters voor voorwaardelijke toegang kunnen organisaties service-principals taggen met aangepaste kenmerken. Deze aangepaste kenmerken worden vervolgens toegevoegd aan hun beleid voor voorwaardelijke toegang. Filters voor toepassingen worden geƫvalueerd tijdens de uitgifteruntime van tokens. Een veelvoorkomende vraag is of apps tijdens runtime of configuratietijd worden toegewezen.

In dit document maakt u een aangepaste kenmerkenset, wijst u een aangepast beveiligingskenmerk toe aan uw toepassing en maakt u een beleid voor voorwaardelijke toegang om de toepassing te beveiligen.

Rollen toewijzen

Aangepaste beveiligingskenmerken zijn beveiligingsgevoelig en kunnen alleen worden beheerd door gedelegeerde gebruikers. Zelfs globale Beheer beheerders hebben geen standaardmachtigingen voor aangepaste beveiligingskenmerken. Een of meer van de volgende rollen moeten worden toegewezen aan de gebruikers die deze kenmerken beheren of rapporteren.

Rolnaam Beschrijving
Kenmerktoewijzingsbeheerder Wijs aangepaste beveiligingskenmerksleutels en -waarden toe aan ondersteunde Microsoft Entra-objecten.
Lezer van kenmerktoewijzing Lees aangepaste beveiligingskenmerksleutels en -waarden voor ondersteunde Microsoft Entra-objecten.
Kenmerkdefinitiebeheerder Kan de definitie van aangepaste beveiligingskenmerken definiƫren en beheren.
Kenmerkdefinitielezer Kan de definitie van aangepaste beveiligingskenmerken lezen.

Wijs de juiste rol toe aan de gebruikers die deze kenmerken beheren of rapporteren op het adreslijstbereik. Zie Een rol toewijzen voor gedetailleerde stappen.

Aangepaste beveiligingskenmerken maken

Volg de instructies in het artikel aangepaste beveiligingskenmerken toevoegen of deactiveren in Microsoft Entra ID om de volgende kenmerkenset en nieuwe kenmerken toe te voegen.

  • Maak een kenmerkset met de naam ConditionalAccessTest.
  • Maak nieuwe kenmerken met de naam policyRequirement waarmee meerdere waarden kunnen worden toegewezen en alleen vooraf gedefinieerde waarden mogen worden toegewezen. We voegen de volgende vooraf gedefinieerde waarden toe:
    • legacyAuthAllowed
    • blockGuestUsers
    • requireMFA
    • requireCompliantDevice
    • requireHybridJoinedDevice
    • requireCompliantApp

Een schermopname met aangepast beveiligingskenmerk en vooraf gedefinieerde waarden in Microsoft Entra-id.

Notitie

Filters voor voorwaardelijke toegang voor toepassingen werken alleen met aangepaste beveiligingskenmerken van het type 'tekenreeks'. Aangepaste beveiligingskenmerken ondersteunen het maken van booleaanse gegevenstypen, maar beleid voor voorwaardelijke toegang biedt alleen ondersteuning voor 'tekenreeks'.

Beleid voor voorwaardelijke toegang maken

Een schermopname van beleid voor voorwaardelijke toegang met het venster Filter bewerken met een kenmerk waarvoor MFA is vereist.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een voorwaardelijke toegang Beheer istrator en Kenmerkdefinitielezer.
  2. Blader naar voorwaardelijke toegang voor beveiliging>.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer bij Uitsluiten de optie Gebruikers en groepen en selecteer de accounts voor toegang bij noodgevallen van uw organisatie.
    3. Selecteer Gereed.
  6. Selecteer onder Doelbronnen de volgende opties:
    1. Selecteer wat dit beleid van toepassing is op Cloud-apps.
    2. Selecteer apps opnemen.
    3. Selecteer Filter bewerken.
    4. Stel Configureren in op Ja.
    5. Selecteer het kenmerk dat we eerder hebben gemaakt met de naam policyRequirement.
    6. Stel operator in op Contains.
    7. Stel waarde in op requireMFA.
    8. Selecteer Gereed.
  7. Selecteer onder Toegangsbeheer>verlenen de optie Toegang verlenen, Meervoudige verificatie vereisen en selecteer Selecteren.
  8. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  9. Selecteer Maken om het beleid te kunnen inschakelen.

Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Aangepaste kenmerken configureren

Stap 1: Een voorbeeldtoepassing instellen

Als u al een testtoepassing hebt die gebruikmaakt van een service-principal, kunt u deze stap overslaan.

Stel een voorbeeldtoepassing in die laat zien hoe een taak of een Windows-service kan worden uitgevoerd met een toepassings-id, in plaats van de identiteit van een gebruiker. Volg de instructies in de quickstart van het artikel : Een token ophalen en de Microsoft Graph API aanroepen met behulp van de identiteit van een console-app om deze toepassing te maken.

Stap 2: Een aangepast beveiligingskenmerk toewijzen aan een toepassing

Wanneer u geen service-principal hebt die in uw tenant wordt vermeld, kan deze niet worden gericht. De Office 365-suite is een voorbeeld van een dergelijke service-principal.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheer istrator en kenmerktoewijzing Beheer istrator.
  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
  3. Selecteer de service-principal waarop u een aangepast beveiligingskenmerk wilt toepassen.
  4. Selecteer Toewijzing toevoegen onder Aangepaste beveiligingskenmerken beheren.>
  5. Selecteer ConditionalAccessTest onder Kenmerkset.
  6. Selecteer onder Kenmerknaam policyRequirement.
  7. Selecteer onder Toegewezen waarden waarden toevoegen, selecteer VereistMFA in de lijst en selecteer Vervolgens Gereed.
  8. Selecteer Opslaan.

Stap 3: Het beleid testen

Meld u aan als een gebruiker waarop het beleid van toepassing is en test om te zien dat MFA is vereist bij het openen van de toepassing.

Andere scenario's

  • Verouderde verificatie blokkeren
  • Externe toegang tot toepassingen blokkeren
  • Nalevingsbeleid voor apparaten of Intune-app-beveiliging vereisen
  • Besturingselementen voor aanmeldingsfrequentie afdwingen voor specifieke toepassingen
  • Een bevoegde toegangswerkstation vereisen voor specifieke toepassingen
  • Sessiebeheer vereisen voor gebruikers met een hoog risico en specifieke toepassingen

Gerelateerde inhoud

Sjablonen voor voorwaardelijke toegang

Effect bepalen met de modus Alleen-rapport voor voorwaardelijke toegang

Gebruik de modus alleen rapporteren voor voorwaardelijke toegang om de resultaten van nieuwe beleidsbeslissingen te bepalen.