Voorwaardelijke toegang: MFA vereisen voor alle gebruikers

Zoals Alex Weinert, de Directory of Identity Security bij Microsoft, vermeldt in zijn blogpost Your Pa$$word maakt het niet uit:

Uw wachtwoord maakt niet uit, maar MFA wel! Op basis van onze studies is uw account meer dan 99,9% minder waarschijnlijk gecompromitteerd als u MFA gebruikt.

De richtlijnen in dit artikel helpen uw organisatie bij het maken van een MFA-beleid voor uw omgeving.

Uitsluitingen van gebruikers

Beleidsregels voor voorwaardelijke toegang zijn krachtige hulpprogramma's. We raden u aan de volgende accounts uit uw beleid uit te sluiten:

  • Toegang tot noodgevallen of break-glass-accounts om te voorkomen dat accounts voor de hele tenant worden vergrendeld. In het onwaarschijnlijke scenario zijn alle beheerders uitgesloten van uw tenant, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden bij de tenant, stappen te ondernemen om de toegang te herstellen.
  • Serviceaccounts en service-principals, zoals het Azure AD Synchronisatieaccount verbinden. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een bepaalde gebruiker. Ze worden normaal gesproken gebruikt door back-endservices die programmatische toegang tot toepassingen toestaan, maar worden ook gebruikt om u aan te melden bij systemen voor administratieve doeleinden. Serviceaccounts zoals deze moeten worden uitgesloten omdat MFA niet programmatisch kan worden voltooid. Oproepen van service-principals worden niet geblokkeerd door voorwaardelijke toegang.
    • Als uw organisatie deze accounts in scripts of code gebruikt, kunt u deze vervangen door beheerde identiteiten. Als tijdelijke tijdelijke oplossing kunt u deze specifieke accounts uitsluiten van het basislijnbeleid.

Toepassingsuitsluitingen

Organisaties kunnen veel cloudtoepassingen gebruiken. Niet al deze toepassingen vereisen mogelijk gelijke beveiliging. Voor de salaris- en aanwezigheidsaanvragen kan bijvoorbeeld MFA vereist zijn, maar de cafetaria is waarschijnlijk niet. Beheerders kunnen ervoor kiezen om specifieke toepassingen uit te sluiten van hun beleid.

Abonnement activeren

Organisaties die abonnementsactivering gebruiken om gebruikers in staat te stellen om een stapje uit te voeren van de ene versie van Windows naar een andere, kunnen de UNIVERSAL Store Service-API's en webtoepassing, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f uitsluiten van hun alle gebruikers alle cloud-apps MFA-beleid.

Sjabloonimplementatie

Organisaties kunnen ervoor kiezen dit beleid te implementeren met behulp van de onderstaande stappen of met behulp van de sjablonen voor voorwaardelijke toegang (preview).

Beleid voor voorwaardelijke toegang maken

Met de volgende stappen kunt u beleid voor voorwaardelijke toegang maken om alle gebruikers meervoudige verificatie te vereisen.

  1. Meld u aan bij de Azure Portal als globale beheerder, beveiligingsbeheerder of voorwaardelijke toegangsbeheerder.
  2. Blader naarvoorwaardelijke toegang voor Azure Active Directory-beveiliging>>.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.
  5. Selecteer onder Toewijzingengebruikers- of workloadidentiteiten.
    1. Selecteer onder Opnemenalle gebruikers
    2. Selecteer onder Uitsluitengebruikers en groepen en kies de toegang tot noodgevallen of break-glass-accounts van uw organisatie.
  6. Selecteer onder Cloud-apps of -acties>Opnemenalle cloud-apps.
    1. Selecteer onder Uitsluiten alle toepassingen waarvoor meervoudige verificatie niet is vereist.
  7. Selecteer onder Toegangsbeheer>verlenen de optie Toegang verlenen, Meervoudige verificatie vereisen en selecteer Selecteren.
  8. Bevestig uw instellingen en stel Beleid in opAlleen-rapport inschakelen.
  9. Selecteer Maken om uw beleid in te schakelen.

Nadat u uw instellingen hebt bevestigd met de modus Alleen-rapport, kan een beheerder de wisselknop Beleid inschakelen van Alleen-rapport naar Aan verplaatsen.

Benoemde locaties

Organisaties kunnen ervoor kiezen om bekende netwerklocaties op te nemen die benoemde locaties worden genoemd in hun beleid voor voorwaardelijke toegang. Deze benoemde locaties kunnen vertrouwde IPv4-netwerken bevatten, zoals die voor een hoofdkantoorlocatie. Zie het artikel Wat is de locatievoorwaarde in voorwaardelijke toegang van Azure Active Directory voor meer informatie over het configureren van benoemde locaties?

In het bovenstaande voorbeeldbeleid kan een organisatie ervoor kiezen om meervoudige verificatie niet te vereisen als ze toegang hebben tot een cloud-app vanuit hun bedrijfsnetwerk. In dit geval kunnen ze de volgende configuratie toevoegen aan het beleid:

  1. Selecteer onderToewijzingenVoorwaardenlocaties>.
    1. Ja configureren.
    2. Neem elke locatie op.
    3. Alle vertrouwde locaties uitsluiten.
    4. Selecteer Gereed.
  2. Selecteer Gereed.
  3. Sla uw beleidswijzigingen op.

Volgende stappen

Algemeen beleid voor voorwaardelijke toegang

Gedrag van aanmelden simuleren met behulp van het hulpprogramma What If voor voorwaardelijke toegang