Algemeen beleid voor voorwaardelijke toegang: een compatibel apparaat, een hybride Azure AD gekoppeld apparaat of meervoudige verificatie vereisen voor alle gebruikers

Organisaties die Microsoft Intune hebben geïmplementeerd, kunnen de informatie die van hun apparaten wordt geretourneerd, gebruiken om apparaten te identificeren die voldoen aan de nalevingsvereisten, zoals:

  • Een pincode vereisen om te ontgrendelen
  • Apparaatversleuteling vereisen
  • Een minimale of maximale versie van het besturingssysteem vereisen
  • Vereisen dat een apparaat niet is gekraakt of geroot

Informatie over beleidsnaleving wordt verzonden naar Azure AD waar voorwaardelijke toegang besluit om toegang tot resources te verlenen of te blokkeren. Meer informatie over nalevingsbeleid voor apparaten vindt u in het artikel Regels instellen op apparaten om toegang te verlenen tot resources in uw organisatie met behulp van Intune

Het vereisen van een hybride Azure AD gekoppeld apparaat is afhankelijk van het feit dat uw apparaten al hybride Azure AD gekoppeld zijn. Zie het artikel Hybrid Azure AD join configureren voor meer informatie.

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang is krachtige hulpprogramma's. We raden u aan de volgende accounts uit te sluiten van uw beleid:

  • noodtoegangaccounts of break glass-accounts om tenantbrede accountvergrendeling te voorkomen. In het onwaarschijnlijke scenario zijn alle beheerders uitgesloten van uw tenant. Uw beheerdersaccount voor noodtoegang kan worden gebruikt om u aan te melden bij de tenant om stappen te ondernemen om de toegang te herstellen.
  • Serviceaccounts en service-principals, zoals het Azure AD Connect-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een bepaalde gebruiker. Ze worden normaal gesproken gebruikt door back-endservices die programmatische toegang tot toepassingen toestaan, maar worden ook gebruikt om u voor administratieve doeleinden aan te melden bij systemen. Serviceaccounts zoals deze moeten worden uitgesloten omdat MFA niet programmatisch kan worden voltooid. Aanroepen van service-principals worden niet geblokkeerd door voorwaardelijke toegang.
    • Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten. Als tijdelijke oplossing kunt u deze specifieke accounts uitsluiten van het basislijnbeleid.

Sjabloonimplementatie

Organisaties kunnen ervoor kiezen dit beleid te implementeren met behulp van de onderstaande stappen, of met behulp van de Sjablonen voor voorwaardelijke toegang (preview).

Beleid voor voorwaardelijke toegang maken

De volgende stappen helpen bij het maken van een beleid voor voorwaardelijke toegang om meervoudige verificatie te vereisen, apparaten die toegang hebben tot resources, worden gemarkeerd als compatibel met het Intune nalevingsbeleid van uw organisatie of zijn hybride Azure AD toegevoegd.

  1. Meld u als Beheerder voor voorwaardelijke toegang, Beveiligingsbeheerder of Globale beheerder aan bij de Azure-portal.
  2. Blader naar Azure Active Directory>Beveiliging>Voorwaardelijke toegang.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer onder Uitsluiten de optie Gebruikers en groepen, en selecteer de accounts voor toegang bij noodgevallen van uw organisatie.
  6. Selecteer onder Cloud-apps of -acties>Opnemen de optie Alle cloud-apps.
    1. Als u specifieke toepassingen moet uitsluiten van uw beleid, kunt u deze kiezen op het tabblad Uitsluiten onder Uitgesloten cloud-apps selecteren en selecteren.
  7. Selecteer Toegangsbeheer>Verlenen.
    1. Selecteer Meervoudige verificatie vereisen, Vereisen dat het apparaat is gemarkeerd als compatibel en Hybride Azure AD gekoppeld apparaat vereisen
    2. Voor meerdere besturingselementen selecteert u Een van de geselecteerde besturingselementen vereisen.
    3. Kies Selecteren.
  8. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  9. Selecteer Maken om het beleid te kunnen inschakelen.

Nadat uw instellingen zijn bevestigd met de modus Alleen rapporteren, kan een beheerder de wisselknop Beleid inschakelen schakelen van Alleen rapporteren naar Aan.

Notitie

U kunt uw nieuwe apparaten inschrijven voor Intune, zelfs als u Vereisen dat het apparaat moet worden gemarkeerd als compatibel voor Alle gebruikers en Alle cloud-apps selecteert met behulp van de bovenstaande stappen. Vereisen dat het apparaat wordt gemarkeerd als compatibel besturingselement, blokkeert Intune inschrijving en de toegang tot de Microsoft Intune Web Bedrijfsportal-toepassing niet.

Bekend probleem

In Windows 7, iOS, Android, macOS en sommige webbrowsers van derden identificeert Azure AD het apparaat met behulp van een clientcertificaat dat wordt ingericht wanneer het apparaat is geregistreerd bij Azure AD. Wanneer een gebruiker zich voor het eerst aanmeldt via de browser, wordt de gebruiker gevraagd het certificaat te selecteren. De eindgebruiker moet dit certificaat selecteren voordat deze de browser kan blijven gebruiken.

Abonnement activeren

Organisaties die gebruikmaken van de functie Abonnementsactivering om gebruikers in staat te stellen om van de ene versie van Windows naar de andere te gaan, willen mogelijk de Api's van de Universal Store-service en de webtoepassing AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f uitsluiten van hun nalevingsbeleid voor apparaten.

Volgende stappen

Algemeen beleid voor voorwaardelijke toegang

Impact bepalen met de modus Alleen rapporteren voor voorwaardelijke toegang

Gedrag van aanmelden simuleren met het hulpprogramma What If voor voorwaardelijke toegang

Apparaatnalevingsbeleid werkt met Azure AD