Wat is voorwaardelijke toegang?

De moderne beveiligingsperimeter gaat nu verder dan het netwerk van een organisatie en omvat ook de identiteit van gebruikers en apparaten. Organisaties kunnen identiteitsgestuurde signalen gebruiken als onderdeel van hun beslissingen over toegangsbeheer.

Voorwaardelijke toegang brengt signalen bijeen om beslissingen te nemen en organisatiebeleid af te dwingen. Azure AD voorwaardelijke toegang vormt de kern van het nieuwe identiteitsgestuurde besturingsvlak.

Conceptueel voorwaardelijk signaal plus beslissing om afdwinging in te schakelen

De eenvoudigste beleidsregels voor voorwaardelijke toegang zijn als/dan-instructies. Als een gebruiker toegang wil krijgen tot een resource, moet deze een actie uitvoeren. Voorbeeld: Een salarismanager wil toegang tot de salaristoepassing en moet meervoudige verificatie uitvoeren om er toegang toe te krijgen.

Beheerders hebben twee hoofddoelen:

  • Geef gebruikers de mogelijkheid overal en altijd productief te zijn
  • De bedrijfsactiva beschermen

Gebruik beleid voor voorwaardelijke toegang om de juiste toegangsbeheer toe te passen wanneer dat nodig is om uw organisatie veilig te houden.

Processtroom Conceptuele voorwaardelijke toegang

Belangrijk

Beleid voor voorwaardelijke toegang wordt afgedwongen nadat verificatie van de eerste factor is voltooid. Voorwaardelijke toegang is niet zozeer bedoeld als de eerste verdedigingslinie van een organisatie tegen bijvoorbeeld DoS-aanvallen (Denial of Service), maar kan gebruikmaken van signalen van deze gebeurtenissen om wel of geen toegang te verlenen.

Algemene signalen

Via voorwaardelijke toegang kan rekening worden gehouden met de volgende algemene signalen bij het nemen van een beleidsbeslissing:

  • Gebruikers- of groepslidmaatschap
    • Beleid kan worden afgestemd op specifieke gebruikers en groepen, waardoor beheerders een nauwkeurige controle hebben over de toegang.
  • IP-locatie-informatie
    • Organisaties kunnen vertrouwde IP-adresbereiken maken die kunnen worden gebruikt bij het nemen van beleidsbeslissingen.
    • Beheerders kunnen IP-bereiken voor landen/regio's opgeven om verkeer te blokkeren of toe te staan.
  • Apparaat
    • Gebruikers met apparaten van specifieke platforms of die zijn gemarkeerd met een specifieke status, kunnen worden gebruikt bij het afdwingen van beleid voor voorwaardelijke toegang.
    • Gebruik filters voor apparaten om beleid te richten op specifieke apparaten, zoals werkstations met uitgebreide toegang.
  • Toepassing
    • Gebruikers die toegang proberen te krijgen tot specifieke toepassingen, kunnen verschillende beleidsregels voor voorwaardelijke toegang activeren.
  • Realtime en berekende risicodetectie
    • Integratie van signalen met Azure AD Identity Protection maakt beleid voor voorwaardelijke toegang mogelijk om riskant aanmeldingsgedrag te identificeren. Beleidsregels kunnen gebruikers vervolgens dwingen hun wachtwoord te wijzigen, meervoudige verificatie uit te voeren om hun risiconiveau te verminderen of de toegang te blokkeren totdat een beheerder handmatig actie onderneemt.
  • Microsoft Defender for Cloud Apps
    • Hiermee kunnen gebruikerstoepassingstoegang en -sessies in realtime worden bewaakt en beheerd, waardoor de zichtbaarheid en controle over de toegang tot en activiteiten die binnen uw cloudomgeving worden uitgevoerd, worden vergroot.

Algemene beslissingen

  • Toegang blokkeren
    • Meest beperkende beslissing
  • Toegang verlenen
    • Bij de minst beperkende beslissing kunnen nog steeds een of meer van de volgende opties nodig zijn:
      • Multi-Factor Authentication vereisen
      • Vereisen dat het apparaat moet worden gemarkeerd als compatibel
      • Hybride Azure AD-gekoppeld apparaat is vereist
      • Goedgekeurde client-apps vereisen
      • Beleid voor app-beveiliging vereisen (preview)

Algemeen toegepast beleid

Veel organisaties hebben algemene toegangsproblemen waarbij het beleid voor voorwaardelijke toegang kan helpen zoals:

  • Multi-Factor Authentication vereisen voor gebruikers met beheerdersrollen
  • Multi-Factor Authentication vereisen voor Azure-beheertaken
  • Aanmeldingen blokkeren voor gebruikers die verouderde verificatieprotocollen gebruiken
  • Vertrouwde locaties voor registratie van Azure AD Multi-Factor Authentication vereisen
  • Toegang vanaf specifieke locaties blokkeren of verlenen
  • Riskant aanmeldingsgedrag blokkeren
  • Door de organisatie beheerde apparaten vereisen voor specifieke toepassingen

Licentievereisten

Voor het gebruik van deze functie zijn Azure AD Premium P1 licenties vereist. Zie Algemeen beschikbare functies van Azure AD vergelijken als u een licentie zoekt die bij uw vereisten past.

Klanten met een Microsoft 365 Business Premium-licentie hebben ook toegang tot de functies voor voorwaardelijke toegang.

Beleid op basis van risico's vereist toegang tot Identity Protection, een Azure AD P2-functie.

Voor andere producten en functies die kunnen communiceren met beleid voor voorwaardelijke toegang, is de juiste licentie vereist voor deze producten en functies.

Wanneer licenties die zijn vereist voor voorwaardelijke toegang verlopen, worden beleidsregels niet automatisch uitgeschakeld of verwijderd, zodat klanten kunnen migreren van het beleid voor voorwaardelijke toegang zonder een plotselinge wijziging in hun beveiligingspostuur. Resterende beleidsregels kunnen worden weergegeven en verwijderd, maar niet meer worden bijgewerkt.

Standaardinstellingen voor beveiliging beschermen tegen identiteitsgerelateerde aanvallen en zijn beschikbaar voor alle klanten.

Volgende stappen