Risicobeleid configureren en inschakelen

  • Artikel

Zoals we in het vorige artikel hebben geleerd, zijn er twee soorten risicobeleidsregels in voorwaardelijke toegang van Microsoft Entra die u kunt instellen. U kunt deze beleidsregels gebruiken om de reactie op risico's te automatiseren, zodat gebruikers zichzelf kunnen herstellen wanneer er risico's worden gedetecteerd:

  • Beleid voor aanmeldingsrisico's
  • Beleid voor gebruikersrisico's

Screenshot of a Conditional Access policy showing risk as conditions.

Acceptabele risiconiveaus kiezen

Organisaties moeten bepalen welk risiconiveau ze nodig hebben om toegangsbeheer te vereisen voor het verdelen van gebruikerservaring en beveiligingspostuur.

Als u ervoor kiest om toegangsbeheer toe te passen op een hoog risiconiveau, vermindert u het aantal keren dat een beleid wordt geactiveerd en minimaliseert u wrijving voor gebruikers. Het sluit echter lage en gemiddelde risico's uit van het beleid, waardoor een aanvaller mogelijk geen misbruik kan maken van een gecompromitteerde identiteit. Als u een laag risiconiveau selecteert om toegangsbeheer te vereisen, worden er meer gebruikersonderbrekingen geïntroduceerd.

Geconfigureerde vertrouwde netwerklocaties worden door Identity Protection in sommige risicodetecties gebruikt om fout-positieven te verminderen.

De volgende beleidsconfiguraties omvatten het besturingselement voor aanmeldingsfrequentiesessies waarvoor opnieuw verificatie is vereist voor riskante gebruikers en aanmeldingen.

Risicoherstel

Organisaties kunnen ervoor kiezen de toegang te blokkeren wanneer er risico's worden gedetecteerd. Soms zorgt blokkeren ervoor dat legitieme gebruikers vereiste taken niet meer kunnen uitvoeren. Een betere oplossing is om zelfherstel toe te staan met behulp van Microsoft Entra meervoudige verificatie en veilige wachtwoordwijziging.

Waarschuwing

Gebruikers moeten zich registreren voor Meervoudige Verificatie van Microsoft Entra voordat ze te maken krijgen met een situatie waarvoor herstel is vereist. Voor hybride gebruikers die van on-premises naar de cloud worden gesynchroniseerd, moet wachtwoord terugschrijven zijn ingeschakeld. Gebruikers die niet zijn geregistreerd, worden geblokkeerd en vereisen tussenkomst van de beheerder.

Wachtwoordwijziging (ik ken mijn wachtwoord en wil dit wijzigen in iets nieuws) buiten de risicovolle herstelstroom voor gebruikersbeleid voldoet niet aan de vereiste voor veilige wachtwoordwijziging.

Aanbeveling van Microsoft

Microsoft raadt de volgende configuraties voor risicobeleid aan om uw organisatie te beveiligen:

  • Beleid voor gebruikersrisico's
    • Een veilige wachtwoordwijziging vereisen wanneer het gebruikersrisiconiveau hoog is. Microsoft Entra meervoudige verificatie is vereist voordat de gebruiker een nieuw wachtwoord kan maken met wachtwoord terugschrijven om het risico te herstellen.
  • Beleid voor aanmeldingsrisico's
    • Vereisen dat Microsoft Entra meervoudige verificatie vereist wanneer het risiconiveau voor aanmelden gemiddeld of hoog is, zodat gebruikers kunnen bewijzen dat het ze zijn met behulp van een van hun geregistreerde verificatiemethoden, waardoor het aanmeldingsrisico wordt hersteld.

Toegangsbeheer vereisen wanneer het risiconiveau laag is, leidt tot meer wrijving en gebruikersonderbreken dan gemiddeld of hoog. Als u ervoor kiest om de toegang te blokkeren in plaats van zelfherstelopties toe te staan, zoals veilige wachtwoordwijziging en meervoudige verificatie, heeft dit nog meer invloed op uw gebruikers en beheerders. Weeg deze keuzes bij het configureren van uw beleid.

Uitsluitingen

Beleidsregels maken het mogelijk gebruikers zoals uw beheerdersaccounts voor noodtoegang of noodsituaties uit te sluiten. Organisaties moeten mogelijk andere accounts uitsluiten van specifiek beleid op basis van de manier waarop de accounts worden gebruikt. Uitsluitingen moeten regelmatig worden gecontroleerd om te zien of ze nog steeds van toepassing zijn.

Beleid inschakelen

Organisaties kunnen ervoor kiezen om beleid op basis van risico's in voorwaardelijke toegang te implementeren met behulp van de volgende stappen of met behulp van sjablonen voor voorwaardelijke toegang.

Voordat organisaties herstelbeleid inschakelen, moeten ze actieve risico's onderzoeken en oplossen .

Beleid voor gebruikersrisico's in voorwaardelijke toegang

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheer istrator voor voorwaardelijke toegang.
  2. Blader naar voorwaardelijke toegang voor beveiliging>.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer bij Uitsluiten de optie Gebruikers en groepen en selecteer de accounts voor toegang bij noodgevallen van uw organisatie.
    3. Selecteer Gereed.
  6. Selecteer bij Cloud-apps of -acties>Opnemen de optie Alle cloud-apps.
  7. Stel bij Voorwaarden>GebruikersrisicoConfigureren in op Ja.
    1. Selecteer onder Niveaus van gebruikersrisico's configureren die nodig zijn om beleid af te dwingen de optie Hoog. (Deze richtlijnen zijn gebaseerd op Microsoft-aanbevelingen en kunnen verschillen voor elke organisatie)
    2. Selecteer Gereed.
  8. Selecteer Toegangsbeheer>Verlenen.
    1. Selecteer Toegang verlenen, Meervoudige verificatie vereisen en Wachtwoordwijziging vereisen.
    2. Selecteer Selecteren.
  9. Onder Sessie.
    1. Selecteer Aanmeldingsfrequentie.
    2. Zorg ervoor dat elke keer wordt geselecteerd.
    3. Selecteer Selecteren.
  10. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  11. Selecteer Maken om het beleid te kunnen inschakelen.

Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Beleid voor aanmeldingsrisico's in voorwaardelijke toegang

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheer istrator voor voorwaardelijke toegang.
  2. Blader naar voorwaardelijke toegang voor beveiliging>.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer bij Uitsluiten de optie Gebruikers en groepen en selecteer de accounts voor toegang bij noodgevallen van uw organisatie.
    3. Selecteer Gereed.
  6. Selecteer bij Cloud-apps of -acties>Opnemen de optie Alle cloud-apps.
  7. Stel bij Voorwaarden>Aanmeldingsrisico de optie Configureren in op Ja. Onder Het niveau voor aanmeldingsrisico selecteren waarop dit beleid van toepassing is. (Deze richtlijnen zijn gebaseerd op Microsoft-aanbevelingen en kunnen verschillen voor elke organisatie)
    1. Selecteer Hoog en Gemiddeld.
    2. Selecteer Gereed.
  8. Selecteer Toegangsbeheer>Verlenen.
    1. Selecteer Toegang verlenen, Meervoudige verificatie vereisen.
    2. Selecteer Selecteren.
  9. Onder Sessie.
    1. Selecteer Aanmeldingsfrequentie.
    2. Zorg ervoor dat elke keer wordt geselecteerd.
    3. Selecteer Selecteren.
  10. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  11. Selecteer Maken om het beleid te kunnen inschakelen.

Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Risicobeleid migreren naar voorwaardelijke toegang

Waarschuwing

Het verouderde risicobeleid dat is geconfigureerd in Microsoft Entra ID Protection, wordt op 1 oktober 2026 buiten gebruik gesteld.

Als u risicobeleid hebt ingeschakeld in Microsoft Entra ID, moet u deze migreren naar voorwaardelijke toegang:

Screenshots showing the migration of a sign-in risk policy to Conditional Access.

Migreren naar voorwaardelijke toegang

  1. Maak een gelijkwaardigbeleid op basis van gebruikersrisico's en op basis van aanmeldingsrisico's in de modus Alleen-rapporteren voor voorwaardelijke toegang. U kunt een beleid maken met de vorige stappen of met behulp van sjablonen voor voorwaardelijke toegang op basis van de aanbevelingen van Microsoft en uw organisatievereisten.
    1. Zorg ervoor dat het nieuwe risicobeleid voor voorwaardelijke toegang werkt zoals verwacht door het te testen in de modus alleen voor rapporten.
  2. Schakel het nieuwe beleid voor risico's voor voorwaardelijke toegang in. U kunt ervoor kiezen om beide beleidsregels naast elkaar uit te voeren om te bevestigen dat het nieuwe beleid werkt zoals verwacht voordat u het risicobeleid voor id-beveiliging uitschakelt.
    1. Blader terug naar voorwaardelijke toegang voor beveiliging>.
    2. Selecteer dit nieuwe beleid om het te bewerken.
    3. Beleid inschakelen instellen op Aan om het beleid in te schakelen
  3. Schakel het oude risicobeleid in ID Protection uit.
    1. Blader naar Protection>Identity Protection> Selecteer het beleid voor gebruikersrisico's of aanmeldingsrisico's.
    2. Beleid afdwingen instellen op Uitgeschakeld
  4. Maak indien nodig ander risicobeleid in voorwaardelijke toegang.

Volgende stappen