Delen via


Algemeen beveiligingsbeleid voor Microsoft 365-organisaties

Organisaties hebben veel te maken met het implementeren van Microsoft 365 voor hun organisatie. Het beleid voor voorwaardelijke toegang, app-beveiliging en nalevingsbeleid voor apparaten waarnaar in dit artikel wordt verwezen, zijn gebaseerd op de aanbevelingen van Microsoft en de drie leidende principes van Zero Trust:

  • Expliciet verifiëren
  • Minimale bevoegdheden gebruiken
  • Stel dat er sprake is van een schending

Organisaties kunnen deze beleidsregels als zodanig gebruiken of aanpassen aan hun behoeften. Test indien mogelijk uw beleid in een niet-productieomgeving voordat u deze uitrolt voor uw productiegebruikers. Testen is essentieel om mogelijke effecten voor uw gebruikers te identificeren en te communiceren.

We groeperen deze beleidsregels in drie beveiligingsniveaus op basis van waar u zich in uw implementatietraject bevindt:

  • Beginpunt : basisbesturingselementen die meervoudige verificatie introduceren, wachtwoordwijzigingen beveiligen en app-beveiligingsbeleid.
  • Enterprise : verbeterde besturingselementen waarmee apparaatcompatibiliteit wordt geïntroduceerd.
  • Gespecialiseerde beveiliging : beleidsregels die elke keer meervoudige verificatie vereisen voor specifieke gegevenssets of gebruikers.

In het volgende diagram ziet u op welk beveiligingsniveau elk beleid van toepassing is en of het beleid van toepassing is op pc's of telefoons en tablets, of beide categorieën apparaten.

Een diagram met algemene identiteits- en apparaatbeleidsregels die ondersteuning bieden voor Zero Trust-principes.

U kunt dit diagram downloaden als pdf-bestand.

Tip

Het vereisen van meervoudige verificatie (MFA) wordt aanbevolen voordat u apparaten registreert bij Intune om ervoor te zorgen dat het apparaat in het bezit is van de beoogde gebruiker. U moet apparaten inschrijven bij Intune voordat u nalevingsbeleid voor apparaten kunt afdwingen.

Vereisten

Machtigingen

  • Gebruikers die beleid voor voorwaardelijke toegang beheren, moeten zich kunnen aanmelden bij Azure Portal als ten minste een beheerder voor voorwaardelijke toegang.
  • Gebruikers die app-beveiliging en nalevingsbeleid voor apparaten beheren, moeten zich ten minste als Intune-beheerder kunnen aanmelden bij Intune.
  • Aan gebruikers die alleen configuraties hoeven te bekijken, kunnen de rollen Beveiligingslezer of Globale lezer worden toegewezen.

Zie het artikel Ingebouwde rollen van Microsoft Entra voor meer informatie over rollen en machtigingen.

Gebruikersregistratie

Zorg ervoor dat uw gebruikers zich registreren voor meervoudige verificatie voordat ze het gebruik ervan vereisen. Als u licenties hebt met Microsoft Entra ID P2, kunt u het MFA-registratiebeleid in Microsoft Entra ID Protection gebruiken om te vereisen dat gebruikers zich registreren. We bieden communicatiesjablonen, die u kunt downloaden en aanpassen om de registratie te promoten.

Groepen

Alle Microsoft Entra-groepen die als onderdeel van deze aanbevelingen worden gebruikt, moeten worden gemaakt als een Microsoft 365-groepdie geen beveiligingsgroep is. Deze vereiste is belangrijk voor de implementatie van vertrouwelijkheidslabels bij het beveiligen van documenten in Microsoft Teams en SharePoint later. Zie het artikel Meer informatie over groepen en toegangsrechten in Microsoft Entra ID voor meer informatie

Beleid toewijzen

Beleid voor voorwaardelijke toegang kan worden toegewezen aan gebruikers, groepen en beheerdersrollen. Intune-app-beveiliging en nalevingsbeleid voor apparaten kunnen alleen worden toegewezen aan groepen. Voordat u uw beleid configureert, moet u bepalen wie moet worden opgenomen en uitgesloten. Het beveiligingsniveaubeleid voor beginpunten is doorgaans van toepassing op iedereen in de organisatie.

Hier volgt een voorbeeld van groepstoewijzing en uitsluitingen voor het vereisen van MFA nadat uw gebruikers de gebruikersregistratie hebben voltooid.

  Beleid voor voorwaardelijke toegang van Microsoft Entra Opnemen Uitsluiten
Beginpunt Meervoudige verificatie vereisen voor gemiddeld of hoog aanmeldingsrisico Alle gebruikers
  • Accounts voor noodtoegang
  • Uitsluitingsgroep voor voorwaardelijke toegang
Enterprise Meervoudige verificatie vereisen voor een laag, gemiddeld of hoog aanmeldingsrisico Groep leidinggevenden
  • Accounts voor noodtoegang
  • Uitsluitingsgroep voor voorwaardelijke toegang
Gespecialiseerde beveiliging Meervoudige verificatie altijd vereisen Top Secret Project Buckeye-groep
  • Accounts voor noodtoegang
  • Uitsluitingsgroep voor voorwaardelijke toegang

Wees voorzichtig bij het toepassen van hogere beveiligingsniveaus op groepen en gebruikers. Het doel van beveiliging is niet om onnodige wrijving toe te voegen aan de gebruikerservaring. Leden van de groep Top Secret Project Buckeye moeten bijvoorbeeld MFA gebruiken wanneer ze zich aanmelden, zelfs als ze niet werken aan de gespecialiseerde beveiligingsinhoud voor hun project. Overmatige wrijving van de beveiliging kan leiden tot vermoeidheid.

U kunt overwegen om verificatiemethoden zonder wachtwoord in te schakelen, zoals Windows Hello voor Bedrijven- of FIDO2-beveiligingssleutels, om de wrijving die is ontstaan door bepaalde beveiligingscontroles te verminderen.

Accounts voor noodtoegang

Alle organisaties moeten ten minste één account voor toegang tot noodgevallen hebben dat wordt bewaakt voor gebruik en uitgesloten van beleid. Deze accounts worden alleen gebruikt voor het geval alle andere beheerdersaccounts en verificatiemethoden worden vergrendeld of anderszins niet beschikbaar zijn. Meer informatie vindt u in het artikel, Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID.

Uitsluitingen

Een aanbevolen procedure is om een Microsoft Entra-groep te maken voor uitsluitingen voor voorwaardelijke toegang. Deze groep biedt u de mogelijkheid om een gebruiker toegang te geven terwijl u toegangsproblemen oplost.

Waarschuwing

Deze groep wordt alleen aanbevolen voor gebruik als tijdelijke oplossing. Controleer deze groep continu op wijzigingen en zorg ervoor dat de uitsluitingsgroep alleen wordt gebruikt zoals bedoeld.

Ga als volgt te werk om deze uitsluitingsgroep toe te voegen aan een bestaand beleid:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
  2. Blader naar voorwaardelijke toegang voor beveiliging>.
  3. Selecteer een bestaand beleid.
  4. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Uitsluiten de optie Gebruikers en groepen en kies de toegang voor noodgevallen of break-glass-accounts van uw organisatie en de uitsluitingsgroep voor voorwaardelijke toegang.

Implementatie

U wordt aangeraden het uitgangspuntsbeleid te implementeren in de volgorde die in deze tabel wordt vermeld. Het MFA-beleid voor ondernemingen en gespecialiseerde beveiligingsniveaus voor beveiliging kan echter op elk gewenst moment worden geïmplementeerd.

Beginpunt

Beleid Meer informatie Licenties
MFA vereisen wanneer het aanmeldingsrisico gemiddeld of hoog is Risicogegevens van Microsoft Entra ID Protection gebruiken om alleen MFA te vereisen wanneer er risico's worden gedetecteerd Microsoft 365 E5 of Microsoft 365 E3 met de invoegtoepassing E5 Security
Clients blokkeren die geen ondersteuning bieden voor moderne verificatie Clients die geen moderne verificatie gebruiken, kunnen beleidsregels voor voorwaardelijke toegang omzeilen, dus het is belangrijk om ze te blokkeren. Microsoft 365 E3 of E5
Gebruikers met een hoog risico moeten het wachtwoord wijzigen Dwingt gebruikers hun wachtwoord te wijzigen wanneer ze zich aanmelden als er activiteit met een hoog risico wordt gedetecteerd voor hun account. Microsoft 365 E5 of Microsoft 365 E3 met de invoegtoepassing E5 Security
Toepassingsbeveiligingsbeleid toepassen voor gegevensbeveiliging Eén Intune-app-beveiligingsbeleid per platform (Windows, iOS/iPadOS, Android). Microsoft 365 E3 of E5
Goedgekeurde apps en app-beveiligingsbeleid vereisen Hiermee wordt beveiligingsbeleid voor mobiele apps afgedwongen voor telefoons en tablets met iOS, iPadOS of Android. Microsoft 365 E3 of E5

Enterprise

Beleid Meer informatie Licenties
MFA vereisen wanneer het aanmeldingsrisico laag, gemiddeld of hoog is Risicogegevens van Microsoft Entra ID Protection gebruiken om alleen MFA te vereisen wanneer er risico's worden gedetecteerd Microsoft 365 E5 of Microsoft 365 E3 met de invoegtoepassing E5 Security
Nalevingsbeleid voor apparaten definiëren Stel minimale configuratievereisten in. Eén beleid voor elk platform. Microsoft 365 E3 of E5
Compatibele pc's en mobiele apparaten vereisen Dwingt de configuratievereisten af voor apparaten die toegang hebben tot uw organisatie Microsoft 365 E3 of E5

Gespecialiseerde beveiliging

Beleid Meer informatie Licenties
MFA altijd vereisen Gebruikers moeten MFA uitvoeren wanneer ze zich aanmelden bij uw organisatieservices Microsoft 365 E3 of E5

beleid voor App-beveiliging

App-beveiliging beleidsregels bepalen welke apps zijn toegestaan en welke acties ze kunnen uitvoeren met de gegevens van uw organisatie. Er zijn veel opties beschikbaar en het kan verwarrend zijn voor sommige. De volgende basislijnen zijn de aanbevolen configuraties van Microsoft die mogelijk zijn afgestemd op uw behoeften. We bieden drie sjablonen die moeten worden gevolgd, maar denk dat de meeste organisaties niveaus 2 en 3 kiezen.

Niveau 2 wijst toe aan wat we overwegen om te beginnen of beveiliging op ondernemingsniveau , niveau 3 wordt toegewezen aan gespecialiseerde beveiliging.

  • Basisgegevensbescherming op ondernemingsniveau 1: Microsoft raadt deze configuratie aan als minimale configuratie voor gegevensbeveiliging voor een bedrijfsapparaat.

  • Verbeterde gegevensbescherming op niveau 2: Microsoft raadt deze configuratie aan voor apparaten waar gebruikers toegang hebben tot gevoelige of vertrouwelijke informatie. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens. Sommige besturingselementen kunnen van invloed zijn op de gebruikerservaring.

  • Hoge gegevensbescherming op bedrijfsniveau 3: Microsoft raadt deze configuratie aan voor apparaten die worden uitgevoerd door een organisatie met een groter of meer geavanceerd beveiligingsteam, of voor specifieke gebruikers of groepen die een uniek hoog risico lopen (gebruikers die zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke materiële schade aan de organisatie veroorzaakt). Een organisatie die waarschijnlijk het doelwit is van goed gefinancierde en geavanceerde aanvallers, moet streven naar deze configuratie.

Beveiligingsbeleid voor apps maken

Maak een nieuw app-beveiligingsbeleid voor elk platform (iOS en Android) in Microsoft Intune met behulp van de instellingen voor het gegevensbeveiligingsframework door:

Nalevingsbeleid voor apparaten

Intune-nalevingsbeleid voor apparaten definieert de vereisten waaraan apparaten moeten voldoen om te worden bepaald als compatibel.

U moet een beleid maken voor elk pc-, telefoon- of tabletplatform. In dit artikel worden aanbevelingen voor de volgende platforms behandeld:

Nalevingsbeleid voor apparaten maken

Als u nalevingsbeleid voor apparaten wilt maken, meldt u zich aan bij het Microsoft Intune-beheercentrum en gaat u naar Het nalevingsbeleid voor apparaten>>. Selecteer Beleid maken.

Zie Een nalevingsbeleid maken in Microsoft Intune voor stapsgewijze instructies voor het maken van nalevingsbeleid in Intune.

Instellingen voor inschrijving en naleving voor iOS/iPadOS

iOS/iPadOS ondersteunt verschillende inschrijvingsscenario's, waarvan er twee worden behandeld als onderdeel van dit framework:

De principes gebruiken die worden beschreven in zero trust-identiteits- en apparaattoegangsconfiguraties:

Nalevingsinstellingen voor persoonlijk ingeschreven apparaten
  • Persoonlijke basisbeveiliging (niveau 1): Microsoft raadt deze configuratie aan als de minimale beveiligingsconfiguratie voor persoonlijke apparaten waar gebruikers toegang hebben tot werk- of schoolgegevens. Deze configuratie wordt uitgevoerd door het afdwingen van wachtwoordbeleid, apparaatvergrendelingskenmerken en het uitschakelen van bepaalde apparaatfuncties, zoals niet-vertrouwde certificaten.
  • Persoonlijke verbeterde beveiliging (niveau 2): Microsoft raadt deze configuratie aan voor apparaten waar gebruikers toegang hebben tot gevoelige of vertrouwelijke informatie. Met deze configuratie worden besturingselementen voor het delen van gegevens uitgevoerd. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens op een apparaat.
  • Persoonlijke hoge beveiliging (niveau 3): Microsoft raadt deze configuratie aan voor apparaten die worden gebruikt door specifieke gebruikers of groepen die uniek hoog risico lopen (gebruikers die zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijk materiaalverlies voor de organisatie veroorzaakt). Deze configuratie voert sterker wachtwoordbeleid uit, schakelt bepaalde apparaatfuncties uit en dwingt extra beperkingen voor gegevensoverdracht af.
Nalevingsinstellingen voor automatische apparaatinschrijving
  • Basisbeveiliging onder supervisie (niveau 1): Microsoft raadt deze configuratie aan als de minimale beveiligingsconfiguratie voor apparaten onder supervisie waar gebruikers toegang hebben tot werk- of schoolgegevens. Deze configuratie wordt uitgevoerd door het afdwingen van wachtwoordbeleid, apparaatvergrendelingskenmerken en het uitschakelen van bepaalde apparaatfuncties, zoals niet-vertrouwde certificaten.
  • Verbeterde beveiliging onder supervisie (niveau 2): Microsoft raadt deze configuratie aan voor apparaten waar gebruikers toegang hebben tot gevoelige of vertrouwelijke informatie. Met deze configuratie worden besturingselementen voor het delen van gegevens uitgevoerd en wordt de toegang tot USB-apparaten geblokkeerd. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens op een apparaat.
  • Hoge beveiliging onder supervisie (niveau 3): Microsoft raadt deze configuratie aan voor apparaten die worden gebruikt door specifieke gebruikers of groepen die uniek hoog risico lopen (gebruikers die zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke materiële schade aan de organisatie veroorzaakt). Deze configuratie voert sterker wachtwoordbeleid uit, schakelt bepaalde apparaatfuncties uit, dwingt extra beperkingen voor gegevensoverdracht af en vereist dat apps worden geïnstalleerd via het volume-aankoopprogramma van Apple.

Instellingen voor inschrijving en naleving voor Android

Android Enterprise ondersteunt verschillende inschrijvingsscenario's, waarvan twee worden behandeld als onderdeel van dit framework:

  • Android Enterprise-werkprofiel : dit inschrijvingsmodel wordt doorgaans gebruikt voor apparaten in persoonlijk eigendom, waarbij IT een duidelijke scheidingsgrens wil bieden tussen werk- en persoonlijke gegevens. Beleidsregels die worden beheerd door IT zorgen ervoor dat de werkgegevens niet kunnen worden overgedragen naar het persoonlijke profiel.
  • Volledig beheerde Android Enterprise-apparaten: deze apparaten zijn bedrijfseigendom, gekoppeld aan één gebruiker en worden uitsluitend gebruikt voor werk en niet voor persoonlijk gebruik.

Het Configuratieframework voor Beveiliging van Android Enterprise is ingedeeld in verschillende verschillende configuratiescenario's, die richtlijnen bieden voor werkprofiel en volledig beheerde scenario's.

De principes gebruiken die worden beschreven in zero trust-identiteits- en apparaattoegangsconfiguraties:

Nalevingsinstellingen voor Apparaten met een Android Enterprise-werkprofiel
  • Vanwege de instellingen die beschikbaar zijn voor apparaten met een werkprofiel in persoonlijk eigendom, is er geen basisbeveiligingsaanbod (niveau 1). De beschikbare instellingen rechtvaardigen geen verschil tussen niveau 1 en niveau 2.
  • Verbeterde beveiliging van werkprofielen (niveau 2): Microsoft raadt deze configuratie aan als de minimale beveiligingsconfiguratie voor persoonlijke apparaten waar gebruikers toegang hebben tot werk- of schoolgegevens. Deze configuratie introduceert wachtwoordvereisten, scheidt werk- en persoonlijke gegevens en valideert Attestation voor Android-apparaten.
  • Hoge beveiliging van werkprofielen (niveau 3): Microsoft raadt deze configuratie aan voor apparaten die worden gebruikt door specifieke gebruikers of groepen die uniek hoog risico lopen (gebruikers die zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijk materiaalverlies voor de organisatie veroorzaakt). Deze configuratie introduceert Mobile Threat Defense of Microsoft Defender voor Eindpunt, stelt de minimale Android-versie in, voert sterker wachtwoordbeleid uit en beperkt het werk en persoonlijke scheiding verder.
Nalevingsinstellingen voor volledig beheerde Android Enterprise-apparaten
  • Volledig beheerde basisbeveiliging (niveau 1): Microsoft raadt deze configuratie aan als minimale beveiligingsconfiguratie voor een bedrijfsapparaat. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens. Deze configuratie introduceert wachtwoordvereisten, stelt de minimale Android-versie in en voert bepaalde apparaatbeperkingen uit.
  • Volledig beheerde verbeterde beveiliging (niveau 2): Microsoft raadt deze configuratie aan voor apparaten waar gebruikers toegang hebben tot gevoelige of vertrouwelijke informatie. Deze configuratie zorgt voor sterker wachtwoordbeleid en schakelt mogelijkheden voor gebruikers/accounts uit.
  • Volledig beheerde hoge beveiliging (niveau 3): Microsoft raadt deze configuratie aan voor apparaten die worden gebruikt door specifieke gebruikers of groepen die uniek hoog risico lopen. Deze gebruikers kunnen zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke materiële schade aan de organisatie kan veroorzaken. Deze configuratie verhoogt de minimale Android-versie, introduceert mobile threat defense of Microsoft Defender voor Eindpunt en dwingt extra apparaatbeperkingen af.

De volgende instellingen zijn geconfigureerd in stap 2: Nalevingsinstellingen, van het proces voor het maken van nalevingsbeleid voor Windows 10- en nieuwere apparaten. Deze instellingen zijn afgestemd op de principes die worden beschreven in zero Trust-identiteits- en apparaattoegangsconfiguraties.

Zie deze tabel voor de evaluatieregels van Windows Health Attestation Service voor apparaatstatus>.

Eigenschappen Weergegeven als
BitLocker vereisen Vereist
Vereisen dat Beveiligd opstarten is ingeschakeld op het apparaat Vereist
Code-integriteit vereisen Vereist

Geef voor apparaateigenschappen de juiste waarden op voor besturingssysteemversies op basis van uw IT- en beveiligingsbeleid.

Als u zich in een co-beheerde omgeving met Configuration Manager bevindt voor Configuration Manager-naleving, selecteert u Anders vereisen niet geconfigureerd.

Zie deze tabel voor systeembeveiliging.

Eigenschappen Weergegeven als
Wachtwoord vereisen om mobiele apparaten te ontgrendelen Vereist
Eenvoudige wachtwoorden Blokkeren
Wachtwoordtype Standaardwaarde apparaat
Minimale wachtwoordlengte 6
Maximum aantal minuten van inactiviteit voordat een wachtwoord is vereist 15 minuten
Verlopen van wachtwoorden (dagen) 41
Aantal eerdere wachtwoorden om hergebruik te voorkomen 5
Wachtwoord vereisen wanneer het apparaat wordt geretourneerd vanuit de niet-actieve status (Mobiel en Holographic) Vereist
Versleuteling van gegevensopslag op apparaat vereisen Vereist
Firewall Vereist
Antivirus Vereist
Antispyware Vereist
Microsoft Defender Antimalware Vereist
Minimale versie van Microsoft Defender Antimalware Microsoft raadt versies aan die niet meer dan vijf achterblijven ten opzichte van de meest recente versie.
Microsoft Defender Antimalware-handtekening up-to-date Vereist
Real-time bescherming Vereist

Voor Microsoft Defender voor Eindpunt

Eigenschappen Weergegeven als
Vereisen dat het apparaat de risicoscore van de machine bereikt of onder Gemiddeld

Beleid voor voorwaardelijke toegang

Zodra uw app-beveiliging en nalevingsbeleid voor apparaten in Intune zijn gemaakt, kunt u afdwingen met beleid voor voorwaardelijke toegang inschakelen.

MFA vereisen op basis van aanmeldingsrisico

Volg de richtlijnen in het artikel Common Conditional Access policy: Sign-in risk-based multifactor authentication to create a policy to create a policy to require multifactor authentication based on sign-in risk.

Gebruik de volgende risiconiveaus bij het configureren van uw beleid.

Beschermingsniveau Waarden op risiconiveau die nodig zijn Actie
Beginpunt Hoog, gemiddeld Controleer beide.
Enterprise Hoog, gemiddeld, laag Controleer alle drie.

Clients blokkeren die geen ondersteuning bieden voor meervoudige verificatie

Volg de richtlijnen in het artikel Algemeen beleid voor voorwaardelijke toegang: Verouderde verificatie blokkeren om verouderde verificatie te blokkeren.

Gebruikers met een hoog risico moeten het wachtwoord wijzigen

Volg de richtlijnen in het artikel Algemeen beleid voor voorwaardelijke toegang: wachtwoordwijziging op basis van gebruikersrisico's om te vereisen dat gebruikers met gecompromitteerde referenties hun wachtwoord wijzigen.

Gebruik dit beleid samen met Microsoft Entra-wachtwoordbeveiliging, waarmee bekende zwakke wachtwoorden en hun varianten worden gedetecteerd en geblokkeerd, naast termen die specifiek zijn voor uw organisatie. Het gebruik van Microsoft Entra-wachtwoordbeveiliging zorgt ervoor dat gewijzigde wachtwoorden sterker zijn.

Goedgekeurde apps en app-beveiligingsbeleid vereisen

U moet een beleid voor voorwaardelijke toegang maken om het app-beveiligingsbeleid af te dwingen dat is gemaakt in Intune. Het afdwingen van app-beveiligingsbeleid vereist een beleid voor voorwaardelijke toegang en een bijbehorend app-beveiligingsbeleid.

Als u een beleid voor voorwaardelijke toegang wilt maken waarvoor goedgekeurde apps en APP-beveiliging zijn vereist, volgt u de stappen in Goedgekeurd client-apps of app-beveiligingsbeleid vereisen met mobiele apparaten. Met dit beleid kunnen alleen accounts binnen mobiele apps die worden beveiligd door app-beveiligingsbeleid toegang krijgen tot Microsoft 365-eindpunten.

Het blokkeren van verouderde verificatie voor andere client-apps op iOS- en Android-apparaten zorgt ervoor dat deze clients beleid voor voorwaardelijke toegang niet kunnen omzeilen. Als u de richtlijnen in dit artikel volgt, hebt u al Clients blokkeren geconfigureerd die geen moderne verificatie ondersteunen.

Compatibele pc's en mobiele apparaten vereisen

Met de volgende stappen kunt u beleid voor voorwaardelijke toegang maken om te vereisen dat apparaten die toegang hebben tot resources, worden gemarkeerd als compatibel met het Intune-nalevingsbeleid van uw organisatie.

Let op

Zorg ervoor dat uw apparaat compatibel is voordat u dit beleid inschakelt. Anders kunt u dit beleid niet meer wijzigen totdat uw gebruikersaccount is toegevoegd aan de uitsluitingsgroep voor voorwaardelijke toegang.

  1. Meld u aan bij het Azure-portaal.
  2. Blader naar voorwaardelijke toegang van Microsoft Entra ID-beveiliging>>.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer bij Uitsluiten de optie Gebruikers en groepen en selecteer de accounts voor toegang bij noodgevallen van uw organisatie.
  6. Selecteer bij Cloud-apps of -acties>Opnemen de optie Alle cloud-apps.
    1. Als u specifieke toepassingen van uw beleid moet uitsluiten, kunt u deze kiezen op het tabblad Uitsluiten onder Uitgesloten cloud-apps selecteren en Selecteren kiezen.
  7. Selecteer Toegangsbeheer>Verlenen.
    1. Selecteer Vereisen dat het apparaat als compatibel moet worden gemarkeerd.
    2. Selecteer Selecteren.
  8. Controleer uw instellingen en stel Beleid inschakelen in op Aan.
  9. Selecteer Maken om het beleid te kunnen inschakelen.

Notitie

U kunt uw nieuwe apparaten registreren bij Intune, zelfs als u Vereisen selecteert dat het apparaat als compatibel moet worden gemarkeerd voor alle gebruikers en alle cloud-apps in uw beleid. Vereisen dat het apparaat als compatibel besturingselement wordt gemarkeerd, blokkeert intune-inschrijving en de toegang tot de Microsoft Intune-web-Bedrijfsportal-toepassing niet.

Abonnement activeren

Organisaties die de functie Abonnementsactivering gebruiken om gebruikers in staat te stellen 'op te treden' van de ene versie van Windows naar een andere, willen mogelijk de UNIVERSAL Store Service-API's en webtoepassing, AppID 45a30b1-b1ec-4cc1-9161-9f03992aa49f uitsluiten van hun nalevingsbeleid voor apparaten.

MFA altijd vereisen

Volg de richtlijnen in het artikel Algemeen beleid voor voorwaardelijke toegang: MFA vereisen voor alle gebruikers om uw gespecialiseerde gebruikers op beveiligingsniveau te verplichten om altijd meervoudige verificatie uit te voeren.

Waarschuwing

Wanneer u uw beleid configureert, selecteert u de groep waarvoor speciale beveiliging is vereist en gebruikt u deze in plaats van alle gebruikers te selecteren.

Volgende stappen

Stap 3: Beleid voor gast- en externe gebruikers.

Meer informatie over beleidsaanveling voor gast- en externe gebruikers