Verificatiestromen blokkeren met beleid voor voorwaardelijke toegang

De volgende stappen helpen bij het maken van beleid voor voorwaardelijke toegang om te beperken hoe apparaatcodestroom en verificatieoverdracht binnen uw organisatie worden gebruikt.

Beleid voor apparaatcodestroom

Notitie

Om de beveiligingspostuur te versterken, raadt Microsoft aan om de apparaatcodestroom waar mogelijk te blokkeren of te beperken.

U moet altijd beginnen met het configureren van een beleid in de modus Alleen-rapport om het mogelijke effect op uw organisatie te bepalen.

Organisaties worden aangeraden zo dicht mogelijk bij een eenzijdig blok in de apparaatcodestroom te komen. Organisaties moeten overwegen een beleid te maken om het bestaande gebruik van de apparaatcodestroom te controleren en te bepalen of dit nog steeds nodig is.

Voor organisaties die geen gebruik hebben gemaakt van apparaatcodestroom, kan blokkeren worden uitgevoerd met het volgende beleid voor voorwaardelijke toegang:

1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
2. Blader naar het beleid voor voorwaardelijke toegang>beveiligen.>
3. Selecteer Nieuw beleid.
4. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
   1. Selecteer onder Opnemen de gebruikers die u binnen het bereik van het beleid wilt hebben (alle aanbevolen gebruikers).
   2. Selecteer onder Uitsluiten de optie Gebruikers en groepen. Sluit alleen de benodigde gebruikers uit en deze uitsluitingslijst moet regelmatig worden gecontroleerd.
5. Selecteer onder Doelresources>Cloud-apps>Opnemen de apps die u binnen het bereik van het beleid wilt hebben (alle aanbevolen cloud-apps).
6. Stel onder Voorwaarden>verificatiestromen configureren in op Ja.
   1. Selecteer apparaatcodestroom.
   2. Selecteer Gereed.
7. Selecteer Onder Toegangsbeheer>Verlenen de optie Toegang blokkeren.
   1. Selecteer Selecteren.
8. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
9. Selecteer Maken om het beleid te kunnen inschakelen.

Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Beleid voor verificatieoverdracht

De mogelijkheid om verificatieoverdracht te beheren, is in preview. Gebruik de voorwaarde Verificatiestromen in voorwaardelijke toegang om de functie te beheren. Mogelijk wilt u de overdracht van verificatie blokkeren als u niet wilt dat gebruikers verificatie van hun pc overdragen naar een mobiel apparaat. Als u bijvoorbeeld niet toestaat dat Outlook wordt gebruikt op persoonlijke apparaten door bepaalde groepen. Blokkering van verificatieoverdracht kan worden uitgevoerd met het volgende beleid voor voorwaardelijke toegang:

1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
2. Blader naar voorwaardelijke toegang voor beveiliging>.
3. Selecteer Nieuw beleid maken.
4. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
   1. Selecteer onder Opnemen alle gebruikers of gebruikersgroepen die u wilt blokkeren voor verificatieoverdracht.
   2. Selecteer onder Uitsluiten de optie Gebruikers en groepen. Sluit alleen de benodigde gebruikers uit en deze uitsluitingslijst moet regelmatig worden gecontroleerd.
5. Selecteer onder Cloud-apps>Doelresources>Opnemen alle cloud-apps of -apps die u wilt blokkeren voor verificatieoverdracht.
6. Stel configureren in op Ja onder Voorwaarden-verificatiestromen>
   1. Selecteer Verificatieoverdracht.
   2. Selecteer Gereed.
7. Selecteer Onder Toegangsbeheer>Verlenen de optie Toegang blokkeren.
   1. Selecteer Selecteren.
8. Bevestig uw instellingen en stel Beleid inschakelen in op Ingeschakeld.
9. Selecteer Maken om het beleid te kunnen inschakelen.

Gerelateerde inhoud

• Voorwaardelijke toegang: verificatiestromen
• Voorwaardelijke toegang: verificatieoverdracht
• Voorwaardelijke toegang: voorwaarden