Share via

Algemeen beleid voor voorwaardelijke toegang: toegang blokkeren voor gebruikers met intern risico

  • Artikel

De meeste gebruikers vertonen normaal gedrag dat kan worden getraceerd. Wanneer ze buiten de norm hiervoor vallen, zou het riskant kunnen zijn om hen toe te staan zich zomaar aan te melden. U kunt deze gebruiker blokkeren of hem of haar vragen om een gebruiksrechtovereenkomst te bekijken. Microsoft Purview kan een intern risicosignaal bieden voor voorwaardelijke toegang om beslissingen over toegangsbeheer te verfijnen. Intern risicobeheer maakt deel uit van Microsoft Purview. U moet dit inschakelen voordat u het signaal in voorwaardelijke toegang kunt gebruiken.

Schermopname van een voorbeeld van beleid voor voorwaardelijke toegang met behulp van intern risico als voorwaarde.

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:

  • noodtoegangaccounts of break glass-accounts om tenantbrede accountvergrendeling te voorkomen. In het onwaarschijnlijke scenario zijn alle beheerders uitgesloten van uw tenant, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden bij de tenant om stappen te ondernemen om de toegang te herstellen.
  • Serviceaccounts en service-principals, zoals het Microsoft Entra Connect-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gebonden aan een bepaalde gebruiker. Ze worden normaal gebruikt door back-end services die programmatische toegang tot toepassingen mogelijk maken, maar worden ook gebruikt om in te loggen op systemen voor administratieve doeleinden. Serviceaccounts zoals deze moeten worden uitgesloten omdat MFA niet programmatisch kan worden voltooid. Oproepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workload-identiteiten om beleidsregels te definiĆ«ren die gericht zijn op service-principals.
    • Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten. Als tijdelijke oplossing kunt u deze specifieke accounts uitsluiten van het basislijnbeleid.

Sjabloonimplementatie

Organisaties kunnen ervoor kiezen dit beleid te implementeren met behulp van de onderstaande stappen of met behulp van de sjablonen voor voorwaardelijke toegang.

Toegang blokkeren met beleid voor voorwaardelijke toegang

Tip

Configureer adaptieve beveiliging voordat u het volgende beleid maakt.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
  2. Blader naar het beleid voor voorwaardelijke toegang>beveiligen.>
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Onder Uitsluiten:
      1. Selecteer Gebruikers en groepen en kiest u de noodtoegangs- of 'break glass'-accounts van uw organisatie.
      2. Selecteer Gast- of externe gebruikers en kies het volgende:
        1. B2B directe verbinding maken met gebruikers.
        2. Gebruikers van serviceproviders.
        3. Andere externe gebruikers.
  6. Selecteer onder Doelresources>Cloud-apps>Opnemen alle cloud-apps.
  7. Stel Onder Voorwaarden>Insider-risico configureren in op Ja.
    1. Selecteer de risiconiveaus die moeten worden toegewezen om het beleid af te dwingen.
      1. Selecteer Verhoogde bevoegdheid.
      2. Selecteer Gereed.
  8. Selecteer bij Toegangsbeheer>Verlenende optie Toegang blokkeren en selecteer vervolgens Selecteren.
  9. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  10. Selecteer Maken om het beleid te kunnen inschakelen.

Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Volgende stappen