Voorwaardelijke toegang toevoegen aan gebruikersstromen in Azure Active Directory B2C

Belangrijk

Vanaf 1 mei 2025 is Azure AD B2C niet meer beschikbaar voor nieuwe klanten. Meer informatie vindt u in onze veelgestelde vragen.

Voordat u begint, gebruikt u de selector Een beleidstype kiezen boven aan deze pagina om het type beleid te kiezen dat u instelt. U kunt in Azure Active Directory B2C op twee manieren definiëren hoe gebruikers met uw toepassingen communiceren: via vooraf gedefinieerde gebruikersstromen of via volledig configureerbaar aangepast beleid. De stappen die in dit artikel zijn vereist, verschillen voor elke methode.

Voorwaardelijke toegang kan worden toegevoegd aan uw Azure Active Directory B2C-gebruikersstromen (Azure AD B2C) of aangepast beleid voor het beheren van riskante aanmeldingen voor uw toepassingen. Voorwaardelijke toegang van Microsoft Entra is het hulpprogramma dat door Azure AD B2C wordt gebruikt om signalen samen te brengen, beslissingen te nemen en organisatiebeleid af te dwingen. Het automatiseren van risicoanalyse met beleidsvoorwaarden betekent dat riskante aanmeldingen onmiddellijk worden geïdentificeerd en vervolgens worden hersteld of geblokkeerd.

Overzicht van de service

Azure AD B2C evalueert elke aanmeldingsgebeurtenis en zorgt ervoor dat aan alle beleidsvereisten wordt voldaan voordat de gebruiker toegang verleent. Tijdens deze evaluatiefase evalueert de service voor voorwaardelijke toegang de signalen die worden verzameld door identiteitsbeveiligingsrisicodetecties tijdens aanmeldingsgebeurtenissen. Het resultaat van dit evaluatieproces is een set claims die aangeeft of de aanmelding moet worden verleend of geblokkeerd. Het Azure AD B2C-beleid maakt gebruik van deze claims om te handelen binnen de gebruikersstroom. Een voorbeeld is het blokkeren van toegang of de gebruiker uitdagen met een specifieke maatregel zoals multifactorauthenticatie (MFA). Met 'Toegang blokkeren' worden alle andere instellingen overschreven.

In het volgende voorbeeld ziet u een technisch profiel voor voorwaardelijke toegang dat wordt gebruikt om de aanmeldingsrisico te evalueren.

<TechnicalProfile Id="ConditionalAccessEvaluation">
  <DisplayName>Conditional Access Provider</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
  <Metadata>
    <Item Key="OperationType">Evaluation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Om ervoor te zorgen dat Identity Protection-signalen correct worden geëvalueerd, moet u het ConditionalAccessEvaluation technische profiel aanroepen voor alle gebruikers, inclusief lokale en sociale accounts. Anders geeft Identity Protection een onjuiste mate van risico aan die aan gebruikers is gekoppeld.

In de herstelfase die volgt, wordt de gebruiker onderworpen aan MFA. Zodra dit is voltooid, informeert Azure AD B2C Identity Protection dat de geïdentificeerde aanmeldingsrisico is hersteld en door welke methode. In dit voorbeeld geeft Azure AD B2C aan dat de gebruiker de meervoudige verificatievraag heeft voltooid. Het herstel kan ook plaatsvinden via andere kanalen. Als het wachtwoord van het account bijvoorbeeld opnieuw wordt ingesteld, hetzij door de beheerder of door de gebruiker. U kunt de status gebruikersrisico controleren in het rapport riskante gebruikers.

Belangrijk

Als u het risico succesvol binnen het traject wilt aanpakken, moet u ervoor zorgen dat het technisch profiel Remediatie wordt aangeroepen nadat het Evaluatie technisch profiel is uitgevoerd. Als evaluatie wordt aangeroepen zonder herstel, geeft de risicostatus aan als Risico. Wanneer de aanbeveling voor het technische evaluatieprofiel wordt geretourneerd Block, is een oproep aan het technische evaluatieprofiel niet vereist. De risicostatus wordt ingesteld op Risico. In het volgende voorbeeld ziet u een technisch profiel voor voorwaardelijke toegang dat wordt gebruikt om de geïdentificeerde bedreiging te verhelpen:

<TechnicalProfile Id="ConditionalAccessRemediation">
  <DisplayName>Conditional Access Remediation</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
  <Metadata>
    <Item Key="OperationType">Remediation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Onderdelen van de oplossing

Dit zijn de onderdelen die voorwaardelijke toegang in Azure AD B2C inschakelen:

• Gebruikersstroom of aangepast beleid waarmee de gebruiker wordt begeleid bij het aanmeldings- en registratieproces.
• Beleid voor voorwaardelijke toegang dat signalen samenbrengt om beslissingen te nemen en organisatiebeleid af te dwingen. Wanneer een gebruiker zich aanmeldt bij uw toepassing via een Azure AD B2C-beleid, gebruikt het beleid voor voorwaardelijke toegang signalen van Microsoft Entra ID Protection om riskante aanmeldingen te identificeren en de juiste herstelactie weer te geven.
• Geregistreerde toepassing waarmee gebruikers worden omgeleid naar de juiste Azure AD B2C-gebruikersflow of een aangepast beleid.
• TOR Browser om een riskante aanmelding te simuleren.

Beperkingen en overwegingen ten aanzien van de service

Houd rekening met het volgende wanneer u de voorwaardelijke toegang van Microsoft Entra gebruikt:

• Identity Protection is beschikbaar voor zowel lokale als sociale identiteiten, zoals Google of Facebook. Voor sociale identiteiten moet u voorwaardelijke toegang handmatig activeren. Detectie is beperkt omdat referenties voor sociale accounts worden beheerd door de externe id-provider.
• In Azure AD B2C-tenants zijn slechts een subset van Microsoft Entra Conditional Access-beleid beschikbaar.

Vereiste voorwaarden

• Voltooi de stappen in Aan de slag met aangepaste policies in Active Directory B2C. In deze zelfstudie leert u hoe u aangepaste beleidsbestanden bijwerkt voor het gebruik van uw Azure AD B2C-tenantconfiguratie.
• Als u geen web-app hebt geregistreerd, registreert u er een met behulp van de stappen in het registreren van een webtoepassing.

Prijscategorie

Azure AD B2C Premium P2 is vereist voor het maken van riskante aanmeldingsbeleidsregels, maar dit is nu afgeschaft vanaf 1 mei 2025. Premium P1-tenants kunnen een beleid maken dat is gebaseerd op locatie, toepassing, gebruikers of groepsbeleid.

Uw Azure AD B2C-tenant voorbereiden

Als u een beleid voor voorwaardelijke toegang wilt toevoegen, schakelt u de standaardinstellingen voor beveiliging uit:

1. Meld u aan bij het Azure-portaal.

2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het hoofdmenu om over te schakelen naar uw Azure AD B2C-tenant vanuit het menu Mappen + abonnementen.

3. Selecteer microsoft Entra-id onder Azure-services. Of gebruik het zoekvak om Microsoft Entra-id te zoeken en te selecteren.

4. Selecteer Eigenschappen en selecteer vervolgens Standaardinstellingen voor beveiliging beheren.

   

5. Selecteer Nee onder Standaardinstellingen voor beveiliging inschakelen.

   

Beleid voor voorwaardelijke toegang toevoegen

Een beleid voor voorwaardelijke toegang is een if-then instructie van toewijzingen en toegangsbeheer. Een beleid voor voorwaardelijke toegang brengt signalen samen om beslissingen te nemen en organisatiebeleid af te dwingen.

Hint

In deze stap configureert u het beleid voor voorwaardelijke toegang. U wordt aangeraden een van de volgende sjablonen te gebruiken: Sjabloon 1: op risico gebaseerde voorwaardelijke toegang voor aanmelding, sjabloon 2: Voorwaardelijke toegang op basis van gebruikersrisico's of sjabloon 3: Locaties blokkeren met voorwaardelijke toegang. U kunt het beleid voor voorwaardelijke toegang configureren via Azure Portal of MS Graph API.

De logische operator tussen de toewijzingen is And. De operator in iedere toewijzing is Or.

Een beleid voor voorwaardelijke toegang toevoegen:

1. Zoek en selecteer Azure AD B2C in de Azure-portal.

2. Selecteer onder Beveiliging de optie Voorwaardelijke toegang. De pagina Beleid voor voorwaardelijke toegang wordt geopend.

3. Selecteer + Nieuw beleid.

4. Voer een naam in voor het beleid, zoals Riskante aanmelding blokkeren.

5. Kies onder Toewijzingengebruikers en groepen en selecteer vervolgens een van de volgende ondersteunde configuraties:

   Opnemen	Licentie	Opmerkingen
   Alle gebruikers	P1, P2	Dit beleid is van invloed op al uw gebruikers. Als u er zeker van wilt zijn dat u uzelf niet vergrendelt, sluit u uw beheerdersaccount uit door Uitsluiten te kiezen, Directory-rollen te selecteren en vervolgens Globale beheerder in de lijst te selecteren. U kunt ook Gebruikers en groepen selecteren en vervolgens uw account selecteren in de lijst uitgesloten gebruikers selecteren.

6. Selecteer Cloud-apps of -acties en selecteer vervolgens apps. Blader naar uw Relying Party-toepassing.

7. Selecteer Voorwaarden en selecteer vervolgens een van de volgende voorwaarden. Selecteer bijvoorbeeld aanmeldingsrisico's en hoog, gemiddeld en laag risiconiveau.

   Conditie	Licentie	Opmerkingen
   Gebruikersrisico	P2	Gebruikersrisico geeft de kans aan dat er van een bepaalde identiteit of een bepaald account misbruik wordt gemaakt.
   Aanmeldingsrisico	P2	Aanmeldingsrisico geeft de waarschijnlijkheid aan dat een bepaalde verificatieaanvraag niet wordt geautoriseerd door de identiteitseigenaar.
   Apparaatplatformen	Niet ondersteund	Gekenmerkt door het besturingssysteem dat op een apparaat wordt uitgevoerd. Zie Apparaatplatformen voor meer informatie.
   Locaties	P1, P2	Benoemde locaties kunnen de openbare IPv4-netwerkgegevens, het land of de regio of onbekende gebieden bevatten die niet zijn toegewezen aan specifieke landen of regio's. Zie Locaties voor meer informatie.

8. Onder Toegangscontrole selecteer Verlenen. Selecteer vervolgens of u toegang wilt blokkeren of verlenen:

   Optie	Licentie	Opmerkingen
   Toegang blokkeren	P1, P2	Hiermee voorkomt u toegang op basis van de voorwaarden die zijn opgegeven in dit beleid voor voorwaardelijke toegang.
   Toegang verlenen met Meervoudige verificatie vereisen	P1, P2	Op basis van de voorwaarden die zijn opgegeven in dit beleid voor voorwaardelijke toegang, moet de gebruiker azure AD B2C-meervoudige verificatie doorlopen.

9. Selecteer onder Beleid inschakelen een van de volgende opties:

   Optie	Licentie	Opmerkingen
   Alleen rapport	P1, P2	Met alleen rapporten kunnen beheerders de impact van beleid voor voorwaardelijke toegang evalueren voordat ze in hun omgeving worden ingeschakeld. U wordt aangeraden beleid met deze status te controleren en de gevolgen voor eindgebruikers te bepalen zonder meervoudige verificatie of blokkering van gebruikers. Zie Resultaten van voorwaardelijke toegang controleren in het auditrapport voor meer informatie
   op	P1, P2	Het toegangsbeleid wordt geëvalueerd en niet afgedwongen.
   uit	P1, P2	Het toegangsbeleid is niet geactiveerd en heeft geen effect op de gebruikers.

10. Schakel uw testbeleid voor voorwaardelijke toegang in door Maken te selecteren.

Sjabloon 1: Op risico gebaseerde voorwaardelijke toegang aanmelden

De meeste gebruikers vertonen normaal gedrag dat kan worden getraceerd. Wanneer ze buiten de norm hiervoor vallen, zou het riskant kunnen zijn om hen toe te staan zich zomaar aan te melden. U kunt die gebruiker blokkeren of ze vragen om meervoudige verificatie uit te voeren om te bewijzen dat ze echt zijn wie ze zeggen dat ze zijn. Een aanmeldingsrisico geeft de waarschijnlijkheid aan dat een bepaalde verificatieaanvraag niet wordt geautoriseerd door de identiteitseigenaar. Azure AD B2C-tenants met P2-licenties kunnen beleid voor voorwaardelijke toegang maken waarin aanmeldingsrisicodetecties van Microsoft Entra ID Protection zijn opgenomen.

Let op de beperkingen voor identiteitsbeveiligingsdetecties voor B2C. Als er risico's worden gedetecteerd, kunnen gebruikers meervoudige verificatie uitvoeren om de risicovolle aanmeldingsgebeurtenis zelf te herstellen en te sluiten om onnodige ruis voor beheerders te voorkomen.

Configureer voorwaardelijke toegang via Azure Portal of Microsoft Graph API's om een beleid voor voorwaardelijke toegang op basis van aanmeldingsrisico's in te schakelen waarvoor MFA is vereist wanneer het aanmeldingsrisico gemiddeld of hoog is.

1. Selecteer onder Opnemen de optie Alle gebruikers.
2. Selecteer bij Uitsluiten de optie Gebruikers en groepen en kies de noodtoegangs- of 'break-glass'-accounts van uw organisatie.
3. Kies Gereed.
4. Onder Cloud-apps of -acties>, selecteer Opnemenalle cloud-apps.
5. Stel bij Voorwaarden>Aanmeldingsrisico de optie Configureren in op Ja. Onder Selecteer het aanmeldingsrisiconiveau waarop dit beleid van toepassing is
   1. Selecteer Hoog en Normaal.
   2. Kies Gereed.
6. Selecteer onder Toegangsbeheer>Verlenen de optie Toegang verlenen, Meervoudige verificatie verplichten en selecteer Kies.
7. Controleer uw instellingen en stel Beleid inschakelen in op Aan.
8. Selecteer Maken om uw beleid te creëren en in te schakelen.

Sjabloon 1 met API's voor voorwaardelijke toegang inschakelen (optioneel)

Maak een op risico gebaseerd beleid voor voorwaardelijke toegang op basis van aanmelding met MS Graph-API's. Zie API's voor voorwaardelijke toegang voor meer informatie. De volgende sjabloon kan worden gebruikt om een beleid voor voorwaardelijke toegang te maken, met als weergavenaam 'Sjabloon 1: MFA vereisen voor gemiddeld+ aanmeldrisico' in alleen-rapportmodus.

{
    "displayName": "Template 1: Require MFA for medium+ sign-in risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "signInRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "mfa"
        ]
    }
}

Sjabloon 2: Voorwaardelijke toegang op basis van gebruikersrisico's

Identity Protection kan berekenen wat normaal gedrag van gebruikers is en die berekening gebruiken om beslissingen op hun risico te baseren. Gebruikersrisico is een berekening van de kans dat misbruik van een identiteit is gemaakt. B2C tenants met P2-licenties kunnen Een beleid voor voorwaardelijke toegang creëren dat gebruikersrisico's omvat. Wanneer een gebruiker als risico wordt gedetecteerd, kunt u vereisen dat ze hun wachtwoord veilig wijzigen om het risico op te lossen en toegang te krijgen tot hun account. We raden u ten zeerste aan een beleid voor gebruikersrisico's in te stellen om een veilige wachtwoordwijziging te vereisen, zodat gebruikers zichzelf kunnen herstellen.

Meer informatie over gebruikersrisico in Identity Protection, rekening houdend met de beperkingen van identiteitsbeschermingsdetecties voor B2C.

Configureer voorwaardelijke toegang via Azure Portal of Microsoft Graph-API's om een beleid voor voorwaardelijke toegang op basis van gebruikersrisico's in te schakelen waarvoor meervoudige verificatie (MFA) en wachtwoordwijziging is vereist wanneer gebruikersrisico gemiddeld OF hoog is.

Gebruikersgebaseerde voorwaardelijke toegang configureren:

1. Meld u aan bij het Azure-portaal.
2. Blader naar Azure AD B2C>Beveiliging>Voorwaardelijke Toegang.
3. Selecteer Nieuw beleid.
4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
5. Onder Toewijzingenselecteer Gebruikers en groepen.
   1. Selecteer onder Opnemen de optie Alle gebruikers.
   2. Selecteer bij Uitsluiten de optie Gebruikers en groepen en kies de noodtoegangs- of 'break-glass'-accounts van uw organisatie.
   3. Kies Gereed.
6. Onder Cloud-apps of -acties>, selecteer Opnemenalle cloud-apps.
7. Stel bij Voorwaarden>GebruikersrisicoConfigureren in op Ja. Onder Gebruikersrisiconiveaus configureren die nodig zijn om beleid af te dwingen
   1. Selecteer Hoog en Normaal.
   2. Kies Gereed.
8. Selecteer onder Toegangsbeheer>verlenen de optie Toegang verlenen, Wachtwoordwijziging vereisen en selecteer Selecteren. Meervoudige verificatie vereisen is ook standaard vereist.
9. Controleer uw instellingen en stel Beleid inschakelen in op Aan.
10. Selecteer Maken om uw beleid te creëren en in te schakelen.

Sjabloon 2 met API's voor voorwaardelijke toegang inschakelen (optioneel)

Raadpleeg de documentatie voor API's voor voorwaardelijke toegang voor het maken van een beleid op basis van risico's voor voorwaardelijke toegang.

De volgende sjabloon kan worden gebruikt om een beleid voor voorwaardelijke toegang te maken met de weergavenaam 'Sjabloon 2: Veilige wachtwoordwijziging vereisen voor normaal+ gebruikersrisico' in de modus alleen voor rapporten.

{
    "displayName": "Template 2: Require secure password change for medium+ user risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "userRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "AND",
        "builtInControls": [
            "mfa",
            "passwordChange"
        ]
    }
}

Sjabloon 3: Locaties blokkeren met voorwaardelijke toegang

Met de locatievoorwaarde in Voorwaardelijke toegang kunt u de toegang tot uw cloud-apps beheren op basis van de netwerklocatie van een gebruiker. Configureer voorwaardelijke toegang via Azure Portal of Microsoft Graph API's om toegang tot specifieke locaties te blokkeren door beleid voor voorwaardelijke toegang in te schakelen. Zie De locatievoorwaarde gebruiken in een beleid voor voorwaardelijke toegang voor meer informatie

Locaties definiëren

1. Meld u aan bij het Azure-portaal.
2. Blader naarvoorwaardelijke toegang> tot Azure AD B2C-beveiliging>>benoemde locaties.
3. Locatie van landen of IP-bereiken selecteren
4. Geef uw locatie een naam.
5. Geef de IP-bereiken op of selecteer de landen/regio's voor de locatie die u opgeeft. Als u landen/regio's kiest, kunt u eventueel onbekende gebieden opnemen.
6. Kies Opslaan.

Inschakelen met voorwaardetoegangsbeleid:

1. Meld u aan bij het Azure-portaal.
2. Blader naar Azure AD B2C>Beveiliging>Voorwaardelijke Toegang.
3. Selecteer Nieuw beleid.
4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
5. Onder Toewijzingenselecteer Gebruikers en groepen.
   1. Selecteer onder Opnemen de optie Alle gebruikers.
   2. Selecteer bij Uitsluiten de optie Gebruikers en groepen en kies de noodtoegangs- of 'break-glass'-accounts van uw organisatie.
   3. Kies Gereed.
6. Onder Cloud-apps of -acties>, selecteer Opnemenalle cloud-apps.
7. Onder Voorwaarden>Locatie
   1. Stel Configureren in op Ja.
   2. Selecteer onder Opnemende geselecteerde locaties
   3. Selecteer de benoemde locatie die u hebt gemaakt.
   4. Klik op Selecteren
8. Selecteer onder toegangscontroles>Toegang blokkeren en selecteer Selecteren.
9. Controleer uw instellingen en stel Beleid inschakelen in op Aan.
10. Selecteer Maken om uw beleid te creëren en in te schakelen.

Sjabloon 3 inschakelen met API's voor voorwaardelijke toegang (optioneel)

Raadpleeg de documentatie voor API's voor voorwaardelijke toegang om een op locatie gebaseerd beleid voor voorwaardelijke toegang te maken met API's voor voorwaardelijke toegang. Raadpleeg de documentatie voor Benoemde Locaties om ze in te stellen.

De volgende sjabloon kan worden gebruikt om een beleid voor voorwaardelijke toegang te maken met de weergavenaam Sjabloon 3: Niet-toegestane locaties blokkeren in de modus alleen voor rapporten.

{
    "displayName": "Template 3: Block unallowed locations",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        },
        "locations": {
            "includeLocations": [
                "b5c47916-b835-4c77-bd91-807ec08bf2a3"
          ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "block"
        ]
    }
}

Voorwaardelijke toegang toevoegen aan een gebruikersstroom

Nadat u het beleid voor voorwaardelijke toegang van Microsoft Entra hebt toegevoegd, schakelt u voorwaardelijke toegang in uw gebruikersstroom of aangepast beleid in. Wanneer u voorwaardelijke toegang inschakelt, hoeft u geen beleidsnaam op te geven. Meerdere beleidsregels voor voorwaardelijke toegang kunnen op elk gewenst moment van toepassing zijn op een afzonderlijke gebruiker. In dit geval heeft het meest strikte beleid voor toegangsbeheer voorrang. Als voor het ene beleid bijvoorbeeld MFA is vereist terwijl de andere toegang blokkeert, wordt de gebruiker geblokkeerd.

Meervoudige verificatie inschakelen (optioneel)

Wanneer u voorwaardelijke toegang toevoegt aan een gebruikersstroom, kunt u overwegen meervoudige verificatie (MFA) te gebruiken. Gebruikers kunnen een eenmalige code gebruiken via sms of spraak, een eenmalig wachtwoord via e-mail of een op tijd gebaseerde TOTP-code (eenmalige wachtwoord) via een verificator-app voor meervoudige verificatie. MFA-instellingen worden afzonderlijk geconfigureerd van instellingen voor voorwaardelijke toegang. U kunt kiezen uit deze MFA-opties:

• Uit : MFA wordt nooit afgedwongen tijdens het aanmelden en gebruikers worden niet gevraagd om zich tijdens het registreren of aanmelden bij MFA in te schrijven.
• Always on - MFA is altijd vereist, ongeacht de instellingen voor voorwaardelijke toegang. Tijdens de registratie wordt gebruikers gevraagd zich in te schrijven bij MFA. Als gebruikers tijdens het aanmelden nog niet zijn ingeschreven bij MFA, wordt hen gevraagd zich in te schrijven.
• voorwaardelijk: tijdens het registreren en aanmelden wordt gebruikers gevraagd zich in te schrijven bij MFA (zowel nieuwe gebruikers als bestaande gebruikers die niet zijn ingeschreven bij MFA). Tijdens het aanmelden wordt MFA alleen afgedwongen wanneer een actieve evaluatie van beleid voor voorwaardelijke toegang dit vereist:
  • Als het resultaat een MFA-uitdaging zonder risico is, wordt MFA afgedwongen. Als de gebruiker nog niet is ingeschreven bij MFA, wordt de gebruiker gevraagd zich in te schrijven.
  • Als het resultaat een MFA-uitdaging is vanwege een risico en de gebruiker niet is ingeschreven bij MFA, wordt de aanmelding geblokkeerd.

  Notitie

  Met algemene beschikbaarheid van voorwaardelijke toegang in Azure AD B2C wordt gebruikers nu gevraagd zich tijdens de registratie in te schrijven bij een MFA-methode. Alle aanmeldingsgebruikersstromen die u vóór algemene beschikbaarheid hebt gemaakt, weerspiegelen dit nieuwe gedrag niet automatisch, maar u kunt het gedrag opnemen door nieuwe gebruikersstromen te maken.

Als u voorwaardelijke toegang wilt inschakelen voor een gebruikersstroom, moet u ervoor zorgen dat de versie voorwaardelijke toegang ondersteunt. Deze gebruikersstroomversies zijn gelabeld als Aanbevolen.

1. Meld u aan bij het Azure-portaal.
2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het hoofdmenu om over te schakelen naar uw Azure AD B2C-tenant vanuit het menu Mappen + abonnementen.
3. Selecteer azure AD B2C onder Azure-services. Of gebruik het zoekvak om Azure AD B2C te zoeken en te selecteren.
4. Selecteer onder BeleidGebruikersstromen. Selecteer vervolgens de gebruikersstroom.
5. Selecteer Eigenschappen en zorg ervoor dat de gebruikersstroom voorwaardelijke toegang ondersteunt door te zoeken naar de instelling met het label Voorwaardelijke toegang.
6. Selecteer in de sectie Meervoudige verificatie het gewenste type methode en selecteer vervolgens onder MFA afdwingenvoorwaardelijk.
7. Schakel in de sectie Voorwaardelijke toegang het selectievakje Beleid voor voorwaardelijke toegang afdwingen in.
8. Selecteer Opslaan.

Voorwaardelijke toegang toevoegen aan uw beleid

1. Bekijk het voorbeeld van beleid voor voorwaardelijke toegang op GitHub.
2. Vervang in elk bestand de tekenreeks yourtenant door de naam van uw Azure AD B2C-tenant. Als de naam van uw B2C-tenant bijvoorbeeld contosob2c is, worden alle exemplaren van yourtenant.onmicrosoft.com omgezet naar contosob2c.onmicrosoft.com.
3. Upload de beleidsbestanden.

Een andere claim configureren dan het telefoonnummer dat moet worden gebruikt voor MFA

In het bovenstaande beleid voor voorwaardelijke toegang controleert de DoesClaimExist claimtransformatiemethode of een claim een waarde bevat, bijvoorbeeld als de strongAuthenticationPhoneNumber claim een telefoonnummer bevat. De claimtransformatie is niet beperkt tot de strongAuthenticationPhoneNumber claim. Afhankelijk van het scenario kunt u elke andere claim gebruiken. In het volgende XML-fragment wordt de strongAuthenticationEmailAddress claim gecontroleerd. De claim die u kiest, moet een geldige waarde hebben, anders is de IsMfaRegistered claim ingesteld op False. Als dit is ingesteld False, retourneert de evaluatie van het beleid voor voorwaardelijke toegang een Block toekenningstype, waardoor de gebruiker de gebruikersstroom niet kan voltooien.

 <ClaimsTransformation Id="IsMfaRegisteredCT" TransformationMethod="DoesClaimExist">
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="strongAuthenticationEmailAddress" TransformationClaimType="inputClaim" />
  </InputClaims>
  <OutputClaims>
    <OutputClaim ClaimTypeReferenceId="IsMfaRegistered" TransformationClaimType="outputClaim" />
  </OutputClaims>
 </ClaimsTransformation>

Uw aangepaste beleid testen

1. Selecteer het B2C_1A_signup_signin_with_ca of B2C_1A_signup_signin_with_ca_whatif beleidsregel om de bijbehorende overzichtspagina te openen. Selecteer vervolgens De gebruikersstroom uitvoeren. Selecteer onder Toepassingde optie web-app1. De antwoord-URL moet https://jwt.ms weergeven.
2. Kopieer de URL onder Eindpunt gebruikersstroom starten.
3. Als u een riskante aanmelding wilt simuleren, opent u de Tor-browser en gebruikt u de URL die u in de vorige stap hebt gekopieerd om u aan te melden bij de geregistreerde app.
4. Voer de gevraagde gegevens in op de aanmeldingspagina en probeer u aan te melden. Het token wordt geretourneerd naar https://jwt.ms en wordt aan u weergegeven. In het jwt.ms gedecodeerde token ziet u dat de aanmelding is geblokkeerd.

Uw gebruikersstroom testen

1. Selecteer de gebruikersstroom die u hebt gemaakt om de overzichtspagina te openen en selecteer vervolgens Gebruikersstroom uitvoeren. Selecteer onder Toepassingde optie web-app1. De antwoord-URL moet https://jwt.ms weergeven.
2. Kopieer de URL onder Eindpunt gebruikersstroom starten.
3. Als u een riskante aanmelding wilt simuleren, opent u de Tor-browser en gebruikt u de URL die u in de vorige stap hebt gekopieerd om u aan te melden bij de geregistreerde app.
4. Voer de gevraagde gegevens in op de aanmeldingspagina en probeer u aan te melden. Het token wordt geretourneerd naar https://jwt.ms en wordt aan u weergegeven. In het jwt.ms gedecodeerde token ziet u dat de aanmelding is geblokkeerd.

Resultaten van voorwaardelijke toegang controleren in het controlerapport

Het resultaat van een gebeurtenis voor voorwaardelijke toegang controleren:

1. Meld u aan bij het Azure-portaal.
2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het hoofdmenu om over te schakelen naar uw Azure AD B2C-tenant vanuit het menu Mappen + abonnementen.
3. Selecteer azure AD B2C onder Azure-services. Of gebruik het zoekvak om Azure AD B2C te zoeken en te selecteren.
4. Selecteer onder ActiviteitenAuditlogs.
5. Filter het auditlogboek door Categorie in te stellen op B2C en het type activiteitsresource in te stellen op IdentityProtection. Selecteer vervolgens Toepassen.
6. Controleer de controleactiviteit voor de afgelopen zeven dagen. De volgende typen activiteiten zijn opgenomen:
   • Beleid voor voorwaardelijke toegang evalueren: Deze vermelding in het auditlogboek geeft aan dat er een evaluatie van voorwaardelijke toegang is uitgevoerd tijdens een verificatie.
   • Gebruiker remediëren: Deze vermelding geeft aan dat aan de toekenning of vereisten van een Conditional Access-beleid is voldaan door de eindgebruiker en dat deze activiteit is gerapporteerd aan de risico-engine om het risico voor de gebruiker te verminderen.
7. Selecteer een logboekvermelding van het Beleid voor voorwaardelijke toegang evalueren in de lijst om de Activiteitendetails: Auditlogboekpagina te openen, waarin de auditlogboek-id's worden weergegeven, samen met deze informatie in de sectie Aanvullende informatie:
   • ConditionalAccessResult: de toekenning die is vereist voor de evaluatie van het voorwaardelijke beleid.
   • AppliedPolicies: Een lijst met alle beleidsregels voor voorwaardelijke toegang waaraan de voorwaarden zijn voldaan en de beleidsregels zijn ingeschakeld.
   • ReportingPolicies: Een lijst met beleidsregels voor voorwaardelijke toegang die zijn ingesteld op de modus Alleen-rapporteren en waaraan de voorwaarden zijn voldaan.

Verwante inhoud

De gebruikersinterface in een Azure AD B2C-gebruikersstroom aanpassen