Tolerantie inbouwen met apparaatstatussen

Door apparaatstatussen met Microsoft Entra-id in te schakelen, kunnen beheerders beleidsregels voor voorwaardelijke toegang maken die de toegang tot toepassingen beheren op basis van de apparaatstatus. Het inschakelen van apparaatstatussen voldoet aan sterke verificatievereisten voor toegang tot resources, vermindert aanvragen voor meervoudige verificatie en verbetert de tolerantie.

Het volgende stroomdiagram biedt manieren om apparaten in Microsoft Entra ID te onboarden waarmee apparaatstatussen worden ingeschakeld. U kunt er meer dan een gebruiken in uw organisatie.

Wanneer u apparaatstatussen gebruikt, ervaren gebruikers in de meeste gevallen eenmalige aanmelding bij resources via een Primary Refresh Token (PRT). De PRT bevat claims over de gebruiker en het apparaat. U kunt deze claims gebruiken om verificatietokens op te halen voor toegang tot toepassingen vanaf het apparaat. Het PRT is 14 dagen geldig en wordt continu vernieuwd zolang de gebruiker het apparaat actief gebruikt, zodat gebruikers een flexibele ervaring hebben. Zie Wanneer krijgt een PRT een MFA-claim voor meer informatie over hoe een PRT meervoudige verificatieclaims kan ophalen.

Hoe helpen apparaatstatussen?

Wanneer een PRT toegang tot een toepassing aanvraagt, worden de bijbehorende apparaat-, sessie- en MFA-claims vertrouwd door Microsoft Entra ID. Wanneer beheerders beleidsregels maken waarvoor een apparaatbesturingselement of een meervoudig verificatiebeheer is vereist, kan aan de beleidsvereiste worden voldaan via de apparaatstatus zonder MFA te proberen. Gebruikers zien niet meer MFA-prompts op hetzelfde apparaat. Dit verhoogt de tolerantie voor een onderbreking van de Multifactor Authentication-service of afhankelijkheden van Microsoft Entra, zoals lokale telecomproviders.

Hoe kan ik apparaatstatussen implementeren?

• Schakel hybride Microsoft Entra-deelname en Microsoft Entra-deelname in voor Windows-apparaten die eigendom zijn van het bedrijf en vereisen dat ze, indien mogelijk, worden toegevoegd. Als dit niet mogelijk is, moeten ze worden geregistreerd. Als er oudere versies van Windows in uw organisatie zijn, moet u deze apparaten upgraden naar Windows 10.
• Standaardiseer gebruikersbrowsertoegang voor gebruik van Microsoft Edge of Google Chrome met de Microsoft Single sign-on-extensie waarmee naadloze eenmalige aanmelding bij webtoepassingen mogelijk is met behulp van de PRT.
• Implementeer de Microsoft Authenticator-app voor persoonlijke of zakelijke iOS- en Android-apparaten. Naast de MFA- en aanmeldingsmogelijkheden zonder wachtwoord, schakelt de Microsoft Authenticator-app eenmalige aanmelding in via systeemeigen toepassingen via brokered-verificatie met minder verificatieprompts voor eindgebruikers.
• Voor iOS- en Android-apparaten in bedrijfseigendom gebruikt u Mobile Application Management om veilig toegang te krijgen tot bedrijfsbronnen met minder verificatieaanvragen.
• Gebruik voor macOS-apparaten de invoegtoepassing Microsoft Enterprise SSO voor Apple-apparaten (preview) om het apparaat te registreren en eenmalige aanmelding te bieden in de browser en systeemeigen Microsoft Entra-toepassingen. Volg vervolgens op basis van uw omgeving de stappen die specifiek zijn voor Microsoft Intune of Jamf Pro.

Volgende stappen

Tolerantiebronnen voor beheerders en architecten

• Tolerantie inbouwen met beheer van aanmeldingsgegevens
• Tolerantie inbouwen met behulp van Continuous Access Evaluation (CAE)
• Tolerantie inbouwen in verificatie van externe gebruikers
• Tolerantie inbouwen in uw hybride verificatie
• Tolerantie inbouwen in toepassingstoegang met toepassingsproxy

Resources voor tolerantie voor ontwikkelaars

• IAM-tolerantie inbouwen in uw toepassingen
• Tolerantie inbouwen in uw CIAM-systemen