Voorwaardelijke toegang: cloud-apps, acties en verificatiecontexten

Cloud-apps, acties en verificatiecontexten zijn belangrijke signalen in een beleid voor voorwaardelijke toegang. Met beleid voor voorwaardelijke toegang kunnen beheerders besturingselementen toewijzen aan specifieke toepassingen, acties of verificatiecontexten.

  • Beheerders kunnen kiezen uit de lijst met toepassingen, zoals ingebouwde Microsoft-toepassingen en met Azure AD geïntegreerde toepassingen, waaronder toepassingen uit de galerie, toepassingen die niet uit de galerie afkomstig zijn en toepassingen die zijn gepubliceerd via de toepassingsproxy.
  • Beheerders kunnen ervoor kiezen om beleid te definiëren dat niet is gebaseerd op een cloudtoepassing, maar op een gebruikersactie zoals Beveiligingsgegevens registreren of Apparaten registreren of toevoegen, waardoor met voorwaardelijke toegang besturingselementen rond deze acties kunnen worden afgedwongen.
  • Beheerders kunnen een verificatiecontext gebruiken om een extra beveiligingslaag in toepassingen te bieden.

Beleid voor voorwaardelijke toegang definiëren en cloud-apps specificeren

Microsoft-cloudtoepassingen

Veel van de bestaande Microsoft-cloudtoepassingen zijn opgenomen in de lijst met toepassingen waaruit u kunt kiezen.

Beheerders kunnen beleid voor voorwaardelijke toegang toewijzen aan de volgende cloud-apps van Microsoft. Sommige apps, zoals Office 365 en Microsoft Azure Management, bevatten meerdere gerelateerde onderliggende apps of services. We voegen voortdurend meer apps toe, dus de volgende lijst is niet volledig en kan worden gewijzigd.

  • Office 365
  • Azure Analysis Services
  • Azure DevOps
  • Azure Data Explorer
  • Azure Event Hubs
  • Azure Service Bus
  • Azure SQL Database en Azure Synapse Analytics
  • Common Data Service
  • Analyse van Microsoft Application Insights
  • Microsoft Azure Information Protection
  • Microsoft Azure-beheer
  • Microsoft Azure-abonnementsbeheer
  • Microsoft Defender for Cloud Apps
  • Toegangsbeheerportal voor Microsoft Commerce Tools
  • Verificatieservice voor Microsoft Commerce Tools
  • Microsoft Forms
  • Microsoft Intune
  • Microsoft Intune-inschrijving
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power Automate
  • Microsoft Search in Bing
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Teams
  • Exchange Online
  • SharePoint
  • Yammer
  • Office Delve
  • Office Sway
  • Outlook-groepen
  • Power BI-service
  • Project Online
  • Skype voor Bedrijven Online
  • Virtual Private Network (VPN)
  • Windows Defender ATP

Belangrijk

Toepassingen die beschikbaar zijn voor voorwaardelijke toegang hebben een onboarding- en validatieproces doorlopen. Deze lijst bevat niet alle Microsoft-apps, omdat veel van deze apps back-endservices zijn en die niet bedoeld zijn om beleid rechtstreeks op deze apps toe te passen. Als u op zoek bent naar een toepassing die ontbreekt, kunt u contact opnemen met het specifieke toepassingsteam of een aanvraag indienen op UserVoice.

Office 365

Microsoft 365 biedt cloudservices voor productiviteit en samenwerking, zoals Exchange, SharePoint en Microsoft Teams. Microsoft 365-cloudservices zijn diep geïntegreerd om soepele samenwerkingservaringen te garanderen. Deze integratie kan verwarring veroorzaken bij het maken van beleidsregels, omdat sommige apps zoals Microsoft Teams afhankelijk zijn van andere toepassingen, zoals SharePoint of Exchange.

De Office 365-suite maakt het mogelijk om u op al deze services tegelijk te richten. U wordt aangeraden de nieuwe Office 365-suite te gebruiken in plaats van afzonderlijke cloud-apps, om problemen met serviceafhankelijkheden te voorkomen.

Als u zich op deze groep toepassingen richt, kunt u problemen voorkomen die zich kunnen voordoen vanwege inconsistent beleid en afhankelijkheden. Bijvoorbeeld: de Exchange Online-app is gekoppeld aan traditionele Exchange Online-gegevens, zoals e-mail, agenda en contactgegevens. Gerelateerde metagegevens kunnen worden weergegeven via verschillende resources, zoals zoekopdrachten. Om ervoor te zorgen dat alle metagegevens zoals bedoeld worden beveiligd, moeten beheerders beleidsregels toewijzen aan de Office 365-app.

Beheerders kunnen de volledige Office 365 suite of specifieke Office 365 cloud-apps uitsluiten van het beleid voor voorwaardelijke toegang.

De volgende belangrijke toepassingen worden beïnvloed door de Office 365 cloud-app:

  • Exchange Online
  • Microsoft 365 Search Service
  • Microsoft Forms
  • Microsoft Planner (ProjectWorkManagement)
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Flow
  • Microsoft Office 365-portal
  • Microsoft Office-clienttoepassing
  • Microsoft Stream
  • Microsoft To-Do WebApp
  • Microsoft Whiteboard Services
  • Office Delve
  • Office Online
  • OneDrive
  • Power Apps
  • Power Automate
  • Portal voor naleving & beveiliging
  • SharePoint Online
  • Skype voor Bedrijven Online
  • Admin-API voor Skype- en Teams-tenant
  • Sway
  • Yammer

Een volledige lijst met alle services die zijn opgenomen, vindt u in het artikel Apps die zijn opgenomen in Office 365-app-suite met voorwaardelijke toegang.

Microsoft Azure-beheer

Wanneer beleid voor voorwaardelijke toegang is gericht op de Microsoft Azure Management-toepassing, wordt binnen de app-kiezer voor beleid voor voorwaardelijke toegang het beleid afgedwongen voor tokens die zijn uitgegeven aan toepassings-id's van een set services die nauw zijn gebonden aan de portal.

  • Azure Resource Manager
  • Azure Portal, dat ook betrekking heeft op het Microsoft Entra-beheercentrum
  • Azure Data Lake
  • Application Insights-API
  • Log Analytics-API

Omdat het beleid wordt toegepast op de Azure-beheerportal en API, kunnen services of clients met een Azure API-serviceafhankelijkheid indirect worden beïnvloed. Bijvoorbeeld:

  • Klassieke implementatiemodel-API's
  • Azure PowerShell
  • Azure CLI
  • Azure DevOps
  • Azure Data Factory-portal
  • Azure Event Hubs
  • Azure Service Bus
  • Azure SQL Database
  • SQL Managed Instance
  • Azure Synapse
  • Beheerdersportal voor Visual Studio-abonnementen
  • Microsoft IoT Central

Notitie

De Microsoft Azure-beheertoepassing is van toepassing op Azure PowerShell, die de Azure Resource Manager-API aanroept. Het is niet van toepassing op Azure AD PowerShell, dat de Microsoft Graph API aanroept.

Zie Voorwaardelijke toegang: MFA vereisen voor Azure-beheer voor meer informatie over het instellen van een voorbeeldbeleid voor Microsoft Azure-beheer.

Tip

Voor Azure Government moet u zich richten op de Azure Government Cloud Management API-toepassing.

Andere toepassingen

Beheerders kunnen in Azure AD geregistreerde toepassingen toevoegen aan beleid voor voorwaardelijke toegang. Deze toepassingen kunnen het volgende omvatten:

Notitie

Aangezien het beleid voor voorwaardelijke toegang de vereisten voor toegang tot een service instelt, kunt u deze niet toepassen op een clienttoepassing (openbaar/systeemeigen). Met andere woorden: het beleid wordt niet rechtstreeks ingesteld op een clienttoepassing (openbaar/systeemeigen), maar wordt toegepast wanneer een client een service aanroept. Een beleid dat is ingesteld op de SharePoint-service, is bijvoorbeeld van toepassing op de clients die SharePoint aanroepen. Een beleid dat is ingesteld op Exchange is van toepassing op de poging om toegang te krijgen tot e-mail met de Outlook-client. Daarom zijn clienttoepassingen (openbaar/systeemeigen) niet beschikbaar voor selectie in de optie Cloud-apps-kiezer en is voorwaardelijke toegang niet beschikbaar in de toepassingsinstellingen voor de clienttoepassing (openbaar/systeemeigen) die is geregistreerd in uw tenant.

Sommige toepassingen worden helemaal niet weergegeven in de kiezer. De enige manier om deze toepassingen op te nemen in een beleid voor voorwaardelijke toegang is door alle cloud-apps op te nemen.

Alle cloud-apps

Als u beleid voor voorwaardelijke toegang toepast op alle cloud-apps wordt het beleid afgedwongen voor alle tokens die zijn uitgegeven aan websites en services. Deze optie omvat toepassingen die niet afzonderlijk kunnen worden gebruikt in beleid voor voorwaardelijke toegang, zoals Azure Active Directory.

In sommige gevallen kan met een beleid voor alle cloud-apps per ongeluk gebruikerstoegang worden geblokkeerd. Deze gevallen worden uitgesloten van beleidsafdwinging en omvatten:

  • Services die nodig zijn om de gewenste beveiligingspostuur te bereiken. Apparaatinschrijvingsaanroepen worden bijvoorbeeld uitgesloten van compatibel apparaatbeleid dat is gericht op alle cloud-apps.

  • Aanroepen naar Azure AD Graph en MS Graph om toegang te krijgen tot het gebruikersprofiel, groepslidmaatschap en relatiegegevens die vaak worden gebruikt door toepassingen die zijn uitgesloten van beleid. De uitgesloten bereiken worden hieronder vermeld. Toestemming is nog steeds vereist voor apps om deze machtigingen te gebruiken.

    • Voor systeemeigen clients:
      • Azure AD Graph: e-mail, offline_access, openid, profiel, User.read
      • MS Graph: User.read, People.read en UserProfile.read
    • Voor vertrouwelijke/geverifieerde clients:
      • Azure AD Graph: e-mail, offline_access, openid, profiel, User.read, User.read.all en User.readbasic.all
      • MS Graph: User.read,User.read.all, User.read.All People.read, People.read.all, GroupMember.Read.All, Member.Read.Hidden en UserProfile.read

Gebruikersacties

Gebruikersacties zijn taken die door een gebruiker kunnen worden uitgevoerd. Op dit moment ondersteunt voorwaardelijke toegang twee gebruikersacties:

  • Beveiligingsgegevens registreren: met deze gebruikersactie kan beleid voor voorwaardelijke toegang worden afgedwongen wanneer gebruikers die zijn ingeschakeld voor gecombineerde registratie hun beveiligingsgegevens proberen te registreren. Meer informatie vindt u in het artikel Gecombineerde registratie van beveiligingsgegevens.

  • Apparaten registreren of samenvoegen: met deze gebruikersactie kunnen beheerders beleid voor voorwaardelijke toegang afdwingen wanneer gebruikers apparaten registreren of toevoegen aan Azure AD. Het biedt granulariteit bij het configureren van meervoudige verificatie voor het registreren of samenvoegen van apparaten in plaats van een tenantbreed beleid dat momenteel bestaat. Er zijn drie belangrijke overwegingen met deze gebruikersactie:

    • Require multi-factor authentication is het enige toegangsbeheer dat beschikbaar is met deze gebruikersactie. Alle het andere beheer is uitgeschakeld. Deze beperking voorkomt conflicten met toegangsbeheer dat afhankelijk is van Azure AD-apparaatregistratie of niet van toepassing is op Azure AD-apparaatregistratie.
    • De voorwaarden Client apps, Filters for devices en Device state zijn niet beschikbaar voor deze gebruikersactie, omdat ze afhankelijk zijn van Azure AD-apparaatregistratie om beleid voor voorwaardelijke toegang af te dwingen.
    • Wanneer een beleid voor voorwaardelijke toegang is ingeschakeld met deze gebruikersactie, moet u Azure Active Directory>Apparaten>Apparaatinstellingen - Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication instellen op Nee. Anders wordt het beleid voor voorwaardelijke toegang met deze gebruikersactie niet correct afgedwongen. Meer informatie over deze apparaatinstelling vindt u in Apparaatinstellingen configureren.

Verificatiecontext

Een verificatiecontext kan worden gebruikt om gegevens en acties in toepassingen verder te beveiligen. Deze toepassingen kunnen uw eigen aangepaste toepassingen zijn, aangepaste LOB-toepassingen (Line-Of-Business), toepassingen zoals SharePoint of toepassingen die worden beveiligd door Microsoft Defender voor Cloud-apps.

Een organisatie kan bijvoorbeeld bestanden bewaren op SharePoint-sites, zoals het lunchmenu of hun geheime BBQ-sausrecept. Iedereen heeft mogelijk toegang tot de lunchmenusite, maar gebruikers die toegang hebben tot de geheime BBQ-sausreceptsite moeten mogelijk toegang krijgen vanaf een beheerd apparaat en akkoord gaan met specifieke gebruiksvoorwaarden.

Verificatiecontexten configureren

Verificatiecontexten worden beheerd in Azure Portal onder Azure Active Directory>Beveiliging>Azure Active Directory>Verificatiecontext.

De verificatiecontext beheren in Azure Portal

Maak nieuwe verificatiecontextdefinities door Nieuwe verificatiecontext te selecteren in Azure Portal. Organisaties zijn beperkt tot in totaal 25 verificatiecontextdefinities. Configureer de volgende kenmerken:

  • Weergavenaam is de naam die wordt gebruikt om de verificatiecontext te identificeren in Azure AD en in toepassingen die verificatiecontexten gebruiken. We raden namen aan die kunnen worden gebruikt voor resources, zoals 'vertrouwde apparaten', om het aantal benodigde verificatiecontexten te verminderen. Als u een beperkte set hebt, beperkt u het aantal omleidingen en biedt u een betere volledige gebruikerservaring.
  • Beschrijving biedt meer informatie over de beleidsregels die worden gebruikt door Azure AD-beheerders en beheerders die verificatiecontexten toepassen op resources.
  • Wanneer het selectievakje Publiceren naar apps is ingeschakeld, wordt de verificatiecontext aan apps geadverteerd en worden deze beschikbaar gemaakt om te worden toegewezen. Als de verificatiecontext niet is ingeschakeld, is deze niet beschikbaar om resources te downstreamen.
  • Id is alleen-lezen en wordt gebruikt in tokens en apps voor aanvraagspecifieke verificatiecontextdefinities. Hier vindt u informatie over het oplossen van problemen en gebruiksscenario's voor ontwikkeling.

Toevoegen aan beleid voor voorwaardelijke toegang

Beheerders kunnen gepubliceerde verificatiecontexten selecteren in hun beleid voor voorwaardelijke toegang onder Toewijzingen>Cloud-apps of acties en verificatiecontext selecteren in het menu Selecteren waarop dit beleid van toepassing is.

Een verificatiecontext voor voorwaardelijke toegang toevoegen aan een beleid

Een verificatiecontext verwijderen

Wanneer u een verificatiecontext verwijdert, moet u ervoor zorgen dat deze niet door toepassingen nog wordt gebruikt. Anders wordt de toegang tot app-gegevens niet meer beveiligd. U kunt deze vereiste bevestigen door aanmeldingslogboeken te controleren op gevallen waarin de verificatiecontextbeleid voor voorwaardelijke toegang wordt toegepast.

Als u een verificatiecontext wilt verwijderen, moet deze geen toegewezen beleid voor voorwaardelijke toegang hebben en mag deze niet worden gepubliceerd naar apps. Deze vereiste helpt voorkomen dat een verificatiecontext die nog in gebruik is, per ongeluk wordt verwijderd.

Resources taggen met verificatiecontexten

Zie de volgende artikelen voor meer informatie over het gebruik van een verificatiecontext in toepassingen.

Volgende stappen