Voorwaardelijke toegang: Toekennen

Binnen een beleid voor voorwaardelijke toegang kan een beheerder toegangsbeheer gebruiken om de toegang tot resources te verlenen of te blokkeren.

Screenshot of a Conditional Access policy with a grant control that requires multifactor authentication.

Toegang blokkeren

Het besturingselement voor het blokkeren van toegang houdt rekening met toewijzingen en voorkomt toegang op basis van de configuratie van het beleid voor voorwaardelijke toegang.

Het blokkeren van toegang is een krachtig besturingselement dat u moet toepassen met de correcte kennis. De beleidsregels met blokinstructies kunnen onbedoelde bijwerkingen hebben. Goede tests en validatie zijn essentieel voordat u het besturingselement op schaal inschakelt. Beheer istrators moeten hulpprogramma's zoals De modus Alleen voor voorwaardelijke toegang en het hulpprogramma What If in voorwaardelijke toegang bij het aanbrengen van wijzigingen.

Toegang verlenen

Beheer istrators kunnen ervoor kiezen om een of meer besturingselementen af te dwingen bij het verlenen van toegang. Deze besturingselementen omvatten de volgende opties:

Wanneer beheerders ervoor kiezen om deze opties te combineren, kunnen ze de volgende methoden gebruiken:

  • Alle geselecteerde besturingselementen vereisen (besturingselement en besturingselement)
  • Een van de geselecteerde besturingselementen vereisen (besturingselement of besturingselement)

Voor voorwaardelijke toegang zijn standaard alle geselecteerde besturingselementen vereist.

Meervoudige verificatie vereisen

Als u dit selectievakje aanvinkt, moeten gebruikers Microsoft Entra meervoudige verificatie uitvoeren. Meer informatie over het implementeren van Microsoft Entra-meervoudige verificatie vindt u in het plannen van een cloudgebaseerde Implementatie van Microsoft Entra voor meervoudige verificatie.

Windows Hello voor Bedrijven voldoet aan de vereiste voor meervoudige verificatie in het beleid voor voorwaardelijke toegang.

Verificatiesterkte vereisen

Beheer istrators kunnen ervoor kiezen om specifieke verificatiesterkten in hun beleid voor voorwaardelijke toegang te vereisen. Deze verificatiesterkten worden gedefinieerd in het Microsoft Entra-beheercentrum>Protection>Authentication methods>Authentication strengths. Beheer istrators kunnen ervoor kiezen om hun eigen versies te maken of de ingebouwde versies te gebruiken.

Vereisen dat het apparaat moet worden gemarkeerd als compatibel

Organisaties die Intune implementeren, kunnen de informatie die wordt geretourneerd van hun apparaten gebruiken om apparaten te identificeren die voldoen aan specifieke nalevingsvereisten voor beleid. Intune verzendt nalevingsinformatie naar Microsoft Entra-id, zodat voorwaardelijke toegang kan besluiten om toegang tot resources te verlenen of te blokkeren. Zie Regels instellen op apparaten voor toegang tot resources in uw organisatie met behulp van Intune voor meer informatie over nalevingsbeleid.

Een apparaat kan worden gemarkeerd als compatibel door Intune voor elk apparaatbesturingssysteem of door een extern beheersysteem voor mobiele apparaten voor Windows-apparaten. U vindt een lijst met de ondersteunde Mobile Device Management-systemen van derden in Ondersteuning van apparaatnalevingspartners van derden in Intune.

De apparaten moeten worden geregistreerd in Microsoft Entra ID voordat ze als compatibel kunnen worden gemarkeerd. Meer informatie over de apparaatregistratie vindt u in Wat is een apparaat-id?.

Het apparaat vereisen dat als compatibel besturingselement wordt gemarkeerd:

  • Ondersteunt alleen Windows 10+-, iOS-, Android- en macOS-apparaten die zijn geregistreerd bij Microsoft Entra ID en zijn ingeschreven bij Intune.
  • Microsoft Edge in de InPrivate-modus in Windows wordt beschouwd als een niet-compatibel apparaat.

Notitie

In Windows-, iOS-, Android-, macOS- en sommige webbrowsers van derden identificeert Microsoft Entra ID het apparaat met behulp van een clientcertificaat dat wordt ingericht wanneer het apparaat is geregistreerd bij Microsoft Entra-id. Wanneer een gebruiker zich voor het eerst aanmeldt via de browser, wordt de gebruiker gevraagd het certificaat te selecteren. De gebruiker moet dit certificaat selecteren voordat deze de browser kan blijven gebruiken.

U kunt de Microsoft Defender voor Eindpunt-app gebruiken met het goedgekeurde client-app-beleid in Intune om het nalevingsbeleid voor apparaten in te stellen op beleid voor voorwaardelijke toegang. Er is geen uitsluiting vereist voor de Microsoft Defender voor Eindpunt-app tijdens het instellen van voorwaardelijke toegang. Hoewel Microsoft Defender voor Eindpunt op Android en iOS (app-id dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) geen goedgekeurde app is, is het gemachtigd om de apparaatbeveiligingspostuur te rapporteren. Met deze machtiging kan de stroom van nalevingsinformatie naar voorwaardelijke toegang worden opgegeven.

Een hybride apparaat van Microsoft Entra vereisen

Organisaties kunnen ervoor kiezen om de apparaat-id te gebruiken als onderdeel van hun beleid voor voorwaardelijke toegang. Organisaties kunnen vereisen dat apparaten zijn gekoppeld aan Microsoft Entra hybrid door dit selectievakje te gebruiken. Zie Wat is een apparaat-id? voor meer informatie over apparaatidentiteiten.

Wanneer u de OAuth-stroom voor apparaatcode gebruikt, wordt het vereiste toekenningsbeheer voor het beheerde apparaat of een statusvoorwaarde van het apparaat niet ondersteund. Dit komt doordat het apparaat dat verificatie uitvoert, de apparaatstatus niet kan opgeven voor het apparaat dat een code opgeeft. De apparaatstatus in het token is ook vergrendeld voor het apparaat dat verificatie uitvoert. Gebruik in plaats daarvan het besturingselement Meervoudige verificatie vereisen.

Het apparaatbeheer dat is gekoppeld aan Microsoft Entra vereist:

  • Ondersteunt alleen downlevel Windows-apparaten die lid zijn van een domein (vóór Windows 10) en Windows Current-apparaten (Windows 10+).
  • Beschouw Microsoft Edge niet in de InPrivate-modus als een hybride apparaat van Microsoft Entra.

Goedgekeurde client-apps vereisen

Organisaties kunnen vereisen dat een goedgekeurde client-app wordt gebruikt voor toegang tot geselecteerde cloud-apps. Deze goedgekeurde client-apps ondersteunen Intune-beveiligingsbeleid voor apps, onafhankelijk van een beheeroplossing voor mobiele apparaten.

Waarschuwing

De goedgekeurde client-app-toekenning wordt begin maart 2026 buiten gebruik gesteld. Organisaties moeten alle huidige beleidsregels voor voorwaardelijke toegang die alleen de goedgekeurde client-app-toekenning vereisen, in maart 2026 overschakelen naar goedgekeurd client-app- of toepassingsbeveiligingsbeleid. Bovendien past u voor nieuw beleid voor voorwaardelijke toegang alleen de toekenning toepassingsbeveiligingsbeleid vereisen toe. Zie het artikel Goedgekeurde client-app migreren naar toepassingsbeveiligingsbeleid in voorwaardelijke toegang voor meer informatie.

Als u dit toekenningsbeheer wilt toepassen, moet het apparaat zijn geregistreerd in Microsoft Entra-id. Hiervoor moet een broker-app worden gebruikt. De broker-app kan Microsoft Authenticator voor iOS zijn, of Microsoft Authenticator of Microsoft Bedrijfsportal voor Android-apparaten. Als een broker-app niet op het apparaat is geïnstalleerd wanneer de gebruiker zich probeert te verifiëren, wordt de gebruiker omgeleid naar de juiste App Store om de vereiste broker-app te installeren.

De volgende client-apps ondersteunen deze instelling. Deze lijst is niet volledig en kan worden gewijzigd:

  • Microsoft Azure Information Protection
  • Microsoft Cortana
  • Microsoft Dynamics 365
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Invoicing
  • Microsoft Kaizala
  • Microsoft Launcher
  • Microsoft Lijsten
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Skype voor Bedrijven
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Visio
  • Microsoft Word
  • Microsoft Yammer
  • Microsoft Whiteboard
  • Microsoft 365-beheer

Opmerkingen

  • De goedgekeurde client-apps ondersteunen de Intune Mobile Application Management-functie.
  • De vereiste goedgekeurde client-app vereisen:
    • Ondersteunt alleen de iOS- en Android voor apparaatplatformvoorwaarde.
    • Vereist een broker-app om het apparaat te registreren. De broker-app kan Microsoft Authenticator voor iOS zijn, of Microsoft Authenticator of Microsoft Bedrijfsportal voor Android-apparaten.
  • Voorwaardelijke toegang kan microsoft Edge niet in de InPrivate-modus beschouwen als een goedgekeurde client-app.
  • Beleid voor voorwaardelijke toegang waarvoor Microsoft Power BI als een goedgekeurde client-app is vereist, biedt geen ondersteuning voor het gebruik van de Microsoft Entra-toepassingsproxy om de mobiele Power BI-app te verbinden met de on-premises Power BI Report Server.
  • WebViews die buiten Microsoft Edge worden gehost, voldoen niet aan het goedgekeurde beleid voor client-apps. Bijvoorbeeld: Als een app SharePoint probeert te laden in een webweergave, mislukt het beveiligingsbeleid voor apps.

Zie Goedgekeurde client-apps vereisen voor toegang tot cloud-apps met voorwaardelijke toegang voor configuratievoorbeelden.

Beleid voor app-beveiliging vereisen

In beleid voor voorwaardelijke toegang kunt u vereisen dat een Intune-app-beveiligingsbeleid aanwezig is in de client-app voordat toegang beschikbaar is voor de geselecteerde toepassingen. Met dit mam-beveiligingsbeleid (Mobile Application Management) kunt u de gegevens van uw organisatie binnen specifieke toepassingen beheren en beveiligen.

Als u dit toekenningsbeheer wilt toepassen, vereist voorwaardelijke toegang dat het apparaat is geregistreerd in Microsoft Entra-id. Hiervoor moet u een broker-app gebruiken. De broker-app kan Microsoft Authenticator zijn voor iOS- of Microsoft Bedrijfsportal voor Android-apparaten. Als een broker-app niet op het apparaat is geïnstalleerd wanneer de gebruiker zich probeert te verifiëren, wordt de gebruiker omgeleid naar de App Store om de broker-app te installeren. De Microsoft Authenticator-app kan worden gebruikt als broker-app, maar biedt geen ondersteuning voor het doel als een goedgekeurde client-app. App-beveiliging beleidsregels zijn algemeen beschikbaar voor iOS en Android en in openbare preview voor Microsoft Edge in Windows. Windows-apparaten ondersteunen niet meer dan drie Microsoft Entra-gebruikersaccounts in dezelfde sessie. Zie het artikel Een app-beveiligingsbeleid vereisen op Windows-apparaten (preview) voor meer informatie over het toepassen van beleid op Windows-apparaten.

Toepassingen moeten voldoen aan bepaalde vereisten om app-beveiligingsbeleid te ondersteunen. Ontwikkelaars kunnen meer informatie over deze vereisten vinden in de sectie Apps die u kunt beheren met app-beveiligingsbeleid.

De volgende client-apps ondersteunen deze instelling. Deze lijst is niet volledig en kan worden gewijzigd. Als uw app niet in de lijst staat, neemt u contact op met de leverancier van de toepassing om de ondersteuning te bevestigen:

  • Mobiele adobe Acrobat Reader-app
  • iAnnotate voor Office 365
  • Microsoft Cortana
  • Microsoft Dynamics 365 voor Telefoon s
  • Microsoft Dynamics 365 Sales
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Launcher
  • Microsoft Lijsten
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power BI
  • Microsoft PowerApps
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Stream Mobile Native 2.0
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Word
  • Microsoft Whiteboard Services
  • MultiLine voor Intune
  • Nine Mail - E-mail en agenda
  • Notate voor Intune
  • Provectus - Contactpersonen beveiligen
  • Viva Engage (Android, iOS en iPadOS)

Notitie

Kaizala, Skype voor Bedrijven en Visio bieden geen ondersteuning voor het verlenen van app-beveiligingsbeleid vereisen. Als u wilt dat deze apps werken, gebruikt u uitsluitend de goedgekeurde apps verlenen. Het gebruik van de 'or'-component tussen de twee subsidies werkt niet voor deze drie toepassingen.

Zie App-beveiligingsbeleid en een goedgekeurde client-app vereisen voor toegang tot cloud-apps met voorwaardelijke toegang voor configuratievoorbeelden.

Wachtwoordwijziging vereisen

Wanneer gebruikersrisico's worden gedetecteerd, kunnen beheerders de voorwaarden van het beleid voor gebruikersrisico's gebruiken om de gebruiker een wachtwoord veilig te laten wijzigen met behulp van De selfservice voor wachtwoordherstel van Microsoft Entra. Gebruikers kunnen een selfservice voor wachtwoordherstel uitvoeren om zelf te herstellen. Hiermee sluit u de gebeurtenis voor gebruikersrisico's om onnodige waarschuwingen voor beheerders te voorkomen.

Wanneer een gebruiker wordt gevraagd een wachtwoord te wijzigen, is het eerst vereist om meervoudige verificatie te voltooien. Zorg ervoor dat alle gebruikers zich registreren voor meervoudige verificatie, zodat ze worden voorbereid voor het geval er risico's voor hun account worden gedetecteerd.

Waarschuwing

Gebruikers moeten zich eerder hebben geregistreerd voor meervoudige verificatie voordat ze het beleid voor gebruikersrisico's activeren.

De volgende beperkingen gelden wanneer u een beleid configureert met behulp van het besturingselement voor wachtwoordwijziging:

  • Het beleid moet worden toegewezen aan 'alle cloud-apps'. Deze vereiste voorkomt dat een aanvaller een andere app gebruikt om het wachtwoord van de gebruiker te wijzigen en het accountrisico opnieuw in te stellen door zich aan te melden bij een andere app.
  • Wachtwoordwijziging vereisen kan niet worden gebruikt met andere besturingselementen, zoals het vereisen van een compatibel apparaat.
  • Het besturingselement voor wachtwoordwijziging kan alleen worden gebruikt met de voorwaarde voor gebruikers- en groepstoewijzing, voorwaarde voor cloud-app-toewijzing (die moet worden ingesteld op 'alle') en voorwaarden voor gebruikersrisico's.

Gebruiksvoorwaarden

Als uw organisatie gebruiksvoorwaarden heeft gemaakt, zijn andere opties mogelijk zichtbaar onder besturingselementen voor toekenning. Met deze opties kunnen beheerders bevestiging van gebruiksvoorwaarden vereisen als voorwaarde voor toegang tot de resources die door het beleid worden beveiligd. Meer informatie over gebruiksvoorwaarden vindt u in de gebruiksvoorwaarden van Microsoft Entra.

Aangepaste besturingselementen (preview)

Aangepaste besturingselementen zijn een preview-functie van Microsoft Entra ID. Wanneer u aangepaste besturingselementen gebruikt, worden uw gebruikers omgeleid naar een compatibele service om te voldoen aan verificatievereisten die gescheiden zijn van Microsoft Entra-id. Raadpleeg het artikel Aangepaste besturingselementen voor meer informatie.

Volgende stappen