Beleid voor voorwaardelijke toegang maken

Zoals uitgelegd in het artikel Wat is voorwaardelijke toegang?, is een beleid voor voorwaardelijke toegang een if-then-constructie van toewijzingen en toegangsbeheer. Met een beleid voor voorwaardelijke toegang worden signalen bijeengebracht, worden beslissingen genomen en wordt organisatiebeleid afgedwongen.

Hoe maakt een organisatie dit beleid? Wat is vereist? Hoe wordt het toegepast?

Meerdere beleidsregels voor voorwaardelijke toegang kunnen op elk moment op een afzonderlijke gebruiker van toepassing zijn. In dit geval moet worden voldaan aan alle beleidsregels die van toepassing zijn. Als één beleid bijvoorbeeld meervoudige verificatie vereist en een ander een compatibel apparaat vereist, moet u MFA voltooien en een compatibel apparaat gebruiken. Alle toewijzingen zijn logisch ANDed. Als u meer dan één toewijzing hebt geconfigureerd, moeten alle toewijzingen worden voldaan om een beleid te activeren.

Als een beleid is geselecteerd waarin 'Een van de geselecteerde besturingselementen vereisen', wordt de gedefinieerde volgorde gevraagd zodra aan de beleidsvereisten wordt voldaan. Vervolgens wordt toegang verleend.

Alle beleidsregels worden in twee fasen afgedwongen:

• Fase 1: Sessiedetails verzamelen
  • Verzamel sessiedetails, zoals netwerklocatie en apparaat-id, die nodig zijn voor beleidsevaluatie.
  • Fase 1 van beleidsevaluatie vindt plaats voor ingeschakeld beleid en ingeschakelde beleidsregels in de modus Alleen rapporteren.
• Fase 2: Afdwingen
  • Gebruik de sessiegegevens die in fase 1 zijn verzameld om te bepalen aan welke vereisten niet is voldaan.
  • Als er een beleid is geconfigureerd om toegang te blokkeren, wordt afdwingen hier stopgezet en wordt de gebruiker geblokkeerd.
  • De gebruiker wordt gevraagd om meer vereisten voor toekenningsbeheer te voltooien die niet in fase 1 in de volgende volgorde zijn voldaan, totdat aan het beleid is voldaan:
    1. Meervoudige verificatie
    2. Het als compatibel te markeren apparaat
    3. Hybride apparaat van Microsoft Entra
    4. Goedgekeurde client-app
    5. beleid voor App-beveiliging
    6. Wachtwoord wijzigen
    7. Gebruiksvoorwaarden
    8. Aangepaste besturingselementen
  • Zodra aan alle opties voor toekenning is voldaan, past u besturingselementen voor de sessie toe (door app afgedwongen, Microsoft Defender voor Cloud Apps en levensduur van tokens)
  • Fase 2 van beleidsevaluatie vindt plaats voor alle ingeschakelde beleidsregels.

Toewijzingen

Het deel toewijzing bepaalt het wie, wat en waar van het beleid voor voorwaardelijke toegang.

Gebruikers en groepen

Gebruikers en groepen wijzen toe wie door het beleid zal worden opgenomen of uitgesloten. Deze toewijzing kan alle gebruikers, specifieke groepen gebruikers, adreslijstrollen of externe gastgebruikers bevatten.

Cloud-apps of acties

Cloud-apps of -acties kunnen cloud-toepassingen, gebruikersacties of verificatiecontexten bevatten of uitsluiten die worden onderworpen aan het beleid.

Voorwaarden

Een beleid kan meerdere voorwaarden bevatten.

Aanmeldingsrisico

Voor organisaties met Microsoft Entra ID Protection kunnen de risicodetecties die worden gegenereerd uw beleid voor voorwaardelijke toegang beïnvloeden.

Apparaatplatformen

Organisaties met meerdere platformen voor het besturingssysteem van apparaten willen mogelijk specifieke beleidsregels afdwingen op verschillende platforms.

De informatie die wordt gebruikt om het apparaatplatform te berekenen, is afkomstig van niet-geverifieerde bronnen, zoals tekenreeksen voor gebruikersagenten die kunnen worden gewijzigd.

Locaties

Locaties verbinden IP-adressen, geografische gebieden en het conforme netwerk van globale beveiligde toegang met beleidsbeslissingen voor voorwaardelijke toegang. Beheer istrators kunnen ervoor kiezen om locaties te definiëren en sommige als vertrouwd te markeren, zoals die voor de primaire netwerklocaties van hun organisatie.

Client-apps

De software die de gebruiker gebruikt voor toegang tot de cloud-app. Bijvoorbeeld 'Browser' en 'Mobiele apps en desktopclients'. Standaard zijn alle nieuw gemaakte beleidsregels voor voorwaardelijke toegang van toepassing op alle typen client-apps. Zelfs als de voorwaarde voor client-apps niet is geconfigureerd.

Het gedrag van de voorwaarde voor client-apps is bijgewerkt in augustus 2020. Als u bestaand beleid voor voorwaardelijke toegang hebt, blijven deze ongewijzigd. Als u een bestaande beleidsregel selecteert, is de wisselknop configureren echter verwijderd en zijn de client-apps geselecteerd waarop het beleid van toepassing is.

Filteren op apparaten

Met dit besturingselement kunt u specifieke apparaten richten op basis van hun kenmerken in een beleid.

Besturingselementen voor toegang

Het gedeelte met toegangsbeheer van het beleid voor voorwaardelijke toegang bepaalt hoe een beleid wordt afgedwongen.

Toekennen

Verlenen biedt beheerders een middel voor het afdwingen van beleid, waar ze toegang kunnen blokkeren of verlenen.

Toegang blokkeren

Hiermee blokkeert u alleen de toegang onder de opgegeven toewijzingen. De besturing van het element op blokniveau is krachtig en moet met de juiste kennis worden gebruikt.

Toegang verlenen

Het toekenningsbeheer kan het afdwingen van een of meer besturingselementen activeren.

• Meervoudige verificatie vereisen
• Vereisen dat het apparaat moet worden gemarkeerd als compatibel (Intune)
• Een hybride apparaat van Microsoft Entra vereisen
• Goedgekeurde client-apps vereisen
• Beleid voor app-beveiliging vereisen
• Wachtwoordwijziging vereisen
• Gebruiksvoorwaarden vereisen

Beheerders kunnen ervoor kiezen om een van de vorige besturingselementen of alle geselecteerde besturingselementen te vereisen met behulp van de volgende opties. De standaardinstelling voor meerdere besturingselementen is om alles te vereisen.

• Alle geselecteerde besturingselementen vereisen (besturingselement en besturingselement)
• Een van de geselecteerde besturingselementen vereisen (besturingselement of besturingselement)

Sessie

Besturingselementen voor sessies kunnen de ervaring beperken

• Afgedwongen beperkingen voor apps gebruiken
  • Momenteel werkt alleen met Exchange Online en SharePoint Online.
  • Geeft apparaatgegevens door om toe te staan over de ervaring die volledige of beperkte toegang verleent.
• App-beheer voor voorwaardelijke toegang gebruiken
  • Gebruikt signalen van Microsoft Defender voor Cloud Apps om dingen te doen, zoals:
    • Download, knippen, kopiëren en afdrukken van gevoelige documenten blokkeren.
    • Riskant sessiegedrag bewaken.
    • Labelen van gevoelige bestanden vereisen.
• Aanmeldingsfrequentie
  • De mogelijkheid om de standaardfrequentie voor aanmelding voor moderne verificatie te wijzigen.
• Permanente browsersessie
  • Hiermee kunnen gebruikers aangemeld blijven na het sluiten en opnieuw openen van hun browservenster.
• Continue toegangsevaluatie aanpassen
• Standaardwaarden voor tolerantie uitschakelen

Eenvoudig beleid

Een beleid voor voorwaardelijke toegang moet minimaal het volgende bevatten om af te kunnen dwingen:

• Naam van het beleid.
• Toewijzingen
  • Gebruikers en/of groepen waarop het beleid moet worden toegepast.
  • Cloud-apps of acties waarop het beleid moet worden toegepast.
• Besturingselementen voor toegang
  • Besturingselementen verlenen of blokkeren

Het artikel Algemene beleidsregels voor voorwaardelijke toegang bevat enkele beleidsregels die we voor de meeste organisaties nuttig vinden.

Volgende stappen

Beleid voor voorwaardelijke toegang maken

Gebruik de modus alleen rapporteren voor voorwaardelijke toegang om de resultaten van nieuwe beleidsbeslissingen te bepalen.

Een cloudgebaseerde Implementatie van Microsoft Entra multifactor-verificatie plannen

Conformiteit van apparaat beheren met Intune

Microsoft Defender voor Cloud Apps en voorwaardelijke toegang