Voorwaardelijke toegang: toegang blokkeren

Voor organisaties met een conservatieve benadering op cloudmigratie is het blokkeren van alle beleidsregels een optie die kan worden gebruikt.

Waarschuwing

Onjuiste configuratie van een blokkeerbeleid kan ertoe leiden dat organisaties worden geblokkeerd voor de Azure Portal.

Beleidsregels zoals deze kunnen onbedoelde bijwerkingen hebben. De juiste tests en validatie zijn essentieel voordat u dit inschakelt. Beheerders moeten hulpprogramma's gebruiken zoals de modus Alleen rapporteren voor voorwaardelijke toegang en het hulpprogramma What If in voorwaardelijke toegang bij het aanbrengen van wijzigingen.

Uitsluitingen van gebruikers

Beleidsregels voor voorwaardelijke toegang zijn krachtige hulpprogramma's. We raden u aan de volgende accounts van uw beleid uit te sluiten:

  • noodtoegangaccounts of break glass-accounts om tenantbrede accountvergrendeling te voorkomen. In het onwaarschijnlijke scenario zijn alle beheerders uitgesloten van uw tenant. Uw beheerdersaccount voor noodtoegang kan worden gebruikt om u aan te melden bij de tenant om stappen te ondernemen om de toegang te herstellen.
  • Serviceaccounts en service-principals, zoals het Azure AD Connect-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een bepaalde gebruiker. Ze worden normaal gesproken gebruikt door back-endservices die programmatische toegang tot toepassingen toestaan, maar worden ook gebruikt om u voor administratieve doeleinden aan te melden bij systemen. Serviceaccounts zoals deze moeten worden uitgesloten omdat MFA niet programmatisch kan worden voltooid. Aanroepen van service-principals worden niet geblokkeerd door voorwaardelijke toegang.
    • Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten. Als tijdelijke oplossing kunt u deze specifieke accounts uitsluiten van het basislijnbeleid.

Beleid voor voorwaardelijke toegang maken

De volgende stappen helpen bij het maken van beleid voor voorwaardelijke toegang om de toegang tot alle apps te blokkeren, met uitzondering van Office 365 als gebruikers zich niet in een vertrouwd netwerk bevinden. Deze beleidsregels worden in de modus Alleen rapporteren geplaatst om te starten, zodat beheerders kunnen bepalen welke impact ze hebben op bestaande gebruikers. Wanneer beheerders tevreden zijn met het beleid, kunnen ze dit op Aan zetten.

Het eerste beleid blokkeert de toegang tot alle apps, met uitzondering van Microsoft 365-toepassingen als deze zich niet op een vertrouwde locatie bevinden.

  1. Meld u als Beheerder voor voorwaardelijke toegang, Beveiligingsbeheerder of Globale beheerder aan bij de Azure-portal.
  2. Blader naar Azure Active Directory>Beveiliging>Voorwaardelijke toegang.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer onder Uitsluiten de optie Gebruikers en groepen, en selecteer de accounts voor toegang bij noodgevallen van uw organisatie.
  6. Selecteer bij Cloud-apps of -acties de volgende opties:
    1. Selecteer bij OpnemenAlle cloud-apps.
    2. Selecteer onder Uitsluitende optie Office 365 en selecteer Selecteren.
  7. Bij Voorwaarden:
    1. Bij Voorwaarden>Locatie.
      1. Stel Configureren in op Ja.
      2. Selecteer bij Opnemen de optie Elke locatie.
      3. Selecteer bij Uitsluiten de optie Alle vertrouwde locaties.
    2. Stel onder Client-appsconfigureren in op Ja en selecteer Gereed.
  8. Selecteer bij Toegangsbeheer>Verlenende optie Toegang blokkeren en selecteer vervolgens Selecteren.
  9. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  10. Selecteer Maken om het beleid te kunnen inschakelen.

Nadat de instellingen zijn bevestigd met de modus Alleen rapporteren, kan een beheerder de wisselknop Beleid inschakelen van Alleen rapporteren wijzigen in Aan.

Hieronder wordt een tweede beleid gemaakt om meervoudige verificatie of een compatibel apparaat te vereisen voor gebruikers van Microsoft 365.

  1. Selecteer Nieuw beleid.
  2. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.
  3. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer onder Uitsluiten de optie Gebruikers en groepen, en selecteer de accounts voor toegang bij noodgevallen van uw organisatie.
  4. Selecteer onder Cloud-apps of acties>Opnemen de optie Apps selecteren, kies Office 365 en selecteer Selecteren.
  5. Selecteer bijToegangsbeheer>Verlenen de optie Toegang verlenen.
    1. Selecteer Meervoudige verificatie vereisen en Vereisen dat apparaat moet worden gemarkeerd als compatibel selecteer Selecteren.
    2. Zorg ervoor dat Een van de geselecteerde besturingselementen vereisen is geselecteerd.
    3. Kies Selecteren.
  6. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  7. Selecteer Maken om het beleid te kunnen inschakelen.

Nadat uw instellingen zijn bevestigd met de modus Alleen rapporteren, kan een beheerder de wisselknop Beleid inschakelen schakelen van Alleen rapporteren naar Aan.

Notitie

Beleid voor voorwaardelijke toegang wordt afgedwongen nadat verificatie van de eerste factor is voltooid. Voorwaardelijke toegang is niet zozeer bedoeld als de eerste verdedigingslinie van een organisatie tegen bijvoorbeeld DoS-aanvallen (Denial of Service), maar kan gebruikmaken van signalen van deze gebeurtenissen om wel of geen toegang te verlenen.

Volgende stappen

Algemeen beleid voor voorwaardelijke toegang

Impact bepalen met de modus Alleen rapporteren voor voorwaardelijke toegang

Gedrag van aanmelden simuleren met het hulpprogramma What If voor voorwaardelijke toegang