Wat is voorwaardelijke toegang?

  • Artikel

De moderne beveiligingsperimeter gaat verder dan de netwerkperimeter van een organisatie en omvat gebruikers- en apparaatidentiteiten. Organisaties gebruiken nu identiteitsgestuurde signalen als onderdeel van hun beslissingen over toegangsbeheer.

Microsoft Entra voorwaardelijke toegang brengt signalen samen om beslissingen te nemen en organisatiebeleid af te dwingen. Voorwaardelijke toegang is de Zero Trust beleidsengine van Microsoft die rekening houdt met signalen van verschillende bronnen bij het afdwingen van beleidsbeslissingen.

Diagram met het concept van signalen voor voorwaardelijke toegang plus de beslissing om organisatiebeleid af te dwingen.

Beleid voor voorwaardelijke toegang op de eenvoudigste is if-then-instructies; Als een gebruiker toegang wil tot een resource, moet deze een actie voltooien. Bijvoorbeeld: als een gebruiker toegang wil tot een toepassing of service zoals Microsoft 365, moet deze meervoudige verificatie uitvoeren om toegang te krijgen.

Beheerders hebben twee hoofddoelen:

  • Geef gebruikers de mogelijkheid overal en altijd productief te zijn
  • De bedrijfsactiva beschermen

Gebruik beleid voor voorwaardelijke toegang om de juiste toegangsbeheer toe te passen wanneer dat nodig is om uw organisatie veilig te houden.

Belangrijk

Beleid voor voorwaardelijke toegang wordt afgedwongen nadat verificatie van de eerste factor is voltooid. Voorwaardelijke toegang is niet zozeer bedoeld als de eerste verdedigingslinie van een organisatie tegen bijvoorbeeld DoS-aanvallen (Denial of Service), maar kan gebruikmaken van signalen van deze gebeurtenissen om wel of geen toegang te verlenen.

Algemene signalen

Voorwaardelijke toegang houdt rekening met signalen van verschillende bronnen bij het nemen van toegangsbeslissingen.

Diagram met voorwaardelijke toegang als de Zero Trust beleidsengine die signalen van verschillende bronnen aggregert.

Deze signalen zijn onder andere:

  • Gebruikers- of groepslidmaatschap
    • Beleid kan worden afgestemd op specifieke gebruikers en groepen, waardoor beheerders een nauwkeurige controle hebben over de toegang.
  • IP-locatie-informatie
    • Organisaties kunnen vertrouwde IP-adresbereiken maken die kunnen worden gebruikt bij het nemen van beleidsbeslissingen.
    • Beheerders kunnen IP-bereiken voor landen/regio's opgeven om verkeer te blokkeren of toe te staan.
  • Apparaat
    • Gebruikers met apparaten van specifieke platforms of die zijn gemarkeerd met een specifieke status, kunnen worden gebruikt bij het afdwingen van beleid voor voorwaardelijke toegang.
    • Gebruik filters voor apparaten om beleid te richten op specifieke apparaten, zoals werkstations met uitgebreide toegang.
  • Toepassing
    • Gebruikers die toegang proberen te krijgen tot specifieke toepassingen, kunnen verschillende beleidsregels voor voorwaardelijke toegang activeren.
  • Realtime en berekende risicodetectie
    • Signalenintegratie met Microsoft Entra ID Protection maakt beleid voor voorwaardelijke toegang mogelijk om riskante gebruikers en aanmeldingsgedrag te identificeren en te herstellen.
  • Microsoft Defender for Cloud Apps
    • Hiermee kunnen gebruikerstoepassingstoegang en -sessies in realtime worden bewaakt en beheerd. Deze integratie vergroot de zichtbaarheid en controle over de toegang tot en activiteiten die binnen uw cloudomgeving worden uitgevoerd.

Algemene beslissingen

  • Toegang blokkeren
    • Meest beperkende beslissing
  • Toegang verlenen
    • Een minder beperkend besluit kan een of meer van de volgende opties vereisen:
      • Meervoudige verificatie vereisen
      • Verificatiesterkte vereisen
      • Vereisen dat het apparaat moet worden gemarkeerd als compatibel
      • Vereisen Microsoft Entra hybride gekoppeld apparaat
      • Goedgekeurde client-apps vereisen
      • Beleid voor app-beveiliging vereisen
      • Wachtwoordwijziging vereisen
      • Gebruiksvoorwaarden vereisen

Algemeen toegepast beleid

Veel organisaties hebben algemene toegangsproblemen waarbij het beleid voor voorwaardelijke toegang kan helpen zoals:

  • Meervoudige verificatie vereisen voor gebruikers met beheerdersrollen
  • Meervoudige verificatie vereisen voor Azure-beheertaken
  • Aanmeldingen blokkeren voor gebruikers die verouderde verificatieprotocollen gebruiken
  • Vertrouwde locaties vereisen voor registratie van beveiligingsgegevens
  • Toegang vanaf specifieke locaties blokkeren of verlenen
  • Riskant aanmeldingsgedrag blokkeren
  • Door de organisatie beheerde apparaten vereisen voor specifieke toepassingen

Beheerders kunnen een volledig nieuw beleid maken of beginnen met een sjabloonbeleid in de portal of met behulp van de Microsoft Graph API.

Beheerderservaring

Beheerders met de rol Beheerder voor voorwaardelijke toegang kunnen beleidsregels beheren.

Voorwaardelijke toegang vindt u in het Microsoft Entra-beheercentrum onder Beveiliging>Voorwaardelijke toegang.

Schermopname van de overzichtspagina voor voorwaardelijke toegang.

  • De pagina Overzicht biedt een overzicht van de beleidsstatus, gebruikers, apparaten en toepassingen, evenals algemene en beveiligingswaarschuwingen met suggesties.
  • De pagina Dekking biedt een overzicht van toepassingen met en zonder beleidsdekking voor voorwaardelijke toegang gedurende de afgelopen zeven dagen.
  • Op de pagina Bewaking kunnen beheerders een grafiek met aanmeldingen zien die kunnen worden gefilterd om potentiĆ«le hiaten in de beleidsdekking te zien.

Licentievereisten

Voor het gebruik van deze functie zijn Azure AD Premium P1 licenties vereist. Zie Algemeen beschikbare functies van Azure AD vergelijken als u een licentie zoekt die bij uw vereisten past.

Klanten met een Microsoft 365 Business Premium-licentie hebben ook toegang tot de functies voor voorwaardelijke toegang.

Beleid op basis van risico's vereist toegang tot Identity Protection, waarvoor P2-licenties zijn vereist.

Voor andere producten en functies die kunnen communiceren met beleid voor voorwaardelijke toegang, is de juiste licentie vereist voor deze producten en functies.

Wanneer licenties die zijn vereist voor voorwaardelijke toegang verlopen, worden beleidsregels niet automatisch uitgeschakeld of verwijderd. Dit biedt klanten de mogelijkheid om te migreren van het beleid voor voorwaardelijke toegang zonder een plotselinge wijziging in hun beveiligingspostuur. Resterende beleidsregels kunnen worden weergegeven en verwijderd, maar niet meer worden bijgewerkt.

Standaardinstellingen voor beveiliging beschermen tegen identiteitsgerelateerde aanvallen en zijn beschikbaar voor alle klanten.

Zero Trust

Met deze functie kunnen organisaties hun identiteit afstemmen op de drie basisprincipes van een Zero Trust-architectuur:

  • Expliciet controleren
  • Minimale bevoegdheden gebruiken
  • Ga ervan uit dat inbreuk is

Zie het Zero Trust Guidance Center voor meer informatie over Zero Trust en andere manieren om uw organisatie af te stemmen op de richtlijnen.

Volgende stappen