Een implementatie van voorwaardelijke toegang plannen

Uw implementatie van voorwaardelijke toegang plannen is essentieel om de toegangsstrategie van uw organisatie voor apps en resources te bereiken.

Voorwaardelijke toegang van Azure Active Directory (Azure AD) analyseert signalen zoals gebruiker, apparaat en locatie om beslissingen te automatiseren en organisatietoegangsbeleid voor resources af te dwingen. Met beleidsregels voor voorwaardelijke toegang kunt u voorwaarden ontwerpen voor het beheren van beveiligingscontroles die de toegang kunnen blokkeren, meervoudige verificatie kunnen vereisen, of de sessie van de gebruiker al dan niet kunnen beperken wanneer dat wel of niet nodig is.

Met deze evaluatie en afdwinging definieert voorwaardelijke toegang de basis van het Zero Trust-beveiligingspostuurbeheer van Microsoft.

Overzicht van voorwaardelijke toegang

Microsoft biedt standaardinstellingen voor beveiliging die verzekeren dat er een basisniveau van beveiliging is ingeschakeld in tenants die geen Azure AD Premium hebben. Met voorwaardelijke toegang kunt u beleidsregels maken die dezelfde beveiliging bieden als de standaardinstellingen voor beveiliging, maar dan met granulariteit. Voorwaardelijke toegang en standaardinstellingen voor beveiliging zijn niet bedoeld om te worden gecombineerd, want als u beleidsregels voor voorwaardelijke toegang maakt, kunt u standaardinstellingen voor beveiliging niet inschakelen.

Vereisten

Onderdelen van beleid voor voorwaardelijke toegang begrijpen

Beleidsregels beantwoorden vragen over wie toegang moet hebben tot uw resources, tot welke resources ze toegang moeten hebben en onder welke voorwaarden. Beleidsregels kunnen worden ontworpen om toegang te verlenen, toegang te beperken met sessiebeheer of toegang te blokkeren. U ontwerpt een beleid voor voorwaardelijke toegang door de als/dan-instructies te definiëren: Als aan een toewijzing wordt voldaan, dan toegangsbeheer toepassen.

De juiste vragen stellen

Hier volgen enkele veelgestelde vragen over toewijzingen en toegangsbeheer. Documenteer de antwoorden op vragen voor elk beleid voordat u het uitbouwt.

Gebruikers of workload-identiteiten

  • Welke gebruikers, groepen, directory-rollen en workload-identiteiten worden opgenomen in of uitgesloten van het beleid?
  • Welke accounts of groepen voor noodtoegang moeten worden uitgesloten van het beleid?

Cloud-apps of acties

Zal dit beleid gelden voor elke toepassing, gebruikersactie of verificatiecontext? Zo ja:

  • Voor welke toepassing(en) zal het beleid gelden?
  • Welke gebruikersacties worden onderworpen aan dit beleid?
  • Op welke verificatiecontexten zal dit beleid worden toegepast?

Voorwaarden

  • Welke apparaatplatforms worden opgenomen in of uitgesloten van het beleid?
  • Wat zijn de vertrouwde locaties van de organisatie?
  • Welke locaties worden opgenomen in of uitgesloten van het beleid?
  • Welke typen client-apps worden opgenomen in of uitgesloten van het beleid?
  • Hebt u beleidsregels die het uitsluiten van Azure AD-gekoppelde apparaten of hybride Azure AD-gekoppelde apparaten van het beleid zouden stimuleren?
  • Als u Identiteitsbescherming gebruikt, wilt u dan beveiliging tegen aanmeldingsrisico's opnemen?

Verlenen of blokkeren

Wilt u toegang tot resources verlenen door een of meer van het volgende te vereisen?

  • MFA vereisen
  • Vereisen dat het apparaat moet worden gemarkeerd als compatibel
  • Hybride Azure AD-gekoppeld apparaat vereisen
  • Goedgekeurde client-apps vereisen
  • Beleid voor app-beveiliging vereisen
  • Wachtwoordwijziging vereisen
  • Gebruiksvoorwaarden gebruiken

Sessiebeheer

Wilt u een van de volgende toegangsbeheeropties voor cloud-apps afdwingen?

  • Door app afgedwongen beperkingen gebruiken
  • App-beheer voor voorwaardelijke toegang gebruiken
  • Aanmeldingsfrequentie afdwingen
  • Permanente browsersessies gebruiken
  • Continue toegangsevaluatie aanpassen

Uitgifte van toegangstokens

Toegangstokens verlenen of weigeren toegang op basis van of de gebruiker die een aanvraag indient, is geautoriseerd en geverifieerd. Als de aanvrager kan bewijzen dat hij/zij is wie hij/zij beweert te zijn, heeft hij/zij toegang tot de beveiligde resources of functionaliteit.

Diagram van uitgifte van toegangstokens

Toegangstokens worden standaard uitgegeven als een voorwaarde van beleid voor voorwaardelijke toegang geen toegangsbeheer activeert.

Dit voorkomt niet dat de app afzonderlijke autorisatie heeft om de toegang te blokkeren. Denk bijvoorbeeld aan een beleid waarbij:

  • ALS een gebruiker in het financiële team zit, DAN meervoudige verificatie afdwingen om toegang tot zijn/haar salaris-app te krijgen.
  • Als een gebruiker die niet in het financiële team zit toegang tot de salaris-app probeert te krijgen, wordt er een toegangstoken uitgegeven voor de gebruiker.
  • Om te verzekeren dat gebruikers buiten de financiële groep geen toegang tot de salaris-app hebben, moet er een afzonderlijk beleid worden gemaakt om alle andere gebruikers te blokkeren. Als alle gebruikers behalve het financiële team en de accounts of groepen voor noodtoegang toegang tot de salaris-app hebben, dan de toegang blokkeren.

Best practices volgen

Voorwaardelijke toegang biedt u geweldige configuratieflexibiliteit. Geweldige flexibiliteit betekent echter ook dat u elk configuratiebeleid zorgvuldig moet controleren voordat u het vrijgeeft, om ongewenste resultaten te voorkomen.

Accounts voor noodtoegang instellen

Als u een beleid verkeerd configureert, kan de organisatie worden uitgesloten van de Azure-portal.

Beperk de impact van onbedoelde beheerdersuitsluiting door twee of meer accounts voor noodtoegang in uw organisatie te maken. Maak een gebruikersaccount dat is toegewezen aan beleidsbeheer en is uitgesloten van al uw beleidsregels.

Beleidsregels voor voorwaardelijke toegang toepassen op elke app

Verzeker dat op elke app ten minste één beleid voor voorwaardelijke toegang wordt toegepast. Vanuit beveiligingsperspectief is het beter om een beleid te maken dat Alle cloud-apps omvat en vervolgens toepassingen uit te sluiten waarop u het beleid niet wilt toepassen. Dit verzekert dat u beleidsregels voor voorwaardelijke toegang niet hoeft bij te werken telkens wanneer u een nieuwe toepassing onboardt.

Belangrijk

Wees zeer voorzichtig met het gebruik van 'Blokkeren' en 'Alle apps' in één beleid. Dit zou beheerders kunnen uitsluiten van de Azure-portal, en uitsluitingen kunnen niet worden geconfigureerd voor belangrijke eindpunten zoals Microsoft Graph.

Het aantal beleidsregels voor voorwaardelijke toegang minimaliseren

Een beleid voor elke app maken is niet efficiënt en leidt tot moeilijk beheer. Voorwaardelijke toegang heeft een limiet van 195 beleidsregels per tenant. We raden u aan uw apps te analyseren en deze te groeperen in toepassingen met dezelfde resourcevereisten voor dezelfde gebruikers. Als bijvoorbeeld alle Microsoft 365-apps of alle HR-apps dezelfde vereisten hebben voor dezelfde gebruikers, maakt u één beleid en neemt u alle apps op waarop het van toepassing is.

Modus Alleen rapporteren instellen

Het kan moeilijk zijn om het aantal en de namen van gebruikers te voorspellen die worden beïnvloed door algemene implementatie-initiatieven zoals:

  • Verouderde verificatie blokkeren
  • MFA vereisen
  • Beleid voor aanmeldingsrisico's implementeren

Met de modus Alleen rapporteren kunnen beheerders de impact van beleidsregels voor voorwaardelijke toegang evalueren voordat ze die in hun omgeving inschakelen. Configureer uw beleidsregels eerst in de modus Alleen rapporteren en voer ze bepaalde tijd uit voordat u ze in uw omgeving afdwingt.

Plannen voor onderbreking

Als u afhankelijk bent van één soort toegangsbeheer (zoals MFA of een netwerklocatie) om uw IT-systemen te beveiligen, bent u vatbaar voor toegangsfouten als die ene soort toegangsbeheer niet beschikbaar of onjuist geconfigureerd is.

Plan strategieën voor uw organisatie om het risico van uitsluiting tijdens onvoorziene onderbrekingen te verkleinen.

Naamgevingsstandaarden instellen voor uw beleidsregels

Een naamgevingsstandaard helpt u beleidsregels te vinden en het doel ervan te begrijpen zonder ze te openen in de Azure-beheerportal. We raden u aan uw beleid een naam te geven die het volgende weergeeft:

  • Een volgnummer
  • De cloud-app(s) waarvoor het geldt
  • Het antwoord
  • Voor wie het geldt
  • Wanneer het geldt (indien van toepassing)

Schermopname die de naamgevingsstandaarden voor beleidsregels weergeeft.

Voorbeeld: Een beleid om MFA te vereisen voor marketinggebruikers die toegang tot de Dynamics CRP-app hebben vanuit externe netwerken, kan als volgt zijn:

Naamgevingsstandaard

Een beschrijvende naam helpt u een overzicht te houden van uw implementatie van voorwaardelijke toegang. Het volgnummer is handig als u tijdens een gesprek naar een beleid moet verwijzen. Wanneer u bijvoorbeeld aan de telefoon met een beheerder praat, kunt u hem/haar vragen beleid CA01 te openen om een probleem op te lossen.

Naamgevingsstandaarden voor noodtoegangsbeheer

Implementeer naast uw actieve beleidsregels ook uitgeschakelde beleidsregels die fungeren als secundair robuust toegangsbeheer in onderbrekingen of noodscenario's. Uw naamgevingsstandaard voor de beleidsregels voor onvoorziene gebeurtenissen moet het volgende omvatten:

  • IN NOODGEVALLEN INSCHAKELEN aan het begin om de naam te laten opvallen tussen de andere beleidsregels.
  • De naam van de onderbreking waarvoor het moet gelden.
  • Een volgnummer zodat de beheerder kan zien in welke volgorde beleidsregels moeten worden ingeschakeld.

Voorbeeld

De volgende naam geeft aan dat deze beleidsregel de eerste van vier beleidsregels is die moet worden ingeschakeld als er een MFA-onderbreking is:

  • EM01 - IN NOODGEVALLEN INSCHAKELEN: MFA-onderbreking [1/4] - Exchange SharePoint: Hybride Azure AD-koppeling vereisen voor VIP-gebruikers.

Blokkeer landen waarvan u nooit een aanmelding verwacht.

Met Azure Active Directory kunt u benoemde locaties maken. Maak de lijst met landen die zijn toegestaan, en maak vervolgens een netwerkblokkeringsbeleid met deze 'toegestane landen' als uitsluiting. Dit kost minder overhead voor klanten op kleinere geografische locaties.Zorg ervoor dat u uw accounts voor noodtoegang uitsluit van dit beleid.

Beleid voor voorwaardelijke toegang instellen

Wanneer er nieuwe beleidsregels klaar zijn, implementeert u uw beleidsregels voor voorwaardelijke toegang in fasen.

Uw beleid voor voorwaardelijke toegang ontwerpen

Raadpleeg algemene beleidsregels voor voorwaardelijke toegang om aan de slag te gaan. Een handige manier is om de sjabloon voor voorwaardelijke toegang te gebruiken die bij Microsoft-aanbevelingen wordt geleverd. Zorg ervoor dat u uw accounts voor noodtoegang uitsluit.

De impact van het beleid evalueren

Voordat u de impact van uw beleid voor voorwaardelijke toegang in uw productieomgeving ziet, raden we u aan de volgende twee hulpprogramma's te gebruiken om de simulatie uit te voeren.

Modus Alleen rapporteren instellen

Standaard wordt elk beleid gemaakt in de modus Alleen rapporteren. We raden organisaties aan het gebruik te testen en controleren om het beoogde resultaat te verzekeren voordat elk beleid wordt ingeschakeld.

Schakel het beleid in de modus Alleen rapporteren in. Zodra u het beleid hebt opgeslagen in de modus Alleen rapporteren, ziet u de impact op realtime aanmeldingen in de aanmeldingslogboeken. Selecteer in de aanmeldingslogboeken een gebeurtenis en navigeer naar het tabblad Alleen rapporteren om het resultaat van elk 'Alleen rapporteren'-beleid weer te geven.

U kunt de cumulatieve impact van uw beleidsregels voor voorwaardelijke toegang bekijken in de werkmap Inzichten en rapportage. Voor toegang tot de werkmap hebt u een Azure Monitor-abonnement nodig en moet u uw aanmeldingslogboeken streamen naar een Log Analytics-werkruimte.

Aanmeldingen simuleren met het hulpprogramma What If

Een andere manier om uw beleid voor voorwaardelijke toegang te valideren, is met behulp van het hulpprogramma What If, waarmee wordt gesimuleerd welke beleidsregels er zouden gelden voor een gebruiker die zich onder hypothetische omstandigheden aanmeldt. Selecteer de aanmeldingskenmerken die u wilt testen (zoals gebruiker, toepassing, apparaatplatform en locatie) en kijk welke beleidsregels er zouden gelden.

Notitie

Hoewel een gesimuleerde uitvoering u een goed idee geeft van de impact die een beleid voor voorwaardelijke toegang heeft, is het geen vervanging voor een daadwerkelijke testuitvoering.

Uw beleid testen

Zorg ervoor dat u de uitsluitingscriteria van een beleid test. U kunt bijvoorbeeld een gebruiker of groep uitsluiten van een beleid dat MFA vereist. Test of de uitgesloten gebruikers om MFA worden gevraagd, want de combinatie van andere beleidsregels vereist mogelijk MFA voor deze gebruikers.

Voer elke test in uw testplan uit met testgebruikers. Het testplan is belangrijk om een vergelijking te hebben tussen de verwachte resultaten en de werkelijke resultaten. De volgende tabel bevat voorbeelden van testcases. Pas de scenario's en verwachte resultaten aan op basis van hoe uw beleidsregels voor voorwaardelijke toegang zijn geconfigureerd.

Beleid Scenario Verwacht resultaat
Riskante aanmeldingen Gebruiker meldt zich aan bij app via een niet-goedgekeurde browser Berekent een risicoscore op basis van de waarschijnlijkheid dat de aanmelding niet door de gebruiker is uitgevoerd. Vereist dat de gebruiker zelf herstelt met behulp van MFA
Apparaatbeheer Geautoriseerde gebruiker probeert zich aan te melden vanaf een geautoriseerd apparaat Toegang verleend
Apparaatbeheer Geautoriseerde gebruiker probeert zich aan te melden vanaf een niet-geautoriseerd apparaat Toegang geblokkeerd
Wachtwoordwijziging voor riskante gebruikers Geautoriseerde gebruiker probeert zich aan te melden met gecompromitteerde referenties (aanmelden met een hoog risico) Gebruiker wordt gevraagd het wachtwoord te wijzigen of toegang wordt geblokkeerd op basis van uw beleid

Implementeren in productie

Nadat de impact is bevestigd met de modus Alleen rapporteren, kan een beheerder de wisselknop Beleid inschakelen schakelen van Alleen rapporteren naar Aan.

Beleidsregels terugdraaien

Als u uw nieuw geïmplementeerde beleidsregels wilt terugdraaien, gebruikt u een of meer van de volgende opties:

  • Schakel het beleid uit. Als u een beleid uitschakelt, zorg er dan voor dat het niet geldt wanneer een gebruiker zich probeert aan te melden. U kunt altijd terugkomen en het beleid weer inschakelen wanneer u het wilt gebruiken.

afbeelding van Beleid inschakelen

  • Sluit een gebruiker of groep uit van een beleid. Als een gebruiker geen toegang tot de app kan krijgen, kunt u ervoor kiezen om de gebruiker uit te sluiten van het beleid.

gebruikers en groepen uitsluiten

Notitie

Deze optie moet spaarzaam worden gebruikt, alleen in situaties waarin de gebruiker wordt vertrouwd. De gebruiker moet zo snel mogelijk weer worden toegevoegd aan het beleid of de groep.

  • Verwijder het beleid. Als het beleid niet meer nodig is, verwijdert u het.

Problemen met beleid voor voorwaardelijke toegang oplossen

Wanneer een gebruiker een probleem ondervindt met een beleid voor voorwaardelijke toegang, verzamelt u de volgende informatie om de probleemoplossing te vergemakkelijken.

  • User Principal Name
  • Weergavenaam van de gebruiker
  • Naam van het besturingssysteem
  • Tijdstempel (ongeveer is prima)
  • Doeltoepassing
  • Type clienttoepassing (browser versus client)
  • Correlatie-id (dit is uniek voor de aanmelding)

Als de gebruiker een bericht heeft ontvangen met een koppeling Meer details, kunnen ze de meeste van deze informatie voor u verzamelen.

Foutbericht Geen toegang tot app

Zodra u de informatie hebt verzameld, raadpleegt u de volgende bronnen:

Volgende stappen

Meer informatie over meervoudige verificatie

Meer informatie over Identiteitsbescherming

Beleid voor voorwaardelijke toegang beheren met Microsoft Graph API