Voorwaardelijke toegang voor workload-identiteiten

Het beleid voor voorwaardelijke toegang was in het verleden alleen van toepassing op gebruikers wanneer zij toegang kregen tot apps en services zoals SharePoint Online. Wij breiden ondersteuning nu uit voor beleid voor voorwaardelijke toegang dat wordt toegepast op service-principals die eigendom zijn van de organisatie. We noemen deze mogelijkheid voorwaardelijke toegang voor workload-identiteiten.

Een workload-identiteit is een identiteit waarmee een toepassing of service-principal toegang heeft tot resources, soms in de context van een gebruiker. Deze workload-identiteiten verschillen van traditionele gebruikersaccounts omdat ze:

• Geen meervoudige verificatie kunnen uitvoeren.
• Vaak geen formeel levenscyclusproces hebben.
• Hun referenties of geheimen ergens moeten opslaan.

Deze verschillen zorgen ervoor dat workload-identiteiten moeilijker te beheren zijn en ze een groter risico lopen op inbreuk.

Belangrijk

Premium-licenties voor workload-identiteiten zijn vereist voor het maken of wijzigen van beleid voor voorwaardelijke toegang dat is gericht op service-principals. In mappen zonder de juiste licenties blijft bestaand beleid voor voorwaardelijke toegang voor workloadidentiteiten functioneren, maar kan niet worden gewijzigd. Zie Microsoft Entra Workload-ID voor meer informatie.  

Notitie

Beleid kan worden toegepast op service-principals van één tenant die zijn geregistreerd in uw tenant. SaaS van derden en apps met meerdere tenants vallen buiten het bereik. Beheerde identiteiten vallen niet onder beleid.

Voorwaardelijke toegang voor workload-identiteiten maakt het mogelijk om service-principals van buiten vertrouwde openbare IP-bereiken te blokkeren, op basis van het risico dat is gedetecteerd door Microsoft Entra ID Protection of in combinatie met verificatiecontexten.

Implementatie

Op locatie gebaseerd beleid voor voorwaardelijke toegang maken

Maak een op locatie gebaseerd beleid voor voorwaardelijke toegang dat van toepassing is op service-principals.

1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
2. Blader naar voorwaardelijke toegang voor beveiliging>.
3. Selecteer Nieuw beleid maken.
4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
   1. Selecteer onder Waarop dit beleid van toepassing is? de workloadidentiteiten.
   2. Onder Opnemen kiest u de optie Service-principals en selecteert u de juiste service-principals in de lijst.
6. Selecteer onder Doelresources>Cloud-apps>Opnemen alle cloud-apps. Het beleid is alleen van toepassing wanneer een service-principal een token aanvraagt.
7. Onder Voorwaarden>Locaties neemt u Alle locaties op en sluit Geselecteerde locaties uit waar u toegang wilt toestaan.
8. Onder Verlenen is Toegang blokkeren de enige beschikbare optie. Toegang wordt geblokkeerd wanneer een tokenaanvraag wordt gedaan van buiten het toegestane bereik.
9. Uw beleid kan worden opgeslagen in de modus Alleen rapporteren, zodat beheerders de effecten kunnen inschatten of beleid wordt afgedwongen door beleid In te schakelen.
10. Selecteer Maken om uw beleid te voltooien.

Op risico gebaseerd beleid voor voorwaardelijke toegang maken

Maak een beleid voor voorwaardelijke toegang op basis van risico's dat van toepassing is op service-principals.

1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
2. Blader naar voorwaardelijke toegang voor beveiliging>.
3. Selecteer Nieuw beleid maken.
4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
   1. Selecteer onder Waarop dit beleid van toepassing is? de workloadidentiteiten.
   2. Onder Opnemen kiest u de optie Service-principals en selecteert u de juiste service-principals in de lijst.
6. Selecteer onder Doelresources>Cloud-apps>Opnemen alle cloud-apps. Het beleid is alleen van toepassing wanneer een service-principal een token aanvraagt.
7. Risico van service-principal onder voorwaarden>
   1. Stel de schakelaar Configureren in op Ja.
   2. Selecteer de risiconiveaus waarvoor u dit beleid wilt activeren.
   3. Selecteer Gereed.
8. Onder Verlenen is Toegang blokkeren de enige beschikbare optie. De toegang wordt geblokkeerd wanneer de opgegeven risiconiveaus worden gezien.
9. Uw beleid kan worden opgeslagen in de modus Alleen rapporteren, zodat beheerders de effecten kunnen inschatten of beleid wordt afgedwongen door beleid In te schakelen.
10. Selecteer Maken om uw beleid te voltooien.

Terugdraaien

Als u deze functie wilt terugdraaien, kunt u gemaakt beleid verwijderen of uitschakelen.

Aanmeldingslogboeken

De aanmeldingslogboeken worden gebruikt om te beoordelen hoe beleid wordt afgedwongen voor service-principals of de verwachte gevolgen van beleid wanneer u de modus Alleen rapporteren gebruikt.

1. Blader naar aanmeldingslogboeken voor identiteitsbewaking>en>status van>service-principal-aanmeldingen.
2. Selecteer een logboekvermelding en kies het tabblad Voorwaardelijke toegang om evaluatiegegevens weer te geven.

Foutreden wanneer voorwaardelijke toegang een service-principal blokkeert: 'Toegang is geblokkeerd vanwege beleid voor voorwaardelijke toegang'.

Modus Alleen rapporteren

Als u de resultaten van een op locatie gebaseerd beleid wilt weergeven, raadpleegt u het tabblad Alleen rapporteren van gebeurtenissen in het Aanmeldingsrapport of gebruikt u de werkmap Inzichten en rapportage voor voorwaardelijke toegang.

Als u de resultaten van een beleid gebaseerd op risico wilt bekijken, raadpleegt u het tabblad Alleen rapporteren van gebeurtenissen in het Aanmeldingsrapport.

Verwijzing

De object-id zoeken

U kunt de object-id van de service-principal ophalen uit Microsoft Entra Enterprise Applications. De object-id in Microsoft Entra App-registraties kan niet worden gebruikt. Deze id is de object-id van de app-registratie, niet van de service-principal.

1. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>> en zoek de toepassing die u hebt geregistreerd.
2. Op het tabblad Overzicht kopieert u de object-id van de toepassing. Deze id is de unieke service-principal die wordt gebruikt door beleid voor voorwaardelijke toegang om de aanroepende app te vinden.

Microsoft Graph

Voorbeeld van JSON voor configuratie gebaseerd op locatie met behulp van het bèta-eindpunt van Microsoft Graph.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Volgende stappen

• De locatievoorwaarde gebruiken in beleid voor voorwaardelijke toegang
• Wat is de alleen-melden-modus bij voorwaardelijke toegang?