Compatibele netwerkcontrole met voorwaardelijke toegang inschakelen

Organisaties die gebruikmaken van voorwaardelijke toegang, samen met global Secure Access, kunnen schadelijke toegang tot Microsoft-apps, SaaS-apps van derden en privé Line-Of-Business-apps (LoB) voorkomen met behulp van meerdere voorwaarden om diepgaande verdediging te bieden. Deze voorwaarden omvatten mogelijk sterke factorverificatie, apparaatnaleving, locatie en andere. Als u deze voorwaarden inschakelt, wordt uw organisatie beschermd tegen inbreuk op gebruikersidentiteiten of diefstal van tokens. Global Secure Access introduceert het concept van een compatibel netwerk binnen voorwaardelijke toegang van Microsoft Entra ID. Deze compatibele netwerkcontrole zorgt ervoor dat gebruikers verbinding maken via de Global Secure Access-service voor hun specifieke tenant en voldoen aan het beveiligingsbeleid dat door beheerders wordt afgedwongen.

Met de Global Secure Access Client die op apparaten of netwerken achter geconfigureerde externe netwerken is geïnstalleerd, kunnen beheerders resources achter een compliant netwerk beveiligen met geavanceerde voorwaardelijke toegangscontroles. Deze compatibele netwerkfunctie maakt het eenvoudiger voor beheerders om toegangsbeleid te beheren, zonder een lijst met uitgaande IP-adressen te hoeven onderhouden en de vereiste voor het hairpinen van verkeer via vpn van de organisatie te verwijderen om bron-IP-ankers te behouden en beleid voor voorwaardelijke toegang op basis van IP toe te passen. Zie Wat is voorwaardelijke toegang?

Naleving van netwerkcontrole

Het afdwingen van compatibele netwerken vermindert het risico op diefstal van tokens/herhalingsaanvallen. Afdwinging van het authenticatievlak wordt uitgevoerd door Microsoft Entra ID op het moment van gebruikersverificatie. Als een kwaadwillende persoon een sessietoken heeft gestolen en probeert het opnieuw af te spelen vanaf een apparaat dat niet is verbonden met het compatibele netwerk van uw organisatie (bijvoorbeeld het aanvragen van een toegangstoken met een gestolen vernieuwingstoken), wordt de aanvraag onmiddellijk geweigerd en wordt verdere toegang geblokkeerd. Gegevensvliegtuigdiensten werken samen met services die zijn geïntegreerd met Global Secure Access en de ondersteuning bieden voor Continuous Access Evaluation (CAE) - momenteel Microsoft Graph. Met apps die CAE ondersteunen, worden gestolen toegangstokens die buiten het compatibele netwerk van uw tenant worden afgespeeld, in bijna realtime geweigerd door de toepassing. Zonder CAE duurt een gestolen toegangstoken tot de volledige levensduur (de standaardwaarde is tussen 60 en 90 minuten).

Deze compatibele netwerkcontrole is specifiek voor de tenant waarin deze is geconfigureerd. Als u bijvoorbeeld een beleid voor voorwaardelijke toegang definieert dat een compatibel netwerk vereist in contoso.com, kunnen alleen gebruikers met Global Secure Access of met de configuratie van het externe netwerk deze controle doorgeven. Een gebruiker van fabrikam.com kan niet voldoen aan contoso.com's nalevingsnetwerkbeleid.

Het compatibele netwerk verschilt van IPv4, IPv6 of geografische locaties die u in Microsoft Entra kunt configureren. Beheerders hoeven geen compatibele IP-adressen/bereiken van het netwerk te controleren en te onderhouden, waardoor de beveiligingspostuur wordt versterkt en de administratieve overhead wordt geminimaliseerd.

Vereisten

• Beheerders die werken met globale beveiligde toegangsfuncties , moeten een of meer van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren.
  • De rol van Globale Secure Access-beheerder om de functies van Globale Secure Access te beheren.
  • Beheerder voor voorwaardelijke toegang om globale secure access-signalering in te schakelen voor voorwaardelijke toegang, en om beleid voor voorwaardelijke toegang en benoemde locaties te maken en ermee te communiceren.
• Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.

Bekende beperkingen

Zie Bekende beperkingen voor globale beveiligde toegang voor gedetailleerde informatie over bekende problemen en beperkingen.

Global Secure Access signaling inschakelen voor voorwaardelijke toegang

Als u de vereiste instelling wilt inschakelen om de conforme netwerkcontrole toe te staan, moet een beheerder de volgende stappen uitvoeren.

1. Meld u aan bij het Microsoft Entra-beheercentrum met een account waarvoor de rol Globale beheerder voor beveiligde toegang en voorwaardelijke toegangsbeheerder is geactiveerd.
2. Blader naar Global Secure Access>Instellingen>Sessiebeheer>Adaptieve toegang.
3. Selecteer de wisselknop om CA-signalering in te schakelen voor Entra ID (met alle cloud-apps).
4. Blader naar Beveiliging>Voorwaardelijke Toegang>Benoemde locaties.
   1. Bevestig dat u een locatie hebt met de naam Alle compatibele netwerklocaties met locatietype Netwerktoegang. Organisaties kunnen deze locatie desgewenst markeren als vertrouwd.

Let op

Als uw organisatie actieve beleidsregels voor voorwaardelijke toegang heeft op basis van compatibele netwerkcontrole en u later global Secure Access-signalering uitschakelt in voorwaardelijke toegang, kunt u onbedoeld voorkomen dat de beoogde eindgebruikers toegang hebben tot de resources. Als u deze functie moet uitschakelen, moet u eerst alle bijbehorende beleidsregels voor voorwaardelijke toegang verwijderen.

Bescherm uw resources achter het conforme netwerk

Het nalevingsbeleid voor voorwaardelijke toegang voor netwerken kan worden gebruikt om uw Microsoft- en externe toepassingen te beveiligen die zijn geïntegreerd met eenmalige aanmelding van Entra ID. Een typisch beleid zal een 'Block'-toekenning bevatten voor alle netwerklocaties, behalve voor Compliant Network. In het volgende voorbeeld ziet u de stappen voor het configureren van dit type beleid:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beheerder voor voorwaardelijke toegang.
2. Blader naar Entra ID>Voorwaardelijke Toegang.
3. Selecteer Nieuw beleid maken.
4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
5. Onder Toewijzingen, selecteer gebruikers of workloadidentiteiten.
   1. Onder Opnemen, selecteer alle gebruikers.
   2. Selecteer onder UitsluitenGebruikers en groepen en kies de noodtoegang of break-glass accounts van uw organisatie.
6. Onder Doelresources>Include, selecteer Alle resources (voorheen 'Alle cloud-apps').
   1. Als uw organisatie apparaten inschrijft bij Microsoft Intune, is het raadzaam om de toepassingen Microsoft Intune-inschrijving en Microsoft Intune uit te sluiten van uw beleid voor voorwaardelijke toegang om een kringafhankelijkheid te voorkomen.
7. Onder Netwerk.
   1. Stel Configureren in op Ja.
   2. Selecteer Een locatie onder Opnemen.
   3. Selecteer onder Uitsluiten de locatie Alle compatibele netwerklocaties .
8. Onder Besturingselementen voor toegang:
   1. Toestaan, Toegang blokkeren en Selecteren.
9. Bevestig uw instellingen en stel Beleid inschakelen in op Aan.
10. Selecteer de knop Maken om uw beleid in te schakelen.

Notitie

Gebruik globale beveiligde toegang samen met beleidsregels voor voorwaardelijke toegang waarvoor een compatibel netwerk voor alle resources is vereist.

Globale beveiligde toegangsbronnen worden automatisch uitgesloten van het beleid voor voorwaardelijke toegang wanneer compatibel netwerk is ingeschakeld in het beleid. Er is geen expliciete uitsluiting van hulpbronnen vereist. Deze automatische uitsluitingen zijn vereist om ervoor te zorgen dat de Global Secure Access-client niet wordt geblokkeerd voor toegang tot de benodigde resources. De resources die Global Secure Access nodig heeft, zijn:

• Globale beveiligde toegang-verkeersprofielen
• Global Secure Access Policy Service (interne dienst)

Aanmeldingsgebeurtenissen voor verificatie van uitgesloten Global Secure Access-resources worden weergegeven in de aanmeldingslogboeken van Microsoft Entra-id als:

• Internetbronnen met globale beveiligde toegang
• Microsoft-apps met Wereldwijde Veilige Toegang
• Alle privébronnen met globale beveiligde toegang
• ZTNA-beleidsservice

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:

• Accounts voor noodtoegang of 'break-glass' accounts om vergrendeling te voorkomen vanwege onjuist geconfigureerd beleid. In het onwaarschijnlijke scenario zijn alle beheerders vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en stappen uit te voeren om de toegang te herstellen.
  • Meer informatie vindt u in het artikel, Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID.
• Serviceaccounts en Serviceprincipals, zoals het Microsoft Entra Connect Synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gebonden aan een bepaalde gebruiker. Ze worden normaal gebruikt door back-end services die programmatische toegang tot toepassingen mogelijk maken, maar worden ook gebruikt om in te loggen op systemen voor administratieve doeleinden. Oproepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workload-identiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
  • Als uw organisatie deze accounts gebruikt in scripts of code, kunt u deze vervangen door beheerde identiteiten.

Probeer uw conforme netwerkbeleid

1. Blader op een apparaat van de eindgebruiker waarop de Global Secure Access-client is geïnstalleerd en wordt uitgevoerd, naar https://myapps.microsoft.com of een andere toepassing die gebruikmaakt van eenmalige aanmelding van Entra ID in uw tenant.
2. Pauzeer de Global Secure Access-client door met de rechtermuisknop op de toepassing in het Windows-systeemvak te klikken en Uitschakelen te selecteren.
3. Nadat u de Global Secure Access-client hebt uitgeschakeld, hebt u toegang tot een andere toepassing die is geïntegreerd met eenmalige aanmelding met Entra ID. U kunt zich bijvoorbeeld aanmelden bij Azure Portal. Uw toegang moet worden geblokkeerd door voorwaardelijke toegang van Entra ID.

Notitie

Als u al bent aangemeld bij een toepassing, wordt de toegang niet onderbroken. De voorwaarde Compatibel netwerk wordt geëvalueerd door Entra-id en als u al bent aangemeld, hebt u mogelijk een bestaande sessie met de toepassing. In dit scenario wordt de Compliant Network-controle de volgende keer opnieuw geëvalueerd wanneer de Entra ID-aanmelding is vereist, als uw toepassingssessie is verlopen.

Volgende stappen

Beperkingen voor universele tenants