Beleid voor voorwaardelijke toegang toepassen op het Microsoft-verkeersprofiel

Met een speciaal profiel voor het doorsturen van verkeer voor uw Microsoft-verkeer kunt u beleid voor voorwaardelijke toegang toepassen op Microsoft-verkeer. Met voorwaardelijke toegang kunt u meervoudige verificatie en apparaatcompatibiliteit vereisen voor toegang tot Microsoft-resources.

In dit artikel wordt beschreven hoe u beleid voor voorwaardelijke toegang toepast op uw Profiel voor het doorsturen van verkeer van Microsoft.

Vereisten

• Beheerders die werken met globale beveiligde toegangsfuncties , moeten een of meer van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren.
  • De rol Globale Secure Access-beheerder voor het beheren van de globale beveiligingstoegangsfuncties.
  • De rol Beheerder voor voorwaardelijke toegang om beleid voor voorwaardelijke toegang te maken en ermee te communiceren.
• Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.
• Als u het Microsoft Traffic Forwarding-profiel wilt gebruiken, wordt een Microsoft 365 E3-licentie aanbevolen.

Een beleid voor voorwaardelijke toegang maken dat is gericht op het Microsoft-verkeersprofiel

Het volgende voorbeeldbeleid is gericht op alle gebruikers, met uitzondering van uw break-glass-accounts en gast-/externe gebruikers, waarvoor meervoudige verificatie, apparaatcompatibiliteit of een hybride apparaat van Microsoft Entra is vereist bij het openen van Microsoft-verkeer.

1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
2. Blader naar voorwaardelijke toegang voor identiteitsbeveiliging>>.
3. Selecteer Nieuw beleid maken.
4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
   1. Selecteer onder Opnemen de optie Alle gebruikers.
   2. Onder Uitsluiten:
      1. Selecteer Gebruikers en groepen en kies de toegang tot noodgevallen of break-glass-accounts van uw organisatie.
      2. Selecteer Gast- of externe gebruikers en schakel alle selectievakjes in.
6. Onder Doelbronnen>Global Secure Access*.
   1. Kies Microsoft-verkeer.
7. Selecteer Toegangsbeheer>Verlenen.
   1. Selecteer Meervoudige verificatie vereisen, Vereisen dat het apparaat als compatibel wordt gemarkeerd en Vereisen dat het hybride apparaat van Microsoft Entra is gekoppeld
   2. Voor meerdere besturingselementen selecteert u Een van de geselecteerde besturingselementen vereisen.
   3. Selecteer Selecteren.

Nadat beheerders de beleidsinstellingen hebben bevestigd met de modus Alleen-rapport, kan een beheerder de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:

• Accounts voor noodtoegang of break-glass om vergrendeling te voorkomen vanwege onjuiste configuratie van beleid. In het onwaarschijnlijke scenario zijn alle beheerders vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en stappen uit te voeren om de toegang te herstellen.
  • Meer informatie vindt u in het artikel, Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID.
• Serviceaccounts en service-principals, zoals het Microsoft Entra Connect-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gebonden aan een bepaalde gebruiker. Ze worden normaal gebruikt door back-end services die programmatische toegang tot toepassingen mogelijk maken, maar worden ook gebruikt om in te loggen op systemen voor administratieve doeleinden. Oproepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workload-identiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
  • Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten.

Volgende stappen

De volgende stap voor het aan de slag gaan met Microsoft Entra-internettoegang is het controleren van de globale logboeken voor beveiligde toegang.

Zie de volgende artikelen voor meer informatie over het doorsturen van verkeer:

• Meer informatie over profielen voor het doorsturen van verkeer
• Het Microsoft-verkeersprofiel beheren