De voorwaardelijke toegang: sessie
Binnen een beleid voor voorwaardelijke toegang kan een beheerder gebruikmaken van sessiebesturingselementen om beperkte ervaringen binnen specifieke cloudtoepassingen mogelijk te maken.
Door toepassing afgedwongen beperkingen
Organisaties kunnen dit besturingselement gebruiken om Microsoft Entra ID te vereisen apparaatgegevens door te geven aan de geselecteerde cloud-apps. Met de apparaatgegevens kunnen cloud-apps weten of een verbinding afkomstig is van een compatibel of domein-gekoppeld apparaat en zo de sessie-ervaring bijwerken. Wanneer deze optie is geselecteerd, gebruikt de cloud-app de apparaatgegevens om gebruikers een beperkte of volledige ervaring te bieden. Beperkt wanneer het apparaat niet wordt beheerd of niet compatibel en volledig wanneer het apparaat wordt beheerd en compatibel is.
Zie de volgende artikelen voor een lijst met ondersteunde toepassingen en het configureren van beleidsregels:
- Time-out voor niet-actieve sessie voor Microsoft 365.
- De beperkte toegang inschakelen met SharePoint Online
- De beperkte toegang inschakelen met Exchange Online
Toepassingsbeheer voor voorwaardelijke toegang
App Control voor voorwaardelijke toegang maakt gebruik van een reverse proxy-architectuur en is uniek geïntegreerd met voorwaardelijke toegang van Microsoft Entra. Met voorwaardelijke toegang van Microsoft Entra kunt u toegangsbeheer afdwingen voor de apps van uw organisatie op basis van bepaalde voorwaarden. De voorwaarden bepalen op welke gebruiker of groep gebruikers, cloud-apps en locaties en netwerken een beleid voor voorwaardelijke toegang van toepassing is. Nadat u de voorwaarden hebt vastgesteld, kunt u gebruikers doorsturen naar Microsoft Defender voor Cloud Apps waar u gegevens kunt beveiligen met app-beheer voor voorwaardelijke toegang door toegangs- en sessiebesturingselementen toe te passen.
Met app-beheer voor voorwaardelijke toegang kunnen gebruikers-app-toegang en -sessies in realtime worden bewaakt en beheerd op basis van toegangs- en sessiebeleid. Toegangs- en sessiebeleid wordt gebruikt in de portal van Defender voor Cloud Apps om filters te verfijnen en acties in te stellen die moeten worden uitgevoerd. Met het toegangs- en sessiebeleid kunt u het volgende doen:
- Gegevensexfiltratie voorkomen: u kunt het downloaden, knippen, kopiëren en afdrukken van gevoelige documenten blokkeren op bijvoorbeeld onbeheerde apparaten.
- Beveiligen bij downloaden: in plaats van het downloaden van gevoelige documenten te blokkeren, kunt u vereisen dat documenten worden gelabeld en beveiligd met Azure Information Protection. Deze actie zorgt ervoor dat het document wordt beveiligd en dat gebruikerstoegang wordt beperkt in een mogelijk riskante sessie.
- Uploaden van niet-gelabelde bestanden voorkomen: voordat een gevoelig bestand wordt geüpload, gedistribueerd en gebruikt, is het belangrijk om ervoor te zorgen dat het bestand het juiste label en de juiste beveiliging heeft. U kunt ervoor zorgen dat niet-gelabelde bestanden met gevoelige inhoud niet kunnen worden geüpload totdat de gebruiker de inhoud classificeert.
- Gebruikerssessies controleren op naleving (preview): Riskante gebruikers worden bewaakt wanneer ze zich aanmelden bij apps en hun acties worden vastgelegd vanuit de sessie. U kunt gebruikersgedrag onderzoeken en analyseren om te begrijpen waar en onder welke omstandigheden sessiebeleid in de toekomst moet worden toegepast.
- Toegang blokkeren (preview): u kunt de toegang voor specifieke apps en gebruikers gedetailleerd blokkeren, afhankelijk van verschillende risicofactoren. U kunt ze bijvoorbeeld blokkeren als ze clientcertificaten gebruiken als een vorm van apparaatbeheer.
- Aangepaste activiteiten blokkeren: sommige apps hebben unieke scenario's die risico lopen, bijvoorbeeld het verzenden van berichten met gevoelige inhoud in apps zoals Microsoft Teams of Slack. In dit soort scenario's kunt u berichten scannen op gevoelige inhoud en deze in realtime blokkeren.
Zie het artikel App-beheer voor voorwaardelijke toegang implementeren voor aanbevolen apps voor meer informatie.
De aanmeldingsfrequentie
Met aanmeldingsfrequentie wordt de periode gedefinieerd voordat een gebruiker wordt gevraagd zich opnieuw aan te melden wanneer hij of zij toegang probeert te krijgen tot een resource. Beheerders kunnen een periode (uren of dagen) selecteren of ervoor kiezen om telkens opnieuw verificatie te vereisen.
De instelling voor aanmeldingsfrequentie werkt met apps die OAUTH2- of OIDC-protocollen implementeren volgens de standaarden. De meeste systeemeigen Microsoft-apps voor Windows, Mac en Mobile, waaronder de volgende webtoepassingen, volgen de instelling.
- Word, Excel, PowerPoint Online
- OneNote Online
- Office.com
- Microsoft 365-beheerportal
- Exchange Online
- SharePoint en OneDrive
- Teams-webclient
- Dynamics CRM Online
- Azure Portal
Zie het artikel Verificatiesessiebeheer configureren met voorwaardelijke toegang voor meer informatie.
Een permanente browsersessie
Met een permanente browsersessie kunnen gebruikers aangemeld blijven na het sluiten en opnieuw openen van hun browservenster.
Zie het artikel Verificatiesessiebeheer configureren met voorwaardelijke toegang voor meer informatie.
Continue toegangsevaluatie aanpassen
Continue toegangsevaluatie wordt automatisch ingeschakeld als onderdeel van het beleid voor voorwaardelijke toegang van een organisatie. Voor organisaties die continue toegangsevaluatie willen uitschakelen, is deze configuratie nu een optie binnen sessiebeheer binnen voorwaardelijke toegang. Beleid voor continue toegangsevaluatie kan worden afgestemd op alle gebruikers of specifieke gebruikers en groepen. Beheerders kunnen de volgende selectie maken tijdens het maken van een nieuw beleid of tijdens het bewerken van een bestaand beleid voor voorwaardelijke toegang.
- Schakel alleen werk uit wanneer alle resources (voorheen 'Alle cloud-apps') zijn geselecteerd, er geen voorwaarden zijn geselecteerd en Uitschakelen is geselecteerd onder Continue>toegangsevaluatie sessie aanpassen in een beleid voor voorwaardelijke toegang. U kunt ervoor kiezen om alle gebruikers of specifieke gebruikers en groepen uit te schakelen.
Standaardwaarden voor tolerantie uitschakelen
Tijdens een storing breidt Microsoft Entra ID de toegang tot bestaande sessies uit terwijl beleid voor voorwaardelijke toegang wordt afgedwongen.
Als de standaardinstellingen voor tolerantie zijn uitgeschakeld, wordt de toegang geweigerd zodra bestaande sessies verlopen. Zie het artikel Voorwaardelijke toegang: Standaardinstellingen voor tolerantie voor meer informatie.
Tokenbeveiliging vereisen voor aanmeldingssessies (preview)
Tokenbeveiliging (ook wel tokenbinding genoemd in de branche) probeert aanvallen met behulp van tokendiefstal te verminderen door ervoor te zorgen dat een token alleen kan worden gebruikt vanaf het beoogde apparaat. Wanneer een aanvaller een token kan stelen door een token te kapen of opnieuw af te spelen, kunnen ze hun slachtoffer imiteren totdat het token verloopt of wordt ingetrokken. Tokendiefstal wordt beschouwd als een relatief zeldzame gebeurtenis, maar de schade van het kan aanzienlijk zijn.
De preview werkt alleen voor specifieke scenario's. Zie het artikel Voorwaardelijke toegang: Beveiliging van tokens (preview) voor meer informatie.
Beveiligingsprofiel voor globale beveiligde toegang gebruiken
Met behulp van een beveiligingsprofiel met voorwaardelijke toegang worden identiteitscontroles met netwerkbeveiliging in het SSE-product (Security Service Edge) van Microsoft Microsoft Entra-internettoegang. Als u dit sessiebeheer selecteert, kunt u identiteits- en contextbewustzijn overbrengen naar beveiligingsprofielen, die groeperingen zijn van verschillende beleidsregels die zijn gemaakt en beheerd in Global Secure Access.