Algemeen beleid voor voorwaardelijke toegang: toegang blokkeren voor gebruikers met intern risico (preview)
De meeste gebruikers vertonen normaal gedrag dat kan worden getraceerd. Wanneer ze buiten de norm hiervoor vallen, zou het riskant kunnen zijn om hen toe te staan zich zomaar aan te melden. U kunt deze gebruiker blokkeren of hem of haar vragen om een gebruiksrechtovereenkomst te bekijken. Microsoft Purview kan een intern risicosignaal bieden voor voorwaardelijke toegang om beslissingen over toegangsbeheer te verfijnen. Intern risicobeheer maakt deel uit van Microsoft Purview. U moet dit inschakelen voordat u het signaal in voorwaardelijke toegang kunt gebruiken.
Uitsluitingen van gebruikers
Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:
- noodtoegangaccounts of break glass-accounts om tenantbrede accountvergrendeling te voorkomen. In het onwaarschijnlijke scenario zijn alle beheerders uitgesloten van uw tenant, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden bij de tenant om stappen te ondernemen om de toegang te herstellen.
- Meer informatie vindt u in het artikel, Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID.
- Serviceaccounts en service-principals, zoals het Microsoft Entra-Verbinding maken-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een bepaalde gebruiker. Ze worden normaal gesproken gebruikt door back-endservices die programmatische toegang tot toepassingen toestaan, maar worden ook gebruikt om u aan te melden bij systemen voor administratieve doeleinden. Serviceaccounts zoals deze moeten worden uitgesloten omdat MFA niet programmatisch kan worden voltooid. Aanroepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workloadidentiteiten om beleidsregels te definiƫren die gericht zijn op service-principals.
- Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten. Als tijdelijke oplossing kunt u deze specifieke accounts uitsluiten van het basislijnbeleid.
Sjabloonimplementatie
Organisaties kunnen ervoor kiezen dit beleid te implementeren met behulp van de onderstaande stappen of met behulp van de sjablonen voor voorwaardelijke toegang.
Toegang blokkeren met beleid voor voorwaardelijke toegang
Tip
Configureer adaptieve beveiliging voordat u het volgende beleid maakt.
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheer istrator voor voorwaardelijke toegang.
- Blader naar voorwaardelijke toegang voor beveiliging>.
- Selecteer Nieuw beleid maken.
- Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
- Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
- Selecteer onder Opnemen de optie Alle gebruikers.
- Onder Uitsluiten:
- Selecteer Gebruikers en groepen en kiest u de noodtoegangs- of 'break glass'-accounts van uw organisatie.
- Selecteer Gast- of externe gebruikers en kies het volgende:
- B2B directe verbinding maken met gebruikers.
- Gebruikers van serviceproviders.
- Andere externe gebruikers.
- Selecteer onder Doelresources>Cloud-apps>Opnemen alle cloud-apps.
- Stel Onder Voorwaarden>Insider-risico configureren in op Ja.
- Selecteer de risiconiveaus die moeten worden toegewezen om het beleid af te dwingen.
- Selecteer Verhoogde bevoegdheid.
- Selecteer Gereed.
- Selecteer de risiconiveaus die moeten worden toegewezen om het beleid af te dwingen.
- Selecteer bij Toegangsbeheer>Verlenende optie Toegang blokkeren en selecteer vervolgens Selecteren.
- Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
- Selecteer Maken om het beleid te kunnen inschakelen.
Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.