Delen via

Meervoudige verificatie vereisen voor apparaatregistratie

  • Artikel

Gebruik de actie Voorwaardelijke toegang om beleid af te dwingen wanneer gebruikers apparaten registreren of toevoegen aan Microsoft Entra-id. Dit besturingselement biedt granulariteit bij het configureren van meervoudige verificatie voor het registreren of samenvoegen van apparaten in plaats van een tenantbreed beleid dat momenteel bestaat. Beheerders kunnen dit beleid aanpassen aan de beveiligingsbehoeften van hun organisatie.

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:

  • Accounts voor noodtoegang of break-glass om vergrendeling te voorkomen vanwege onjuiste configuratie van beleid. In het onwaarschijnlijke scenario zijn alle beheerders vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en stappen uit te voeren om de toegang te herstellen.
  • Serviceaccounts en service-principals, zoals het Microsoft Entra Connect-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gebonden aan een bepaalde gebruiker. Ze worden normaal gebruikt door back-end services die programmatische toegang tot toepassingen mogelijk maken, maar worden ook gebruikt om in te loggen op systemen voor administratieve doeleinden. Oproepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workload-identiteiten om beleidsregels te definiĆ«ren die gericht zijn op service-principals.
    • Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten.

Beleid voor voorwaardelijke toegang maken

Waarschuwing

Als u externe verificatiemethoden gebruikt, zijn deze momenteel niet compatibel met de verificatiesterkte en moet u het besturingselement Meervoudige verificatie verlenen vereisen gebruiken.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
  2. Blader naar het beleid voor voorwaardelijke toegang>beveiligen.>
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer bij Uitsluiten de optie Gebruikers en groepen en selecteer de accounts voor toegang bij noodgevallen van uw organisatie.
  6. Selecteer onder Gebruikersacties doelbronnen>de optie Apparaten registreren of eraan koppelen.
  7. Selecteer bijToegangsbeheer>Verlenen de optie Toegang verlenen.
    1. Selecteer Verificatiesterkte vereisen en selecteer vervolgens de ingebouwde meervoudige verificatiesterkte in de lijst.
    2. Selecteer Selecteren.
  8. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  9. Selecteer Maken om het beleid te kunnen inschakelen.

Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Waarschuwing

Wanneer een beleid voor voorwaardelijke toegang is geconfigureerd met de actie Apparaten registreren of toevoegen aan apparaten, moet u Instellingen voor apparaatinstellingenRequire Multifactor Authentication to register or join devices with Microsoft Entra - voor identiteitsapparaten>>instellen >op Nee. Anders worden beleidsregels voor voorwaardelijke toegang met deze gebruikersactie niet correct afgedwongen. Meer informatie over deze apparaatinstelling vindt u in Apparaatinstellingen configureren.

Schermopname van meervoudige verificatie vereisen om apparaten te registreren of toe te voegen met Microsoft Entra-beheer om te worden uitgeschakeld.

Toegang blokkeren om apparaten buiten vertrouwde netwerken en locaties te registreren of eraan toe te voegen

Organisaties kunnen ervoor kiezen om bekende netwerklocaties op te nemen die ook wel benoemde locaties worden genoemd in hun beleid voor voorwaardelijke toegang. Deze benoemde locaties kunnen vertrouwde IP-netwerken bevatten, zoals die voor een hoofdkantoorlocatie. Zie het artikel Wat is de locatievoorwaarde in voorwaardelijke toegang van Microsoft Entra voor meer informatie over het configureren van benoemde locaties?

Naast het vorige voorbeeldbeleid kan een organisatie ervoor kiezen om de toegang te blokkeren voor het registreren of koppelen van apparaten die zich niet in een vertrouwde IP-netwerklocatie bevinden met behulp van het volgende voorbeeldbeleid:

Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.

  1. Blader naar het beleid voor voorwaardelijke toegang>beveiligen.>
  2. Selecteer Nieuw beleid.
  3. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  4. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer bij Uitsluiten de optie Gebruikers en groepen en selecteer de accounts voor toegang bij noodgevallen van uw organisatie.
  5. Selecteer onder Gebruikersacties doelbronnen>de optie Apparaten registreren of eraan koppelen.
  6. Onder Netwerk:
    1. Ja configureren.
    2. Neem een netwerk of locatie op.
    3. Sluit alle vertrouwde netwerken en locaties uit.
  7. Selecteer onder Toegangsbeheer>blokkeren en selecteer Vervolgens Selecteren.
  8. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  9. Selecteer Maken om het beleid te kunnen inschakelen.

Gerelateerde inhoud