Algemeen beveiligingsbeleid voor Microsoft 365-organisaties
Organisaties hebben veel te maken bij het implementeren van Microsoft 365 voor hun organisatie. Het beleid voor voorwaardelijke toegang, app-beveiliging en naleving van apparaten waarnaar in dit artikel wordt verwezen, zijn gebaseerd op de aanbevelingen van Microsoft en de drie leidende principes van Zero Trust:
- Expliciet controleren
- Minimale bevoegdheden gebruiken
- Ervan uitgaan dat de inbreuk is geschonden
Organisaties kunnen deze beleidsregels in de huidige staat gebruiken of ze aanpassen aan hun behoeften. Test indien mogelijk uw beleid in een niet-productieomgeving voordat u deze uitrolt voor uw productiegebruikers. Testen is essentieel om mogelijke effecten te identificeren en te communiceren met uw gebruikers.
We groepeer deze beleidsregels in drie beveiligingsniveaus op basis van waar u zich bevindt tijdens uw implementatietraject:
- Uitgangspunt : basisbesturingselementen die meervoudige verificatie, veilige wachtwoordwijzigingen en app-beveiligingsbeleid introduceren.
- Enterprise : verbeterde besturingselementen waarmee apparaatcompatibiliteit wordt geïntroduceerd.
- Gespecialiseerde beveiliging : beleid dat meervoudige verificatie vereist voor specifieke gegevenssets of gebruikers.
In het volgende diagram ziet u op welk beveiligingsniveau elk beleid van toepassing is en of het beleid van toepassing is op pc's, telefoons en tablets, of beide categorieën apparaten.
U kunt dit diagram downloaden als pdf-bestand .
Tip
Het vereisen van meervoudige verificatie (MFA) wordt aanbevolen voordat apparaten in Intune worden ingeschreven om ervoor te zorgen dat het apparaat in het bezit is van de beoogde gebruiker. U moet apparaten inschrijven bij Intune voordat u nalevingsbeleid voor apparaten kunt afdwingen.
Vereisten
Machtigingen
- Gebruikers die het beleid voor voorwaardelijke toegang beheren, moeten zich kunnen aanmelden bij de Azure Portal als beheerder voor voorwaardelijke toegang, beveiligingsbeheerder of globale beheerder.
- Gebruikers die app-beveiligings- en apparaatnalevingsbeleid beheren, moeten zich kunnen aanmelden bij Intune als Intune-beheerder of globale beheerder.
- Aan gebruikers die alleen configuraties hoeven te bekijken, kunnen de rollen Beveiligingslezer of Globale lezer worden toegewezen.
Zie het artikel Azure AD ingebouwde rollen voor meer informatie over rollen en machtigingen.
Gebruikersregistratie
Zorg ervoor dat uw gebruikers zich registreren voor meervoudige verificatie voordat ze het gebruik ervan vereisen. Als u licenties hebt die Azure AD Premium P2 bevatten, kunt u het MFA-registratiebeleid in Azure AD Identity Protection gebruiken om te vereisen dat gebruikers zich registreren. We bieden communicatiesjablonen, die u kunt downloaden en aanpassen om de registratie te bevorderen.
Groepen
Alle Azure AD groepen die als onderdeel van deze aanbevelingen worden gebruikt, moeten worden gemaakt als een Microsoft 365-groepen niet als beveiligingsgroep. Deze vereiste is belangrijk voor de implementatie van vertrouwelijkheidslabels bij het beveiligen van documenten in Microsoft Teams en SharePoint later. Zie het artikel Meer informatie over groepen en toegangsrechten in Azure Active Directory voor meer informatie
Beleid toewijzen
Beleid voor voorwaardelijke toegang kan worden toegewezen aan gebruikers, groepen en beheerdersrollen. Intune app-beveiligings- en apparaatnalevingsbeleid kan alleen worden toegewezen aan groepen. Voordat u uw beleid configureert, moet u bepalen wie moet worden opgenomen en uitgesloten. Beleidsregels voor het beginpuntbeveiligingsniveau zijn doorgaans van toepassing op iedereen in de organisatie.
Hier volgt een voorbeeld van groepstoewijzing en uitsluitingen voor het vereisen van MFA nadat uw gebruikers de gebruikersregistratie hebben voltooid.
| Azure AD-beleid voor voorwaardelijke toegang | Opnemen | Uitsluiten | |
|---|---|---|---|
| Uitgangspunt | Meervoudige verificatie vereisen voor gemiddeld of hoog aanmeldingsrisico | Alle gebruikers |
|
| Enterprise | Meervoudige verificatie vereisen voor een laag, gemiddeld of hoog aanmeldingsrisico | Leidinggevende personeelsgroep |
|
| Gespecialiseerde beveiliging | Meervoudige verificatie altijd vereisen | Top Secret Project Buckeye-groep |
|
Wees voorzichtig bij het toepassen van hogere beveiligingsniveaus op groepen en gebruikers. Het doel van beveiliging is niet om onnodige wrijving toe te voegen aan de gebruikerservaring. Leden van de Buckeye-groep Top Secret Project moeten bijvoorbeeld elke keer dat ze zich aanmelden MFA gebruiken, zelfs als ze niet aan de gespecialiseerde beveiligingsinhoud voor hun project werken. Overmatige beveiligingswrijving kan leiden tot vermoeidheid.
U kunt overwegen om verificatiemethoden zonder wachtwoord in te schakelen, zoals Windows Hello voor Bedrijven of FIDO2-beveiligingssleutels om enige wrijving te verminderen die wordt veroorzaakt door bepaalde beveiligingscontroles.
Accounts voor noodtoegang
Alle organisaties moeten ten minste één account voor noodtoegang hebben dat wordt gecontroleerd op gebruik en wordt uitgesloten van beleid. Deze accounts worden alleen gebruikt voor het geval alle andere beheerdersaccounts en verificatiemethoden zijn vergrendeld of anderszins niet beschikbaar zijn. Meer informatie vindt u in het artikel Accounts voor noodtoegang beheren in Azure AD.
Uitsluitingen
Een aanbevolen procedure is om een Azure AD groep te maken voor uitsluitingen van voorwaardelijke toegang. Deze groep biedt u de mogelijkheid om een gebruiker toegang te geven terwijl u toegangsproblemen oplost.
Waarschuwing
Deze groep wordt alleen aanbevolen voor gebruik als tijdelijke oplossing. Controleer en controleer deze groep continu op wijzigingen en zorg ervoor dat de uitsluitingsgroep alleen wordt gebruikt zoals bedoeld.
Ga als volgt te werk om deze uitsluitingsgroep toe te voegen aan bestaande beleidsregels:
- Meld u aan bij de Azure Portal als beheerder voor voorwaardelijke toegang, beveiligingsbeheerder of globale beheerder.
- Blader naarvoorwaardelijke toegang voor Azure Active Directory-beveiliging>>.
- Selecteer een bestaand beleid.
- Selecteer onder Toewijzingende optie Gebruikers of workloadidentiteiten.
- Selecteer onder Uitsluitende optie Gebruikers en groepen en kies de accounts voor noodtoegang of break-glass-accounts van uw organisatie en de uitsluitingsgroep voor voorwaardelijke toegang.
Implementatie
We raden u aan het beginpuntbeleid te implementeren in de volgorde die in deze tabel wordt vermeld. Het MFA-beleid voor ondernemingen en gespecialiseerde beveiligingsniveaus kan echter op elk gewenst moment worden geïmplementeerd.
Uitgangspunt
| Beleid | Meer informatie | Licenties |
|---|---|---|
| MFA vereisen wanneer het aanmeldingsrisico gemiddeld of hoog is | Gebruik risicogegevens van Azure AD Identity Protection om MFA alleen te vereisen wanneer er risico's worden gedetecteerd | Microsoft 365 E5 of Microsoft 365 E3 met de E5 Security-invoegtoepassing |
| Clients blokkeren die moderne verificatie niet ondersteunen | Clients die geen moderne verificatie gebruiken, kunnen het beleid voor voorwaardelijke toegang omzeilen, dus het is belangrijk om ze te blokkeren. | Microsoft 365 E3 of E5 |
| Gebruikers met een hoog risico moeten het wachtwoord wijzigen | Hiermee worden gebruikers gedwongen hun wachtwoord te wijzigen wanneer ze zich aanmelden als er activiteiten met een hoog risico voor hun account worden gedetecteerd. | Microsoft 365 E5 of Microsoft 365 E3 met de E5 Security-invoegtoepassing |
| Toepassingsbeveiligingsbeleid toepassen voor gegevensbescherming | Eén Intune app-beveiligingsbeleid per platform (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 of E5 |
| Goedgekeurde apps en app-beveiligingsbeleid vereisen | Dwingt beveiligingsbeleid voor mobiele apps af voor telefoons en tablets met iOS, iPadOS of Android. | Microsoft 365 E3 of E5 |
Enterprise
| Beleid | Meer informatie | Licenties |
|---|---|---|
| MFA vereisen wanneer het aanmeldingsrisico laag, gemiddeld of hoog is | Gebruik risicogegevens van Azure AD Identity Protection om MFA alleen te vereisen wanneer er risico's worden gedetecteerd | Microsoft 365 E5 of Microsoft 365 E3 met de E5 Security-invoegtoepassing |
| Nalevingsbeleid voor apparaten definiëren | Stel minimale configuratievereisten in. Eén beleid voor elk platform. | Microsoft 365 E3 of E5 |
| Compatibele pc's en mobiele apparaten vereisen | Dwingt de configuratievereisten af voor apparaten die toegang hebben tot uw organisatie | Microsoft 365 E3 of E5 |
Gespecialiseerde beveiliging
| Beleid | Meer informatie | Licenties |
|---|---|---|
| MFA altijd vereisen | Gebruikers moeten MFA uitvoeren wanneer ze zich aanmelden bij de services van uw organisatie | Microsoft 365 E3 of E5 |
App-beveiliging beleid
App-beveiliging beleid definieert welke apps zijn toegestaan en welke acties ze kunnen uitvoeren met de gegevens van uw organisatie. Er zijn veel opties beschikbaar en het kan verwarrend zijn voor sommigen. De volgende basislijnen zijn de aanbevolen configuraties van Microsoft die mogelijk zijn afgestemd op uw behoeften. We bieden drie sjablonen die moeten worden gevolgd, maar denken dat de meeste organisaties niveau 2 en 3 zullen kiezen.
Niveau 2 wordt toegewezen aan wat we beschouwen als uitgangspunt of beveiliging op ondernemingsniveau , niveau 3 is toegewezen aan gespecialiseerde beveiliging.
Niveau 1 enterprise-basisgegevensbeveiliging : Microsoft raadt deze configuratie aan als de minimale configuratie voor gegevensbeveiliging voor een bedrijfsapparaat.
Verbeterde gegevensbeveiliging op niveau 2 : Microsoft raadt deze configuratie aan voor apparaten waarop gebruikers toegang hebben tot gevoelige of vertrouwelijke informatie. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens. Sommige besturingselementen kunnen van invloed zijn op de gebruikerservaring.
Hoge gegevensbescherming op bedrijfsniveau 3 : Microsoft raadt deze configuratie aan voor apparaten die worden uitgevoerd door een organisatie met een groter of geavanceerder beveiligingsteam, of voor specifieke gebruikers of groepen met een uniek hoog risico (gebruikers die zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke materiële verliezen voor de organisatie veroorzaakt). Een organisatie die waarschijnlijk het doelwit is van goed gefinancierde en geavanceerde aanvallers, moet deze configuratie nastreven.
App-beveiligingsbeleid maken
Maak een nieuw app-beveiligingsbeleid voor elk platform (iOS en Android) binnen Microsoft Intune met behulp van de instellingen voor het gegevensbeveiligingsframework door:
- Maak het beleid handmatig door de stappen te volgen in App-beveiligingsbeleid maken en implementeren met Microsoft Intune.
- Importeer het voorbeeld Intune App Protection Policy Configuration Framework JSON-sjablonen met powershell-scripts van Intune.
Compliancebeleid voor apparaten
Intune nalevingsbeleid voor apparaten definieert de vereisten waaraan apparaten moeten voldoen om te worden bepaald als compatibel.
U moet een beleid maken voor elk pc-, telefoon- of tabletplatform. In dit artikel worden aanbevelingen behandeld voor de volgende platforms:
Nalevingsbeleid voor apparaten maken
Als u nalevingsbeleid voor apparaten wilt maken, meldt u zich aan bij het Microsoft Intune-beheercentrum en navigeert u naarNalevingsbeleid voor>apparaten>. Selecteer Beleid maken.
Zie Een nalevingsbeleid maken in Microsoft Intune voor stapsgewijze instructies voor het maken van nalevingsbeleid in Intune.
Instellingen voor inschrijving en naleving voor iOS/iPadOS
iOS/iPadOS ondersteunt verschillende inschrijvingsscenario's, waarvan er twee worden behandeld als onderdeel van dit framework:
- Apparaatinschrijving voor apparaten in persoonlijk eigendom : deze apparaten zijn persoonlijk eigendom van en worden gebruikt voor zowel werk- als persoonlijk gebruik.
- Automatische apparaatinschrijving voor apparaten in bedrijfseigendom : deze apparaten zijn bedrijfseigendom, gekoppeld aan één gebruiker en worden uitsluitend gebruikt voor werk en niet voor persoonlijk gebruik.
Gebruik de principes die worden beschreven in configuraties voor identiteits- en apparaattoegang Zero Trust:
- Het beginpunt en de beveiligingsniveaus voor ondernemingen komen nauw overeen met de verbeterde beveiligingsinstellingen op niveau 2.
- Het gespecialiseerde beveiligingsniveau is nauw afgestemd op de beveiligingsinstellingen van niveau 3.
Nalevingsinstellingen voor persoonlijk ingeschreven apparaten
- Persoonlijke basisbeveiliging (niveau 1): Microsoft raadt deze configuratie aan als de minimale beveiligingsconfiguratie voor persoonlijke apparaten waarop gebruikers toegang hebben tot werk- of schoolgegevens. Deze configuratie wordt uitgevoerd door het afdwingen van wachtwoordbeleid, apparaatvergrendelingskenmerken en het uitschakelen van bepaalde apparaatfuncties, zoals niet-vertrouwde certificaten.
- Persoonlijke verbeterde beveiliging (niveau 2): Microsoft raadt deze configuratie aan voor apparaten waarop gebruikers toegang hebben tot gevoelige of vertrouwelijke informatie. Met deze configuratie worden besturingselementen voor het delen van gegevens geïmplementeerd. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens op een apparaat.
- Persoonlijke hoge beveiliging (niveau 3): Microsoft raadt deze configuratie aan voor apparaten die worden gebruikt door specifieke gebruikers of groepen met een uniek hoog risico (gebruikers die zeer gevoelige gegevens verwerken waarbij onbevoegde openbaarmaking aanzienlijke materiële verliezen veroorzaakt voor de organisatie). Deze configuratie voert een sterker wachtwoordbeleid uit, schakelt bepaalde apparaatfuncties uit en dwingt extra beperkingen voor gegevensoverdracht af.
Nalevingsinstellingen voor automatische apparaatinschrijving
- Basisbeveiliging onder supervisie (niveau 1): Microsoft raadt deze configuratie aan als de minimale beveiligingsconfiguratie voor apparaten onder supervisie waar gebruikers toegang hebben tot werk- of schoolgegevens. Deze configuratie wordt uitgevoerd door het afdwingen van wachtwoordbeleid, apparaatvergrendelingskenmerken en het uitschakelen van bepaalde apparaatfuncties, zoals niet-vertrouwde certificaten.
- Verbeterde beveiliging onder supervisie (niveau 2): Microsoft raadt deze configuratie aan voor apparaten waarop gebruikers toegang hebben tot gevoelige of vertrouwelijke informatie. Met deze configuratie worden besturingselementen voor het delen van gegevens geïmplementeerd en de toegang tot USB-apparaten geblokkeerd. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens op een apparaat.
- Hoge beveiliging onder supervisie (niveau 3): Microsoft raadt deze configuratie aan voor apparaten die worden gebruikt door specifieke gebruikers of groepen die een uniek hoog risico lopen (gebruikers die zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke materiële verliezen voor de organisatie veroorzaakt). Deze configuratie voert een sterker wachtwoordbeleid uit, schakelt bepaalde apparaatfuncties uit, dwingt extra beperkingen voor gegevensoverdracht af en vereist dat apps worden geïnstalleerd via het volume-aankoopprogramma van Apple.
Instellingen voor inschrijving en naleving voor Android
Android Enterprise ondersteunt verschillende inschrijvingsscenario's, waarvan er twee worden behandeld als onderdeel van dit framework:
- Android Enterprise-werkprofiel : dit inschrijvingsmodel wordt doorgaans gebruikt voor apparaten in persoonlijk eigendom, waarbij IT een duidelijke scheidingsgrens wil bieden tussen werk en persoonlijke gegevens. Beleid dat wordt beheerd door IT zorgt ervoor dat de werkgegevens niet kunnen worden overgedragen naar het persoonlijke profiel.
- Volledig beheerde Android Enterprise-apparaten : deze apparaten zijn bedrijfseigendom, zijn gekoppeld aan één gebruiker en worden uitsluitend gebruikt voor werk en niet voor persoonlijk gebruik.
Het beveiligingsconfiguratieframework van Android Enterprise is ingedeeld in verschillende afzonderlijke configuratiescenario's, met richtlijnen voor werkprofielen en volledig beheerde scenario's.
Gebruik de principes die worden beschreven in configuraties voor identiteits- en apparaattoegang Zero Trust:
- Het beginpunt en de beveiligingsniveaus voor ondernemingen komen nauw overeen met de verbeterde beveiligingsinstellingen op niveau 2.
- Het gespecialiseerde beveiligingsniveau is nauw afgestemd op de beveiligingsinstellingen van niveau 3.
Nalevingsinstellingen voor apparaten met een Android Enterprise-werkprofiel
- Vanwege de instellingen die beschikbaar zijn voor apparaten met een werkprofiel in persoonlijk eigendom, is er geen basisbeveiligingsaanbod (niveau 1). De beschikbare instellingen rechtvaardigen geen verschil tussen niveau 1 en niveau 2.
- Verbeterde beveiliging van werkprofielen (niveau 2): Microsoft raadt deze configuratie aan als de minimale beveiligingsconfiguratie voor persoonlijke apparaten waarop gebruikers toegang hebben tot werk- of schoolgegevens. Deze configuratie introduceert wachtwoordvereisten, scheidt werk- en persoonlijke gegevens en valideert Android-apparaatverklaring.
- Hoge beveiliging van het werkprofiel (niveau 3): Microsoft raadt deze configuratie aan voor apparaten die worden gebruikt door specifieke gebruikers of groepen met een uniek hoog risico (gebruikers die zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke materiële verliezen voor de organisatie veroorzaakt). Deze configuratie introduceert mobile threat defense of Microsoft Defender voor Eindpunt, stelt de minimale Android-versie in, voert een sterker wachtwoordbeleid uit en beperkt werk en persoonlijke scheiding verder.
Nalevingsinstellingen voor volledig beheerde Android Enterprise-apparaten
- Volledig beheerde basisbeveiliging (niveau 1): Microsoft raadt deze configuratie aan als de minimale beveiligingsconfiguratie voor een bedrijfsapparaat. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens. Deze configuratie introduceert wachtwoordvereisten, stelt de minimale Android-versie in en voert bepaalde apparaatbeperkingen uit.
- Volledig beheerde verbeterde beveiliging (niveau 2): Microsoft raadt deze configuratie aan voor apparaten waarop gebruikers toegang hebben tot gevoelige of vertrouwelijke informatie. Deze configuratie implementeert een sterker wachtwoordbeleid en schakelt gebruikers-/accountmogelijkheden uit.
- Volledig beheerde hoge beveiliging (niveau 3): Microsoft raadt deze configuratie aan voor apparaten die worden gebruikt door specifieke gebruikers of groepen met een uniek hoog risico. Deze gebruikers kunnen zeer gevoelige gegevens verwerken waarbij onbevoegde openbaarmaking aanzienlijke materiële verliezen voor de organisatie kan veroorzaken. Deze configuratie verhoogt de minimale Android-versie, introduceert mobile threat defense of Microsoft Defender voor Eindpunt en dwingt extra apparaatbeperkingen af.
Aanbevolen nalevingsinstellingen voor Windows 10 en hoger
De volgende instellingen worden geconfigureerd in Stap 2: Nalevingsinstellingen van het proces voor het maken van nalevingsbeleid voor Windows 10 en nieuwere apparaten. Deze instellingen komen overeen met de principes die worden beschreven in Zero Trust identiteits- en apparaattoegangsconfiguraties.
Zie deze tabel voor de evaluatieregels van de Windows Health Attestation-service voor apparaatstatus>.
| Eigenschap | Waarde |
|---|---|
| BitLocker vereisen | Vereisen |
| Vereisen dat Beveiligd opstarten is ingeschakeld op het apparaat | Vereisen |
| Code-integriteit vereisen | Vereisen |
Geef voor Apparaateigenschappen de juiste waarden op voor versies van het besturingssysteem op basis van uw IT- en beveiligingsbeleid.
Als u zich in een co-beheerde omgeving met Configuration Manager selecteert u Anders vereisen de optie Niet geconfigureerd voor Configuration Manager Compliance.
Zie deze tabel voor Systeembeveiliging.
| Eigenschap | Waarde |
|---|---|
| Een wachtwoord vereisen om mobiele apparaten te ontgrendelen | Vereisen |
| Eenvoudige wachtwoorden | Blokkeren |
| Wachtwoordtype | Standaardwaarde apparaat |
| Minimale wachtwoordlengte | 6 |
| Maximum aantal minuten van inactiviteit voordat een wachtwoord is vereist | 15 minuten |
| Wachtwoord verlopen (dagen) | 41 |
| Aantal eerdere wachtwoorden om hergebruik te voorkomen | 5 |
| Wachtwoord vereisen wanneer het apparaat wordt geretourneerd vanuit de niet-actieve status (Mobiel en Holographic) | Vereisen |
| Versleuteling van gegevensopslag op apparaat vereisen | Vereisen |
| Firewall | Vereisen |
| Antivirus | Vereisen |
| Antispyware | Vereisen |
| Microsoft Defender Antimalware | Vereisen |
| minimale versie Microsoft Defender antimalware | Microsoft raadt versies aan die niet meer dan vijf achterblijven ten opzichte van de meest recente versie. |
| antimalwarehandtekening up-to-date Microsoft Defender | Vereisen |
| Realtime-beveiliging | Vereisen |
Voor Microsoft Defender voor Eindpunt
| Eigenschap | Waarde |
|---|---|
| Vereisen dat het apparaat de machinerisicoscore heeft of niet | Gemiddeld |
Beleidsregels voor voorwaardelijke toegang
Zodra uw app-beveiligings- en apparaatnalevingsbeleid is gemaakt in Intune, kunt u afdwingen inschakelen met beleid voor voorwaardelijke toegang.
MFA vereisen op basis van aanmeldingsrisico
Volg de richtlijnen in het artikel Algemeen beleid voor voorwaardelijke toegang: meervoudige verificatie op basis van aanmeldingsrisico om een beleid te maken om meervoudige verificatie op basis van aanmeldingsrisico's te vereisen.
Gebruik de volgende risiconiveaus wanneer u uw beleid configureert.
| Beveiligingsniveau | Waarden voor risiconiveau vereist | Actie |
|---|---|---|
| Uitgangspunt | Hoog, gemiddeld | Controleer beide. |
| Enterprise | Hoog, gemiddeld, laag | Controleer alle drie. |
Clients blokkeren die geen ondersteuning bieden voor meervoudige verificatie
Volg de richtlijnen in het artikel Algemeen beleid voor voorwaardelijke toegang: Verouderde verificatie blokkeren om verouderde verificatie te blokkeren.
Gebruikers met een hoog risico moeten het wachtwoord wijzigen
Volg de richtlijnen in het artikel Common Conditional Access Policy: User risk-based password change to require users with compromised credentials to change their password .
Gebruik dit beleid in combinatie met Azure AD wachtwoordbeveiliging, waarmee bekende zwakke wachtwoorden en hun varianten worden gedetecteerd en geblokkeerd, naast termen die specifiek zijn voor uw organisatie. Het gebruik van Azure AD wachtwoordbeveiliging zorgt ervoor dat gewijzigde wachtwoorden sterker zijn.
Goedgekeurde apps en app-beveiligingsbeleid vereisen
U moet beleid voor voorwaardelijke toegang maken om het app-beveiligingsbeleid af te dwingen dat in Intune is gemaakt. Voor het afdwingen van app-beveiligingsbeleid is een beleid voor voorwaardelijke toegang en een bijbehorend app-beveiligingsbeleid vereist.
Als u een beleid voor voorwaardelijke toegang wilt maken waarvoor goedgekeurde apps en APP-beveiliging zijn vereist, volgt u de stappen in Goedgekeurde client-apps of app-beveiligingsbeleid vereisen met mobiele apparaten. Met dit beleid hebben alleen accounts in mobiele apps die worden beveiligd door app-beveiligingsbeleid toegang tot Microsoft 365-eindpunten.
Het blokkeren van verouderde verificatie voor andere client-apps op iOS- en Android-apparaten zorgt ervoor dat deze clients het beleid voor voorwaardelijke toegang niet kunnen omzeilen. Als u de richtlijnen in dit artikel volgt, hebt u Clients blokkeren die geen ondersteuning bieden voor moderne verificatie al geconfigureerd.
Compatibele pc's en mobiele apparaten vereisen
De volgende stappen helpen bij het maken van een beleid voor voorwaardelijke toegang om te vereisen dat apparaten die toegang hebben tot resources, worden gemarkeerd als compatibel met het Intune-nalevingsbeleid van uw organisatie.
Voorzichtigheid
Zorg ervoor dat uw apparaat compatibel is voordat u dit beleid inschakelt. Anders wordt u mogelijk vergrendeld en kunt u dit beleid pas wijzigen als uw gebruikersaccount is toegevoegd aan de uitsluitingsgroep voor voorwaardelijke toegang.
- Meld u aan bij Azure Portal.
- Blader naarvoorwaardelijke toegang voor Azure Active Directory-beveiliging>>.
- Selecteer Nieuw beleid.
- Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.
- Selecteer onder Toewijzingende optie Gebruikers of workloadidentiteiten.
- Selecteer onder Opnemende optie Alle gebruikers.
- Selecteer onder Uitsluitende optie Gebruikers en groepen en kies de accounts voor noodtoegang of break-glass van uw organisatie.
- Selecteer onder Cloud-apps of acties>Opnemende optie Alle cloud-apps.
- Als u specifieke toepassingen van uw beleid moet uitsluiten, kunt u deze kiezen op het tabblad Uitsluiten onder Uitgesloten cloud-apps selecteren en selecteren.
- Onder Toegangsbeheer>verlenen.
- Selecteer Vereisen dat het apparaat als compatibel moet worden gemarkeerd.
- Selecteer Selecteren.
- Bevestig uw instellingen en stel Beleid inschakelen in op Aan.
- Selecteer Maken om te maken om uw beleid in te schakelen.
Opmerking
U kunt uw nieuwe apparaten inschrijven voor Intune, zelfs als u Vereisen dat het apparaat is gemarkeerd als compatibel voor Alle gebruikers en Alle cloud-apps in uw beleid selecteert. Vereisen dat het apparaat wordt gemarkeerd als compatibel besturingselement, blokkeert Intune inschrijving en de toegang tot de Microsoft Intune Web Bedrijfsportal-toepassing niet.
Abonnement activeren
Organisaties die gebruikmaken van de functie Abonnementsactivering om gebruikers in staat te stellen om van de ene versie van Windows naar de andere te gaan, willen mogelijk de Universal Store Service-API's en webtoepassing AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f uitsluiten van hun nalevingsbeleid voor apparaten.
Eis altijd MFA
Volg de richtlijnen in het artikel Algemeen beleid voor voorwaardelijke toegang: MFA vereisen voor alle gebruikers om te vereisen dat uw gespecialiseerde gebruikers op beveiligingsniveau altijd meervoudige verificatie uitvoeren.
Waarschuwing
Wanneer u uw beleid configureert, selecteert u de groep waarvoor gespecialiseerde beveiliging is vereist en gebruikt u deze in plaats van Alle gebruikers te selecteren.
Volgende stappen
Meer informatie over beleidsaanbeveling voor gast- en externe gebruikers