Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberenu aan te melden ofde directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen demappen te wijzigen.
Veel organisaties hebben vragen bij het implementeren van Microsoft 365 op een veilige manier. Het beleid voor voorwaardelijke toegang, app-beveiliging en nalevingsbeleid voor apparaten in dit artikel is gebaseerd op de aanbevelingen van Microsoft en de drie leidende principes van Zero Trust:
- Uitdrukkelijk verifiëren
- Gebruik de minste bevoegdheden
- Ga uit van een doorbraak
Organisaties kunnen deze beleidsregels als zodanig gebruiken of aanpassen aan hun behoeften. Test uw beleidsregels in een niet-productieomgeving om mogelijke effecten te identificeren en hen te communiceren met gebruikers voordat ze naar productie worden geïmplementeerd. Testen is essentieel om mogelijke effecten voor gebruikers te identificeren en te communiceren.
We groeperen deze beleidsmaatregelen in drie beschermingsniveaus op basis van waar u zich bevindt op uw implementatiereis.
- Startpunt: Basiscontroles die multifactor-authenticatie, veilige wachtwoordwijzigingen en Intune-app-beveiligingsbeleid voor mobiele apparaten introduceren.
- Enterprise: Verbeterde controles die apparaatcompliance introduceren.
- Gespecialiseerde beveiliging: Beleid dat elke keer multifactor-authenticatie vereist voor specifieke datasets of gebruikers.
In dit diagram ziet u de beveiligingsniveaus voor elk beleid en de typen apparaten waarop ze van toepassing zijn:
U kunt dit diagram downloaden als een PDF-bestand of een bewerkbaar Visio-bestand .
Aanbeveling
Meervoudige verificatie (MFA) vereisen voor gebruikers voordat ze apparaten inschrijven bij Intune om te bevestigen dat het apparaat bij de beoogde gebruiker is. MFA is standaard ingeschakeld voor grondige beveiligingsstandaarden of u kunt beleid voor voorwaardelijke toegang gebruiken om MFA voor alle gebruikers te vereisen.
Apparaten moeten worden ingeschreven bij Intune voordat u nalevingsbeleid voor apparaten kunt afdwingen.
Vereiste voorwaarden
Machtigingen
De volgende machtigingen in Microsoft Entra zijn vereist:
- Beheren van beleidsregels voor voorwaardelijke toegang: De rol van beheerder voor voorwaardelijke toegang.
- App-beveiligings- en apparaatnalevingsbeleid beheren: de rol Intune-beheerder.
- Alleen configuraties bekijken: De Security Reader rol.
Voor meer informatie over rollen en machtigingen in Microsoft Entra, zie Overzicht van op rollen gebaseerde toegangscontrole in Microsoft Entra ID.
Gebruikersregistratie
Zorg ervoor dat gebruikers zich registreren voor MFA voordat ze deze moeten gebruiken. Als uw licenties Microsoft Entra ID P2 bevatten, kunt u het MFA-registratiebeleid in Microsoft Entra ID Protection gebruiken om gebruikers te verplichten zich te registreren. We bieden communicatiesjablonen die u kunt downloaden en aanpassen om gebruikersregistratie te promoten.
Groepen
Alle Microsoft Entra-groepen die in deze aanbevelingen worden gebruikt, moeten Microsoft 365-groepen zijn, niet beveiligingsgroepen. Deze vereiste is belangrijk voor de implementatie van vertrouwelijkheidslabels voor het beveiligen van documenten in Microsoft Teams en SharePoint. Voor meer informatie, zie Meer informatie over groepen en toegangsrechten in Microsoft Entra ID.
Beleidsregels toewijzen
U kunt beleid voor voorwaardelijke toegang toewijzen aan gebruikers, groepen en beheerdersrollen. Je kunt Intune-appbescherming en apparaatnalevingsbeleid alleen aan groepen toewijzen. Voordat u uw beleid configureert, moet u bepalen wie moet worden opgenomen en uitgesloten. Het beveiligingsniveaubeleid voor beginpunten is doorgaans van toepassing op iedereen in de organisatie.
In de volgende tabel worden voorbeeldgroeptoewijzingen en uitsluitingen voor MFA beschreven nadat gebruikers gebruikersregistratie hebben voltooid:
| Microsoft Entra Voorwaardelijk Toegangsbeleid | Toevoegen | Uitsluiten | |
|---|---|---|---|
| Beginpunt | Vereis multifactor-authenticatie voor Gemiddeld of Hoog aanmeldingsrisico | Alle gebruikers |
|
| Onderneming | Vereis meervoudige verificatie voor Lage, Middelgrote of Hoge aanmeldingsrisico's | Groep leidinggevenden |
|
| Gespecialiseerde beveiliging | Vereist multifactor-authenticatie always | Top Secret Project Buckeye-groep |
|
Aanbeveling
Pas zorgvuldig hogere beveiligingsniveaus toe op gebruikers en groepen. Het doel van de beveiliging is niet om onnodige wrijving toe te voegen aan de gebruikerservaring. Leden van de Top Secret Project Buckeye-groep moeten bijvoorbeeld MFA gebruiken telkens wanneer ze zich aanmelden, zelfs als ze niet aan de gespecialiseerde inhoud van hun project werken. Overmatige veiligheidswrijving kan tot vermoeidheid leiden. Schakel phishingbestendige verificatiemethoden in (bijvoorbeeld Windows Hello voor Bedrijven- of FIDO2-beveiligingssleutels) om de wrijving te verminderen die wordt veroorzaakt door beveiligingscontroles.
Noodtoegangsaccounts
Elke organisatie heeft ten minste één account voor toegang voor noodgevallen nodig dat wordt bewaakt voor gebruik en uitgesloten van beleid. Voor grotere organisaties zijn mogelijk meer accounts vereist. Deze accounts worden alleen gebruikt in het geval dat alle andere beheerdersaccounts en authenticatiemethoden worden vergrendeld of anderszins niet beschikbaar zijn. Zie Accounts voor toegang tot noodgevallen beheren in Microsoft Entra IDvoor meer informatie.
Gebruikers uitsluiten
Het is aan te raden een Microsoft Entra-groep aan te maken voor uitsluitingen op voorwaardelijke toegang. Deze groep biedt u de mogelijkheid om een gebruiker toegang te geven terwijl u problemen met toegang oplost. Functies zoals toegangsbeoordelingen in Microsoft Entra ID Governance helpen u bij het beheren van gebruikers die zijn uitgesloten van beleid voor voorwaardelijke toegang
Waarschuwing
We raden een uitsluitingsgroep alleen aan als tijdelijke oplossing. Controleer deze groep continu op wijzigingen en zorg ervoor dat deze alleen wordt gebruikt voor het beoogde doel.
Gebruik de volgende stappen om een uitsluitingsgroep toe te voegen aan bestaand beleid.
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beheerder voor voorwaardelijke toegang.
- Blader naar Beveiliging>Voorwaardelijke toegang>Beleidsregels.
- Selecteer een bestaand beleid door op de naam te klikken.
- Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
een. Selecteer onder Uitsluitengebruikers en groepen en kies de volgende identiteiten:
- Gebruikers: Uw accounts voor toegang tot noodgevallen.
- Groepen: Uw uitsluitingsgroep voor voorwaardelijke toegang. b. Klik op Select.
- Breng eventuele andere wijzigingen aan.
- Selecteer Opslaan.
Toepassingen uitsluiten
We raden u aan een basislijnbeleid voor meervoudige verificatie te maken dat is gericht op alle gebruikers en alle resources (zonder toepassingsuitsluitingen), zoals wordt uitgelegd in Meervoudige verificatie vereisen voor alle gebruikers. Het uitsluiten van bepaalde toepassingen kan onbedoelde gevolgen hebben voor beveiliging en bruikbaarheid die worden beschreven in gedrag voor voorwaardelijke toegang wanneer een beleid voor alle resources een app-uitsluiting heeft. Toepassingen, zoals Microsoft 365 en Microsoft Teams, zijn afhankelijk van meerdere services die gedrag onvoorspelbaar maken wanneer uitsluitingen worden gemaakt.
Uitrol
We raden aan om de startpuntbeleid in de volgorde die in de volgende tabel wordt genoemd te implementeren. U kunt de MFA-beleid voor ondernemingen en gespecialiseerde beveiligingsniveaus op elk gewenst moment implementeren.
Beginpunt:
| Beleid | Meer informatie | Licentiëring |
|---|---|---|
| Vereis MFA wanneer het aanmeldingsrisico Middelmatig of Hoog is | MFA vereisen alleen wanneer het risico wordt gedetecteerd door Microsoft Entra ID Protection. |
|
| Blokkeer clients die geen moderne verificatie ondersteunen | Clients die geen gebruik maken van moderne authenticatie kunnen het beleid voor voorwaardelijke toegang omzeilen, dus het is belangrijk om ze te blokkeren. | Microsoft 365 E3 of E5 |
| Gebruikers met een hoog risico moeten hun wachtwoord wijzigen | Forceer gebruikers hun wachtwoord te wijzigen bij het aanmelden als er hoogrisicoactiviteit voor hun account wordt gedetecteerd. |
|
| Pas applicatiebeveiligingsbeleid (APP) toe voor gegevensbescherming | Een Intune-app per mobiele apparatenplatform (Windows, iOS/iPadOS en Android). | Microsoft 365 E3 of E5 |
| Vereis goedgekeurde apps en beleidsregels voor app-bescherming | Past beleid voor appbescherming toe voor mobiele apparaten die iOS, iPadOS of Android gebruiken. | Microsoft 365 E3 of E5 |
Onderneming:
| Beleid | Meer informatie | Licentiëring |
|---|---|---|
| Vereis MFA wanneer het inlogrisico Laag, Gemiddeld, of Hoog is | MFA vereisen alleen wanneer het risico wordt gedetecteerd door Microsoft Entra ID Protection. |
|
| Definieer apparaat nalevingsbeleid | Stel minimale configuratievereisten in. Eén beleid voor elk platform. | Microsoft 365 E3 of E5 |
| Vereis conforme pc's en mobiele apparaten | Handhaaft de configuratie-eisen voor apparaten die toegang hebben tot uw organisatie | Microsoft 365 E3 of E5 |
Gespecialiseerde beveiliging:
| Beleid | Meer informatie | Licentiëring |
|---|---|---|
| Altijd MFA vereisen | Gebruikers moeten MFA doen wanneer ze zich aanmelden bij services in de organisatie. | Microsoft 365 E3 of E5 |
Beleidsregels voor app-beveiliging
app-beveiligingsbeleid toegestane apps en de acties opgeven die ze kunnen uitvoeren met de gegevens van uw organisatie. Hoewel er veel beleidsregels zijn waaruit u kunt kiezen, beschrijft de volgende lijst onze aanbevolen basislijnen.
Aanbeveling
Hoewel we drie sjablonen aanbieden, zouden de meeste organisaties ervoor moeten kiezen om Niveau 2 (komt overeen met startpunt of enterpriseniveau beveiliging) en Niveau 3 (komt overeen met gespecialiseerde beveiliging) te gebruiken.
Niveau 1 Enterprise Basic Data Protection: Deze configuratie wordt aangeraden als minimale gegevensbescherming voor bedrijfsapparaten.
Niveau 2 enterprise enhanced data protection: We raden deze configuratie aan voor apparaten die toegang hebben tot gevoelige gegevens of vertrouwelijke informatie. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens. Sommige besturingselementen kunnen van invloed zijn op de gebruikerservaring.
Niveau 3 Enterprise High Data Protection: Deze configuratie wordt aanbevolen in de volgende scenario's:
- Organisaties met grotere of geavanceerdere beveiligingsteams.
- Apparaten die worden gebruikt door specifieke gebruikers of groepen die een uniek hoog risico lopen. Gebruikers die bijvoorbeeld zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijk verlies voor de organisatie zou veroorzaken
Organisaties die waarschijnlijk het doelwit zijn van goed gefinancierde en geavanceerde aanvallers, moeten zich richten op deze configuratie.
Maak een nieuw app-beveiligingsbeleid voor elk apparaatsplatform binnen Microsoft Intune (iOS/iPadOS en Android) met behulp van de instellingen van het gegevensbeschermingsraamwerk door een van de volgende methoden te gebruiken:
- Maak de beleidsregels handmatig aan door de stappen te volgen in Hoe u app-beschermingsbeleid maakt en implementeert met Microsoft Intune.
- Importeer de voorbeeld Intune App Protection Policy Configuration Framework JSON templates met de PowerShell-scripts van Intune.
Beleid voor apparaatnaleving
Intune-apparaatcompliancebeleid definieert de vereisten waaraan apparaten moeten voldoen om compliant te zijn. U moet een beleid maken voor elk pc-, telefoon- of tabletplatform. De volgende secties beschrijven de aanbevelingen voor de volgende platforms.
Nalevingsbeleid voor apparaten maken
Volg deze stappen om nalevingsbeleid voor apparaten te maken:
- Meld u als Intune-beheerder aan bij het Microsoft Intune-beheercentrum.
- Blader naar Apparaten>Naleving>Beleid maken.
Zie Een nalevingsbeleid maken in Microsoft Intunevoor stapsgewijze instructies.
Inschrijvings- en nalevingsinstellingen voor iOS/iPadOS
iOS/iPadOS ondersteunt verschillende inschrijvingsscenario's, waarvan er twee onder dit framework vallen:
- Apparaatinschrijving voor apparaten in persoonlijk eigendom: apparaten in persoonlijk eigendom (ook wel Bring Your Own Device of BYOD genoemd) die ook worden gebruikt voor werk.
- Automatische apparaatinschrijving voor apparaten in bedrijfseigendom: apparaten die eigendom zijn van een organisatie die aan één gebruiker zijn gekoppeld en uitsluitend worden gebruikt voor werk.
Aanbeveling
Zoals eerder beschreven, komt Niveau 2 overeen met het beveiligingsniveau van een beginpunt of onderneming, en Niveau 3 komt overeen met gespecialiseerde beveiliging. Zie Zero Trust-identiteits- en apparaattoegangsconfiguratiesvoor meer informatie.
Instellingen voor naleving voor persoonlijk geregistreerde apparaten
- Persoonlijke basisbeveiliging (niveau 1): deze configuratie wordt aanbevolen als minimale beveiliging voor persoonlijke apparaten die toegang hebben tot werk- of schoolgegevens. U bereikt deze configuratie door wachtwoordbeleid, apparaatvergrendelingskenmerken af te dwingen en bepaalde apparaatfuncties uit te schakelen (bijvoorbeeld niet-vertrouwde certificaten).
- Persoonlijke verbeterde beveiliging (niveau 2): deze configuratie wordt aangeraden voor apparaten die toegang hebben tot gevoelige gegevens of vertrouwelijke informatie. Met deze configuratie kunt u instellingen voor het delen van gegevens mogelijk maken. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens.
- persoonlijke hoge beveiliging (niveau 3): deze configuratie wordt aangeraden voor apparaten die worden gebruikt door specifieke gebruikers of groepen die een uniek hoog risico lopen. Gebruikers die bijvoorbeeld zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke schade zou toebrengen aan de organisatie. Deze configuratie maakt sterker wachtwoordbeleid mogelijk, schakelt bepaalde apparaatfuncties uit en dwingt extra beperkingen voor gegevensoverdracht af.
Instellingen voor naleving voor geautomatiseerde apparaataanmelding.
- basisbeveiliging (niveau 1) onder supervisie: deze configuratie wordt aangeraden als minimale beveiliging voor bedrijfsapparaten die toegang hebben tot werk- of schoolgegevens. U bereikt deze configuratie door wachtwoordbeleid, apparaatvergrendelingskenmerken af te dwingen en bepaalde apparaatfuncties uit te schakelen (bijvoorbeeld niet-vertrouwde certificaten).
- Verbeterde beveiliging onder supervisie (niveau 2): deze configuratie wordt aangeraden voor apparaten die toegang hebben tot gevoelige gegevens of vertrouwelijke informatie. Deze configuratie maakt het delen van gegevens mogelijk en blokkeert de toegang tot USB-apparaten. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens op een apparaat.
- hoge beveiliging onder supervisie (niveau 3): deze configuratie wordt aangeraden voor apparaten die worden gebruikt door specifieke gebruikers of groepen die een uniek hoog risico lopen. Gebruikers die bijvoorbeeld zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke schade zou toebrengen aan de organisatie. Deze configuratie maakt sterker wachtwoordbeleid mogelijk, schakelt bepaalde apparaatfuncties uit, dwingt extra beperkingen voor gegevensoverdracht af en vereist dat apps worden geïnstalleerd via het volume-aankoopprogramma van Apple.
Instellingen voor aanmelding en naleving voor Android
Android Enterprise ondersteunt verschillende inschrijvingsscenario's, waarvan twee onder dit framework vallen:
- Android Enterprise-werkprofiel: apparaten in persoonlijk eigendom (ook wel Bring Your Own Device of BYOD genoemd) die ook worden gebruikt voor werk. Beleidsregels die worden beheerd door de IT-afdeling zorgen ervoor dat werkgegevens niet kunnen worden overgedragen naar het persoonlijke profiel.
- volledig beheerde Android Enterprise-apparaten: apparaten die eigendom zijn van de organisatie die aan één gebruiker zijn gekoppeld en die uitsluitend worden gebruikt voor werk.
Het Configuratieframework voor Beveiliging van Android Enterprise is ingedeeld in verschillende verschillende configuratiescenario's die richtlijnen bieden voor werkprofiel en volledig beheerde scenario's.
Aanbeveling
Zoals eerder beschreven, komt Niveau 2 overeen met het beveiligingsniveau van een beginpunt of onderneming, en Niveau 3 komt overeen met gespecialiseerde beveiliging. Zie Zero Trust-identiteits- en apparaattoegangsconfiguratiesvoor meer informatie.
Compliance-instellingen voor Android Enterprise werkprofielen-apparaten
- Er is geen basisaanbieding voor beveiliging (niveau 1) voor apparaten met een werkprofiel die persoonlijk eigendom zijn. De beschikbare instellingen rechtvaardigen geen verschil tussen niveau 1 en niveau 2.
- verbeterde beveiliging van werkprofielen (niveau 2): we raden deze configuratie aan als minimale beveiliging voor persoonlijke apparaten die toegang hebben tot werk- of schoolgegevens. Deze configuratie introduceert wachtwoordvereisten, scheidt werk- en persoonlijke gegevens, en valideert Android-apparaatattestatie.
- werkprofiel hoge beveiliging (niveau 3): deze configuratie wordt aangeraden voor apparaten die worden gebruikt door specifieke gebruikers of groepen die een uniek hoog risico lopen. Gebruikers die bijvoorbeeld zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke schade zou toebrengen aan de organisatie. Deze configuratie introduceert Mobile Threat Defense of Microsoft Defender voor Eindpunt, stelt de minimale Android-versie in, maakt sterker wachtwoordbeleid mogelijk en scheidt werk- en persoonlijke gegevens verder.
Compliance-instellingen voor volledig beheerde Android Enterprise-apparaten
- volledig beheerde basisbeveiliging (niveau 1): deze configuratie wordt aangeraden als minimale beveiliging voor een bedrijfsapparaat. Deze configuratie is van toepassing op de meeste mobiele gebruikers die werk- of schoolgegevens hebben. Deze configuratie introduceert wachtwoordvereisten, stelt de minimale Android-versie in en maakt specifieke apparaatbeperkingen mogelijk.
- volledig beheerde verbeterde beveiliging (niveau 2): deze configuratie wordt aangeraden voor apparaten die toegang hebben tot gevoelige gegevens of vertrouwelijke informatie. Deze configuratie maakt sterker wachtwoordbeleid mogelijk en schakelt mogelijkheden voor gebruikers/accounts uit.
- volledig beheerde hoge beveiliging (niveau 3): deze configuratie wordt aangeraden voor apparaten die worden gebruikt door specifieke gebruikers of groepen die een uniek hoog risico lopen. Gebruikers die bijvoorbeeld zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke schade zou toebrengen aan de organisatie. Deze configuratie verhoogt de minimale Android-versie, introduceert mobiele dreigingsbescherming of Microsoft Defender voor Eindpunt, en handhaaft extra apparaatbeperkingen.
Aanbevolen nalevingsinstellingen voor Windows 10 en later
Configureer de volgende instellingen zoals beschreven in Instellingen voor naleving van apparaten voor Windows 10/11 in Intune. Deze instellingen zijn in overeenstemming met de principes zoals beschreven in Zero Trust-identiteit- en apparaattoegangsconfiguraties.
Apparaatstatus>Evaluatieregels voor Windows Health Attestation Service:
Eigendom Waarde BitLocker vereisen Vereisen Vereisen dat Secure Boot op het apparaat is ingeschakeld Vereisen Code-integriteit vereisen Vereisen Apparaateigenschappen>Besturingssysteemversie: Voer de juiste waarden in voor besturingssysteemversies op basis van uw IT- en beveiligingsbeleid.
Eigendom Waarde Minimale versie van het besturingssysteem Maximale versie van het besturingssysteem Minimaal besturingssysteem dat is vereist voor mobiele apparaten Maximale besturingssysteem dat is vereist voor mobiele apparaten Geldige besturingssysteemversies Configuration Manager-nalevingsbeleid:
Eigendom Waarde Apparaatcompatibiliteit vereisen vanuit Configuration Manager Selecteer Required in omgevingen die co-managed zijn met Configuration Manager. Anders, selecteer Niet geconfigureerd. Systeembeveiliging:
Eigendom Waarde Wachtwoord Vereis een wachtwoord om mobiele apparaten te ontgrendelen Vereisen Eenvoudige wachtwoorden Blok Wachtwoordtype Standaardinstelling van het apparaat Minimale wachtwoordlengte 6 Maximum aantal inactiviteit in minuten voordat een wachtwoord is vereist 15 minuten Wachtwoordverloop (dagen) 41 Aantal vorige wachtwoorden om hergebruik te voorkomen 5 Wachtwoord vereisen wanneer het apparaat terugkeert uit inactieve staat (Mobile and Holographic) Vereisen Versleuteling Vereis versleuteling van gegevensopslag op het apparaat Vereisen Firewall Brandmuur Vereisen Antivirus Antivirussoftware Vereisen Antispyware Anti-spionagesoftware Vereisen Verdediger Microsoft Defender antimalware Vereisen Minimale versie van Microsoft Defender antimalware We raden een waarde aan die niet meer dan vijf versies achter de meest recente versie is. Microsoft Defender anti-malwarehandtekening actueel Vereisen Realtime bescherming Vereisen Microsoft Defender voor Eindpunt:
Eigendom Waarde Vereis dat het apparaat zich bij of onder de machine-risicoscore bevindt Gemiddeld
Voorwaardelijke toegang beleidsregels
Nadat u app-beveiligingsbeleid en nalevingsbeleid voor apparaten in Intune hebt gemaakt, kunt u afdwingen met beleid voor voorwaardelijke toegang inschakelen.
Vereis MFA op basis van aanmeldingsrisico
Volg de richtlijnen in: Meervoudige verificatie vereisen voor verhoogde aanmeldingsrisico's om een beleid te maken waarvoor meervoudige verificatie is vereist op basis van aanmeldingsrisico's.
Gebruik bij het configureren van het beleid de volgende risiconiveaus:
| Beveiligingsniveau | Risiconiveaus |
|---|---|
| Beginpunt | Gemiddeld en Hoog |
| Onderneming | Laag, Middel, en Hoog |
Blokkeer klanten die geen meervoudige authenticatie ondersteunen
Volg de richtlijnen in: Blokkeer legacy-authenticatie met voorwaardelijke toegang.
Hoogriscogebruikers moeten hun wachtwoord veranderen
Volg de richtlijnen in: Een veilige wachtwoordwijziging vereisen voor verhoogde gebruikersrisico's om te vereisen dat gebruikers met gecompromitteerde referenties hun wachtwoord wijzigen.
Gebruik dit beleid samen met Microsoft Entra-wachtwoordbeveiliging, waarmee bekende zwakke wachtwoorden, hun varianten en specifieke termen in uw organisatie worden gedetecteerd en geblokkeerd. Het gebruik van beveiliging voor wachtwoorden van Microsoft Entra zorgt ervoor dat gewijzigde wachtwoorden sterker zijn.
Vereis goedgekeurde apps of app-beveiligingsbeleid
U moet een beleid voor voorwaardelijke toegang maken om app-beveiligingsbeleid af te dwingen dat u in Intune maakt. Het afdwingen van app beschermingsbeleid vereist een beleid voor voorwaardelijke toegang en een overeenkomstig app beschermingsbeleid.
Om een Conditional Access-beleid te maken dat goedgekeurde apps of appbescherming vereist, volgt u de stappen in Vereist goedgekeurde cliëntapps of appbeschermingsbeleid. Met dit beleid kunnen alleen accounts binnen apps die worden beveiligd door app-beveiligingsbeleid toegang krijgen tot Microsoft 365-eindpunten.
Het blokkeren van verouderde verificatie voor andere apps op iOS-/iPadOS- en Android-apparaten zorgt ervoor dat deze apparaten geen beleid voor voorwaardelijke toegang kunnen omzeilen. Door de richtlijnen in dit artikel te volgen, bent u al bezig met het blokkeren van clients die geen ondersteuning bieden voor moderne verificatie.
Vereisen conforme pc's en mobiele apparaten
Waarschuwing
Controleer of uw eigen apparaat voldoet aan de eisen voordat u dit beleid inschakelt. Anders kunt u worden vergrendeld en moet u een account voor toegang tot noodgevallen gebruiken om uw toegang te herstellen.
Toegang tot resources alleen toestaan nadat is vastgesteld dat het apparaat voldoet aan uw Intune-nalevingsbeleid. Voor meer informatie, zie Apparaatcompatibiliteit met voorwaardelijke toegang vereisen.
Je kunt nieuwe apparaten aan Intune toevoegen, zelfs als je de optie Vereis dat het apparaat als compatibel wordt gemarkeerd selecteert voor Alle gebruikers en Alle cloud-apps in het beleid. Vereisen dat het apparaat als conform gemarkeerd wordt blokkeert niet de Intune-inschrijving of de toegang tot de Microsoft Intune-webportal-app.
Abonnementsactivering
Als uw organisatie gebruikmaakt van activering van Windows-abonnementen om gebruikers in staat te stellen 'op te treden' van de ene versie van Windows naar de andere, moet u de API's van de Universal Store Service en webtoepassing (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) uitsluiten van de apparaatcompatibiliteit.
Altijd MFA vereisen
MFA vereisen voor alle gebruikers door de richtlijnen in dit artikel te volgen: Meervoudige verificatie vereisen voor alle gebruikers.
Volgende stappen
