Beleid voor voorwaardelijke toegang instellen

Voorwaardelijke toegang is de bescherming van gereglementeerde inhoud in een systeem door te vereisen dat aan bepaalde criteria wordt voldaan voordat toegang tot de inhoud wordt verleend. Beleid voor voorwaardelijke toegang is het eenvoudigst als-dan-instructies. Als een gebruiker toegang wil tot een resource, moet deze een actie voltooien. Een salarismanager wil bijvoorbeeld toegang tot de salaristoepassing en moet hiervoor meervoudige verificatie (MFA) uitvoeren.

Met voorwaardelijke toegang kunt u twee primaire doelen bereiken:

• Stel gebruikers in staat om overal en altijd productief te zijn.
• Bescherm de assets van uw organisatie.

Met behulp van beleid voor voorwaardelijke toegang kunt u de juiste toegangsbeheer toepassen wanneer dat nodig is om uw organisatie veilig te houden en uit de weg te blijven van uw gebruiker wanneer dat niet nodig is.

Hoe vaak een gebruiker wordt gevraagd om opnieuw te verifiëren, is afhankelijk van Microsoft Entra configuratie-instellingen voor de levensduur van de sessie. Hoewel het onthouden van referenties handig is, kan het ook implementaties voor bedrijfsscenario's met persoonlijke apparaten minder veilig maken. Om uw gebruikers te beschermen, kunt u ervoor zorgen dat de client vaker om Microsoft Entra referenties voor meervoudige verificatie vraagt. U kunt de aanmeldingsfrequentie voor voorwaardelijke toegang gebruiken om dit gedrag te configureren.

Beleid voor voorwaardelijke toegang toewijzen voor cloud-pc's

Beleid voor voorwaardelijke toegang is niet standaard ingesteld voor uw tenant. U kunt CA-beleid richten op de eigen cloud-pc-app met behulp van een van de volgende platforms:

• Azure. Zie Voorwaardelijke toegang Microsoft Entra voor meer informatie.
• Microsoft Intune. In de onderstaande stappen wordt dit proces uitgelegd. Zie Meer informatie over voorwaardelijke toegang en Intune voor meer informatie.

Ongeacht welke methode u gebruikt, worden de beleidsregels afgedwongen in de portal voor eindgebruikers van cloud-pc's en de verbinding met de cloud-pc.

1. Meld u aan bij het Microsoft Intune-beheercentrum en selecteer Eindpuntbeveiliging>Voorwaardelijke toegang>Nieuw beleid maken.

2. Geef een naam op voor uw specifieke beleid voor voorwaardelijke toegang.

3. Selecteer onder Gebruikers0 gebruikers en groepen geselecteerd.

4. Selecteer op het tabblad Opnemende optie Gebruikers en groepen> selecteren selecteer Gebruikers en groepen> onder Selecteren, kies 0 gebruikers en groepen geselecteerd.

5. Zoek in het nieuwe deelvenster dat wordt geopend naar en selecteer de specifieke gebruiker of groep waarop u het CA-beleid wilt toepassen. Kies vervolgens Selecteren.

6. Selecteer onder Doelresourcesde optie Geen doelresources geselecteerd.

7. Kies op het tabblad Opnemende optie Apps> selecteren onder Selecteren en kies Geen.

8. Zoek en selecteer in het deelvenster Selecteren de volgende apps op basis van de resources die u probeert te beveiligen:

   • Windows 365 (app-id 0af06dc6-e4b5-4f28-818e-e78e62d137a5). U kunt ook zoeken naar 'cloud' om deze app te vinden. Deze app wordt gebruikt bij het ophalen van de lijst met resources voor de gebruiker en wanneer gebruikers acties starten op hun cloud-pc, zoals Opnieuw opstarten.
   • Azure Virtual Desktop (app-id 9cdead84-a844-4324-93f2-b2e6bb768d07). Deze app kan ook worden weergegeven als Windows Virtual Desktop. Deze app wordt gebruikt voor verificatie bij de Azure Virtual Desktop-gateway tijdens de verbinding en wanneer de client diagnostische gegevens naar de service verzendt.
   • Microsoft Extern bureaublad (app-id a4a365df-50f1-4397-bc59-1a1564b8bb9c) en Windows Cloud-aanmelding (app-id 270efc09-cd0d-444b-a71f-39af4910ec45). Deze apps zijn alleen nodig wanneer u eenmalige aanmelding configureert in een inrichtingsbeleid. Deze apps worden gebruikt om gebruikers te verifiëren bij de cloud-pc.

   Het wordt aanbevolen om het beleid voor voorwaardelijke toegang tussen deze apps te vergelijken. Dit zorgt ervoor dat het beleid van toepassing is op de cloud-pc-eindgebruikersportal, de verbinding met de gateway en de cloud-pc voor een consistente ervaring. Als u apps wilt uitsluiten, moet u ook al deze apps kiezen.

   Belangrijk

   Als eenmalige aanmelding is ingeschakeld, maakt verificatie voor de cloud-pc momenteel gebruik van de Microsoft Remote Desktop Entra ID-app. Bij een aanstaande wijziging wordt de verificatie overgezet naar de Windows Cloud Login Entra ID-app. Voor een soepele overgang moet u beide Entra ID-apps toevoegen aan uw CA-beleid.

   Opmerking

   Als u de aanmeldings-app voor Windows Cloud niet ziet wanneer u uw beleid voor voorwaardelijke toegang configureert, gebruikt u de onderstaande stappen om de app te maken. U moet de machtigingen Eigenaar of Inzender hebben voor het abonnement om deze wijzigingen aan te brengen:

   1. Meld u aan bij Azure Portal.
   2. Selecteer Abonnementen in de lijst met Azure-services.
   3. Selecteer de naam van uw abonnement.
   4. Selecteer Resourceproviders en selecteer vervolgens Microsoft.DesktopVirtualization.
   5. Selecteer Registreren bovenaan.

   Nadat de resourceprovider is geregistreerd, wordt de app Windows-cloudaanmelding weergegeven in de configuratie van het beleid voor voorwaardelijke toegang bij het selecteren van apps waarop het beleid moet worden toegepast. Als u Azure Virtual Desktop niet gebruikt, kunt u de registratie van de resourceprovider Microsoft.DesktopVirtualization ongedaan maken nadat de Aanmeldings-app voor Windows Cloud beschikbaar is.

9. Als u uw beleid wilt verfijnen, kiest u onder Verlenende optie 0 besturingselementen geselecteerd.

10. Kies in het deelvenster Verlenen de opties voor het verlenen of blokkeren van toegang die u wilt toepassen op alle objecten die aan dit beleid > zijn toegewezen Selecteren.

11. Als u eerst uw beleid wilt testen, selecteert u onder Beleid inschakelende optie Alleen rapporteren. Als u deze instelt op Aan, wordt het beleid toegepast zodra u het hebt gemaakt.

12. Selecteer Maken om het beleid te maken.

U kunt uw lijst met actieve en inactieve beleidsregels zien in de weergave Beleid in de gebruikersinterface voor voorwaardelijke toegang.

Aanmeldingsfrequentie configureren

Met beleid voor aanmeldingsfrequentie kunt u de periode instellen waarna een gebruiker zijn identiteit opnieuw moet bewijzen bij het openen van resources op basis van Microsoft Entra. Dit kan uw omgeving helpen beveiligen en is vooral belangrijk voor persoonlijke apparaten, waarbij het lokale besturingssysteem mogelijk geen MFA vereist of niet automatisch wordt vergrendeld na inactiviteit.

Beleid voor aanmeldingsfrequentie resulteert in ander gedrag op basis van de geselecteerde Microsoft Entra app:

App-naam	App-id	Gedrag
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Dwingt herverificatie af wanneer een gebruiker de lijst met cloud-pc's ophaalt en wanneer gebruikers acties starten op hun cloud-pc, zoals opnieuw opstarten.
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Dwingt opnieuw verificatie af wanneer een gebruiker zich verifieert bij de Azure Virtual Desktop Gateway tijdens een verbinding.
Microsoft Extern bureaublad Aanmelding bij Windows Cloud	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	Dwingt opnieuw verificatie af wanneer een gebruiker zich aanmeldt bij de cloud-pc wanneer eenmalige aanmelding is ingeschakeld. Beide apps moeten samen worden geconfigureerd, omdat de clients binnenkort overstappen van het gebruik van de Microsoft Extern bureaublad-app naar de Windows Cloud Login-app om te verifiëren bij de cloud-pc.

De periode configureren waarna een gebruiker wordt gevraagd zich opnieuw aan te melden:

1. Open het beleid dat u eerder hebt gemaakt.
2. Selecteer onder Sessie0 geselecteerde besturingselementen.
3. Selecteer in het deelvenster Sessiede optie Aanmeldingsfrequentie.
4. Selecteer Periodieke herverificatie of Elke keer.
   • Als u Periodieke herverificatie selecteert, stelt u de waarde in voor de periode waarna een gebruiker wordt gevraagd zich opnieuw > aan te melden Selecteer. Als u bijvoorbeeld de waarde instelt op 1 en de eenheid op Uren, is meervoudige verificatie vereist als een verbinding meer dan een uur na de laatste wordt gestart.
   • De optie Elke keer is momenteel beschikbaar in openbare preview en wordt alleen ondersteund wanneer deze wordt toegepast op de Microsoft Extern bureaublad - en Windows Cloud-aanmeldingsapps wanneer eenmalige aanmelding is ingeschakeld voor uw cloud-pc's. Als u Elke keer selecteert, worden gebruikers na een periode van 10 tot 15 minuten na de laatste keer dat ze zijn geverifieerd voor de microsoft extern bureaublad- en Windows-cloudaanmeldingsapps gevraagd om opnieuw te verifiëren.
5. Selecteer onder aan de pagina De optie Opslaan.

Opmerking

• Herverificatie vindt alleen plaats wanneer een gebruiker zich moet verifiëren bij een resource. Nadat een verbinding tot stand is gebracht, wordt gebruikers niet gevraagd, zelfs niet als de verbinding langer duurt dan de aanmeldingsfrequentie die u hebt geconfigureerd.
• Gebruikers moeten zich opnieuw verifiëren als er een netwerkonderbreking is waardoor de sessie na de aanmeldingsfrequentie opnieuw tot stand wordt gebracht. Dit kan leiden tot vaker verificatieaanvragen op instabiele netwerken.

Volgende stappen

RDP-apparaatomleidingen beheren