Voorwaardelijke toegang: Filteren op toepassingen

Op dit moment kan beleid voor voorwaardelijke toegang worden toegepast op alle apps of op afzonderlijke apps. Organisaties met een groot aantal apps vinden dit proces mogelijk moeilijk te beheren in meerdere beleidsregels voor voorwaardelijke toegang.

Met toepassingsfilters voor voorwaardelijke toegang kunnen organisaties service-principals taggen met aangepaste kenmerken. Deze aangepaste kenmerken worden vervolgens toegevoegd aan hun beleid voor voorwaardelijke toegang. Filters voor toepassingen worden geëvalueerd tijdens de uitgifteruntime van tokens, niet bij de configuratie.

In dit document maakt u een aangepaste kenmerkenset, wijst u een aangepast beveiligingskenmerk toe aan uw toepassing en maakt u een beleid voor voorwaardelijke toegang om de toepassing te beveiligen.

Rollen toewijzen

Aangepaste beveiligingskenmerken zijn beveiligingsgevoelig en kunnen alleen worden beheerd door gedelegeerde gebruikers. Een of meer van de volgende rollen moeten worden toegewezen aan de gebruikers die deze kenmerken beheren of rapporteren.

Wijs de juiste rol toe aan de gebruikers die deze kenmerken beheren of rapporteren op het adreslijstbereik. Zie Microsoft Entra-rollen toewijzen voor gedetailleerde stappen.

Aangepaste beveiligingskenmerken maken

Volg de instructies in het artikel aangepaste beveiligingskenmerken toevoegen of deactiveren in Microsoft Entra ID om de volgende kenmerkenset en nieuwe kenmerken toe te voegen.

• Maak een kenmerkset met de naam ConditionalAccessTest.
• Maak nieuwe kenmerken met de naam policyRequirement waarmee meerdere waarden kunnen worden toegewezen en alleen vooraf gedefinieerde waarden mogen worden toegewezen. We voegen de volgende vooraf gedefinieerde waarden toe:
  • verouderdeAuthenticatieToegestaan
  • blokkeerGastgebruikers
  • MFA vereisen
  • vereisCompliantApparaat
  • vereisenHybrideGekoppeldApparaat
  • vereistCompatibeleApp

Beleid voor voorwaardelijke toegang maken

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een beheerder voor voorwaardelijke toegang en kenmerkdefinitielezer.
2. Blader naar Entra ID>Voorwaardelijke Toegang.
3. Selecteer Nieuw beleid.
4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
5. Selecteer onder Toewijzingengebruikers of workloadidentiteiten.
   1. Onder Opnemen selecteer Alle gebruikers.
   2. Selecteer onder UitsluitenGebruikers en groepen en kies de nood- of break-glass-accounts van uw organisatie.
   3. Selecteer Gereed.
6. Selecteer onder Doelbronnen de volgende opties:
   1. Selecteer wat dit beleid van toepassing is op Cloud-apps.
   2. Selecteer resources opnemen.
   3. Selecteer Filter bewerken.
   4. Stel Configureren in op Ja.
   5. Selecteer het kenmerk dat we eerder hebben gemaakt met de naam policyRequirement.
   6. Stel operator in op Contains.
   7. Stel waarde in naar requireMFA.
   8. Selecteer Gereed.
7. Selecteer onder Toegangsbeheer>verlenende optie Toegang verlenen, Meervoudige verificatie vereisen en selecteer Selecteren.
8. Bevestig uw instellingen en stel Beleid inschakelen in op Alleen rapport.
9. Selecteer Maken om uw beleid in te schakelen.

Nadat u uw instellingen hebt bevestigd met de beleidsimpactmodus of de modus Alleen-rapporteren, verplaatst u de wisselknop Beleid inschakelen van alleen rapport naar Aan.

Aangepaste kenmerken configureren

Stap 1: Een voorbeeldtoepassing instellen

Als u al een testtoepassing hebt die gebruikmaakt van een service-principal, kunt u deze stap overslaan.

Stel een voorbeeldtoepassing in die laat zien hoe een taak of een Windows-service kan worden uitgevoerd met een toepassings-id, in plaats van de identiteit van een gebruiker. Volg de instructies in de quickstart van het artikel : Een token ophalen en de Microsoft Graph API aanroepen met behulp van de identiteit van een console-app om deze toepassing te maken.

Stap 2: Een aangepast beveiligingskenmerk toewijzen aan een toepassing

Wanneer u geen service-principal hebt die in uw tenant wordt vermeld, kan het niet worden gericht. De Office 365-suite is een voorbeeld van een dergelijke service-principal.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beheerder voor voorwaardelijke toegang~/identity/role-based-access-control/permissions-reference.md#conditional-access-administrator) en kenmerktoewijzingsbeheerder.
2. Blader naar Entra ID>Enterprise-apps.
3. Selecteer de service-principal waarop u een aangepast beveiligingskenmerk wilt toepassen.
4. Onder Beheer>, selecteer Toewijzing toevoegen.
5. Selecteer ConditionalAccessTest onder Kenmerkset.
6. Selecteer onder Kenmerknaam de policyRequirement.
7. Selecteer onder Toegewezen waardenwaarden toevoegen, selecteer VereistMFA in de lijst en selecteer Vervolgens Gereed.
8. Selecteer Opslaan.

Stap 3: Het beleid testen

Meld u aan als een gebruiker waarop het beleid van toepassing is en test om te zien dat MFA is vereist bij het openen van de toepassing.

Andere scenario's

• Verouderde authenticatie blokkeren
• Externe toegang tot toepassingen blokkeren
• Vereisen van nalevingsbeleid voor apparaten of Intune-app-beschermingsbeleidsregels
• Aanmeldingsfrequentiecontroles toepassen voor specifieke toepassingen
• Een bevoegde toegangswerkstation vereisen voor specifieke toepassingen
• Sessiebeheer vereisen voor gebruikers met een hoog risico en specifieke toepassingen

Gerelateerde inhoud

Sjablonen voor voorwaardelijke toegang

Effect bepalen met de modus Alleen rapporteren voor voorwaardelijke toegang

Gebruik de modus Alleen-rapporteren voor voorwaardelijke toegang om de resultaten van nieuwe beleidsbeslissingen te bepalen.