Share via

Meervoudige verificatie vereisen voor apparaatregistratie

Gebruik de actie Voorwaardelijke toegang om beleid af te dwingen wanneer gebruikers apparaten registreren of toevoegen aan Microsoft Entra-id. Dit besturingselement biedt granulariteit bij het configureren van meervoudige verificatie voor het registreren of samenvoegen van apparaten in plaats van een tenantbreed beleid dat momenteel bestaat. Beheerders kunnen dit beleid aanpassen aan de beveiligingsbehoeften van hun organisatie.

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang is krachtige hulpprogramma's. We raden u aan de volgende accounts uit uw beleid uit te sluiten:

  • Accounts voor noodtoegang of break-glass om vergrendeling te voorkomen vanwege onjuiste configuratie van beleid. In het onwaarschijnlijke scenario waarin alle beheerders zijn vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en de toegang te herstellen.
  • Serviceaccounts en serviceprincipals, zoals het Microsoft Entra Connect-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een specifieke gebruiker. Ze worden meestal gebruikt door back-endservices om programmatische toegang tot toepassingen toe te staan, maar ze worden ook gebruikt om zich voor beheerdoeleinden aan te melden bij systemen. Aanroepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workloadidentiteiten om beleidsregels te definiĆ«ren die gericht zijn op service-principals.
    • Als uw organisatie deze accounts gebruikt in scripts of code, vervangt u deze door beheerde identiteiten.

Beleid voor voorwaardelijke toegang maken

Waarschuwing

Als u externe verificatiemethoden gebruikt, zijn deze methoden momenteel niet compatibel met verificatiesterkte en moet u het besturingselement Meervoudige verificatie verlenen vereisen gebruiken.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een voorwaardelijke toegang beheerder.
  2. Blader naar Entra ID>Voorwaardelijke Toegang>beleid.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen, selecteer gebruikers of workloadidentiteiten.
    1. Onder Opnemen, selecteer alle gebruikers.
    2. Selecteer onder UitsluitenGebruikers en groepen en kies de noodtoegang of break-glass accounts van uw organisatie.
  6. Selecteer onder Gebruikersacties doelbronnen> de optie Apparaten registreren of eraan koppelen.
  7. Onder Toegangsbeheer>Verlenen, selecteer Toegang verlenen.
    1. Selecteer Verificatiesterkte vereisen en selecteer vervolgens de ingebouwde meervoudige verificatiesterkte in de lijst.
    2. Selecteer Selecteren.
  8. Bevestig uw instellingen en stel Beleid inschakelen in op Alleen rapport.
  9. Selecteer Maken om uw beleid in te schakelen.

Nadat u uw instellingen hebt bevestigd met de beleidsimpactmodus of de modus Alleen-rapporteren, verplaatst u de wisselknop Beleid inschakelen van alleen rapport naar Aan.

Waarschuwing

Wanneer een beleid voor voorwaardelijke toegang is geconfigureerd met de gebruikersactie Apparaten registreren of toevoegen, moet u De instellingen voor hetapparaatoverzicht>> van > - Require Multifactor Authentication to register or join devices with Microsoft Entra instellen op Nee. Anders worden beleidsregels voorwaardelijke toegang met deze gebruikersactie niet goed gehandhaafd. Meer informatie over deze apparaatinstelling vindt u in Apparaatinstellingen configureren.

Schermopname van het vereisen van meervoudige verificatie om apparaten te registreren of toe te voegen onder de Microsoft Entra-regeling, die moet worden uitgeschakeld.

Gerelateerde inhoud