Share via

Voorbeeldbeleid voor toegang blokkeren

Voor organisaties met een conservatieve benadering op cloudmigratie is het blokkeren van alle beleidsregels een optie die kan worden gebruikt.

Let op

Onjuiste configuratie van een blokbeleid kan ertoe leiden dat organisaties worden vergrendeld.

Beleidsregels zoals deze kunnen onbedoelde bijwerkingen hebben. De juiste tests en validatie zijn essentieel voordat u dit inschakelt. Beheerders moeten gebruikmaken van hulpmiddelen zoals de modus 'Alleen-rapport' voor Conditional Access en de What If-tool in Conditional Access wanneer ze wijzigingen doorvoeren.

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang is krachtige hulpprogramma's. We raden u aan de volgende accounts uit uw beleid uit te sluiten:

  • Accounts voor noodtoegang of break-glass om vergrendeling te voorkomen vanwege onjuiste configuratie van beleid. In het onwaarschijnlijke scenario waarin alle beheerders zijn vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en de toegang te herstellen.
  • Serviceaccounts en serviceprincipals, zoals het Microsoft Entra Connect-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een specifieke gebruiker. Ze worden meestal gebruikt door back-endservices om programmatische toegang tot toepassingen toe te staan, maar ze worden ook gebruikt om zich voor beheerdoeleinden aan te melden bij systemen. Aanroepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workloadidentiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
    • Als uw organisatie deze accounts gebruikt in scripts of code, vervangt u deze door beheerde identiteiten.

Beleid voor voorwaardelijke toegang maken

Met de volgende stappen kunt u beleid voor voorwaardelijke toegang maken om de toegang tot alle apps te blokkeren, met uitzondering van Office 365 als gebruikers zich niet in een vertrouwd netwerk bevinden. Deze beleidsregels worden in de modus Alleen rapport geplaatst om te starten, zodat beheerders de impact op bestaande gebruikers kunnen bepalen. Wanneer beheerders vertrouwd zijn met het toepassen van het beleid zoals ze willen, kunnen ze overschakelen naar Aan.

Het eerste beleid blokkeert de toegang tot alle apps, met uitzondering van Microsoft 365-toepassingen als deze zich niet op een vertrouwde locatie bevinden.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een beheerder voor voorwaardelijke toegang.
  2. Blader naar Entra ID>Voorwaardelijke Toegang>Beleid.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen, selecteer gebruikers of workload-identiteiten.
    1. Selecteer onder Opnemenalle gebruikers.
    2. Onder Uitsluiten selecteert u Gebruikers en groepen en kiest u de noodgevallentoegang of break-glass-accounts van uw organisatie.
  6. Selecteer onder Doelresources>Resources (voorheen cloud-apps) de volgende opties:
    1. Onder Opnemen, selecteer alle resources (voorheen 'Alle cloud-apps').
    2. Selecteer onder Uitsluitende optie Office 365 en selecteer Selecteren.
  7. Onder voorwaarden:
    1. Onder Voorwaarden>Locatie.
      1. Configureren instellen op Ja
      2. Selecteer Een locatie onder Opnemen.
      3. Selecteer onder Uitsluitenalle vertrouwde locaties.
    2. Stel onder Client-appsConfigureren in op Ja en selecteer Gereed.
  8. Selecteer onder Toegangsbeheer>verlenen de optie Toegang blokkeren en selecteer Selecteren.
  9. Bevestig uw instellingen en stel Beleid inschakelen in op Alleen rapport.
  10. Selecteer Maken om uw beleid in te schakelen.

Nadat u uw instellingen hebt bevestigd met de beleidsimpactmodus of de modus Alleen-rapporteren, verplaatst u de wisselknop Beleid inschakelen van alleen rapport naar Aan.

Het volgende beleid wordt gemaakt om meervoudige verificatie of een compatibel apparaat te vereisen voor gebruikers van Microsoft 365.

  1. Selecteer Nieuw beleid maken.
  2. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  3. Onder Toewijzingen, selecteer gebruikers of workload-identiteiten.
    1. Selecteer onder Opnemenalle gebruikers.
    2. Onder Uitsluiten selecteert u Gebruikers en groepen en kiest u de noodgevallentoegang of break-glass-accounts van uw organisatie.
  4. Onder Doelresources>Resources (voorheen cloud-apps)>Selecteer>resources, kies Office 365 en selecteer Selecteer.
  5. Onder Toegangsbeheer>Toegang verlenen selecteer Toegang verlenen.
    1. Selecteer Meervoudige verificatie vereisen en Vereisen dat het apparaat als compatibel moet worden gemarkeerd , selecteer Selecteren.
    2. Zorg ervoor dat Vereis één van de geselecteerde besturingselementen is geselecteerd.
    3. Selecteer Selecteren.
  6. Bevestig uw instellingen en stel Beleid inschakelen in op Alleen rapport.
  7. Selecteer Maken om uw beleid in te schakelen.

Nadat u uw instellingen hebt bevestigd met de beleidsimpactmodus of de modus Alleen-rapporteren, verplaatst u de wisselknop Beleid inschakelen van alleen rapport naar Aan.

Notitie

Toegangsbeleid met voorwaarden wordt afgedwongen nadat verificatie van de eerste factor is voltooid. Voorwaardelijke toegang is niet zozeer bedoeld als de eerste verdedigingslinie van een organisatie tegen bijvoorbeeld DoS-aanvallen (Denial of Service), maar kan gebruikmaken van signalen van deze gebeurtenissen om wel of geen toegang te verlenen.

Volgende stappen

Sjablonen voor voorwaardelijke toegang

Effect bepalen met de modus Alleen-rapport voor voorwaardelijke toegang

Gebruik de modus Alleen-rapporteren voor voorwaardelijke toegang om de resultaten van nieuwe beleidsbeslissingen te bepalen.