Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Uw implementatie van voorwaardelijke toegang plannen is essentieel om de toegangsstrategie van uw organisatie voor apps en resources te bereiken. Beleidsregels voor voorwaardelijke toegang bieden aanzienlijke configuratieflexybiliteit. Deze flexibiliteit betekent echter dat u zorgvuldig moet plannen om ongewenste resultaten te voorkomen.
Voorwaardelijke toegang van Microsoft Entra combineert signalen zoals gebruiker, apparaat en locatie om beslissingen te automatiseren en organisatietoegangsbeleid af te dwingen voor resources. Deze beleidsregels voor voorwaardelijke toegang helpen u de beveiliging en productiviteit te verdelen door beveiligingscontroles af te dwingen wanneer dat nodig is en de gebruiker buiten de weg te laten wanneer ze dat niet zijn.
Voorwaardelijke toegang vormt de basis van de Zero Trust-beveiligingsbeleidsengine van Microsoft.
Microsoft biedt standaardinstellingen voor beveiliging die zorgen voor een basisniveau van beveiliging voor tenants zonder Microsoft Entra ID P1 of P2. Met voorwaardelijke toegang kunt u beleidsregels maken die dezelfde beveiliging bieden als de standaardinstellingen voor beveiliging, maar met meer granulariteit. De standaardinstellingen voor voorwaardelijke toegang en beveiliging zijn niet bedoeld om te worden gecombineerd omdat het maken van beleid voor voorwaardelijke toegang voorkomt dat u de standaardinstellingen voor beveiliging inschakelt.
Vereisten
- Een werkende Microsoft Entra-tenant met Microsoft Entra ID P1, P2 of een proeflicentie ingeschakeld.
Maak er gratis een indien nodig.
- Microsoft Entra ID P2 is vereist voor het opnemen van Microsoft Entra ID Protection-risico's in beleid voor voorwaardelijke toegang.
- Beheerders die interactie hebben met voorwaardelijke toegang, hebben een van de volgende roltoewijzingen nodig, afhankelijk van de taken die ze uitvoeren. Als u het Zero Trust-principe van minimale bevoegdheden wilt volgen, kunt u pim (Privileged Identity Management) gebruiken om bevoorrechte roltoewijzingen just-in-time te activeren.
- Beleid en configuraties voor voorwaardelijke toegang lezen.
- Beleid voor voorlopig verwijderde voorwaardelijke toegang maken, wijzigen of herstellen.
- Een testgebruiker (geen beheerder) om te controleren of het beleid werkt zoals verwacht voordat het wordt geïmplementeerd voor echte gebruikers. Als u een gebruiker wilt maken, raadpleegt u quickstart: Nieuwe gebruikers toevoegen aan Microsoft Entra-id.
- Een groep met de testgebruiker. Als u een groep wilt maken, raadpleegt u Een groep maken en leden toevoegen in Microsoft Entra-id.
Wijziging communiceren
Communicatie is essentieel voor het succes van nieuwe functionaliteit. Laat gebruikers weten hoe hun ervaring verandert, wanneer het verandert en hoe ze ondersteuning krijgen als ze problemen ondervinden.
Onderdelen van beleid voor voorwaardelijke toegang
Beleidsregels voor voorwaardelijke toegang bepalen wie toegang heeft tot uw resources, tot welke resources ze toegang hebben en onder welke voorwaarden. Beleidsregels kunnen toegang verlenen, toegang beperken met sessiebesturingselementen of toegang blokkeren. U bouwt een beleid voor voorwaardelijke toegang door de if-then-instructies te definiëren, zoals:
| Als aan een opdracht wordt voldaan | De toegangsbeheer toepassen |
|---|---|
| Als u een gebruiker bent in Financiën die toegang heeft tot de toepassing Salarisadministratie | Meervoudige verificatie en een compatibel apparaat vereisen |
| Als u geen lid bent van Financiën die toegang heeft tot de salarisadministratie | Toegang blokkeren |
| Als uw gebruikersrisico hoog is | Meervoudige verificatie en een veilige wachtwoordwijziging vereisen |
Uitsluitingen van gebruikers
Beleid voor voorwaardelijke toegang is krachtige hulpprogramma's. We raden u aan de volgende accounts uit uw beleid uit te sluiten:
-
Accounts voor noodtoegang of break-glass om vergrendeling te voorkomen vanwege onjuiste configuratie van beleid. In het onwaarschijnlijke scenario waarin alle beheerders zijn vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en de toegang te herstellen.
- Meer informatie vindt u in het artikel, Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID.
-
Serviceaccounts en service-principals, zoals het Microsoft Entra Connect-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een specifieke gebruiker. Ze worden meestal gebruikt door back-endservices om programmatische toegang tot toepassingen toe te staan, maar ze worden ook gebruikt om zich voor beheerdoeleinden aan te melden bij systemen. Aanroepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workloadidentiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
- Als uw organisatie deze accounts gebruikt in scripts of code, vervangt u deze door beheerde identiteiten.
De juiste vragen stellen
Hier volgen veelgestelde vragen over toewijzingen en toegangscontroles. Noteer de antwoorden voor elk beleid voordat u het maakt.
Gebruikers of workload-identiteiten
- Welke gebruikers, groepen, directoryrollen of workloadidentiteiten zijn opgenomen in of uitgesloten van het beleid?
- Welke accounts of groepen voor noodtoegang moet u uitsluiten van het beleid?
Cloud-apps of acties
Is dit beleid van toepassing op een toepassing, gebruikersactie of verificatiecontext? Zo ja:
- Op welke toepassingen of services is het beleid van toepassing?
- Welke gebruikersacties zijn onderworpen aan dit beleid?
- Op welke verificatiecontexten is dit beleid van toepassing?
Filteren op toepassingen
Het gebruik van een filter voor toepassingen om toepassingen op te nemen of uit te sluiten in plaats van ze afzonderlijk op te geven, helpt organisaties:
- Eenvoudig een willekeurig aantal toepassingen schalen en instellen
- Toepassingen beheren met vergelijkbare beleidsvereisten
- Het aantal afzonderlijke beleidsregels verminderen
- Verminder fouten tijdens het bewerken van beleid: u hoeft geen toepassingen handmatig toe te voegen aan of te verwijderen uit het beleid. U hoeft alleen de kenmerken te beheren.
- Beperkingen voor beleidsgrootte overwinnen
Voorwaarden
- Welke apparaatplatforms zijn opgenomen in of uitgesloten van het beleid?
- Wat zijn de bekende netwerklocaties van de organisatie?
- Welke locaties zijn opgenomen in of uitgesloten van het beleid?
- Welke typen client-apps zijn opgenomen in of uitgesloten van het beleid?
- Moet u specifieke apparaatkenmerken instellen?
- Als u Microsoft Entra ID Protection gebruikt, wilt u aanmeldings- of gebruikersrisico's opnemen?
Besturingselementen blokkeren of verlenen
Wilt u toegang tot resources verlenen door een of meer van het volgende te vereisen?
- Meervoudige verificatie
- Het apparaat is gemarkeerd als conform
- Een hybride apparaat van Microsoft Entra gebruiken
- Een goedgekeurde client-app gebruiken
- App-beveiliging toegepast beleid
- Wachtwoord wijzigen
- Gebruiksvoorwaarden geaccepteerd
Toegang blokkeren is een krachtig besturingselement. Pas deze alleen toe wanneer u de impact begrijpt. Beleidsregels met blokinstructies kunnen onbedoelde bijwerkingen hebben. Test en valideer voordat u de controle grootschalig inschakelt. Gebruik de beleidsimpactmodus of de modus alleen voor rapporten om inzicht te krijgen in mogelijke gevolgen wanneer u wijzigingen aanbrengt.
Besturingselementen voor sessie
Wilt u een van de volgende toegangsbeheeropties voor cloud-apps afdwingen?
- Door app afgedwongen beperkingen gebruiken
- App-beheer voor voorwaardelijke toegang gebruiken
- Aanmeldingsfrequentie afdwingen
- Permanente browsersessies gebruiken
- Continue toegangsevaluatie aanpassen
Beleid combineren
Wanneer u beleid maakt en toewijst, kunt u overwegen hoe toegangstokens werken. Toegangstokens verlenen of weigeren toegang op basis van of de gebruiker die een aanvraag indient, is geautoriseerd en geverifieerd. Als de aanvrager bewijst dat ze zijn wie ze beweren te zijn, kunnen ze de beveiligde resources of functionaliteit gebruiken.
Toegangstokens worden standaard uitgegeven als een voorwaarde voor beleid voor voorwaardelijke toegang geen toegangsbeheer activeert.
Met dit beleid voorkomt u niet dat de app de toegang zelf blokkeert.
Denk bijvoorbeeld aan een vereenvoudigd beleidsvoorbeeld waarbij:
Gebruikers: FINANCE GROUP
Toegang tot: SALARISADMINISTRATIE-APP
Toegangsbeheer: Meervoudige verificatie
- Gebruiker A bevindt zich in de GROEP FINANCIËN. Ze moeten meervoudige verificatie uitvoeren voor toegang tot de SALARISADMINISTRATIE-APP.
- Gebruiker B bevindt zich niet in de GROEP FINANCIËN, krijgt een toegangstoken en heeft toegang tot de PAYROLL-APP zonder meervoudige verificatie uit te voeren.
Als u ervoor wilt zorgen dat gebruikers buiten de financiële groep geen toegang hebben tot de salarisadministratie-app, maakt u een afzonderlijk beleid om alle andere gebruikers te blokkeren, zoals dit vereenvoudigde beleid:
Gebruikers: Alle gebruikers opnemen/FINANCE GROUP uitsluiten
Toegang tot: SALARISADMINISTRATIE-APP
Toegangsbeheer: Toegang blokkeren
Wanneer gebruiker B nu toegang probeert te krijgen tot de SALARISADMINISTRATIE-app, worden ze geblokkeerd.
Aanbevelingen
Op basis van onze ervaring met voorwaardelijke toegang en het ondersteunen van andere klanten, volgen hier enkele aanbevelingen.
Beleidsregels voor voorwaardelijke toegang toepassen op elke app
Verzeker dat op elke app ten minste één beleid voor voorwaardelijke toegang wordt toegepast. Vanuit beveiligingsperspectief is het beter om een beleid te maken dat alle resources (voorheen 'Alle cloud-apps') bevat. Deze procedure zorgt ervoor dat u geen beleid voor voorwaardelijke toegang hoeft bij te werken telkens wanneer u een nieuwe toepassing onboardt.
Aanbeveling
Wees voorzichtig bij het gebruik van blok en alle resources in één beleid. Deze combinatie kan beheerders vergrendelen en uitsluitingen kunnen niet worden geconfigureerd voor belangrijke eindpunten zoals Microsoft Graph.
Het aantal beleidsregels voor voorwaardelijke toegang minimaliseren
Het maken van een beleid voor elke app is niet efficiënt en maakt het beheren van beleidsregels lastig. Voorwaardelijke toegang heeft een limiet van 195 beleidsregels per tenant. Deze limiet voor 195-beleid omvat beleidsregels voor voorwaardelijke toegang in elke status, inclusief de modus Alleen rapporten, in- of uitschakelen.
Analyseer uw apps en groepeer ze op dezelfde resourcevereisten voor dezelfde gebruikers. Als bijvoorbeeld alle Microsoft 365-apps of alle HR-apps dezelfde vereisten hebben voor dezelfde gebruikers, maakt u één beleid en neemt u alle apps op waarop het van toepassing is.
Beleid voor voorwaardelijke toegang bevindt zich in een JSON-bestand en dat bestand heeft een groottelimiet die doorgaans niet groter is dan één beleid. Als u een lange lijst met GUID's in uw beleid gebruikt, kunt u deze limiet bereiken. Als u deze limieten ondervindt, kunt u de volgende alternatieven proberen:
- Gebruik groepen of rollen om gebruikers op te nemen of uit te sluiten in plaats van elke gebruiker afzonderlijk weer te geven.
- Gebruik het filter voor toepassingen om toepassingen op te nemen of uit te sluiten in plaats van ze afzonderlijk op te geven.
Modus Alleen rapporteren configureren
Beleid inschakelen in de modus Alleen-rapport. Nadat u een beleid hebt opgeslagen in de modus Alleen-rapporteren, ziet u het effect op realtime aanmeldingen in de aanmeldingslogboeken. Selecteer in de aanmeldingslogboeken een gebeurtenis en ga naar het tabblad Alleen rapport om het resultaat van elk beleid voor alleen rapporten weer te geven.
Bekijk de statistische effecten van uw beleid voor voorwaardelijke toegang in de werkmap Inzichten en Rapportage. Voor toegang tot de werkmap hebt u een Azure Monitor-abonnement nodig en moet u uw aanmeldingslogboeken streamen naar een Log Analytics-werkruimte.
Plannen voor onderbreking
Verminder het risico op vergrendeling tijdens onvoorziene onderbrekingen door tolerantiestrategieën voor uw organisatie te plannen.
Beveiligde acties inschakelen
Schakel beveiligde acties in om een andere beveiligingslaag toe te voegen om beleid voor voorwaardelijke toegang te maken, te wijzigen of te verwijderen. Organisaties kunnen een nieuwe meervoudige verificatie of een ander toekenningsbeheer vereisen voordat het beleid wordt gewijzigd.
Gastgebruikersinstellingen configureren
Voor externe organisaties met wie u een relatie en hebt kunt u misschien vertrouwen op multifactorverificatie, apparaatcompatibiliteit of hybride apparaatclaims die gasten presenteren aan uw beleid voor voorwaardelijke toegang. Zie Toegangsinstellingen voor cross-tenant B2B-samenwerking beheren voor meer informatie. Er zijn enkele opmerkingen met betrekking tot hoe B2B-gebruikers met Microsoft Entra ID Protection werken. Zie Microsoft Entra ID Protection voor B2B-gebruikers voor meer informatie.
Naamgevingsstandaarden instellen voor uw beleidsregels
Een naamgevingsstandaard helpt u bij het vinden van beleidsregels en inzicht in hun doel zonder ze te openen. Geef uw beleid een naam om het volgende weer te geven:
- Een volgnummer
- De cloud-apps waarop deze van toepassing is
- Het antwoord
- Voor wie het geldt
- Wanneer deze van toepassing is
Voorbeeld: Een beleid voor het vereisen van MFA voor marketinggebruikers die toegang hebben tot de Dynamics CRP-app vanuit externe netwerken, kan het volgende zijn:
Een beschrijvende naam helpt u een overzicht te houden van uw implementatie van voorwaardelijke toegang. Het volgnummer is handig als u naar een beleid in een gesprek wilt verwijzen. Wanneer u bijvoorbeeld met een beheerder op de telefoon praat, kunt u hen vragen om beleid CA01 te openen om een probleem op te lossen.
Naamgevingsstandaarden voor noodtoegangsbeheer
Implementeer naast uw actieve beleidsregels ook uitgeschakelde beleidsregels die fungeren als secundair robuust toegangsbeheer in onderbrekingen of noodscenario's. Uw naamgevingsstandaard voor beleid voor onvoorziene onvoorziene gegevens moet het volgende omvatten:
- IN NOODGEVALLEN INSCHAKELEN aan het begin om de naam te laten opvallen tussen de andere beleidsregels.
- De naam van de onderbreking waar deze op moet worden toegepast.
- Een volgordenummer waarmee de beheerder weet in welke volgorde beleidsregels moeten worden ingeschakeld.
Voorbeeld: De volgende naam laat zien dat dit beleid de eerste van vier beleidsregels is om in te schakelen als er een MFA-onderbreking is:
- EM01 - INSCHAKELEN IN NOODGEVALLEN: MFA-onderbreking [1/4] - Exchange SharePoint: vereisen dat Microsoft Entra hybrid join voor VIP-gebruikers is vereist.
Landen/regio's blokkeren waarvan u nooit een aanmelding verwacht
Met Microsoft Entra ID kunt u benoemde locaties maken. Maak een lijst met toegestane landen/regio's en maak vervolgens een netwerkblokbeleid met deze 'toegestane landen/regio's' als uitsluiting. Met deze optie maakt u minder overhead voor klanten op basis van kleinere geografische locaties. Zorg ervoor dat u uw accounts voor toegang tot noodgevallen uitsluit van dit beleid.
Beleid voor voorwaardelijke toegang implementeren
Wanneer u klaar bent, implementeert u uw beleid voor voorwaardelijke toegang in fasen. Begin met enkele kernbeleidsregels voor voorwaardelijke toegang, zoals de beleidsregels die volgen. Veel beleidsregels zijn beschikbaar als sjablonen voor beleid voor voorwaardelijke toegang. Elk beleid dat is gemaakt op basis van een sjabloon, bevindt zich standaard in de modus alleen voor rapporten. Test en bewaak het gebruik om het beoogde resultaat te garanderen, voordat u elk beleid inschakelt.
Implementeer beleidsregels in de volgende drie fasen om beveiligingsverbeteringen te verdelen met minimale gebruikersonderbreking. Organisaties kunnen tijdlijnen aanpassen op basis van hun grootte, complexiteit en mogelijkheden voor wijzigingsbeheer.
Belangrijk
Voordat u een beleid implementeert:
- Controleren of accounts voor noodtoegang zijn uitgesloten van alle beleidsregels
- Beleid testen met een testgroep vóór de implementatie in de hele organisatie
- Zorg ervoor dat gebruikers vereiste verificatiemethoden hebben geregistreerd
- Wijzigingen doorgeven aan betrokken gebruikers en ondersteunende documentatie verstrekken
Fase 1: Stichting (week 1-2)
Stel basisbeveiligingscontroles in en bereid u voor op MFA-afdwinging. Voorwaarden: Zorg ervoor dat gebruikers zich kunnen registreren voor MFA voordat ze afdwingingsbeleid inschakelen.
| Beleid voor voorwaardelijke toegang | Scenario | Licentievereiste |
|---|---|---|
| Verouderde verificatie blokkeren | Alle gebruikers | Microsoft Entra ID P1 |
| De MFA-registratiepagina (Mijn beveiligingsgegevens) beveiligen | Alle gebruikers | Microsoft Entra ID P1 |
| Uitgebreide ingebouwde Microsoft Entra-rollen dwingen phishingbestendige methoden af | Gebruikers met bevoegdheden | Microsoft Entra ID P1 |
Fase 2: Kernauthenticatie (week 2-3)
Dwing MFA af voor alle gebruikers en gasten en beveilig mobiele apparaten met app-beveiligingsbeleid. Belangrijkste impact: Gebruikers moeten MFA gebruiken voor alle aanmeldingen en goedgekeurde apps gebruiken met app-beveiliging op mobiele apparaten. Zorg ervoor dat het communicatieplan wordt uitgevoerd en dat er ondersteuningsbronnen beschikbaar zijn.
| Beleid voor voorwaardelijke toegang | Scenario | Licentievereiste |
|---|---|---|
| Alle aanmeldingsactiviteiten van gebruikers maken gebruik van sterke verificatiemethoden | Alle gebruikers | Microsoft Entra ID P1 |
| Gasttoegang wordt beveiligd door sterke verificatiemethoden | Toegang voor gasten | Microsoft Entra ID P1 |
| Goedgekeurde client-apps en beveiligingsbeleid voor apps vereisen | Mobiele gebruikers | Microsoft Entra ID P1 |
| Meervoudige verificatie vereisen voor apparaatdeelname en apparaatregistratie met behulp van gebruikersactie | Alle gebruikers | Microsoft Entra ID P1 |
Fase 3: Geavanceerde beveiliging (week 3-4)
Op risico's gebaseerde beleidsregels en geavanceerde besturingselementen voor het voorkomen van aanvallen toevoegen. Licentievereiste: Voor beleid op basis van risico's is Microsoft Entra ID P2-licenties vereist.
| Beleid voor voorwaardelijke toegang | Scenario | Licentievereiste |
|---|---|---|
| Aanmeldingen met een hoog risico beperken | Alle gebruikers | Microsoft Entra ID P2 |
| Toegang beperken tot gebruikers met een hoog risico | Alle gebruikers | Microsoft Entra ID P2 |
| Gebruikersaanmeldingsactiviteit maakt gebruik van tokenbeveiliging | Alle gebruikers | Microsoft Entra ID P1 |
| Apparaatcodestroom beperken | Alle gebruikers | Microsoft Entra ID P1 |
| Verificatieoverdracht wordt geblokkeerd | Alle gebruikers | Microsoft Entra ID P1 |
| Voorwaardelijke toegangsbeleid voor Privileged Access Workstations (PAW) zijn ingesteld. | Gebruikers met bevoegdheden | Microsoft Entra ID P1 |
Aanbeveling
Schakel elk beleid ten minste één week vóór de handhaving in in de alleen-rapportage modus. Controleer de aanmeldingslogboeken en communiceer wijzigingen aan gebruikers voordat u naar de volgende fase gaat.
Opmerking
Privileged Access Workstations (PAW) vereisen een aanzienlijke infrastructuurplanning. Organisaties moeten dit beleid pas implementeren nadat ze een PAW-implementatiestrategie hebben vastgesteld en beveiligde apparaten inrichten voor bevoegde gebruikers.
De impact van het beleid evalueren
Gebruik beschikbare hulpprogramma's om het effect van uw beleid te controleren voor en nadat u wijzigingen hebt aangebracht. Een gesimuleerde uitvoering geeft u een goed idee van hoe een beleid voor voorwaardelijke toegang van invloed is op aanmelden, maar het vervangt geen daadwerkelijke testuitvoering in een goed geconfigureerde ontwikkelomgeving.
Beheerders kunnen beleidsinstellingen bevestigen met behulp van de beleidsimpact- of alleen-rapportmodus.
Uw beleid testen
Zorg ervoor dat u de uitsluitingscriteria van een beleid test. U kunt bijvoorbeeld een gebruiker of groep uitsluiten van een beleid waarvoor MFA is vereist. Test of de uitgesloten gebruikers om MFA worden gevraagd, omdat de combinatie van andere beleidsregels MFA voor die gebruikers kan vereisen.
Voer elke test uit in uw testplan met testgebruikers. Met het testplan kunt u de verwachte en werkelijke resultaten vergelijken.
Implementeren in productie
Nadat u uw instellingen hebt bevestigd met de modus Beleidsimpact of Alleen rapporteren, verplaatst u de wisselknop Beleid inschakelen van Alleen rapporteren naar Aan.
Beleidsregels terugdraaien
Als u nieuw geïmplementeerde beleidsregels wilt terugdraaien, gebruikt u een of meer van deze opties:
Schakel het beleid uit. Als u een beleid uitschakelt, zorg er dan voor dat het niet geldt wanneer een gebruiker zich probeert aan te melden. U kunt altijd terugkomen en het beleid inschakelen wanneer u het wilt gebruiken.
Sluit een gebruiker of groep uit van een beleid. Als een gebruiker geen toegang heeft tot de app, sluit u de gebruiker uit van het beleid.
Let op
Gebruik spaarzaam uitsluitingen, alleen in situaties waarin de gebruiker wordt vertrouwd. Voeg zo snel mogelijk gebruikers toe aan het beleid of de groep.
Als een beleid is uitgeschakeld en niet meer nodig is, verwijdert u het.
Verwijderde beleidsregels herstellen
Als een voorwaardelijke toegang of locatie wordt verwijderd, kan deze binnen de periode van 30 dagen voor voorlopig verwijderen worden hersteld. Zie het artikel Herstellen na verwijderingen voor meer informatie over het herstellen van beleid voor voorwaardelijke toegang en benoemde locaties.
Problemen met beleid voor voorwaardelijke toegang oplossen
Als een gebruiker een probleem heeft met een beleid voor voorwaardelijke toegang, verzamelt u deze informatie om u te helpen bij het oplossen van problemen.
- Hoofdgebruikersnaam
- Weergavenaam van de gebruiker
- Naam van het besturingssysteem
- Tijdstempel (een geschatte tijd is prima)
- Doeltoepassing
- Clienttoepassingstype (browser of client)
- Correlatie-id (deze id is uniek voor de aanmelding)
Als de gebruiker een bericht ontvangt met een koppeling Meer details , kan deze de meeste van deze informatie voor u verzamelen.
Nadat u de informatie hebt verzameld, raadpleegt u deze resources:
- Aanmeldingsproblemen met voorwaardelijke toegang : meer informatie over onverwachte aanmeldingsresultaten met betrekking tot voorwaardelijke toegang met behulp van foutberichten en het aanmeldingslogboek van Microsoft Entra.
- Het hulpprogramma What-If gebruiken: Leer waarom een beleid wel of niet wordt toegepast op een gebruiker in een specifieke situatie of of een beleid van toepassing is in een bekende toestand.