Een beleid voor voorwaardelijke toegang maken

Zoals uitgelegd in het artikel Wat is voorwaardelijke toegang, is een beleid voor voorwaardelijke toegang een if-then instructie van toewijzingen en besturingselementen voor toegang. Een beleid voor voorwaardelijke toegang combineert signalen om beslissingen te nemen en organisatiebeleid af te dwingen.

Hoe maakt een organisatie dit beleid? Wat is vereist? Hoe worden ze toegepast?

Meerdere beleidsregels voor voorwaardelijke toegang kunnen op elk gewenst moment worden toegepast op een afzonderlijke gebruiker. In dit geval moet aan alle toepasselijke beleidsregels worden voldaan. Als één beleid bijvoorbeeld meervoudige verificatie vereist en een ander een compatibel apparaat vereist, moet u MFA voltooien en een compatibel apparaat gebruiken. Alle opdrachten worden logisch gecombineerd met AND. Als u meer dan één toewijzing hebt geconfigureerd, moeten alle toewijzingen worden voldaan om een beleid te activeren.

Als een beleid met 'Een van de geselecteerde besturingselementen vereisen' is geselecteerd, worden prompts weergegeven in de gedefinieerde volgorde. Zodra aan de beleidsvereisten is voldaan, wordt toegang verleend.

Alle beleidsregels worden in twee fasen afgedwongen:

• fase 1: sessiedetails verzamelen
  • Verzamel sessiedetails, zoals netwerklocatie en apparaat-id die nodig zijn voor beleidsevaluatie.
  • De beleidsevaluatie van fase 1 vindt plaats voor geactiveerde beleidsregels en beleidsregels in alleen-rapport modus .
• fase 2: afdwingen
  • Gebruik de sessiegegevens die in fase 1 zijn verzameld om te bepalen welke vereisten niet zijn voldaan.
  • Als er een beleid is geconfigureerd met de blokkeren en toestaan beheeroptie, dan stopt de afdwinging op dit punt en wordt de gebruiker geblokkeerd.
  • De gebruiker wordt gevraagd om meer vereisten voor toekenningsbeheer te voltooien die niet in fase 1 in de volgende volgorde zijn voldaan, totdat aan het beleid is voldaan:
    1. meervoudige verificatie
    2. apparaat dat moet worden gemarkeerd als compatibel
    3. Microsoft Entra hybride verbonden apparaat
    4. goedgekeurde client-app
    5. app-beveiligingsbeleid
    6. wachtwoord wijzigen
    7. Gebruiksrechtovereenkomst
    8. Gepersonaliseerde besturingselementen
  • Zodra aan alle toekenningsbesturingselementen is voldaan, worden sessiebesturingselementen toegepast (App Enforcement, Microsoft Defender voor Cloud Apps en token levensduur).
  • Fase 2 van de beleidsevaluatie vindt plaats voor alle ingeschakelde beleidsregels.

Toewijzingen

In de sectie Toewijzingen wordt gedefinieerd wie, wat en waar voor het beleid voor voorwaardelijke toegang.

Gebruikers en groepen

gebruikers en groepen toewijzen wie het beleid opneemt of uitsluit wanneer dit wordt toegepast. Deze toewijzing kan alle gebruikers, specifieke groepen gebruikers, directoryrollen of externe gastgebruikers omvatten. Organisaties met Microsoft Entra Workload ID-licenties kunnen zich ook richten op workloadidentiteiten.

Beleidsregels die gericht zijn op rollen of groepen, worden alleen geëvalueerd wanneer een token wordt uitgegeven. Dit betekent:

• Nieuw toegevoegde gebruikers aan een rol of groep zijn pas onderhevig aan het beleid als ze een nieuw token krijgen.
• Als een gebruiker al een geldig token heeft voordat deze wordt toegevoegd aan de rol of groep, wordt het beleid niet met terugwerkende kracht toegepast.

De aanbevolen procedure is om evaluatie van voorwaardelijke toegang te activeren tijdens het activeren van rollen of het activeren van groepslidmaatschappen met behulp van Microsoft Entra Privileged Identity Management.

Gerichte middelen

Doelresources kunnen cloudapplicaties, gebruikersacties of verificatiecontexten omvatten of uitsluiten die aan het beleid zijn onderworpen.

Netwerk

Netwerk bevat IP-adressen, geografische locaties en het netwerk van Global Secure Access dat voldoet aan beleidsbeslissingen voor voorwaardelijke toegang. Beheerders kunnen locaties definiëren en sommige als vertrouwd markeren, zoals de primaire netwerklocaties van hun organisatie.

Voorwaarden

Een beleid kan meerdere voorwaardenbevatten.

Aanmeldingsrisico

Voor organisaties met Microsoft Entra ID Protectionkunnen de risicodetecties die daar worden gegenereerd, van invloed zijn op uw beleid voor voorwaardelijke toegang.

Apparaatplatformen

Organisaties met meerdere platformen voor het besturingssysteem van apparaten kunnen specifieke beleidsregels afdwingen op verschillende platforms.

De informatie die wordt gebruikt om het apparaatplatform te bepalen, is afkomstig van niet-geverifieerde bronnen, zoals tekenreeksen van gebruikersagents die kunnen worden gewijzigd.

Clientapps

De software die de gebruiker gebruikt voor toegang tot de cloud-app. Bijvoorbeeld 'Browser' en 'Mobiele apps en desktopclients'. Standaard zijn alle nieuw gemaakte beleidsregels voor voorwaardelijke toegang van toepassing op alle typen client-apps, zelfs als de voorwaarde voor client-apps niet is geconfigureerd.

Filteren op apparaten

Met dit besturingselement kunt u specifieke apparaten targeten op basis van hun kenmerken binnen een beleid.

Besturingselementen voor toegang

Het gedeelte met toegangsbeheer van het beleid voor voorwaardelijke toegang bepaalt hoe een beleid wordt afgedwongen.

Verlenen

Grant biedt beheerders een middel voor beleidshandhaving, waar ze toegang kunnen blokkeren of verlenen.

Toegang blokkeren

Toegang blokkeren binnen de opgegeven toewijzingen. Deze controle is krachtig en vereist passende kennis om effectief te gebruiken.

Toegang verlenen

Het beheer van toestemmingen triggert de handhaving van een of meer controles.

• Meervoudige verificatie vereisen
• Sterkte van authenticatie vereisen
• Vereisen dat het apparaat als compatibel wordt gemarkeerd (Intune)
• Vereisen een hybride apparaat dat lid is van Microsoft Entra
• Een goedgekeurde client-app is vereist
• Vereisen van beveiligingsbeleid voor apps
• Wachtwoordwijziging vereisen
• Voorwaarden voor gebruik vereist

Beheerders kiezen ervoor om een van de vorige besturingselementen of alle geselecteerde besturingselementen te vereisen met behulp van de volgende opties. Standaard vereisen meerdere besturingselementen allemaal.

• Vereis alle geselecteerde bedieningselementen (control en control)
• Vereisen dat één van de geselecteerde besturingselementen wordt gebruikt.

Sessie

sessiebesturingselementen de gebruikerservaring kunnen beperken.

• Door apps afgedwongen beperkingen gebruiken:
  • Werkt alleen met Exchange Online en SharePoint Online.
  • Geeft apparaatgegevens door om de ervaring te beheren, volledige of beperkte toegang te verlenen.
• App-beheer voor voorwaardelijke toegang gebruiken:
  • Gebruikt signalen van Microsoft Defender voor Cloud Apps om dingen te doen, zoals:
    • Download, knippen, kopiëren en afdrukken van gevoelige documenten blokkeren.
    • Bewaak riskant sessiegedrag.
    • Vereis het labelen van gevoelige bestanden.
• Aanmeldingsfrequentie:
  • De mogelijkheid om de standaard aanmeldingsfrequentie voor moderne authenticatie te wijzigen.
• Permanente browsersessie:
  • Hiermee kunnen gebruikers aangemeld blijven na het sluiten en opnieuw openen van hun browservenster.
• Doorlopende toegangsevaluatie aanpassen.
• Standaardwaarden voor tolerantie uitschakelen.

Eenvoudig beleid

Een beleid voor voorwaardelijke toegang moet ten minste het volgende bevatten om af te dwingen:

• Naam van het beleid
• Toewijzingen
  • Gebruikers en/of groepen waarop het beleid moet worden toegepast
  • Doelbronnen waarop het beleid moet worden toegepast
• Besturingselementen voor toegang
  • Verleen of Blokkeer besturingselementen

Het artikel Algemene beleidsregels voor voorwaardelijke toegang bevatten beleidsregels die nuttig kunnen zijn voor de meeste organisaties.

Verwante inhoud

• Algemeen beleid voor voorwaardelijke toegang

• Apparaatcompatibiliteit met Intune- beheren

• Microsoft Defender voor Cloud Apps en voorwaardelijke toegang