Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een beleid voor voorwaardelijke toegang omvat een gebruikers-, groep- of workloadidentiteitstoewijzing als een van de signalen in het besluitvormingsproces. Deze identiteiten kunnen worden opgenomen of uitgesloten van beleid voor voorwaardelijke toegang. Microsoft Entra ID evalueert alle beleidsregels en zorgt ervoor dat aan alle vereisten wordt voldaan voordat toegang wordt verleend.
Gebruikers opnemen
Deze lijst bevat doorgaans alle gebruikers waarop een organisatie zich richt in een beleid voor voorwaardelijke toegang.
De volgende opties zijn beschikbaar bij het maken van beleid voor voorwaardelijke toegang.
- Geen
- Er zijn geen gebruikers geselecteerd
- Alle gebruikers
- Alle gebruikers in de directory, inclusief B2B-gasten.
- Gebruikers en groepen selecteren
- Gast- of externe gebruikers
- Met deze selectie kunt u beleid voor voorwaardelijke toegang richten op specifieke typen gasten of externe gebruikers en tenants die deze gebruikers bevatten. Er zijn verschillende typen gast- of externe gebruikers die kunnen worden geselecteerd en er kunnen meerdere selecties worden gemaakt:
- Gastgebruikers van B2B-samenwerking
- B2B-samenwerkingslidgebruikers
- Gebruikers van B2B directconnect
- Lokale gastgebruikers, bijvoorbeeld elke gebruiker die tot de thuistenant behoort, waarbij het kenmerk gebruikerstype is ingesteld op gast
- Gebruikers van serviceproviders, bijvoorbeeld een Cloud Solution Provider (CSP)
- Andere externe gebruikers of gebruikers die niet worden vertegenwoordigd door de andere selecties van gebruikerstypen
- Een of meer tenants kunnen worden opgegeven voor de geselecteerde gebruikerstypen of u kunt alle tenants opgeven.
- Met deze selectie kunt u beleid voor voorwaardelijke toegang richten op specifieke typen gasten of externe gebruikers en tenants die deze gebruikers bevatten. Er zijn verschillende typen gast- of externe gebruikers die kunnen worden geselecteerd en er kunnen meerdere selecties worden gemaakt:
- Directoryrollen
- Hiermee kunnen beheerders specifieke ingebouwde directoryrollen selecteren om beleidstoewijzing te bepalen. Organisaties kunnen bijvoorbeeld een meer beperkend beleid maken voor gebruikers die actief een bevoorrechte rol hebben toegewezen. Andere roltypen worden niet ondersteund, waaronder administratieve eenheid-georiënteerde rollen en aangepaste rollen.
- Met voorwaardelijke toegang kunnen beheerders bepaalde rollen selecteren die worden vermeld als afgeschaft. Deze rollen worden nog steeds weergegeven in de onderliggende API en kunnen beheerders beleid hierop toepassen.
- Hiermee kunnen beheerders specifieke ingebouwde directoryrollen selecteren om beleidstoewijzing te bepalen. Organisaties kunnen bijvoorbeeld een meer beperkend beleid maken voor gebruikers die actief een bevoorrechte rol hebben toegewezen. Andere roltypen worden niet ondersteund, waaronder administratieve eenheid-georiënteerde rollen en aangepaste rollen.
- Gebruikers en groepen
- Hiermee kunnen specifieke gebruikersgroepen worden getarget. Organisaties kunnen bijvoorbeeld een groep selecteren die alle leden van de HR-afdeling bevat wanneer een HR-app als de cloud-app wordt geselecteerd. Een groep kan elk type gebruikersgroep in Microsoft Entra ID zijn, inclusief dynamische of toegewezen beveiligings- en distributiegroepen. Beleid wordt toegepast op geneste gebruikers en groepen.
- Gast- of externe gebruikers
Belangrijk
Wanneer u selecteert welke gebruikers en groepen zijn opgenomen in een beleid voor voorwaardelijke toegang, is er een limiet voor het aantal afzonderlijke gebruikers dat rechtstreeks aan een beleid voor voorwaardelijke toegang kan worden toegevoegd. Als veel afzonderlijke gebruikers moeten worden toegevoegd aan een beleid voor voorwaardelijke toegang, plaatst u deze in een groep en wijst u de groep toe aan het beleid.
Als gebruikers of groepen tot meer dan 2048 groepen behoren, is hun toegang mogelijk geblokkeerd. Deze limiet is van toepassing op zowel direct als genest groepslidmaatschap.
Waarschuwing
Beleid voor voorwaardelijke toegang biedt geen ondersteuning voor gebruikers die een directoryrol hebben toegewezen aan een beheereenheid of directoryrollen die rechtstreeks zijn gericht op een object, zoals via aangepaste rollen.
Notitie
Wanneer beleid is gericht op B2B directe verbinding maken met externe gebruikers, worden deze beleidsregels toegepast op B2B-samenwerkingsgebruikers die toegang hebben tot Teams of SharePoint Online die ook in aanmerking komen voor directe B2B-verbinding. Hetzelfde geldt voor beleidsregels die gericht zijn op externe gebruikers van B2B-samenwerking. Dit betekent dat voor gebruikers die toegang hebben tot gedeelde kanalen in Teams, het B2B-samenwerkingsbeleid van toepassing is als zij ook als gastgebruiker in de tenant aanwezig zijn.
Gebruikers uitsluiten
Wanneer organisaties zowel een gebruiker of groep opnemen als uitsluiten, wordt de gebruiker of groep uitgesloten van het beleid. De uitsluitingsactie overschrijft de insluitingsactie in een beleid. Uitsluitingen worden vaak gebruikt voor accounts voor toegang voor noodgevallen of break-glass-accounts. Meer informatie over accounts voor toegang in noodgevallen en waarom ze belangrijk zijn, vindt u in de volgende artikelen:
- Accounts voor noodtoegang beheren in Microsoft Entra ID
- Een flexibele strategie voor toegangsbeheer maken met Microsoft Entra ID
De volgende opties zijn beschikbaar voor uitsluiting bij het maken van beleid voor voorwaardelijke toegang.
- Gast- of externe gebruikers
- Deze selectie biedt verschillende opties die kunnen worden gebruikt om beleid voor voorwaardelijke toegang te richten op specifieke typen gasten of externe gebruikers en specifieke tenants die deze typen gebruikers bevatten. Er zijn verschillende typen gast- of externe gebruikers die kunnen worden geselecteerd en er kunnen meerdere selecties worden gemaakt:
- Gastgebruikers van B2B-samenwerking
- B2B-samenwerkingslidgebruikers
- Gebruikers van B2B directconnect
- Lokale gastgebruikers, bijvoorbeeld elke gebruiker die tot de thuistenant behoort, waarbij het kenmerk gebruikerstype is ingesteld op gast
- Gebruikers van serviceproviders, bijvoorbeeld een Cloud Solution Provider (CSP)
- Andere externe gebruikers of gebruikers die niet worden vertegenwoordigd door de andere selecties van gebruikerstypen
- Een of meer tenants kunnen worden opgegeven voor de geselecteerde gebruikerstypen of u kunt alle tenants opgeven.
- Deze selectie biedt verschillende opties die kunnen worden gebruikt om beleid voor voorwaardelijke toegang te richten op specifieke typen gasten of externe gebruikers en specifieke tenants die deze typen gebruikers bevatten. Er zijn verschillende typen gast- of externe gebruikers die kunnen worden geselecteerd en er kunnen meerdere selecties worden gemaakt:
- Directoryrollen
- Hiermee kunnen beheerders specifieke Microsoft Entra-directoryrollen selecteren die worden gebruikt om de toewijzing te bepalen.
- Gebruikers en groepen
- Hiermee kunnen specifieke gebruikersgroepen worden getarget. Organisaties kunnen bijvoorbeeld een groep selecteren die alle leden van de HR-afdeling bevat wanneer een HR-app als de cloud-app wordt geselecteerd. Een groep kan elk type groep in Microsoft Entra-id zijn, inclusief dynamische of toegewezen beveiligings- en distributiegroepen. Beleid wordt toegepast op geneste gebruikers en groepen.
Vergrendeling van beheerders voorkomen
Als u beheerdersvergrendeling wilt voorkomen, wordt de volgende waarschuwing weergegeven wanneer u een beleid maakt dat is toegepast op alle gebruikers en alle apps.
Vergrendel uzelf niet! U wordt aangeraden eerst een beleid toe te passen op een kleine groep gebruikers om te controleren of het zich gedraagt zoals verwacht. We raden u ook aan ten minste één beheerder uit dit beleid uit te sluiten. Zo hebt u nog steeds toegang en kunt u een beleid bijwerken als een wijziging is vereist. Controleer de betrokken gebruikers en apps.
Standaard biedt het beleid een optie om de huidige gebruiker uit te sluiten, maar een beheerder kan dit overschrijven, zoals wordt weergegeven in de volgende afbeelding.
Zie Wat u moet doen als u buitengesloten bent?
Toegang voor externe partners
Beleidsregels voor voorwaardelijke toegang die zijn gericht op externe gebruikers, kunnen de toegang van serviceproviders verstoren, zoals gedetailleerde gedelegeerde beheerdersbevoegdheden. Meer informatie vindt u in Inleiding tot gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP). Voor beleidsregels die zijn bedoeld voor tenants van serviceproviders, gebruikt u het externe gebruikerstype van de serviceprovider dat beschikbaar is in de selectieopties voor gasten of externe gebruikers .
Workloadidentiteiten
Een workload-identiteit is een identiteit waarmee een toepassing of service-principal toegang heeft tot resources, soms in de context van een gebruiker. Beleidsregels voor voorwaardelijke toegang kunnen worden toegepast op single-tenant service-principals die in uw tenant zijn geregistreerd. Niet-Microsoft SaaS en apps met meerdere tenants vallen buiten het bereik. Beheerde identiteiten vallen niet onder beleid.
Organisaties kunnen zich richten op specifieke workloadidentiteiten die in het beleid moeten worden opgenomen of uitgesloten.
Zie het artikel Voorwaardelijke toegang voor workloadidentiteiten voor meer informatie.