Delen via

Wat is voorwaardelijke toegang?

Moderne beveiliging gaat verder dan de netwerkperimeter van een organisatie om gebruikers- en apparaatidentiteit op te nemen. Organisaties gebruiken nu identiteitsgestuurde signalen als onderdeel van hun beslissingen over toegangsbeheer. Voorwaardelijke toegang van Microsoft Entra brengt signalen samen, om beslissingen te nemen en organisatiebeleid af te dwingen. Voorwaardelijke toegang is de Zero Trust-beleidsengine van Microsoft die signalen van verschillende bronnen in aanmerking neemt bij het afdwingen van beleidsbeslissingen.

Diagram met het concept van voorwaardelijke toegangssignalen plus beslissing om organisatiebeleid af te dwingen.

Beleid voor voorwaardelijke toegang is eenvoudigst als-dan-instructies; als een gebruiker toegang wil krijgen tot een resource,moet deze een actie voltooien. Bijvoorbeeld: Als een gebruiker toegang wil krijgen tot een toepassing of service zoals Microsoft 365, moet deze meervoudige verificatie uitvoeren om toegang te krijgen.

Beheerders hebben twee primaire doelen:

  • Geef gebruikers de mogelijkheid overal en altijd productief te zijn
  • Bescherm de organisatie-assets

Gebruik beleid voor voorwaardelijke toegang om de juiste besturingselementen voor toegang toe te passen wanneer dat nodig is om uw organisatie veilig te houden.

Belangrijk

Beleid voor voorwaardelijke toegang wordt toegepast nadat de eerste-factorverificatie is voltooid. Voorwaardelijke toegang is niet bedoeld als de voorste verdediging van een organisatie tegen scenario's zoals DoS-aanvallen, maar kan wel signalen van deze gebeurtenissen gebruiken om de toegang te bepalen.

Algemene signalen

Voorwaardelijke toegang maakt gebruik van signalen van verschillende bronnen om toegangsbeslissingen te nemen.

diagram met voorwaardelijke toegang als de zero Trust-beleidsengine die signalen uit verschillende bronnen samenvoegt.

Deze signalen zijn onder andere:

  • Lidmaatschap van gebruiker of groep
    • Beleidsregels kunnen worden gericht op specifieke gebruikers en groepen die beheerders nauwkeurige controle geven over de toegang.
  • IP-locatiegegevens
    • Organisaties kunnen vertrouwde IP-adresbereiken maken die kunnen worden gebruikt bij het nemen van beleidsbeslissingen.
    • Beheerders kunnen IP-bereiken voor volledige landen of regio's opgeven om verkeer te blokkeren of toe te staan.
  • Apparaat
    • Gebruikers met apparaten van specifieke platforms of die zijn gemarkeerd met een specifieke status, kunnen worden gebruikt bij het afdwingen van beleid voor voorwaardelijke toegang.
    • Gebruik filters voor apparaten om beleid te richten op specifieke apparaten, zoals bevoegde toegangswerkstations.
  • Toepassing
    • Activeer verschillende beleidsregels voor voorwaardelijke toegang wanneer gebruikers toegang proberen te krijgen tot specifieke toepassingen.
  • Realtime en berekende risicodetectie
  • Microsoft Defender voor Cloud-apps
    • Bewaak en beheer gebruikerstoepassingstoegang en -sessies in realtime. Deze integratie verbetert de zichtbaarheid en controle over toegang en activiteiten in uw cloudomgeving.

Gebruikelijke beslissingen

  • Toegang blokkeren is de meest beperkende beslissing.
  • Toegang verlenen.
  • Een minder beperkend besluit waarvoor mogelijk een of meer van de volgende opties zijn vereist:
    • Meervoudige verificatie vereisen.
    • Vereis een sterke verificatie.
    • Vereisen dat het apparaat als compatibel wordt gemarkeerd.
    • Een hybride verbinding met Microsoft Entra is vereist voor het apparaat.
    • Een goedgekeurde clientapp vereisen.
    • Stel een beveiligingsbeleid voor apps in.
    • Wachtwoordwijziging vereisen.
    • Gebruiksvoorwaarden vereisen.

Vaak toegepast beleid

Veel organisaties hebben veelvoorkomende toegangsproblemen waarbij het beleid voor voorwaardelijke toegang kan helpen, zoals:

  • Meervoudige verificatie vereisen voor gebruikers met beheerdersrollen
  • Meervoudige verificatie vereisen voor Azure-beheertaken
  • Aanmeldingen blokkeren voor gebruikers die verouderde verificatieprotocollen gebruiken
  • Het verplicht stellen van vertrouwde locaties voor de registratie van beveiligingsgegevens
  • Toegang vanaf specifieke locaties blokkeren of verlenen
  • Riskante aanmeldingsgedragingen blokkeren
  • Apparaten die door de organisatie beheerd worden vereisen voor specifieke toepassingen

Beheerders kunnen volledig nieuw beleid maken of beginnen met een sjabloonbeleid in de portal of met behulp van de Microsoft Graph API.

Beheer ervaring

Beheerders met de rol Beheerder voor voorwaardelijke toegang kunnen beleidsregels beheren.

U vindt voorwaardelijke toegang in het Microsoft Entra-beheercentrum onderVoorwaardelijke toegang van>.

Schermopname van de overzichtspagina voor voorwaardelijke toegang.

  • Op de pagina Overzicht ziet u een overzicht van de beleidsstatus, gebruikers, apparaten en toepassingen, samen met algemene en beveiligingswaarschuwingen met suggesties.
  • Op de pagina Dekking ziet u een overzicht van toepassingen met en zonder dekking van beleid voor voorwaardelijke toegang gedurende de afgelopen zeven dagen.
  • Op de pagina Bewaking kunnen beheerders een grafiek zien van aanmeldingen die kunnen worden gefilterd om potentiële hiaten in beleidsdekking te zien.

Beleidsregels voor voorwaardelijke toegang op de pagina Beleid kunnen worden gefilterd door beheerders op basis van items zoals de actor, doelresource, voorwaarde, toegepast besturingselement, status of datum. Met deze filtermogelijkheid kunnen beheerders snel specifieke beleidsregels vinden op basis van hun configuratie.

Agent voor optimalisatie van voorwaardelijke toegang

De agent voor optimalisatie van voorwaardelijke toegang (preview) met Microsoft Security Copilot stelt nieuwe beleidsregels en wijzigingen in bestaande beleidsregels voor op basis van Zero Trust-principes en aanbevolen procedures van Microsoft. Pas met één klik de suggestie toe om automatisch een beleid voor voorwaardelijke toegang bij te werken of te maken. De agent heeft ten minste de Microsoft Entra ID P1-licentie en SCU (Security Compute Units) nodig.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.

Klanten met Microsoft 365 Business Premium-licenties kunnen ook gebruikmaken van functies voor voorwaardelijke toegang.

Voor andere producten en functies die met beleid voor voorwaardelijke toegang werken, is de juiste licentie vereist voor deze producten en functies. Dit omvat Microsoft Entra Workload ID, Microsoft Entra ID Protection en Microsoft Purview.

Wanneer de vereiste licenties voor voorwaardelijke toegang verlopen, worden beleidsregels niet automatisch uitgeschakeld of verwijderd. Met deze probleemloze status kunnen klanten weg migreren van beleid voor voorwaardelijke toegang zonder plotselinge wijzigingen in hun beveiligingspostuur. U kunt resterende beleidsregels bekijken en verwijderen, maar u kunt ze niet bijwerken.

Standaardinstellingen voor beveiliging helpen u te beschermen tegen identiteitsgerelateerde aanvallen en zijn beschikbaar voor alle klanten.

Zero Trust

Met deze functie kunnen organisaties hun identiteiten afstemmen op de drie leidende principes van een Zero Trust-architectuur:

  • Expliciet verifiëren
  • Minimale bevoegdheden gebruiken
  • Stel dat er sprake is van een schending

Zie het Zero Trust Guidance Center voor meer informatie over Zero Trust en andere manieren om uw organisatie af te stemmen op de richtlijnen.

Volgende stappen