Sjablonen voor beleid voor voorwaardelijke toegang
Sjablonen voor voorwaardelijke toegang bieden een handige methode om nieuwe beleidsregels te implementeren die zijn afgestemd op De aanbevelingen van Microsoft. Deze sjablonen zijn ontworpen om maximale beveiliging te bieden die is afgestemd op veelgebruikte beleidsregels voor verschillende typen klanten en locaties.
Sjablooncategorieën
Beleidssjablonen voor voorwaardelijke toegang zijn ingedeeld in de volgende categorieën:
Microsoft raadt dit beleid aan als basis voor alle organisaties. We raden u aan dit beleid als groep te implementeren.
- Meervoudige verificatie vereisen voor beheerders
- Registratie van beveiligingsinformatie beveiligen
- Blokkeer oude verificatie
- Meervoudige verificatie vereisen voor beheerders die toegang hebben tot Microsoft-beheerportals
- Meervoudige verificatie vereisen voor alle gebruikers
- Meervoudige verificatie vereisen voor Azure-beheer
- Een nalevend of aan Microsoft Entra hybride aangesloten apparaat, of meervoudige verificatie vereisen voor alle gebruikers
- Compatibel apparaat vereisen
Zoek deze sjablonen in het Microsoft Entra-beheercentrum>protection>Maak nieuw beleid op basis van sjablonen. Selecteer Meer weergeven om alle beleidssjablonen in elke categorie weer te geven.
Belangrijk
Beleidsjablonen voor voorwaardelijke toegang sluiten alleen de gebruiker die het beleid aanmaakt uit. Als uw organisatie andere accounts moet uitsluiten, kunt u het beleid wijzigen zodra ze zijn gemaakt. U vindt deze beleidsregels in het Microsoft Entra-beheercentrum>Beveiliging>Voorwaardelijke toegang>Beleidsregels. Selecteer een beleid om de editor te openen en de uitgesloten gebruikers en groepen te wijzigen om accounts te selecteren die u wilt uitsluiten.
Standaard wordt elk beleid gemaakt in de modus Alleen-rapporteren. We raden organisaties aan om het gebruik te testen en te controleren om ervoor te zorgen dat het beoogde resultaat wordt bereikt voordat elk beleid wordt ingeschakeld.
Organisaties kunnen afzonderlijke beleidssjablonen selecteren en:
- Bekijk een samenvatting van de beleidsinstellingen.
- Bewerken, om aan te passen op basis van de behoeften van de organisatie.
- Exporteer de JSON-definitie voor gebruik in programmatische werkstromen.
- Deze JSON-definities kunnen worden bewerkt en vervolgens geïmporteerd op de hoofdpagina van het beleid voor voorwaardelijke toegang met behulp van de optie Beleidsbestand uploaden.
Andere algemene beleidsregels
- Meervoudige verificatie vereisen voor apparaatregistratie
- Toegang blokkeren per locatie
- Toegang blokkeren behalve specifieke apps
Uitsluitingen van gebruikers
Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:
-
Noodtoegangsaccounts of break-glass accounts om vergrendeling door een foutieve beleidsconfiguratie te voorkomen. In het onwaarschijnlijke scenario zijn alle beheerders vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en stappen uit te voeren om de toegang te herstellen.
- Meer informatie vindt u in het artikel, Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID.
-
Serviceaccounts en Service Principals, zoals het Microsoft Entra Connect Sync-account. Serviceaccounts zijn niet-interactieve accounts die niet zijn gebonden aan een bepaalde gebruiker. Ze worden normaal gebruikt door back-end services die programmatische toegang tot toepassingen mogelijk maken, maar worden ook gebruikt om in te loggen op systemen voor administratieve doeleinden. Oproepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workload-identiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
- Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten.