Beleid voor voorwaardelijke toegang maken

Zoals uitgelegd in het artikel Wat is voorwaardelijke toegang?, is een beleid voor voorwaardelijke toegang een if-then-constructie van toewijzingen en toegangsbeheer. Met een beleid voor voorwaardelijke toegang worden signalen bijeengebracht, worden beslissingen genomen en wordt organisatiebeleid afgedwongen.

Hoe maakt een organisatie dit beleid? Wat is vereist? Hoe wordt het toegepast?

Meerdere beleidsregels voor voorwaardelijke toegang kunnen op elk gewenst moment van toepassing zijn op een afzonderlijke gebruiker. In dit geval moet worden voldaan aan alle beleidsregels die van toepassing zijn. Als één beleid bijvoorbeeld meervoudige verificatie vereist en een ander een compatibel apparaat vereist, moet u MFA voltooien en een compatibel apparaat gebruiken. Alle toewijzingen zijn logisch ANDed. Als u meer dan één toewijzing hebt geconfigureerd, moeten alle toewijzingen worden voldaan om een beleid te activeren.

Als een beleid is geselecteerd waarin 'Een van de geselecteerde besturingselementen vereisen', wordt de gedefinieerde volgorde gevraagd zodra aan de beleidsvereisten wordt voldaan. Vervolgens wordt toegang verleend.

Alle beleidsregels worden in twee fasen afgedwongen:

• Fase 1: Sessiedetails verzamelen
  • Verzamel sessiedetails, zoals netwerklocatie en apparaat-id die nodig zijn voor beleidsevaluatie.
  • Fase 1 van beleidsevaluatie vindt plaats voor ingeschakeld beleid en ingeschakelde beleidsregels in de modus Alleen rapporteren.
• Fase 2: Afdwingen
  • Gebruik de sessiegegevens die in fase 1 zijn verzameld om te bepalen welke vereisten niet zijn voldaan.
  • Als er een beleid is geconfigureerd met het bloktoevoegingsbeheer, stopt afdwinging hier en wordt de gebruiker geblokkeerd.
  • De gebruiker wordt gevraagd om meer vereisten voor toekenningsbeheer te voltooien die niet in fase 1 in de volgende volgorde zijn voldaan, totdat aan het beleid is voldaan:
    1. Meervoudige verificatie
    2. Het als compatibel te markeren apparaat
    3. Hybride apparaat van Microsoft Entra
    4. Goedgekeurde client-app
    5. beleid voor App-beveiliging
    6. Wachtwoord wijzigen
    7. Gebruiksvoorwaarden
    8. Aangepaste besturingselementen
  • Zodra aan alle toekenningsbesturingselementen is voldaan, past u sessiebesturingselementen toe (app afgedwongen, Microsoft Defender voor Cloud-apps en levensduur van tokens)
  • Fase 2 van beleidsevaluatie vindt plaats voor alle ingeschakelde beleidsregels.

Toewijzingen

Het deel toewijzing bepaalt het wie, wat en waar van het beleid voor voorwaardelijke toegang.

Gebruikers en groepen

Gebruikers en groepen wijzen toe wie het beleid opneemt of uitsluit wanneer het wordt toegepast. Deze toewijzing kan alle gebruikers, specifieke groepen gebruikers, adreslijstrollen of externe gastgebruikers bevatten.

Doelbronnen

Doelresources kunnen cloudtoepassingen, gebruikersacties of verificatiecontexten bevatten of uitsluiten die aan het beleid zijn onderworpen.

Netwerk

Het netwerk bevat IP-adressen, geografische gebieden en het conforme netwerk van globale beveiligde toegang tot beleidsbeslissingen voor voorwaardelijke toegang. Beheer istrators kunnen ervoor kiezen om locaties te definiëren en sommige als vertrouwd te markeren, zoals die voor de primaire netwerklocaties van hun organisatie.

Voorwaarden

Een beleid kan meerdere voorwaarden bevatten.

Aanmeldingsrisico

Voor organisaties met Microsoft Entra ID Protection kunnen de risicodetecties die worden gegenereerd uw beleid voor voorwaardelijke toegang beïnvloeden.

Apparaatplatformen

Organisaties met meerdere platformen voor het besturingssysteem van apparaten kunnen specifieke beleidsregels afdwingen op verschillende platforms.

De informatie die wordt gebruikt om het apparaatplatform te berekenen, is afkomstig van niet-geverifieerde bronnen, zoals tekenreeksen voor gebruikersagenten die kunnen worden gewijzigd.

Client-apps

De software die de gebruiker gebruikt voor toegang tot de cloud-app. Bijvoorbeeld 'Browser' en 'Mobiele apps en desktopclients'. Standaard zijn alle nieuw gemaakte beleidsregels voor voorwaardelijke toegang van toepassing op alle typen client-apps, zelfs als de voorwaarde voor client-apps niet is geconfigureerd.

Filteren op apparaten

Met dit besturingselement kunt u specifieke apparaten richten op basis van hun kenmerken in een beleid.

Besturingselementen voor toegang

Het gedeelte met toegangsbeheer van het beleid voor voorwaardelijke toegang bepaalt hoe een beleid wordt afgedwongen.

Toekennen

Verlenen biedt beheerders een middel voor het afdwingen van beleid, waar ze toegang kunnen blokkeren of verlenen.

Toegang blokkeren

Hiermee blokkeert u alleen de toegang onder de opgegeven toewijzingen. De besturing van het element op blokniveau is krachtig en moet met de juiste kennis worden gebruikt.

Toegang verlenen

Het toekenningsbeheer kan het afdwingen van een of meer besturingselementen activeren.

• Meervoudige verificatie vereisen
• Vereisen dat het apparaat moet worden gemarkeerd als compatibel (Intune)
• Een hybride apparaat van Microsoft Entra vereisen
• Goedgekeurde client-apps vereisen
• Beleid voor app-beveiliging vereisen
• Wachtwoordwijziging vereisen
• Gebruiksvoorwaarden vereisen

Beheerders kunnen ervoor kiezen om een van de vorige besturingselementen of alle geselecteerde besturingselementen te vereisen met behulp van de volgende opties. De standaardinstelling voor meerdere besturingselementen is om alles te vereisen.

• Alle geselecteerde besturingselementen vereisen (besturingselement en besturingselement)
• Een van de geselecteerde besturingselementen vereisen (besturingselement of besturingselement)

Sessie

Sessiebesturingselementen kunnen de ervaring van gebruikers beperken.

• Door apps afgedwongen beperkingen gebruiken:
  • Momenteel werkt alleen met Exchange Online en SharePoint Online.
  • Geeft apparaatgegevens door om toe te staan over de ervaring die volledige of beperkte toegang verleent.
• App-beheer voor voorwaardelijke toegang gebruiken:
  • Gebruikt signalen van Microsoft Defender voor Cloud Apps om dingen te doen, zoals:
    • Download, knippen, kopiëren en afdrukken van gevoelige documenten blokkeren.
    • Riskant sessiegedrag bewaken.
    • Labelen van gevoelige bestanden vereisen.
• Aanmeldingsfrequentie:
  • De mogelijkheid om de standaardfrequentie voor aanmelding voor moderne verificatie te wijzigen.
• Permanente browsersessie:
  • Hiermee kunnen gebruikers aangemeld blijven na het sluiten en opnieuw openen van hun browservenster.
• Continue toegangsevaluatie aanpassen
• Standaardwaarden voor tolerantie uitschakelen

Eenvoudig beleid

Een beleid voor voorwaardelijke toegang moet minimaal het volgende bevatten om af te kunnen dwingen:

• Naam van het beleid.
• Toewijzingen
  • Gebruikers en/of groepen waarop het beleid moet worden toegepast.
  • Cloud-apps of acties waarop het beleid moet worden toegepast.
• Besturingselementen voor toegang
  • Besturingselementen verlenen of blokkeren

Het artikel Algemene beleidsregels voor voorwaardelijke toegang bevat enkele beleidsregels die we voor de meeste organisaties nuttig vinden.

Gerelateerde inhoud

• Beleid voor voorwaardelijke toegang maken

• Conformiteit van apparaat beheren met Intune

• Microsoft Defender voor Cloud Apps en voorwaardelijke toegang