Compatibele netwerkcontrole met voorwaardelijke toegang inschakelen
Organisaties die gebruikmaken van voorwaardelijke toegang samen met global Secure Access, kunnen schadelijke toegang tot Microsoft-apps, SaaS-apps van derden en privé Line-Of-Business-apps (LoB) voorkomen met behulp van meerdere voorwaarden om diepgaande verdediging te bieden. Deze voorwaarden omvatten mogelijk apparaatcompatibiliteit, locatie en meer om bescherming te bieden tegen identiteits- of tokendiefstal van gebruikers. Global Secure Access introduceert het concept van een compatibel netwerk binnen voorwaardelijke toegang van Microsoft Entra ID. Deze compatibele netwerkcontrole zorgt ervoor dat gebruikers verbinding maken via de Global Secure Access-service voor hun specifieke tenant en voldoen aan het beveiligingsbeleid dat door beheerders wordt afgedwongen.
Met de Global Secure Access Client die op apparaten of netwerken achter geconfigureerde externe netwerken is geïnstalleerd, kunnen beheerders resources achter een compliant netwerk beveiligen met geavanceerde voorwaardelijke toegangscontroles. Met deze compatibele netwerkfunctie kunnen beheerders eenvoudiger toegangsbeleid beheren, zonder dat ze een lijst met uitgaande IP-adressen hoeven te onderhouden. Dit verwijdert de vereiste om verkeer om te leiden via de VPN van de organisatie.
Naleving van netwerkcontrole
Het afdwingen van compatibele netwerken vermindert het risico op diefstal van tokens/herhalingsaanvallen. Netwerkafdwinging in overeenstemming vindt plaats op het authenticatievlak (algemeen beschikbaar) en op het gegevensvlak (voorbeeldversie). Afdwinging van het authenticatievlak wordt uitgevoerd door Microsoft Entra ID op het moment van gebruikersverificatie. Als een kwaadwillende persoon een sessietoken heeft gestolen en probeert het opnieuw af te spelen vanaf een apparaat dat niet is verbonden met het compatibele netwerk van uw organisatie (bijvoorbeeld het aanvragen van een toegangstoken met een gestolen vernieuwingstoken), wordt de aanvraag onmiddellijk geweigerd en wordt verdere toegang geblokkeerd. Handhaving van het gegevensvlak werkt met diensten die ondersteuning bieden voor continue toegangsevaluatie (CAE), momenteel is dat alleen SharePoint Online. Met apps die CAE ondersteunen, worden gestolen toegangstokens die buiten het compatibele netwerk van uw tenant worden afgespeeld, in bijna realtime geweigerd door de toepassing. Zonder CAE duurt een gestolen toegangstoken tot de volledige levensduur (standaard 60-90 minuten).
Deze compatibele netwerkcontrole is specifiek voor elke tenant.
- Met deze controle kunt u ervoor zorgen dat andere organisaties die gebruikmaken van de global Secure Access-services van Microsoft geen toegang hebben tot uw resources.
- Bijvoorbeeld: Contoso kan hun services zoals Exchange Online en SharePoint Online beveiligen achter hun compatibele netwerkcontrole om ervoor te zorgen dat alleen Contoso-gebruikers toegang hebben tot deze resources.
- Als een andere organisatie zoals Fabrikam een conforme netwerkcontrole gebruikte, zouden ze niet slagen voor de conforme netwerkcontrole van Contoso.
Het compatibele netwerk verschilt van IPv4, IPv6 of geografische locaties die u in Microsoft Entra kunt configureren. Beheerders hoeven geen compatibele IP-adressen/bereiken van het netwerk te controleren en te onderhouden, waardoor de beveiligingspostuur wordt versterkt en de doorlopende administratieve overhead wordt geminimaliseerd.
Vereisten
- Beheerders die werken met globale beveiligde toegangsfuncties , moeten een of meer van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren.
- De rol van Global Secure Access-beheerder voor het beheren van de functies van Global Secure Access.
- Beheerder voor voorwaardelijke toegang om beleid voor voorwaardelijke toegang en benoemde locaties te maken en ermee te communiceren.
- Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.
Bekende beperkingen
Deze functie heeft een of meer bekende beperkingen. Zie Bekende beperkingen voor globale beveiligde toegangvoor meer gedetailleerde informatie over de bekende problemen en beperkingen van deze functie.
Global Secure Access signaling inschakelen voor voorwaardelijke toegang
Als u de vereiste instelling wilt inschakelen om de conforme netwerkcontrole toe te staan, moet een beheerder de volgende stappen uitvoeren.
- Meld u aan bij het Microsoft Entra-beheercentrum als globale beheerder voor beveiligde toegang.
- Blader naar Global Secure Access>Instellingen>Sessiebeheer>Adaptieve toegang.
- Selecteer de wisselknop om CA-signalering in te schakelen voor Entra ID (met alle cloud-apps). Hiermee wordt CAE-signalering automatisch ingeschakeld voor Office 365 (preview).
- Blader naar Beveiliging>Voorwaardelijke Toegang>Benoemde locaties.
- Controleer of u een locatie hebt met de naam Alle conforme netwerktoegangslocaties met het locatietype Netwerktoegang. Organisaties kunnen deze locatie desgewenst markeren als vertrouwd.
Let op
Als uw organisatie actieve beleidsregels voor voorwaardelijke toegang heeft op basis van compatibele netwerkcontrole en u global Secure Access-signalering uitschakelt in voorwaardelijke toegang, kunt u onbedoeld voorkomen dat doelgebruikers toegang hebben tot de resources. Als u deze functie moet uitschakelen, moet u eerst alle bijbehorende beleidsregels voor voorwaardelijke toegang verwijderen.
Uw resources beveiligen achter het compatibele netwerk
Het beleid voor voorwaardelijke toegang van het compatibele netwerk kan worden gebruikt om uw Microsoft- en externe toepassingen te beveiligen. Een typisch beleid zal een 'Block'-toekenning bevatten voor alle netwerklocaties, behalve voor Compliant Network. In het volgende voorbeeld ziet u de stappen voor het configureren van dit type beleid:
- Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
- Blader naar voorwaardelijke toegang voor beveiliging>.
- Selecteer Nieuw beleid maken.
- Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
- Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
- Selecteer onder Opnemen de optie Alle gebruikers.
- Onder Uitsluiten selecteert u Gebruikers en groepen en kiest u de noodtoegangs- of break-glass-accounts van uw organisatie.
- Selecteer onder Doelresources>Opnemen, en selecteer Alle resources (voorheen 'Alle cloud-apps').
- Als uw organisatie apparaten inschrijft bij Microsoft Intune, is het raadzaam om de toepassingen Microsoft Intune-inschrijving en Microsoft Intune uit te sluiten van uw beleid voor voorwaardelijke toegang om een kringafhankelijkheid te voorkomen.
- Onder Netwerk.
- Stel Configureren in op Ja.
- Selecteer bij Opnemen de optie Elke locatie.
- Selecteer onder Uitsluiten de locatie Alle compatibele netwerklocaties .
- Onder Besturingselementen voor toegang:
- Toestaan, Toegang blokkeren, en Selecteren.
- Controleer uw instellingen en stel Beleid inschakelen in op Aan.
- Selecteer de knop Maken om uw beleid in te schakelen.
Notitie
Gebruik globale beveiligde toegang samen met beleidsregels voor voorwaardelijke toegang waarvoor een compatibel netwerk voor alle resources is vereist.
Globale beveiligde toegangsbronnen worden automatisch uitgesloten van het beleid voor voorwaardelijke toegang wanneer compatibel netwerk is ingeschakeld in het beleid. Er is geen expliciete uitsluiting van hulpbronnen vereist. Deze automatische uitsluitingen zijn vereist om ervoor te zorgen dat de Global Secure Access-client niet wordt geblokkeerd voor toegang tot de benodigde resources. De resources die Global Secure Access nodig heeft, zijn:
- Globale beveiligde toegang-verkeersprofielen
- Global Secure Access Policy Service (interne dienst)
Aanmeldingsgebeurtenissen voor verificatie van uitgesloten Global Secure Access-resources worden weergegeven in de aanmeldingslogboeken van Microsoft Entra-id als:
- Internetbronnen met globale beveiligde toegang
- Microsoft-apps met Global Secure Access
- Alle privébronnen met globale beveiligde toegang
- ZTNA-beleidsservice
Uitsluitingen van gebruikers
Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:
-
Accounts voor noodtoegang of break-glass-accounts om vergrendeling te voorkomen door misconfiguratie van beleid. In het onwaarschijnlijke scenario zijn alle beheerders vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en stappen uit te voeren om de toegang te herstellen.
- Meer informatie vindt u in het artikel, Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID.
-
Serviceaccounts en serviceprincipals, zoals het Microsoft Entra Connect Sync Account. Serviceaccounts zijn niet-interactieve accounts die niet zijn gebonden aan een bepaalde gebruiker. Ze worden normaal gebruikt door back-end services die programmatische toegang tot toepassingen mogelijk maken, maar worden ook gebruikt om in te loggen op systemen voor administratieve doeleinden. Oproepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workload-identiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
- Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten.
Probeer uw conforme netwerkbeleid
- Op een eindgebruikersapparaat waarop de Global Secure Access-client is geïnstalleerd en actief is, kunt u naar https://outlook.office.com/mail/ of
https://yourcompanyname.sharepoint.com/
bladeren om toegang tot resources te krijgen. - Pauzeer de Global Secure Access-client door met de rechtermuisknop op de toepassing in het Windows-systeemvak te klikken en Onderbreken te selecteren.
- Blader naar https://outlook.office.com/mail/ of
https://yourcompanyname.sharepoint.com/
, u bent geblokkeerd voor toegang tot resources met een foutbericht met de mededeling dat u dit op dit moment niet kunt openen.
Probleemoplossing
Controleer of de nieuwe benoemde locatie automatisch is gemaakt met Behulp van Microsoft Graph.
GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations