Delen via


Voorwaardelijke toegang: voorwaarden

Binnen een beleid voor voorwaardelijke toegang kan een beheerder een of meer signalen gebruiken om hun beleidsbeslissingen te verbeteren.

Schermopname van beschikbare voorwaarden voor beleid voor voorwaardelijke toegang in het Microsoft Entra-beheercentrum.

Er kunnen meerdere voorwaarden worden gecombineerd om nauwkeurig en specifiek beleid voor voorwaardelijke toegang te maken.

Wanneer gebruikers toegang hebben tot een gevoelige toepassing, kan een beheerder meerdere voorwaarden in hun toegangsbeslissingen nemen, zoals:

  • Aanmeldingsrisicogegevens van ID Protection
  • Netwerklocatie
  • Apparaatgegevens

Gebruikersrisico

Beheerders met toegang tot ID Protection kunnen gebruikersrisico's evalueren als onderdeel van een beleid voor voorwaardelijke toegang. Gebruikersrisico geeft de kans aan dat er van een bepaalde identiteit of een bepaald account misbruik wordt gemaakt. Meer informatie over gebruikersrisico's vindt u in de artikelen What is risk and How To: Configure and enable risk policies.

Aanmeldingsrisico

Beheerders met toegang tot ID Protection kunnen aanmeldingsrisico's evalueren als onderdeel van een beleid voor voorwaardelijke toegang. Aanmeldingsrisico geeft de kans aan dat een gegeven verificatieaanvraag niet is gedaan door de eigenaar van de identiteit. Meer informatie over aanmeldingsrisico's vindt u in de artikelen What is risk and How To: Configure and enable risk policies.

Insider-risico

Beheerders met toegang tot adaptieve Microsoft Purview-beveiliging kunnen risicosignalen van Microsoft Purview opnemen in beleidsbeslissingen voor voorwaardelijke toegang. Intern risico houdt rekening met uw gegevensbeheer, gegevensbeveiliging en configuraties voor risico's en naleving van Microsoft Purview. Deze signalen zijn gebaseerd op contextuele factoren zoals:

  • Gebruikersgedrag
  • Historische patronen
  • Anomaliedetecties

Met deze voorwaarde kunnen beheerders beleid voor voorwaardelijke toegang gebruiken om acties uit te voeren, zoals het blokkeren van toegang, het vereisen van sterkere verificatiemethoden of het vereisen van acceptatie van gebruiksvoorwaarden.

Deze functionaliteit omvat het opnemen van parameters die specifiek betrekking hebben op potentiële risico's die voortvloeien uit een organisatie. Door voorwaardelijke toegang te configureren voor het overwegen van Insider Risk, kunnen beheerders toegangsmachtigingen aanpassen op basis van contextuele factoren, zoals gebruikersgedrag, historische patronen en anomaliedetectie.

Zie het artikel Een beleid op basis van intern risico configureren en inschakelen voor meer informatie.

Apparaatplatformen

Voorwaardelijke toegang identificeert het apparaatplatform met behulp van informatie die door het apparaat wordt verstrekt, zoals tekenreeksen van gebruikersagenten. Omdat tekenreeksen van de gebruikersagent kunnen worden gewijzigd, is deze informatie niet geverifieerd. Het apparaatplatform moet worden gebruikt in combinatie met het Microsoft Intune-nalevingsbeleid voor apparaten of als onderdeel van een blokinstructie. De standaardinstelling moet van toepassing zijn op alle apparaatplatforms.

Voorwaardelijke toegang ondersteunt de volgende apparaatplatformen:

  • Android
  • iOS
  • Windows
  • macOS
  • Linux

Als u verouderde verificatie blokkeert met de voorwaarde Andere clients , kunt u ook de apparaatplatformvoorwaarde instellen.

Het selecteren van macOS- of Linux-apparaatplatforms wordt niet ondersteund bij het selecteren van goedgekeurd client-app- of app-beveiligingsbeleid vereisen als de enige toekenningsbesturingselementen of wanneer u alle geselecteerde besturingselementen vereisen kiest.

Belangrijk

Microsoft raadt u aan een beleid voor de voorwaardelijke toegang te hebben voor niet-ondersteunde apparaatplatformen. Als u bijvoorbeeld de toegang tot uw bedrijfsbronnen wilt blokkeren vanuit Het Chrome-besturingssysteem of andere niet-ondersteunde clients, moet u een beleid configureren met een voorwaarde voor apparaatplatformen die elk apparaat bevatten en ondersteunde apparaatplatformen uitsluiten en beheer verlenen op Toegang blokkeren.

Locaties

De locatievoorwaarde is verplaatst.

Client-apps

Standaard zijn alle nieuw gemaakte beleidsregels voor voorwaardelijke toegang van toepassing op alle typen client-apps, zelfs als de voorwaarde voor client-apps niet is geconfigureerd.

Notitie

Het gedrag van de voorwaarde voor client-apps is bijgewerkt in augustus 2020. Als u bestaand beleid voor voorwaardelijke toegang hebt, blijven deze ongewijzigd. Als u echter op een bestaand beleid klikt, is de wisselknop Configureren verwijderd en worden de client-apps waarop het beleid van toepassing is geselecteerd.

Belangrijk

Aanmeldingen van verouderde verificatieclients bieden geen ondersteuning voor meervoudige verificatie (MFA) en geven geen apparaatstatusgegevens door, zodat ze worden geblokkeerd door besturingselementen voor voorwaardelijke toegang, zoals het vereisen van MFA of compatibele apparaten. Als u accounts hebt die verouderde verificatie moeten gebruiken, moet u deze accounts uitsluiten van het beleid of het beleid zo configureren dat dit alleen van toepassing is op clients voor moderne verificatie.

De schakelknop Configureren wanneer deze is ingesteld op Ja is van toepassing op ingeschakelde items, wanneer deze is ingesteld op Nee op alle client-apps, inclusief moderne en verouderde verificatieclients. De schakelknop wordt niet weergegeven in beleidsregels die zijn gemaakt vóór augustus 2020.

  • Clients voor moderne verificatie
    • Browser
      • Dit zijn webtoepassingen die gebruikmaken van protocollen zoals SAML, WS-Federation, OpenID Connect of services die zijn geregistreerd als een vertrouwelijke OAuth-client.
    • Mobiele apps en desktopclients
      • Deze optie omvat toepassingen zoals de bureaublad- en telefoontoepassingen van Office.
  • Verouderde verificatieclients
    • Exchange ActiveSync-clients
      • Deze selectie omvat alle gebruik van het EAS-protocol (Exchange ActiveSync).
      • Wanneer beleid het gebruik van Exchange ActiveSync blokkeert, ontvangt de betrokken gebruiker één quarantaine-e-mail. Deze e-mail bevat informatie over waarom ze worden geblokkeerd en neem indien mogelijk herstelinstructies op.
      • Beheerders kunnen beleid alleen toepassen op ondersteunde platforms (zoals iOS, Android en Windows) via de Microsoft Graph API voor voorwaardelijke toegang.
    • Andere clients
      • Deze optie omvat clients die gebruikmaken van basis-/verouderde verificatieprotocollen die geen ondersteuning bieden voor moderne verificatie.
        • SMTP: wordt gebruikt door POP- en IMAP-client om e-mailberichten te verzenden.
        • Autodiscover: wordt gebruikt door Outlook- en EAS-clients om postvakken in Exchange Online te zoeken en er verbinding mee te maken.
        • Exchange Online PowerShell: wordt gebruikt om verbinding te maken met Exchange Online met externe PowerShell. Als u basisverificatie voor Exchange Online PowerShell blokkeert, moet u de Exchange Online PowerShell-module gebruiken om verbinding te maken. Zie Verbinding maken met Exchange Online PowerShell met behulp van meervoudige verificatie voor instructies.
        • Exchange Web Services (EWS): een programmeerinterface die wordt gebruikt door Outlook-, Outlook voor Mac- en apps van derden.
        • IMAP4: wordt gebruikt door IMAP-e-mailclients.
        • MAPI via HTTP (MAPI/HTTP): wordt gebruikt door Outlook 2010 en hoger.
        • Offline Address Book (OAB): een kopie van adreslijstverzamelingen die door Outlook worden gedownload en gebruikt.
        • Outlook Anywhere (RPC via HTTP): wordt gebruikt door Outlook 2016 en eerder.
        • Outlook-service: wordt gebruikt door de app Mail en Agenda voor Windows 10.
        • POP3: wordt gebruikt door POP-e-mailclients.
        • Reporting Web Services: wordt gebruikt om rapportgegevens op te halen in Exchange Online.

Deze voorwaarden worden vaak gebruikt voor:

  • Een beheerd apparaat vereisen
  • Verouderde verificatie blokkeren
  • Webtoepassingen blokkeren, maar mobiele of bureaublad-apps toestaan

Ondersteunde browsers

Deze instelling werkt met alle browsers. Als u echter wilt voldoen aan een apparaatbeleid, zoals een compatibele apparaatvereiste, worden de volgende besturingssystemen en browsers ondersteund. Besturingssystemen en browsers die niet algemeen worden ondersteund, worden niet weergegeven in deze lijst:

De besturingssystemen Browsers
Windows 10 + Microsoft Edge, Chrome, Firefox 91+
Windows Server 2022 Microsoft Edge, Chrome
Windows Server 2019 Microsoft Edge, Chrome
iOS Microsoft Edge, Safari (zie de notities)
Android Microsoft Edge, Chrome
macOS Microsoft Edge, Chrome, Safari
Linux Desktop Microsoft Edge

Deze browsers ondersteunen apparaatverificatie, zodat het apparaat kan worden geïdentificeerd en gevalideerd op basis van een beleid. De apparaatcontrole mislukt als de browser wordt uitgevoerd in de privémodus of als cookies zijn uitgeschakeld.

Notitie

Voor Edge 85+ moet de gebruiker zijn aangemeld bij de browser om de apparaatidentiteit correct door te geven. Anders gedraagt het zich als Chrome zonder de Microsoft Single sign-on-extensie. Deze aanmelding vindt mogelijk niet automatisch plaats in een hybride apparaatdeelnamescenario.

Safari wordt ondersteund voor voorwaardelijke toegang op basis van apparaten op een beheerd apparaat, maar kan niet voldoen aan de voorwaarden voor goedgekeurd client-app vereisen of beleid voor app-beveiliging vereisen. Een beheerde browser, zoals Microsoft Edge, voldoet aan de goedgekeurde client-app- en app-beveiligingsbeleidsvereisten. In iOS met mdm-oplossing van derden ondersteunt alleen de Microsoft Edge-browser apparaatbeleid.

Firefox 91+ wordt ondersteund voor voorwaardelijke toegang op basis van apparaten, maar Eenmalige aanmelding van Windows toestaan voor Microsoft-, werk- en schoolaccounts moet zijn ingeschakeld.

Chrome 111+ wordt ondersteund voor voorwaardelijke toegang op basis van apparaten, maar CloudApAuthEnabled moet zijn ingeschakeld.

voor macOS-apparaten die gebruikmaken van de Enterprise SSO-invoegtoepassing is de Microsoft Single sign-on-extensie vereist voor ondersteuning van SSO en voorwaardelijke toegang op basis van apparaten in Google Chrome.

Waarom zie ik een certificaatprompt in de browser?

Op Windows 7-, iOS-, Android- en macOS-apparaten worden geïdentificeerd met behulp van een clientcertificaat. Dit certificaat wordt ingericht wanneer het apparaat is geregistreerd. Wanneer een gebruiker zich voor het eerst aanmeldt via de browser, wordt de gebruiker gevraagd het certificaat te selecteren. De gebruiker moet dit certificaat selecteren voordat de browser wordt gebruikt.

Chrome-ondersteuning

Windows

Voor Chrome-ondersteuning in Windows 10-makersupdate (versie 1703) of hoger installeert u de Microsoft Single sign-on-extensie of schakelt u CloudAPAuthEnabled van Chrome in. Deze configuraties zijn vereist wanneer een beleid voor voorwaardelijke toegang specifiek apparaatspecifieke details vereist voor Windows-platforms.

Als u het CloudAPAuthEnabled-beleid automatisch wilt inschakelen in Chrome, maakt u de volgende registersleutel:

  • Pad: HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome
  • Naam: CloudAPAuthEnabled
  • Waarde: 0x00000001
  • PropertyType: DWORD

Als u de Microsoft Single sign-on-extensie automatisch wilt implementeren in Chrome-browsers, maakt u de volgende registersleutel met behulp van het extensionInstallForcelist-beleid in Chrome:

  • Pad: HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Naam: 1
  • Type: REG_SZ (String)
  • Gegevens: ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Maak voor Chrome-ondersteuning in Windows 8.1 en 7 de volgende registersleutel:

  • Pad: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Naam: 1
  • Type: REG_SZ (String)
  • Gegevens: {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS

voor macOS-apparaten die gebruikmaken van de Enterprise SSO-invoegtoepassing is de Microsoft Single sign-on-extensie vereist voor ondersteuning van SSO en voorwaardelijke toegang op basis van apparaten in Google Chrome.

Voor MDM-implementaties van Google Chrome en extensiebeheer raadpleegt u Chrome-browser instellen op Mac en ExtensionInstallForcelist.

Ondersteunde mobiele toepassingen en desktopclients

Beheerders kunnen mobiele apps en desktopclients selecteren als client-app.

Deze instelling heeft invloed op toegangspogingen die zijn uitgevoerd vanuit de volgende mobiele apps en desktopclients:

Client-apps Doelservice Platform
Dynamics CRM-app Dynamics CRM Windows 10, Windows 8.1, iOS en Android
Mail/Agenda/Personen-app, Outlook 2016, Outlook 2013 (met moderne verificatie) Exchange Online Windows 10
MFA en locatiebeleid voor apps. Beleid op basis van apparaten wordt niet ondersteund. Elke Mijn apps app-service Android en iOS
Microsoft Teams Services - deze client-app beheert alle services die Ondersteuning bieden voor Microsoft Teams en alle bijbehorende client-apps - Windows Desktop, iOS, Android, WP en webclient Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android en macOS
Office 2016-apps, Office 2013 (met moderne verificatie), OneDrive-synchronisatie-client SharePoint Windows 8.1, Windows 7
Office 2016-apps, Universele Office-app s, Office 2013 (met moderne verificatie), OneDrive-synchronisatie-client SharePoint Online Windows 10
Office 2016 (alleen Word, Excel, PowerPoint, OneNote). SharePoint macOS
Office 2019 SharePoint Windows 10, macOS
Office mobiele apps SharePoint Android, iOS
Office Yammer-app Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (Office voor macOS) Exchange Online macOS
Outlook 2016, Outlook 2013 (met moderne verificatie), Skype voor Bedrijven (met moderne verificatie) Exchange Online Windows 8.1, Windows 7
Mobiele Outlook-app Exchange Online Android, iOS
Power BI-app Power BI-service Windows 10, Windows 8.1, Windows 7, Android en iOS
Skype voor Bedrijven Exchange Online Android, iOS
Azure DevOps Services-app (voorheen Visual Studio Team Services of VSTS) Azure DevOps Services (voorheen Visual Studio Team Services of VSTS) Windows 10, Windows 8.1, Windows 7, iOS en Android

Exchange ActiveSync-clients

  • Beheerders kunnen alleen Exchange ActiveSync-clients selecteren bij het toewijzen van beleid aan gebruikers of groepen. Als u Alle gebruikers, Alle gast- en externe gebruikers of Directory-rollen selecteert, worden alle gebruikers onderworpen aan het beleid.
  • Wanneer beheerders een beleid maken dat is toegewezen aan Exchange ActiveSync-clients, moet Exchange Online de enige cloudtoepassing zijn die aan het beleid is toegewezen.
  • Beheerders kunnen het bereik van dit beleid beperken tot specifieke platforms met behulp van de voorwaarde Apparaatplatformen .

Als het toegangsbeheer dat aan het beleid is toegewezen, goedgekeurde client-app vereisen gebruikt, wordt de gebruiker omgeleid om de mobiele Outlook-client te installeren en te gebruiken. In het geval dat meervoudige verificatie, gebruiksvoorwaarden of aangepaste besturingselementen vereist zijn, worden betrokken gebruikers geblokkeerd, omdat basisverificatie deze besturingselementen niet ondersteunt.

Raadpleeg voor meer informatie de volgende artikelen:

Andere clients

Door Andere clients te selecteren, kunt u een voorwaarde opgeven die van invloed is op apps die gebruikmaken van basisverificatie met e-mailprotocollen zoals IMAP, MAPI, POP, SMTP en oudere Office-app s die geen moderne verificatie gebruiken.

Apparaatstatus (afgeschaft)

Deze voorwaarde is afgeschaft. Klanten moeten het filter voor apparaten in het beleid voor voorwaardelijke toegang gebruiken om te voldoen aan scenario's die eerder zijn bereikt met behulp van de statusvoorwaarde van het apparaat.

Belangrijk

Apparaatstatus en filters voor apparaten kunnen niet samen worden gebruikt in beleid voor voorwaardelijke toegang. Filters voor apparaten bieden gedetailleerdere targeting, waaronder ondersteuning voor informatie over de status van apparaten via de trustType en isCompliant eigenschap.

Filteren op apparaten

Wanneer beheerders een filter voor apparaten als voorwaarde configureren, kunnen ze ervoor kiezen om apparaten op te nemen of uit te sluiten op basis van een filter met behulp van een regelexpressie op apparaateigenschappen. De regelexpressie voor het filter voor apparaten kan worden gemaakt met behulp van de opbouwfunctie voor regels of regelsyntaxis. Deze ervaring is vergelijkbaar met de ervaring die wordt gebruikt voor regels voor dynamische lidmaatschapsgroepen voor groepen. Zie het artikel Voorwaardelijke toegang: Filteren op apparaten voor meer informatie.

Verificatiestromen (preview)

Verificatiestromen bepalen hoe uw organisatie gebruikmaakt van bepaalde verificatie- en autorisatieprotocollen en subsidies. Deze stromen bieden mogelijk een naadloze ervaring voor apparaten die mogelijk geen lokale invoerapparaten hebben, zoals gedeelde apparaten of digitale signage. Gebruik dit besturingselement om overdrachtsmethoden te configureren, zoals apparaatcodestroom of verificatieoverdracht.

Volgende stappen