Een beleid voor voorwaardelijke toegang maken

Zoals uitgelegd in het artikel Wat is voorwaardelijke toegang, is een beleid voor voorwaardelijke toegang een if-then-instructie van toewijzingen en toegangsbeheer. Een beleid voor voorwaardelijke toegang brengt signalen samen, om beslissingen te nemen en organisatiebeleid af te dwingen.

Hoe maakt een organisatie dit beleid? Wat is vereist? Hoe worden ze toegepast?

Meerdere beleidsregels voor voorwaardelijke toegang kunnen op elk gewenst moment van toepassing zijn op een afzonderlijke gebruiker. In dit geval moeten alle beleidsregels die van toepassing zijn, worden voldaan. Als één beleid bijvoorbeeld meervoudige verificatie vereist en een ander een compatibel apparaat vereist, moet u MFA voltooien en een compatibel apparaat gebruiken. Alle toewijzingen worden logisch ANDed-. Als u meer dan één toewijzing hebt geconfigureerd, moeten alle toewijzingen worden voldaan om een beleid te activeren.

Als een beleid waarbij 'Een van de geselecteerde controles vereisen' is geselecteerd, vragen we in de gedefinieerde volgorde om actie. Zodra aan de beleidsvereisten is voldaan, wordt toegang verleend.

Alle beleidsregels worden in twee fasen afgedwongen:

• fase 1: sessiedetails verzamelen
  • Verzamel sessiedetails, zoals netwerklocatie en apparaat-id die nodig zijn voor beleidsevaluatie.
  • De beleidsevaluatie van fase 1 vindt plaats voor geactiveerde beleidsregels en beleidsregels in alleen-rapport modus .
• fase 2: afdwingen
  • Gebruik de sessiegegevens die in fase 1 zijn verzameld om te bepalen welke vereisten niet zijn voldaan.
  • Als er een beleid is geconfigureerd met de blokkeren en toestaan beheeroptie, dan stopt de afdwinging op dit punt en wordt de gebruiker geblokkeerd.
  • De gebruiker wordt gevraagd om meer vereisten voor toekenningsbeheer te voltooien die niet in fase 1 in de volgende volgorde zijn voldaan, totdat aan het beleid is voldaan:
    1. meervoudige verificatie
    2. apparaat dat moet worden gemarkeerd als compatibel
    3. Microsoft Entra hybride verbonden apparaat
    4. goedgekeurde client-app
    5. app-beveiligingsbeleid
    6. wachtwoord wijzigen
    7. Gebruiksrechtovereenkomst
    8. Gepersonaliseerde besturingselementen
  • Zodra aan alle toekenningsbesturingselementen is voldaan, past u sessiebesturingselementen toe (App Afgedwongen, Microsoft Defender voor Cloud Apps en levensduur van tokens)
  • Fase 2 van de beleidsevaluatie vindt plaats voor alle ingeschakelde beleidsregels.

Toewijzingen

Het toewijzingsgedeelte bepaalt wie, wat en waar van het beleid voor voorwaardelijke toegang.

Gebruikers en groepen

gebruikers en groepen toewijzen wie het beleid opneemt of uitsluit wanneer dit wordt toegepast. Deze toewijzing kan alle gebruikers, specifieke groepen gebruikers, directoryrollen of externe gastgebruikers omvatten.

Gerichte middelen

Doelresources kunnen cloudapplicaties, gebruikersacties of verificatiecontexten omvatten of uitsluiten die aan het beleid zijn onderworpen.

Netwerk

Netwerk bevat IP-adressen, geografische locaties en het netwerk van Global Secure Access dat voldoet aan beleidsbeslissingen voor voorwaardelijke toegang. Beheerders kunnen ervoor kiezen om locaties te definiëren en sommige als vertrouwd te markeren, zoals die voor de primaire netwerklocaties van hun organisatie.

Voorwaarden

Een beleid kan meerdere voorwaardenbevatten.

Aanmeldingsrisico

Voor organisaties met Microsoft Entra ID Protectionkunnen de risicodetecties die daar worden gegenereerd, van invloed zijn op uw beleid voor voorwaardelijke toegang.

Apparaatplatformen

Organisaties met meerdere platformen voor het besturingssysteem van apparaten kunnen specifieke beleidsregels afdwingen op verschillende platforms.

De informatie die wordt gebruikt om het apparaatplatform te berekenen, is afkomstig van niet-geverifieerde bronnen, zoals tekenreeksen van gebruikersagenten die kunnen worden gewijzigd.

Clientapps

De software die de gebruiker gebruikt voor toegang tot de cloud-app. Bijvoorbeeld 'Browser' en 'Mobiele apps en desktopclients'. Standaard zijn alle nieuw gemaakte beleidsregels voor voorwaardelijke toegang van toepassing op alle typen client-apps, zelfs als de voorwaarde voor client-apps niet is geconfigureerd.

Filteren op apparaten

Met dit besturingselement kunt u specifieke apparaten targeten op basis van hun kenmerken binnen een beleid.

Besturingselementen voor toegang

Het gedeelte met toegangsbeheer van het beleid voor voorwaardelijke toegang bepaalt hoe een beleid wordt afgedwongen.

Verlenen

Grant biedt beheerders een middel voor beleidshandhaving, waar ze toegang kunnen blokkeren of verlenen.

Toegang blokkeren

Hiermee wordt de toegang geblokkeerd onder de opgegeven toewijzingen. De blokbesturing is krachtig en moet met de juiste kennis worden gebruikt.

Toegang verlenen

Het toekenningsbeheer kan de handhaving van een of meer maatregelen activeren.

• Meervoudige verificatie vereisen
• Vereisen dat het apparaat als compatibel wordt gemarkeerd (Intune)
• Vereisen een hybride apparaat dat lid is van Microsoft Entra
• Een goedgekeurde client-app is vereist
• Vereisen van beveiligingsbeleid voor apps
• Wachtwoordwijziging vereisen
• Voorwaarden voor gebruik vereist

Beheerders kunnen ervoor kiezen om een van de vorige besturingselementen of alle geselecteerde besturingselementen te vereisen met behulp van de volgende opties. De standaardinstelling voor meerdere besturingselementen is om alles te vereisen.

• Vereis alle geselecteerde bedieningselementen (control en control)
• Vereisen dat één van de geselecteerde besturingselementen wordt gebruikt.

Sessie

sessiebesturingselementen de gebruikerservaring kunnen beperken.

• Door apps afgedwongen beperkingen gebruiken:
  • Werkt momenteel alleen met Exchange Online en SharePoint Online.
  • Draagt apparaatgegevens over om controle mogelijk te maken, waardoor volledige of beperkte toegang wordt verleend.
• App-beheer voor voorwaardelijke toegang gebruiken:
  • Gebruikt signalen van Microsoft Defender voor Cloud Apps om dingen te doen, zoals:
    • Download, knippen, kopiëren en afdrukken van gevoelige documenten blokkeren.
    • Bewaak riskant sessiegedrag.
    • Vereis het labelen van gevoelige bestanden.
• Aanmeldingsfrequentie:
  • De mogelijkheid om de standaard aanmeldingsfrequentie voor moderne authenticatie te wijzigen.
• Permanente browsersessie:
  • Hiermee kunnen gebruikers aangemeld blijven na het sluiten en opnieuw openen van hun browservenster.
• Continue toegangsevaluatie aanpassen
• Standaardinstellingen voor tolerantie uitschakelen

Eenvoudig beleid

Een beleid voor voorwaardelijke toegang moet minimaal de volgende elementen bevatten om afgedwongen te worden:

• Naam van de beleidspunten.
• Toewijzingen
  • gebruikers en/of groepen waarop het beleid van toepassing moet zijn.
  • Cloud-apps of -acties waarop het beleid moet worden toegepast.
• Besturingselementen voor toegang
  • Verleen of Blokkeer besturingselementen

Het artikel Algemene beleidsregels voor voorwaardelijke toegang bevat enkele beleidsregels waarvan we denken dat ze nuttig zijn voor de meeste organisaties.

Verwante inhoud

• een beleid voor voorwaardelijke toegang maken

• Apparaatcompatibiliteit met Intune- beheren

• Microsoft Defender voor Cloud Apps en voorwaardelijke toegang