Delen via


Vereist een compliant apparaat of een Microsoft Entra-hybride apparaat voor beheerders

Accounts waaraan beheerdersrechten zijn toegewezen, zijn een doelwit voor aanvallers. Gebruikers met deze rechten met hoge bevoegdheden verplichten om acties uit te voeren vanaf apparaten die gemarkeerd zijn als compliant of aan Microsoft Entra hybride gekoppeld zijn, kan mogelijke blootstelling beperken.

Meer informatie over nalevingsbeleid voor apparaten vindt u in het artikel Regels instellen op apparaten om toegang te verlenen tot resources in uw organisatie met behulp van Intune.

Het vereisen van een hybride aangesloten Microsoft Entra-apparaat is afhankelijk van of uw apparaten al hybride zijn aangesloten op Microsoft Entra. Zie het artikel Microsoft Entra Hybrid Join configureren voor meer informatie.

Microsoft raadt u aan om minimaal phishing-bestendige meervoudige verificatie op de volgende rollen te vereisen:

  • Wereldwijde Beheerder
  • Toepassingsbeheerder
  • Verificatiebeheerder
  • Factureringsbeheerder
  • Beheerder van de cloudtoepassing
  • Beheerder voor voorwaardelijke toegang
  • Exchange-beheerder
  • Helpdeskbeheerder
  • Wachtwoordbeheerder
  • Bevoorrechte verificatiebeheerder
  • Bevoorrechte Rollenbeheerder
  • Beveiligingsbeheer
  • SharePoint-beheerder
  • Gebruikersbeheerder

Organisaties kunnen ervoor kiezen om rollen op te nemen of uit te sluiten naar wens.

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:

  • Accounts voor noodtoegang of break-glass-accounts om uitsluiting te voorkomen door een verkeerde beleidsconfiguratie. In het onwaarschijnlijke scenario zijn alle beheerders vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en stappen uit te voeren om de toegang te herstellen.
  • Serviceaccounts en serviceprincipals, zoals het Microsoft Entra Connect-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gebonden aan een bepaalde gebruiker. Ze worden normaal gebruikt door back-end services die programmatische toegang tot toepassingen mogelijk maken, maar worden ook gebruikt om in te loggen op systemen voor administratieve doeleinden. Oproepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workload-identiteiten om beleidsregels te definiĆ«ren die gericht zijn op service-principals.
    • Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten.

Sjabloonimplementatie

Organisaties kunnen ervoor kiezen dit beleid te implementeren met behulp van de onderstaande stappen of met behulp van de sjablonen voor voorwaardelijke toegang.

Beleid voor voorwaardelijke toegang maken

Met de volgende stappen kunt u een beleid voor voorwaardelijke toegang maken om meervoudige verificatie te vereisen. Apparaten die toegang hebben tot resources, worden gemarkeerd als compatibel met het Intune-nalevingsbeleid van uw organisatie of worden toegevoegd aan Microsoft Entra Hybrid.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheerder voor voorwaardelijke toegang.
  2. Blader naar Bescherming>Voorwaardelijke Toegang>Beleid.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemendirectory-rollen en kies ten minste de eerder vermelde rollen.

      Waarschuwing

      Beleid voor voorwaardelijke toegang biedt ondersteuning voor ingebouwde rollen. Beleid voor voorwaardelijke toegang wordt niet afgedwongen voor andere roltypen, waaronder rollen die op beheereenheid gericht zijn of aangepaste rollen.

    2. Kies onder Uitsluiten de optie Gebruikers en groepen en selecteer de noodtoegang- of break-glass-accounts van uw organisatie.

  6. Selecteer onder Doelresources>Resources (voorheen cloud-apps)>Opnemen, Alle resources (voorheen 'Alle cloud-apps').
  7. Bij Toegangsbeheer>Verlenen.
    1. Selecteer Vereisen dat het apparaat als conform moet worden gemarkeerd en vereisen dat het een hybride gekoppeld apparaat van Microsoft Entra is
    2. Voor meerdere besturingselementen selecteert u Een van de geselecteerde besturingselementen vereisen.
    3. Selecteer Selecteren.
  8. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  9. Selecteer Maken om je beleid te activeren.

Nadat beheerders de instellingen hebben bevestigd met de rapportagetoon-modus, kunnen ze de Beleid inschakelen schakelen van Alleen-rapport naar Op Aan zetten.

Notitie

Zelfs als u vereist dat het apparaat als compliant moet worden gemarkeerd voor alle gebruikers en alle resources (voorheen 'Alle cloud-apps'), kunt u uw nieuwe apparaten registreren bij Intune met behulp van de eerder aangegeven stappen. De controle voor het vereisen dat een apparaat als compatibel wordt gemarkeerd blokkeert Intune-registratie niet.

Bekend gedrag

In Windows 7, iOS, Android, macOS en sommige niet-Microsoft-webbrowsers identificeert Microsoft Entra ID het apparaat met behulp van een clientcertificaat dat wordt ingericht wanneer het apparaat is geregistreerd bij Microsoft Entra ID. Wanneer een gebruiker zich voor het eerst aanmeldt via de browser, wordt de gebruiker gevraagd het certificaat te selecteren. De eindgebruiker moet dit certificaat selecteren voordat deze de browser kan blijven gebruiken.

Abonnement activeren

Organisaties die gebruikmaken van de functie Abonnementsactivering om gebruikers in staat te stellen 'op te treden' van de ene versie van Windows naar een andere, willen mogelijk de Windows Store voor Bedrijven, AppID 45a30b1-b1ec-4cc1-9161-9f03992aa49f uitsluiten van hun nalevingsbeleid voor apparaten.