Vereiste werkzaamheden voor het implementeren van Zero Trust-identiteits- en apparaattoegangsbeleid
In dit artikel worden de vereisten beschreven waaraan beheerders moeten voldoen om aanbevolen Zero Trust-identiteits- en apparaattoegangsbeleid te gebruiken en om voorwaardelijke toegang te gebruiken. Ook worden de aanbevolen standaardwaarden besproken voor het configureren van clientplatforms voor de beste SSO-ervaring (eenmalige aanmelding).
Vereisten
Voordat u het Zero Trust-identiteits- en apparaattoegangsbeleid gebruikt dat wordt aanbevolen, moet uw organisatie voldoen aan de vereisten. De vereisten verschillen voor de verschillende identiteits- en verificatiemodellen die worden vermeld:
- Alleen cloud
- Hybride met PHS-verificatie (Wachtwoordhashsynchronisatie)
- Hybride met passthrough-verificatie (PTA)
- Federatief
In de volgende tabel worden de vereiste functies en hun configuratie beschreven die van toepassing zijn op alle identiteitsmodellen, behalve waar vermeld.
Configuratie | Uitzonderingen | Licenties |
---|---|---|
PHS configureren. Deze functie moet zijn ingeschakeld om gelekte referenties te detecteren en erop te reageren voor op risico gebaseerde voorwaardelijke toegang. Houd er rekening mee dat dit vereist is, ongeacht of uw organisatie federatieve verificatie gebruikt. | Alleen cloud | Microsoft 365 E3 of E5 |
Schakel naadloze eenmalige aanmelding in om gebruikers automatisch aan te melden wanneer ze zich op hun organisatieapparaten bevinden die zijn verbonden met uw organisatienetwerk. | Alleen cloud en federatief | Microsoft 365 E3 of E5 |
Benoemde locaties configureren. Microsoft Entra ID Protection verzamelt en analyseert alle beschikbare sessiegegevens om een risicoscore te genereren. U wordt aangeraden de openbare IP-adresbereiken van uw organisatie op te geven voor uw netwerk in de configuratie van de Microsoft Entra-id benoemde locaties. Verkeer dat afkomstig is van deze bereiken krijgt een verminderde risicoscore en verkeer van buiten de organisatieomgeving krijgt een hogere risicoscore. | Microsoft 365 E3 of E5 | |
Registreer alle gebruikers voor selfservice voor wachtwoordherstel (SSPR) en meervoudige verificatie (MFA). U wordt aangeraden gebruikers vooraf te registreren voor meervoudige verificatie van Microsoft Entra. Microsoft Entra ID Protection maakt gebruik van Meervoudige Verificatie van Microsoft Entra om aanvullende beveiligingsverificatie uit te voeren. Daarnaast raden we gebruikers aan om de Microsoft Authenticator-app en de Microsoft Bedrijfsportal-app op hun apparaten te installeren voor de beste aanmeldingservaring. Deze kunnen voor elk platform worden geïnstalleerd vanuit de App Store. | Microsoft 365 E3 of E5 | |
Plan uw implementatie van hybride deelname aan Microsoft Entra. Voorwaardelijke toegang zorgt ervoor dat apparaten die verbinding maken met apps lid zijn van een domein of compatibel zijn. Om dit op Windows-computers te ondersteunen, moet het apparaat zijn geregistreerd bij Microsoft Entra-id. In dit artikel wordt beschreven hoe u automatische apparaatregistratie configureert. | Alleen cloud | Microsoft 365 E3 of E5 |
Bereid uw ondersteuningsteam voor. Een plan hebben voor gebruikers die MFA niet kunnen voltooien. Hierdoor kunnen ze worden toegevoegd aan een groep met uitsluitingsbeleid of nieuwe MFA-gegevens voor hen worden geregistreerd. Voordat u een van deze beveiligingsgevoelige wijzigingen aanbrengt, moet u ervoor zorgen dat de werkelijke gebruiker de aanvraag indient. Het is een effectieve stap om beheerders van gebruikers te vragen om te helpen bij de goedkeuring. | Microsoft 365 E3 of E5 | |
Configureer wachtwoord terugschrijven naar on-premises AD. Met wachtwoord terugschrijven kan Microsoft Entra-id vereisen dat gebruikers hun on-premises wachtwoorden wijzigen wanneer een inbreuk op een account met een hoog risico wordt gedetecteerd. U kunt deze functie op twee manieren inschakelen met Behulp van Microsoft Entra Connect: wachtwoord terugschrijven inschakelen in het optionele functiesscherm van Microsoft Entra Connect setup of inschakelen via Windows PowerShell. | Alleen cloud | Microsoft 365 E3 of E5 |
Configureer Microsoft Entra-wachtwoordbeveiliging. Microsoft Entra Password Protection detecteert en blokkeert bekende zwakke wachtwoorden en hun varianten, en kan ook aanvullende zwakke termen blokkeren die specifiek zijn voor uw organisatie. Standaard algemene lijsten met verboden wachtwoorden worden automatisch toegepast op alle gebruikers in een Microsoft Entra-tenant. U kunt extra vermeldingen definiëren in een aangepaste lijst met verboden wachtwoorden. Wanneer gebruikers hun wachtwoord wijzigen of opnieuw instellen, worden deze lijsten met verboden wachtwoorden gecontroleerd om het gebruik van sterke wachtwoorden af te dwingen. | Microsoft 365 E3 of E5 | |
Schakel Microsoft Entra ID Protection in. Met Microsoft Entra ID Protection kunt u potentiële beveiligingsproblemen detecteren die van invloed zijn op de identiteiten van uw organisatie en een geautomatiseerd herstelbeleid configureren op een laag, gemiddeld en hoog aanmeldingsrisico en gebruikersrisico. | Microsoft 365 E5 of Microsoft 365 E3 met de invoegtoepassing E5 Security | |
Schakel moderne verificatie in voor Exchange Online en voor Skype voor Bedrijven Online. Moderne verificatie is een vereiste voor het gebruik van MFA. Moderne verificatie is standaard ingeschakeld voor Office 2016- en 2019-clients, SharePoint en OneDrive voor Bedrijven. | Microsoft 365 E3 of E5 | |
Schakel continue toegangsevaluatie in voor Microsoft Entra-id. Continue toegangsevaluatie beëindigt proactief actieve gebruikerssessies en dwingt wijzigingen in tenantbeleid in bijna realtime af. | Microsoft 365 E3 of E5 |
Aanbevolen clientconfiguraties
In deze sectie worden de standaardplatformclientconfiguraties beschreven die we aanbevelen om uw gebruikers de beste SSO-ervaring te bieden, evenals de technische vereisten voor voorwaardelijke toegang.
Windows-apparaten
We raden Windows 11 of Windows 10 (versie 2004 of hoger) aan, omdat Azure is ontworpen om de soepelste SSO-ervaring mogelijk te maken voor zowel on-premises als Microsoft Entra ID. Werk- of schoolapparaten moeten rechtstreeks worden geconfigureerd voor deelname aan Microsoft Entra-id of als de organisatie gebruikmaakt van on-premises AD-domeindeelname, moeten deze apparaten worden geconfigureerd om automatisch en op de achtergrond te registreren bij Microsoft Entra-id.
Voor BYOD Windows-apparaten kunnen gebruikers een werk- of schoolaccount toevoegen gebruiken. Houd er rekening mee dat gebruikers van de Google Chrome-browser op Windows 11- of Windows 10-apparaten een extensie moeten installeren om dezelfde soepele aanmeldingservaring te krijgen als Microsoft Edge-gebruikers. Als uw organisatie lid is van windows 8- of 8.1-apparaten die lid zijn van een domein, kunt u Microsoft Workplace Join installeren voor niet-Windows 10-computers. Download het pakket om de apparaten te registreren bij Microsoft Entra ID.
iOS-apparaten
U wordt aangeraden de Microsoft Authenticator-app op gebruikersapparaten te installeren voordat u beleid voor voorwaardelijke toegang of MFA implementeert. De app moet minimaal worden geïnstalleerd wanneer gebruikers wordt gevraagd hun apparaat te registreren bij Microsoft Entra ID door een werk- of schoolaccount toe te voegen of wanneer ze de Intune-bedrijfsportal-app installeren om hun apparaat in te schrijven voor beheer. Dit is afhankelijk van het geconfigureerde beleid voor voorwaardelijke toegang.
Android-apparaten
Gebruikers wordt aangeraden de Intune-bedrijfsportal-app en de Microsoft Authenticator-app te installeren voordat beleid voor voorwaardelijke toegang wordt geïmplementeerd of wanneer dit nodig is tijdens bepaalde verificatiepogingen. Na de installatie van de app kunnen gebruikers worden gevraagd zich te registreren bij Microsoft Entra ID of hun apparaat in te schrijven bij Intune. Dit is afhankelijk van het geconfigureerde beleid voor voorwaardelijke toegang.
We raden ook aan dat apparaten die eigendom zijn van de organisatie, zijn gestandaardiseerd op OEM's en versies die Ondersteuning bieden voor Android for Work of Samsung Knox, zodat e-mailaccounts kunnen worden beheerd en beveiligd met Intune MDM-beleid.
Aanbevolen e-mailclients
De volgende e-mailclients ondersteunen moderne verificatie en voorwaardelijke toegang.
Platform | Klant | Versie/notities |
---|---|---|
Windows | Outlook | 2019, 2016 |
iOS | Outlook voor iOS | Laatst |
Android | Outlook voor Android | Laatst |
MacOS | Outlook | 2019 en 2016 |
Linux | Niet ondersteund |
Aanbevolen clientplatformen bij het beveiligen van documenten
De volgende clients worden aanbevolen wanneer een beleid voor beveiligde documenten is toegepast.
Platform | Word/Excel/PowerPoint | OneNote | OneDrive-app | SharePoint-app | OneDrive-synchronisatie-client |
---|---|---|---|---|---|
Windows 11 of Windows 10 | Ondersteund | Ondersteund | N.v.t. | N.v.t. | Ondersteund |
Windows 8.1 | Ondersteund | Ondersteund | N.v.t. | N.v.t. | Ondersteund |
Android | Ondersteund | Ondersteund | Ondersteund | Ondersteund | N.v.t. |
iOS | Ondersteund | Ondersteund | Ondersteund | Ondersteund | N.v.t. |
macOS | Ondersteund | Ondersteund | N.v.t. | N.v.t. | Niet ondersteund |
Linux | Niet ondersteund | Niet ondersteund | Niet ondersteund | Niet ondersteund | Niet ondersteund |
Microsoft 365-clientondersteuning
Zie de volgende artikelen voor meer informatie over clientondersteuning in Microsoft 365:
- Ondersteuning voor Microsoft 365-client-apps - Voorwaardelijke toegang
- Ondersteuning voor Microsoft 365-client-apps - meervoudige verificatie
Beheerdersaccounts beveiligen
Voor Microsoft 365 E3 of E5 of met afzonderlijke Microsoft Entra ID P1- of P2-licenties kunt u MFA vereisen voor beheerdersaccounts met een handmatig gemaakt beleid voor voorwaardelijke toegang. Zie Voorwaardelijke toegang: MFA vereisen voor beheerders voor de details.
Voor edities van Microsoft 365 of Office 365 die geen voorwaardelijke toegang ondersteunen, kunt u standaardinstellingen voor beveiliging inschakelen om MFA voor alle accounts te vereisen.
Hier volgen enkele aanvullende aanbevelingen:
- Gebruik Microsoft Entra Privileged Identity Management om het aantal permanente beheerdersaccounts te verminderen.
- Gebruik privileged access management om uw organisatie te beschermen tegen schendingen die bestaande bevoegde beheerdersaccounts kunnen gebruiken met permanente toegang tot gevoelige gegevens of toegang tot kritieke configuratie-instellingen.
- Maak en gebruik afzonderlijke accounts waaraan microsoft 365-beheerdersrollen alleen zijn toegewezen voor beheer. Beheerders moeten hun eigen gebruikersaccount hebben voor normaal niet-administratief gebruik en gebruiken alleen een beheerdersaccount wanneer dat nodig is om een taak te voltooien die is gekoppeld aan hun rol of functie.
- Volg de aanbevolen procedures voor het beveiligen van bevoegde accounts in Microsoft Entra ID.
Volgende stap
Het algemene beleid voor Zero Trust-identiteit en apparaattoegang configureren