Algemeen beveiligingsbeleid voor Microsoft 365-organisaties
Organisaties hebben veel te maken met het implementeren van Microsoft 365 voor hun organisatie. Het beleid voor voorwaardelijke toegang, app-beveiliging en nalevingsbeleid voor apparaten waarnaar in dit artikel wordt verwezen, zijn gebaseerd op de aanbevelingen van Microsoft en de drie leidende principes van Zero Trust:
- Expliciet verifiëren
- Minimale bevoegdheden gebruiken
- Stel dat er sprake is van een schending
Organisaties kunnen deze beleidsregels als zodanig gebruiken of aanpassen aan hun behoeften. Test indien mogelijk uw beleid in een niet-productieomgeving voordat u ze uitrolt voor uw productiegebruikers. Testen is essentieel om mogelijke effecten voor uw gebruikers te identificeren en te communiceren.
We groeperen deze beleidsregels in drie beveiligingsniveaus op basis van waar u zich in uw implementatietraject bevindt:
- Beginpunt : basisbesturingselementen die meervoudige verificatie introduceren, wachtwoordwijzigingen beveiligen en app-beveiligingsbeleid.
- Enterprise : verbeterde besturingselementen waarmee apparaatcompatibiliteit wordt geïntroduceerd.
- Gespecialiseerde beveiliging : beleidsregels die elke keer meervoudige verificatie vereisen voor specifieke gegevenssets of gebruikers.
In het volgende diagram ziet u de beveiligingsniveaus waarop elk beleid van toepassing is en op welke typen apparaten het beleid van toepassing is:
U kunt dit diagram downloaden als pdf-bestand.
Tip
We raden u aan meervoudige verificatie (MFA) voor gebruikers te vereisen voordat ze apparaten inschrijven bij Intune om ervoor te zorgen dat het apparaat in het bezit is van de beoogde gebruiker. MFA is standaard ingeschakeld vanwege standaardinstellingen voor beveiligingof u kunt beleid voor voorwaardelijke toegang gebruiken om MFA te vereisen voor alle gebruikers.
Apparaten moeten worden ingeschreven bij Intune voordat u nalevingsbeleid voor apparaten kunt afdwingen.
Vereisten
Machtigingen
De volgende machtigingen in Microsoft Entra zijn vereist:
- Beheren van beleidsregels voor voorwaardelijke toegang: De rol van beheerder voor voorwaardelijke toegang.
- App-beveiligings- en apparaatnalevingsbeleid beheren: de rol Intune-beheerder.
- alleen configuraties weergeven: de rol Beveiligingslezer.
Zie het artikel ingebouwde rollen van Microsoft Entravoor meer informatie over rollen en machtigingen in Microsoft Entra.
Gebruikersregistratie
Zorg ervoor dat gebruikers zich registreren voor MFA voordat u deze nodig hebt. Als uw licenties Microsoft Entra ID P2 bevatten, kunt u het MFA-registratiebeleid in Microsoft Entra ID Protection gebruiken om gebruikers te verplichten zich te registreren. We bieden communicatiesjablonen die u kunt downloaden en aanpassen om gebruikersregistratie te promoten.
Groepen
Alle Microsoft Entra-groepen die u als onderdeel van deze aanbevelingen gebruikt, moeten Microsoft 365-groepen zijn, niet beveiligingsgroepen. Deze vereiste is belangrijk voor de implementatie van vertrouwelijkheidslabels voor het beveiligen van documenten in Microsoft Teams en SharePoint. Zie Meer informatie over groepen en toegangsrechten in Microsoft Entra IDvoor meer informatie.
Beleid toewijzen
U kunt beleid voor voorwaardelijke toegang toewijzen aan gebruikers, groepen en beheerdersrollen. U kunt intune-app-beveiligings- en apparaatnalevingsbeleid alleen toewijzen aan groepen. Voordat u uw beleid configureert, moet u bepalen wie moet worden opgenomen en uitgesloten. Het beveiligingsniveaubeleid voor beginpunten is doorgaans van toepassing op iedereen in de organisatie.
In de volgende tabel worden voorbeeldgroeptoewijzingen en uitsluitingen voor MFA beschreven nadat gebruikers gebruikersregistratie hebben voltooid:
| Beleid voor voorwaardelijke toegang van Microsoft Entra | Opnemen | Uitsluiten | |
|---|---|---|---|
| Beginpunt | Meervoudige verificatie vereisen voor gemiddeld of hoog aanmeldingsrisico | Alle gebruikers |
|
| Enterprise | Meervoudige verificatie vereisen voor een laag, gemiddeld of hoog aanmeldingsrisico | Groep leidinggevenden |
|
| Gespecialiseerde beveiliging | Meervoudige verificatie altijd vereisen | Top Secret Project Buckeye-groep |
|
Tip
Wees voorzichtig bij het toepassen van hogere beveiligingsniveaus op gebruikers en groepen. Het doel van beveiliging is niet om onnodige wrijving toe te voegen aan de gebruikerservaring. Leden van de Top Secret Project Buckeye-groep moeten bijvoorbeeld MFA gebruiken telkens wanneer ze zich aanmelden, zelfs als ze niet aan de gespecialiseerde inhoud van hun project werken. Overmatige wrijving van de beveiliging kan leiden tot vermoeidheid. Schakel phishingbestendige verificatiemethoden in (bijvoorbeeld Windows Hello voor Bedrijven- of FIDO2-beveiligingssleutels) om de wrijving te verminderen die wordt veroorzaakt door beveiligingscontroles.
Accounts voor noodtoegang
Alle organisaties moeten ten minste één account voor toegang tot noodgevallen hebben dat wordt bewaakt voor gebruik en uitgesloten van beleid (en mogelijk meer, afhankelijk van de grootte van de organisatie). Deze accounts worden alleen gebruikt voor het geval alle andere beheerdersaccounts en verificatiemethoden worden vergrendeld of anderszins niet beschikbaar zijn. Zie Accounts voor toegang tot noodgevallen beheren in Microsoft Entra IDvoor meer informatie.
Uitsluitingen
Een aanbevolen procedure is om een Microsoft Entra-groep te maken voor uitsluitingen voor voorwaardelijke toegang. Deze groep biedt u de mogelijkheid om een gebruiker toegang te geven terwijl u toegangsproblemen oplost.
Waarschuwing
We raden een uitsluitingsgroep alleen aan als tijdelijke oplossing. Zorg ervoor dat u deze groep continu bewaakt op wijzigingen en controleer of de groep alleen wordt gebruikt voor het beoogde doel.
Volg de volgende stappen om een uitsluitingsgroep toe te voegen aan een bestaand beleid. Zoals eerder beschreven, hebt u machtigingen van een beheerder voor conditionele toegang nodig.
Ga in het Microsoft Entra-beheercentrum op https://entra.microsoft.comnaar Protection>Conditional Access>Policies. Of om rechtstreeks naar de voorwaardelijke toegang te gaan | Beleid pagina, gebruik https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/fromNav/Identity.
Op de voorwaardelijke toegang | Beleid pagina selecteert u een bestaand beleid door op de naamwaarde te klikken.
Op de beleidsdetailpagina die opent, selecteer de koppeling bij Gebruikers in de sectie Toewijzingen.
Selecteer in het besturingselement dat wordt geopend het tabblad Uitsluiten en selecteer vervolgens Gebruikers en groepen.
In de flyout Uitgesloten gebruikers en groepen selecteren die wordt geopend, zoek en selecteer de volgende identiteiten:
- Gebruikers: de accounts voor toegang tot noodgevallen.
- Groepen: de uitsluitingsgroep voor voorwaardelijke toegang
Wanneer u klaar bent met het venster 'Uitgesloten gebruikers en groepen selecteren', kiest u Selecteer.
Implementatie
We raden aan om de uitgangspuntenbeleidsmaatregelen te implementeren in de volgorde die in de volgende tabel wordt vermeld. U kunt het MFA-beleid implementeren voor enterprise- en gespecialiseerde beveiligingsniveaus op elk gewenst moment.
Beginpunt
| Beleid | Meer informatie | Licenties |
|---|---|---|
| MFA vereisen wanneer het aanmeldingsrisico gemiddeld of hoog is | MFA vereisen alleen wanneer het risico wordt gedetecteerd door Microsoft Entra ID Protection. | Microsoft 365 E5 of Microsoft 365 E3 met de invoegtoepassing E5 Security |
| Clients blokkeren die geen ondersteuning bieden voor moderne verificatie | Clients die geen moderne verificatie gebruiken, kunnen beleidsregels voor voorwaardelijke toegang omzeilen, dus het is belangrijk om ze te blokkeren. | Microsoft 365 E3 of E5 |
| Gebruikers met een hoog risico moeten het wachtwoord wijzigen | Dwingt gebruikers hun wachtwoord te wijzigen wanneer ze zich aanmelden als er activiteit met een hoog risico wordt gedetecteerd voor hun account. | Microsoft 365 E5 of Microsoft 365 E3 met de invoegtoepassing E5 Security |
| Toepassingsbeveiligingsbeleid toepassen voor gegevensbeveiliging | Eén Intune-app-beveiligingsbeleid per platform (Windows, iOS/iPadOS en Android). | Microsoft 365 E3 of E5 |
| Goedgekeurde apps en app-beveiligingsbeleid vereisen | Dwingt app-beveiligingsbeleid af voor telefoons en tablets met iOS, iPadOS of Android. | Microsoft 365 E3 of E5 |
Enterprise
| Beleid | Meer informatie | Licenties |
|---|---|---|
| MFA vereisen wanneer het aanmeldingsrisico laag, gemiddeld of hoog is | MFA vereisen alleen wanneer het risico wordt gedetecteerd door Microsoft Entra ID Protection. | Microsoft 365 E5 of Microsoft 365 E3 met de invoegtoepassing E5 Security |
| Nalevingsbeleid voor apparaten definiëren | Stel minimale configuratievereisten in. Eén beleid voor elk platform. | Microsoft 365 E3 of E5 |
| Compatibele pc's en mobiele apparaten vereisen | Dwingt de configuratievereisten af voor apparaten die toegang hebben tot uw organisatie | Microsoft 365 E3 of E5 |
Gespecialiseerde beveiliging
| Beleid | Meer informatie | Licenties |
|---|---|---|
| MFA altijd vereisen | Gebruikers moeten MFA doen wanneer ze zich aanmelden bij services in de organisatie. | Microsoft 365 E3 of E5 |
beleid voor App-beveiliging
app-beveiligingsbeleid toegestane apps en de acties opgeven die ze kunnen uitvoeren met de gegevens van uw organisatie. Hoewel er veel beleidsregels zijn waaruit u kunt kiezen, beschrijft de volgende lijst onze aanbevolen basislijnen.
Tip
Hoewel we drie sjablonen bieden, zouden de meeste organisaties moeten kiezen voor niveau 2 (komt overeen met startpunt of beveiliging op ondernemingsniveau ) en niveau 3 (komt overeen met gespecialiseerde beveiliging ).
Niveau 1 Enterprise Basic Data Protection: Deze configuratie wordt aangeraden als minimale gegevensbescherming voor bedrijfsapparaten.
Niveau 2 enterprise enhanced data protection: We raden deze configuratie aan voor apparaten die toegang hebben tot gevoelige gegevens of vertrouwelijke informatie. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens. Sommige besturingselementen kunnen van invloed zijn op de gebruikerservaring.
Niveau 3 Enterprise High Data Protection: Deze configuratie wordt aanbevolen in de volgende scenario's:
- Organisaties met grotere of geavanceerdere beveiligingsteams.
- Apparaten die worden gebruikt door specifieke gebruikers of groepen die een uniek hoog risico lopen. Gebruikers die bijvoorbeeld zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijk verlies voor de organisatie zou veroorzaken
Organisaties die waarschijnlijk het doelwit zijn van goed gefinancierde en geavanceerde aanvallers, moeten zich richten op deze configuratie.
Beveiligingsbeleid voor apps maken
Maak een nieuw app-beveiligingsbeleid voor elk apparaatplatform in Microsoft Intune (iOS/iPadOS en Android) met behulp van de instellingen voor het gegevensbeveiligingsframework door de volgende stappen uit te voeren:
- Maak het beleid handmatig door de stappen te volgen in Het maken en implementeren van app-beveiligingsbeleid met Microsoft Intune.
- Importeer de JSON-voorbeeldsjablonen van het Intune-app-beveiligingsbeleid met de PowerShell-scripts van Intune.
Nalevingsbeleid voor apparaten
Intune-nalevingsbeleid voor apparaten definieert de vereisten voor apparaten om compatibel te zijn. U moet een beleid maken voor elk pc-, telefoon- of tabletplatform. In dit artikel worden aanbevelingen voor de volgende platforms behandeld:
Nalevingsbeleid voor apparaten maken
Ga als volgt te werk om nalevingsbeleid voor apparaten te maken:
- Ga in het Microsoft Intune-beheercentrum op https://endpoint.microsoft.comnaar het tabblad Apparaten beheren>Naleving>Beleid. Of ga rechtstreeks naar het tabblad Beleid van de Apparaten | Nalevingspagina door https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliancete gebruiken.
- Op het tabblad Beleid van de Apparaten | Naleving, selecteer Beleid maken.
Zie Een nalevingsbeleid maken in Microsoft Intunevoor stapsgewijze instructies.
Instellingen voor inschrijving en naleving voor iOS/iPadOS
iOS/iPadOS ondersteunt verschillende inschrijvingsscenario's, waarvan er twee onder dit framework vallen:
- Apparaatinschrijving voor apparaten in persoonlijk eigendom: apparaten in persoonlijk eigendom (ook wel Bring Your Own Device of BYOD genoemd) die ook worden gebruikt voor werk.
- Automatische apparaatinschrijving voor apparaten in bedrijfseigendom: apparaten die eigendom zijn van een organisatie die aan één gebruiker zijn gekoppeld en uitsluitend worden gebruikt voor werk.
Tip
Zoals eerder beschreven, komt niveau 2 overeen met startpunt of beveiliging op ondernemingsniveau, en niveau 3 komt overeen met gespecialiseerde beveiliging. Zie Zero Trust-identiteits- en apparaattoegangsconfiguratiesvoor meer informatie.
Nalevingsinstellingen voor persoonlijk ingeschreven apparaten
- Persoonlijke basisbeveiliging (niveau 1): deze configuratie wordt aanbevolen als minimale beveiliging voor persoonlijke apparaten die toegang hebben tot werk- of schoolgegevens. U bereikt deze configuratie door wachtwoordbeleid, apparaatvergrendelingskenmerken af te dwingen en bepaalde apparaatfuncties uit te schakelen (bijvoorbeeld niet-vertrouwde certificaten).
- Persoonlijke verbeterde beveiliging (niveau 2): deze configuratie wordt aangeraden voor apparaten die toegang hebben tot gevoelige gegevens of vertrouwelijke informatie. Met deze configuratie kunt u instellingen voor het delen van gegevens mogelijk maken. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens.
- persoonlijke hoge beveiliging (niveau 3): deze configuratie wordt aangeraden voor apparaten die worden gebruikt door specifieke gebruikers of groepen die een uniek hoog risico lopen. Gebruikers die bijvoorbeeld zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke schade zou toebrengen aan de organisatie. Deze configuratie maakt sterker wachtwoordbeleid mogelijk, schakelt bepaalde apparaatfuncties uit en dwingt extra beperkingen voor gegevensoverdracht af.
Nalevingsinstellingen voor automatische apparaatinschrijving
- basisbeveiliging (niveau 1) onder supervisie: deze configuratie wordt aangeraden als minimale beveiliging voor bedrijfsapparaten die toegang hebben tot werk- of schoolgegevens. U bereikt deze configuratie door wachtwoordbeleid, apparaatvergrendelingskenmerken af te dwingen en bepaalde apparaatfuncties uit te schakelen (bijvoorbeeld niet-vertrouwde certificaten).
- Verbeterde beveiliging onder supervisie (niveau 2): deze configuratie wordt aangeraden voor apparaten die toegang hebben tot gevoelige gegevens of vertrouwelijke informatie. Deze configuratie maakt het delen van gegevens mogelijk en blokkeert de toegang tot USB-apparaten. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens op een apparaat.
- hoge beveiliging onder supervisie (niveau 3): deze configuratie wordt aangeraden voor apparaten die worden gebruikt door specifieke gebruikers of groepen die een uniek hoog risico lopen. Gebruikers die bijvoorbeeld zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke schade zou toebrengen aan de organisatie. Deze configuratie maakt sterker wachtwoordbeleid mogelijk, schakelt bepaalde apparaatfuncties uit, dwingt extra beperkingen voor gegevensoverdracht af en vereist dat apps worden geïnstalleerd via het volume-aankoopprogramma van Apple.
Instellingen voor inschrijving en naleving voor Android
Android Enterprise ondersteunt verschillende inschrijvingsscenario's, waarvan twee onder dit framework vallen:
- Android Enterprise-werkprofiel: apparaten in persoonlijk eigendom (ook wel Bring Your Own Device of BYOD genoemd) die ook worden gebruikt voor werk. Beleidsregels die worden beheerd door de IT-afdeling zorgen ervoor dat werkgegevens niet kunnen worden overgedragen naar het persoonlijke profiel.
- volledig beheerde Android Enterprise-apparaten: apparaten die eigendom zijn van de organisatie die aan één gebruiker zijn gekoppeld en die uitsluitend worden gebruikt voor werk.
Het Configuratieframework voor Beveiliging van Android Enterprise is ingedeeld in verschillende verschillende configuratiescenario's die richtlijnen bieden voor werkprofiel en volledig beheerde scenario's.
Tip
Zoals eerder beschreven, komt niveau 2 overeen met startpunt of beveiliging op ondernemingsniveau , en niveau 3 komt overeen met gespecialiseerde beveiliging. Zie Zero Trust-identiteits- en apparaattoegangsconfiguratiesvoor meer informatie.
Nalevingsinstellingen voor Apparaten met een Android Enterprise-werkprofiel
- Er is geen basisbeveiligingsaanbod (niveau 1) voor apparaten met een werkprofiel in persoonlijk eigendom. De beschikbare instellingen rechtvaardigen geen verschil tussen niveau 1 en niveau 2.
- verbeterde beveiliging van werkprofielen (niveau 2): we raden deze configuratie aan als minimale beveiliging voor persoonlijke apparaten die toegang hebben tot werk- of schoolgegevens. Deze configuratie introduceert wachtwoordvereisten, scheidt werk- en persoonlijke gegevens en valideert Attestation voor Android-apparaten.
- werkprofiel hoge beveiliging (niveau 3): deze configuratie wordt aangeraden voor apparaten die worden gebruikt door specifieke gebruikers of groepen die een uniek hoog risico lopen. Gebruikers die bijvoorbeeld zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke schade zou toebrengen aan de organisatie. Deze configuratie introduceert Mobile Threat Defense of Microsoft Defender voor Eindpunt, stelt de minimale Android-versie in, maakt sterker wachtwoordbeleid mogelijk en scheidt werk- en persoonlijke gegevens verder.
Nalevingsinstellingen voor volledig beheerde Android Enterprise-apparaten
- volledig beheerde basisbeveiliging (niveau 1): deze configuratie wordt aangeraden als minimale beveiliging voor een bedrijfsapparaat. Deze configuratie is van toepassing op de meeste mobiele gebruikers die werk- of schoolgegevens hebben. Deze configuratie introduceert wachtwoordvereisten, stelt de minimale Android-versie in en maakt specifieke apparaatbeperkingen mogelijk.
- volledig beheerde verbeterde beveiliging (niveau 2): deze configuratie wordt aangeraden voor apparaten die toegang hebben tot gevoelige gegevens of vertrouwelijke informatie. Deze configuratie maakt sterker wachtwoordbeleid mogelijk en schakelt mogelijkheden voor gebruikers/accounts uit.
- volledig beheerde hoge beveiliging (niveau 3): deze configuratie wordt aangeraden voor apparaten die worden gebruikt door specifieke gebruikers of groepen die een uniek hoog risico lopen. Gebruikers die bijvoorbeeld zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke schade zou toebrengen aan de organisatie. Deze configuratie verhoogt de minimale Android-versie, introduceert mobile threat defense of Microsoft Defender voor Eindpunt en dwingt extra apparaatbeperkingen af.
Aanbevolen nalevingsinstellingen voor Windows 10 en hoger
U configureert de volgende instellingen zoals beschreven in Instellingen voor apparaatnaleving voor Windows 10/11 in Intune. Deze instellingen zijn afgestemd op de principes die worden beschreven in zero Trust-identiteits- en apparaattoegangsconfiguraties.
Apparaatgezondheid > evaluatieregels voor Windows Health Attestation Service:
Eigenschappen Weergegeven als BitLocker vereisen Vereist Vereisen dat Beveiligd opstarten is ingeschakeld op het apparaat Vereist Code-integriteit vereisen Vereist apparaateigenschappen > besturingssysteemversie: geef de juiste waarden op voor besturingssysteemversies op basis van uw IT- en beveiligingsbeleid.
Eigenschappen Weergegeven als Minimale versie van het besturingssysteem Maximale versie van het besturingssysteem Minimaal besturingssysteem dat is vereist voor mobiele apparaten Maximale besturingssysteem dat is vereist voor mobiele apparaten Geldige builds van besturingssystemen Configuration Manager-nalevingsbeleid:
Eigenschappen Weergegeven als Apparaatcompatibiliteit vereisen vanuit Configuration Manager Selecteer Vereist in omgevingen die gezamenlijk worden beheerd met Configuration Manager. Anders, selecteer Niet geconfigureerd. Systeembeveiliging:
Eigenschappen Weergegeven als wachtwoord Wachtwoord vereisen om mobiele apparaten te ontgrendelen Vereist Eenvoudige wachtwoorden Blokkeren Wachtwoordtype Standaardwaarde apparaat Minimale wachtwoordlengte 6 Maximum aantal inactiviteit in minuten voordat een wachtwoord is vereist 15 minuten Verlopen van wachtwoorden (dagen) 41 Aantal eerdere wachtwoorden om hergebruik te voorkomen 5 Wachtwoord vereisen wanneer het apparaat wordt geretourneerd vanuit de niet-actieve status (Mobiel en Holographic) Vereist versleuteling Versleuteling van gegevensopslag op apparaat vereisen Vereist Firewall Firewall Vereist Antivirus Antivirus Vereist antispyware Antispyware Vereist Defender Microsoft Defender antimalware Vereist Minimale versie van Microsoft Defender antimalware We raden een waarde aan die niet meer dan vijf versies achter de meest recente versie is. Microsoft Defender anti-malwarehandtekening actueel Vereist Real-time bescherming Vereist Microsoft Defender voor Eindpunt:
Eigenschappen Weergegeven als Vereisen dat het apparaat de risicoscore van de machine bereikt of onder Gemiddeld
Beleid voor voorwaardelijke toegang
Nadat u app-beveiligingsbeleid en nalevingsbeleid voor apparaten in Intune hebt gemaakt, kunt u afdwingen met beleid voor voorwaardelijke toegang inschakelen.
MFA vereisen op basis van aanmeldingsrisico
Volg de richtlijnen in: Meervoudige verificatie vereisen voor verhoogde aanmeldingsrisico's om een beleid te maken waarvoor meervoudige verificatie is vereist op basis van aanmeldingsrisico's.
Gebruik bij het configureren van het beleid de volgende risiconiveaus:
| Beveiligingsniveau | Risiconiveaus |
|---|---|
| Beginpunt | Gemiddeld en hoog |
| Enterprise | Laag, gemiddeld en hoog |
Clients blokkeren die geen ondersteuning bieden voor meervoudige verificatie
Volg de richtlijnen in: Verouderde verificatie blokkeren met voorwaardelijke toegang.
Gebruikers met een hoog risico moeten het wachtwoord wijzigen
Volg de richtlijnen in: Een veilige wachtwoordwijziging vereisen voor verhoogde gebruikersrisico's om te vereisen dat gebruikers met gecompromitteerde referenties hun wachtwoord wijzigen.
Gebruik dit beleid samen met Microsoft Entra-wachtwoordbeveiliging, waarmee bekende zwakke wachtwoorden, hun varianten en specifieke termen in uw organisatie worden gedetecteerd en geblokkeerd. Het gebruik van Microsoft Entra-wachtwoordbeveiliging zorgt ervoor dat gewijzigde wachtwoorden sterker zijn.
Goedgekeurde apps of app-beveiligingsbeleid vereisen
U moet een beleid voor voorwaardelijke toegang maken om app-beveiligingsbeleid af te dwingen dat u in Intune maakt. Het afdwingen van app-beveiligingsbeleid vereist een beleid voor voorwaardelijke toegang en een bijbehorend app-beveiligingsbeleid.
Als u een beleid voor voorwaardelijke toegang wilt maken waarvoor goedgekeurde apps of app-beveiliging zijn vereist, volgt u de stappen in Goedgekeurd client-apps of app-beveiligingsbeleid vereisen. Met dit beleid kunnen alleen accounts binnen apps die worden beveiligd door app-beveiligingsbeleid toegang krijgen tot Microsoft 365-eindpunten.
Het blokkeren van verouderde verificatie voor andere apps op iOS-/iPadOS- en Android-apparaten zorgt ervoor dat deze apparaten geen beleid voor voorwaardelijke toegang kunnen omzeilen. Door de richtlijnen in dit artikel te volgen, bent u al bezig met het blokkeren van clients die geen ondersteuning bieden voor moderne verificatie.
Compatibele pc's en mobiele apparaten vereisen
Let op
Controleer of uw eigen apparaat compatibel is voordat u dit beleid inschakelt. Anders kunt u worden vergrendeld en moet u een account voor toegang tot noodgevallen gebruiken om uw toegang te herstellen.
Toegang tot resources alleen toestaan nadat is vastgesteld dat het apparaat voldoet aan uw Intune-nalevingsbeleid. Voor meer informatie, zie Apparaatcompatibiliteit met voorwaardelijke toegang vereisen.
U kunt nieuwe apparaten inschrijven bij Intune, zelfs als u Vereisen dat het apparaat als compatibel wordt gemarkeerd voor Alle gebruikers en Alle cloud-apps in het beleid. Vereisen dat het apparaat als conform gemarkeerd wordt blokkeert niet de Intune-inschrijving of de toegang tot de Microsoft Intune-webportal-app.
Abonnement activeren
Als uw organisatie gebruikmaakt van activering van Windows-abonnementen om gebruikers in staat te stellen 'op te treden' van de ene versie van Windows naar de andere, moet u de API's van de Universal Store Service en webtoepassing (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) uitsluiten van de apparaatcompatibiliteit.
MFA altijd vereisen
MFA vereisen voor alle gebruikers door de richtlijnen in dit artikel te volgen: Meervoudige verificatie vereisen voor alle gebruikers.
Volgende stappen
