Vereiste werkzaamheden voor het implementeren van Zero Trust-identiteits- en apparaattoegangsbeleid
In dit artikel worden de vereisten beschreven waaraan beheerders moeten voldoen om aanbevolen Zero Trust-identiteits- en apparaattoegangsbeleid te gebruiken en om voorwaardelijke toegang te gebruiken. Ook worden de aanbevolen standaardwaarden besproken voor het configureren van clientplatforms voor de beste SSO-ervaring (eenmalige aanmelding).
Vereisten
Voordat u het Zero Trust-identiteits- en apparaattoegangsbeleid gebruikt dat wordt aanbevolen, moet uw organisatie voldoen aan de vereisten. De vereisten verschillen voor de verschillende identiteits- en verificatiemodellen die worden vermeld:
- Alleen cloud
- Hybride met PHS-verificatie (Wachtwoordhashsynchronisatie)
- Hybride met passthrough-verificatie (PTA)
- Federatief
In de volgende tabel worden de vereiste functies en hun configuratie beschreven die van toepassing zijn op alle identiteitsmodellen, behalve waar vermeld.
| Configuratie | Uitzonderingen | Licenties |
|---|---|---|
| PHS -(Wachtwoord-hashsynchronisatie) configureren. Deze functie moet zijn ingeschakeld om gelekte inloggegevens te detecteren en hierop te reageren voor op risico gebaseerde voorwaardelijke toegang. Deze configuratie is vereist, ongeacht of uw organisatie federatieve verificatie gebruikt. | Alleen cloud | Microsoft 365 E3 of E5 |
| Schakel naadloze eenmalige aanmelding in om gebruikers automatisch aan te melden wanneer ze zich op hun organisatieapparaten bevinden die zijn verbonden met uw organisatienetwerk. | Alleen cloud en federatief | Microsoft 365 E3 of E5 |
| netwerklocaties configureren. Microsoft Entra ID Protection verzamelt en analyseert alle beschikbare sessiegegevens om een risicoscore te genereren. U wordt aangeraden de openbare IP-adresbereiken van uw organisatie op te geven voor uw netwerk in de configuratie van de Microsoft Entra-id benoemde locaties. Verkeer dat afkomstig is van deze bereiken krijgt een verminderde risicoscore en verkeer van buiten de organisatieomgeving krijgt een hogere risicoscore. | Microsoft 365 E3 of E5 | |
| Registreer alle gebruikers voor selfservice voor wachtwoordherstel (SSPR) en meervoudige verificatie (MFA). U wordt aangeraden deze stap van tevoren uit te voeren. Microsoft Entra ID Protection maakt gebruik van Meervoudige Verificatie van Microsoft Entra voor extra beveiligingsverificatie. Voor de beste aanmeldingservaring raden we u aan de Microsoft Authenticator-app te gebruiken en de Microsoft-bedrijfsportal-app op apparaten. Gebruikers kunnen deze apps installeren vanuit de App Store voor hun apparaatplatform. | Microsoft 365 E3 of E5 | |
| Plan uw implementatie van hybride deelname aan Microsoft Entra. Voorwaardelijke toegang zorgt ervoor dat apparaten die verbinding maken met apps lid zijn van een domein of compatibel zijn. Ter ondersteuning van deze vereiste op Windows-computers moet het apparaat zijn geregistreerd bij Microsoft Entra-id. In dit artikel wordt beschreven hoe u automatische apparaatregistratie configureert. | Alleen cloud | Microsoft 365 E3 of E5 |
| Bereid uw ondersteuningsteam voor. Een plan hebben voor gebruikers die MFA niet kunnen uitvoeren. Voeg ze bijvoorbeeld toe aan een groep met uitsluitingsbeleid of registreer nieuwe MFA-gegevens voor hen. Als u beveiligingsgevoelige uitzonderingen maakt, controleert u of de gebruiker de aanvraag daadwerkelijk indient. Beheerders vragen om te helpen bij de goedkeuring voor gebruikers is een effectieve stap. | Microsoft 365 E3 of E5 | |
| wachtwoord terugschrijven naar on-premises Active Directory-configureren. Met wachtwoord terugschrijven kan Microsoft Entra-id vereisen dat gebruikers hun on-premises wachtwoorden wijzigen wanneer een inbreuk op een account met een hoog risico wordt gedetecteerd. U kunt deze functie op twee manieren inschakelen met Behulp van Microsoft Entra Connect: wachtwoord terugschrijven inschakelen in het optionele functiesscherm van Microsoft Entra Connect setup of inschakelen via Windows PowerShell. | Alleen cloud | Microsoft 365 E3 of E5 |
| Configureer Microsoft Entra-wachtwoordbeveiliging. Microsoft Entra Password Protection detecteert en blokkeert bekende zwakke wachtwoorden en hun varianten en kan ook andere zwakke termen blokkeren die specifiek zijn voor uw organisatie. Standaard algemene lijsten met verboden wachtwoorden worden automatisch toegepast op alle gebruikers in een Microsoft Entra-organisatie. U kunt andere vermeldingen definiëren in een aangepaste lijst met verboden wachtwoorden. Wanneer gebruikers hun wachtwoord wijzigen of opnieuw instellen, worden deze lijsten met verboden wachtwoorden gecontroleerd om het gebruik van sterke wachtwoorden af te dwingen. | Microsoft 365 E3 of E5 | |
| Schakel Microsoft Entra ID Protection in. Met Microsoft Entra ID Protection kunt u potentiële beveiligingsproblemen detecteren die van invloed zijn op de identiteiten van uw organisatie en een geautomatiseerd herstelbeleid configureren op een laag, gemiddeld en hoog aanmeldingsrisico en gebruikersrisico. | Microsoft 365 E5 of Microsoft 365 E3 met de invoegtoepassing E5 Security | |
| Schakel continue toegangsevaluatie in voor Microsoft Entra-id. Continue toegangsevaluatie beëindigt proactief actieve gebruikerssessies en dwingt wijzigingen in het organisatiebeleid in bijna realtime af. | Microsoft 365 E3 of E5 |
Aanbevolen clientconfiguraties
In deze sectie worden de aanbevolen standaardplatformclientconfiguraties beschreven voor de beste SSO-ervaring en de technische vereisten voor voorwaardelijke toegang.
Windows-apparaten
We raden Windows 11 of Windows 10 (versie 2004 of hoger) aan, omdat Azure is ontworpen om de soepelste SSO-ervaring mogelijk te maken voor zowel on-premises als Microsoft Entra ID. Door de organisatie uitgegeven apparaten moeten worden geconfigureerd met een van de volgende opties:
- Neem rechtstreeks deel aan De Microsoft Entra-id.
- Configureer apparaten die zijn verbonden met een Active Directory-domein lokaal om automatisch en stil te registreren bij Microsoft Entra ID
Voor persoonlijke Windows-apparaten (Bring Your Own Device of BYOD) kunnen gebruikers Werk- of schoolaccount toevoegen. Google Chrome-gebruikers op Windows 11- of Windows 10-apparaten moeten een extensie installeren om dezelfde soepele aanmeldingservaring te krijgen als Microsoft Edge-gebruikers. Als uw organisatie Windows 8- of 8.1-apparaten heeft die lid zijn van een domein, kunt u Microsoft Workplace Join installeren voor niet-Windows 10-computers. Download het pakket om de apparaten te registreren bij Microsoft Entra ID.
iOS-apparaten
U wordt aangeraden de Microsoft Authenticator-app op gebruikersapparaten te installeren voordat u beleid voor voorwaardelijke toegang of MFA implementeert. Als dat niet lukt, installeert u de app in de volgende scenario's:
- Wanneer gebruikers wordt gevraagd hun apparaat te registreren bij Microsoft Entra ID door een werk- of schoolaccount toe te voegen.
- Wanneer gebruikers de Intune-bedrijfsportal-app installeren om hun apparaat in te schrijven voor beheer.
De aanvraag is afhankelijk van het geconfigureerde beleid voor voorwaardelijke toegang.
Android-apparaten
Het is raadzaam dat gebruikers de Intune-bedrijfsportal-app installeren en Microsoft Authenticator-app voordat beleid voor voorwaardelijke toegang wordt geïmplementeerd of tijdens specifieke verificatiepogingen. Na de installatie van de app kunnen gebruikers worden gevraagd zich te registreren bij Microsoft Entra ID of hun apparaat in te schrijven bij Intune, afhankelijk van het geconfigureerde beleid voor voorwaardelijke toegang.
We raden ook aan dat apparaten die eigendom zijn van de organisatie Android for Work of Samsung Knox ondersteunen om het beheer en de beveiliging van e-mailaccounts mogelijk te maken via Intune MDM-beleid (Mobile Device Management).
Aanbevolen e-mailclients
De e-mailclients in de volgende tabel ondersteunen moderne verificatie en voorwaardelijke toegang:
| Platform | Klant | Versie/notities |
|---|---|---|
| Windows | Outlook | 2016 of hoger Vereiste updates |
| iOS | Outlook voor iOS | Laatst |
| Android | Outlook voor Android | Laatst |
| MacOS | Outlook | 2016 of hoger |
| Linux | Niet ondersteund |
Aanbevolen clientplatformen bij het beveiligen van documenten
We raden de e-mailclients aan in de volgende tabel wanneer een beleid voor beveiligde documenten wordt toegepast:
| Platform | Word/Excel/PowerPoint | OneNote | OneDrive-app | SharePoint-app | OneDrive-synchronisatie-client |
|---|---|---|---|---|---|
| Windows 11 of Windows 10 | Ondersteund | Ondersteund | N.v.t. | N.v.t. | Ondersteund |
| Windows 8.1 | Ondersteund | Ondersteund | N.v.t. | N.v.t. | Ondersteund |
| Android | Ondersteund | Ondersteund | Ondersteund | Ondersteund | N.v.t. |
| iOS | Ondersteund | Ondersteund | Ondersteund | Ondersteund | N.v.t. |
| macOS | Ondersteund | Ondersteund | N.v.t. | N.v.t. | Niet ondersteund |
| Linux | Niet ondersteund | Niet ondersteund | Niet ondersteund | Niet ondersteund | Niet ondersteund |
Microsoft 365-clientondersteuning
Zie Uw identiteitsinfrastructuur implementeren voor Microsoft 365voor meer informatie over clientondersteuning in Microsoft 365.
Beheerdersaccounts beveiligen
Voor Microsoft 365 E3 of E5 of met afzonderlijke Microsoft Entra ID P1- of P2-licenties kunt u phishingbestendige MFA vereisen voor beheerdersaccounts met een handmatig gemaakt beleid voor voorwaardelijke toegang. Voor meer informatie, zie voorwaardelijke toegang: vereisen van phishingbestendige MFA voor beheerders.
Voor edities van Microsoft 365 of Office 365 die geen voorwaardelijke toegang ondersteunen, kunt u standaardinstellingen voor beveiliging inschakelen MFA voor alle accounts vereisen.
Hier volgen enkele andere aanbevelingen:
- Gebruik Microsoft Entra Privileged Identity Management om het aantal permanente beheerdersaccounts te verminderen.
- Gebruik bevoegde toegangsbeheer om uw organisatie te beschermen tegen schendingen die mogelijk gebruikmaken van bestaande bevoegde beheerdersaccounts met permanente toegang tot gevoelige gegevens of toegang tot kritieke configuratie-instellingen.
- Maak en gebruik afzonderlijke accounts waaraan microsoft 365-beheerdersrollen alleen zijn toegewezen voor beheer. Beheerders moeten hun eigen gebruikersaccount hebben voor normaal gebruik. Ze moeten alleen een beheerdersaccount gebruiken wanneer ze nodig zijn om een taak te voltooien die is gekoppeld aan hun rol of functie.
- Volg de aanbevolen procedures voor het beveiligen van bevoegde accounts in Microsoft Entra ID.
Volgende stap
Het algemene beleid voor Zero Trust-identiteit en apparaattoegang configureren