Voorwaardelijke toegang beschrijven

Voltooid

Voorwaardelijke toegang is een functie van Microsoft Entra ID die een extra beveiligingslaag biedt voordat geverifieerde gebruikers toegang hebben tot gegevens of andere assets. Voorwaardelijke toegang wordt geïmplementeerd via beleid dat wordt gemaakt en beheerd in Microsoft Entra-id. Een beleid voor voorwaardelijke toegang analyseert signalen, waaronder gebruikers, locatie, apparaat, toepassing en risico om beslissingen te automatiseren voor het autoriseren van toegang tot resources (apps en gegevens).

Beleidsregels voor voorwaardelijke toegang zijn eenvoudigste als-dan-instructies. Een beleid voor voorwaardelijke toegang kan bijvoorbeeld aangeven dat als een gebruiker deel uitmaakt van een bepaalde groep, deze is vereist om meervoudige verificatie te bieden om u aan te melden bij een toepassing.

Belangrijk

Beleid voor voorwaardelijke toegang wordt afgedwongen nadat verificatie van de eerste factor is voltooid. Voorwaardelijke toegang is niet zozeer bedoeld als de eerste verdedigingslinie van een organisatie tegen bijvoorbeeld DoS-aanvallen (Denial of Service), maar kan gebruikmaken van signalen van deze gebeurtenissen om wel of geen toegang te verlenen.

Onderdelen van beleid voor voorwaardelijke toegang

Een beleid voor voorwaardelijke toegang in Microsoft Entra ID bestaat uit twee onderdelen, toewijzingen en toegangsbeheer.

Toewijzingen

Bij het maken van een beleid voor voorwaardelijke toegang kunnen beheerders bepalen welke signalen moeten worden gebruikt via toewijzingen. Het toewijzingsgedeelte van het beleid bepaalt wie, wat, waar en wanneer van het beleid voor voorwaardelijke toegang. Alle toewijzingen zijn logisch ANDed. Als u meer dan één toewijzing hebt geconfigureerd, moeten alle toewijzingen worden voldaan om een beleid te activeren. Enkele van de opdrachten zijn:

• Gebruikers wijzen toe wie het beleid zal opnemen of uitsluiten. Deze toewijzing kan alle gebruikers in de directory, specifieke gebruikers en groepen, directoryrollen, externe gasten en workloadidentiteiten omvatten.
• Doelbronnen zijn toepassingen of services, gebruikersacties, Global Secure Access (preview) of verificatiecontext.
  • Cloud-apps: beheerders kunnen kiezen uit de lijst met toepassingen of services die ingebouwde Microsoft-toepassingen bevatten, waaronder Microsoft Cloud-toepassingen, Office 365, de Windows Azure Service Management-API, Microsoft-beheerportals en alle geregistreerde Microsoft Entra-toepassingen.
  • Gebruikersacties: beheerders kunnen ervoor kiezen om beleid te definiëren dat niet is gebaseerd op een cloudtoepassing, maar op een gebruikersactie, zoals Beveiligingsgegevens registreren of apparaten registreren of toevoegen, zodat voorwaardelijke toegang besturingselementen rond deze acties kan afdwingen.
  • Globale beveiligde toegang (preview): beheerders kunnen beleid voor voorwaardelijke toegang gebruiken om het verkeer te beveiligen dat via de Global Secure Access-service wordt doorgegeven. Dit wordt gedaan door verkeersprofielen in Global Secure Access te definiëren. Beleid voor voorwaardelijke toegang kan vervolgens worden toegewezen aan het globale profiel voor beveiligde toegang.
  • Verificatiecontext: verificatiecontext kan worden gebruikt om gegevens en acties in toepassingen verder te beveiligen. Gebruikers die toegang hebben tot specifieke inhoud op een SharePoint-site, moeten bijvoorbeeld toegang krijgen tot die inhoud via een beheerd apparaat of akkoord gaan met specifieke gebruiksvoorwaarden.
• Met netwerk kunt u de gebruikerstoegang beheren op basis van het netwerk of de fysieke locatie van de gebruiker. U kunt elk netwerk of elke locatie, locaties opnemen die zijn gemarkeerd als vertrouwde netwerken of vertrouwde IP-adresbereiken of benoemde locaties. U kunt ook compatibele netwerken identificeren die bestaan uit gebruikers en apparaten die voldoen aan het beveiligingsbeleid van uw organisatie.
• Voorwaarden bepalen waar en wanneer het beleid van toepassing is. Er kunnen meerdere voorwaarden worden gecombineerd om nauwkeurig en specifiek beleid voor voorwaardelijke toegang te maken. Enkele van de voorwaarden zijn:
  • Aanmeldingsrisico en gebruikersrisico. Dankzij integratie met Microsoft Entra ID Protection kunnen beleidsregels voor voorwaardelijke toegang verdachte acties identificeren die betrekking hebben op gebruikersaccounts in de directory en een beleid activeren. Aanmeldingsrisico is de kans dat een bepaalde aanmelding of verificatieaanvraag niet is geautoriseerd door de eigenaar van de identiteit. Gebruikersrisico is de kans dat een bepaalde identiteit of account wordt aangetast.
  • Intern risico. Beheerders met toegang tot adaptieve Microsoft Purview-beveiliging kunnen risicosignalen van Microsoft Purview opnemen in beleidsbeslissingen voor voorwaardelijke toegang. Intern risico houdt rekening met uw gegevensbeheer, gegevensbeveiliging en configuraties voor risico's en naleving van Microsoft Purview.
  • Apparaatplatform. Apparaatplatform, dat wordt gekenmerkt door het besturingssysteem dat op een apparaat wordt uitgevoerd, kan worden gebruikt bij het afdwingen van beleid voor voorwaardelijke toegang.
  • Client-apps. Client-apps, de software die de gebruiker gebruikt voor toegang tot de cloud-app, met inbegrip van browsers, mobiele apps, desktopclients, kan ook worden gebruikt in het toegangsbeleidsbesluit.
  • Filters voor apparaten. Organisaties kunnen beleidsregels afdwingen op basis van apparaateigenschappen met behulp van de filters voor apparaten. Deze optie kan bijvoorbeeld worden gebruikt om beleid te richten op specifieke apparaten, zoals bevoegde toegangswerkstations.

In wezen bepaalt het toewijzingsgedeelte de wie, wat en waar van het beleid voor voorwaardelijke toegang.

Besturingselementen voor toegang

Wanneer het beleid voor voorwaardelijke toegang is toegepast, wordt een weloverwogen beslissing genomen over het blokkeren van toegang, het verlenen van toegang, het verlenen van toegang met extra verificatie of het toepassen van een sessiebeheer om een beperkte ervaring mogelijk te maken. De beslissing wordt aangeduid als het gedeelte voor toegangsbeheer van het beleid voor voorwaardelijke toegang en definieert hoe een beleid wordt afgedwongen. Veelvoorkomende beslissingen zijn:

• Toegang blokkeren
• Toegang verlenen. Beheerders kunnen zonder extra controle toegang verlenen, of ze kunnen ervoor kiezen om een of meer besturingselementen af te dwingen bij het verlenen van toegang. Voorbeelden van besturingselementen die worden gebruikt om toegang te verlenen, zijn onder andere het vereisen van meervoudige verificatie, het vereisen van specifieke verificatiemethoden voor toegang tot een resource, het vereisen van apparaten om te voldoen aan specifieke vereisten voor nalevingsbeleid, het vereisen van een wachtwoordwijziging en meer. Raadpleeg besturingselementen verlenen in beleid voor voorwaardelijke toegang voor een volledige lijst.
• Session. Binnen een beleid voor voorwaardelijke toegang kan een beheerder gebruikmaken van sessiebesturingselementen om beperkte ervaringen binnen specifieke cloudtoepassingen mogelijk te maken. App-beheer voor voorwaardelijke toegang gebruikt bijvoorbeeld signalen van Microsoft Defender voor Cloud Apps om de download-, knip-, kopieer- en afdrukmogelijkheden voor gevoelige documenten te blokkeren of om labeling van gevoelige bestanden te vereisen. Andere sessiebesturingselementen omvatten aanmeldingsfrequentie en door toepassingen afgedwongen beperkingen die, voor geselecteerde toepassingen, de apparaatgegevens gebruiken om gebruikers een beperkte of volledige ervaring te bieden, afhankelijk van de status van het apparaat. Raadpleeg sessiebesturingselementen in beleid voor voorwaardelijke toegang voor een volledige lijst.

Kortom, het toewijzingsgedeelte bepaalt wie, wat en waar van het beleid voor voorwaardelijke toegang, terwijl het toegangsbeheergedeelte bepaalt hoe een beleid wordt afgedwongen.