Een implementatie van voorwaardelijke toegang plannen

Uw implementatie van voorwaardelijke toegang plannen is essentieel om de toegangsstrategie van uw organisatie voor apps en resources te bereiken. Beleidsregels voor voorwaardelijke toegang bieden veel flexibiliteit bij de configuratie. Deze flexibiliteit betekent echter ook dat u zorgvuldig moet plannen om ongewenste resultaten te voorkomen.

Voorwaardelijke toegang van Microsoft Entra combineert signalen zoals gebruiker, apparaat en locatie om beslissingen te automatiseren en organisatietoegangsbeleid af te dwingen voor resources. Deze beleidsregels voor voorwaardelijke toegang helpen u bij het verdelen van beveiliging en productiviteit, het afdwingen van beveiligingscontroles wanneer dat nodig is en wanneer deze niet op de manier van de gebruiker blijven.

Voorwaardelijke toegang is de basis van de Zero Trust-beveiligingsbeleidsengine van Microsoft.

Diagram met een overzicht van voorwaardelijke toegang op hoog niveau.

Microsoft biedt standaardinstellingen voor beveiliging die ervoor zorgen dat een basisniveau van beveiliging is ingeschakeld in tenants die geen Microsoft Entra ID P1 of P2 hebben. Met voorwaardelijke toegang kunt u beleidsregels maken die dezelfde beveiliging bieden als de standaardinstellingen voor beveiliging, maar dan met granulariteit. Standaardinstellingen voor voorwaardelijke toegang en beveiliging zijn niet bedoeld om te worden gecombineerd als het maken van beleid voor voorwaardelijke toegang voorkomt dat u de standaardinstellingen voor beveiliging inschakelt.

Vereisten

Wijziging communiceren

Communicatie is essentieel voor het succes van nieuwe functionaliteit. U moet proactief communiceren met uw gebruikers hoe hun ervaring verandert, wanneer deze verandert en hoe u ondersteuning krijgt als ze problemen ondervinden.

Onderdelen van beleid voor voorwaardelijke toegang

Beleid voor voorwaardelijke toegang beantwoordt vragen over wie toegang heeft tot uw resources, tot welke resources ze toegang hebben en onder welke voorwaarden. Beleidsregels kunnen worden ontworpen om toegang te verlenen, toegang te beperken met sessiebeheer of toegang te blokkeren. U bouwt een beleid voor voorwaardelijke toegang door de if-then-instructies te definiëren, zoals:

Als aan een opdracht wordt voldaan De toegangsbeheer toepassen
Als u een gebruiker bent in Financiën die toegang heeft tot de toepassing Salarisadministratie Meervoudige verificatie en een compatibel apparaat vereisen
Als u geen lid bent van Financiën die toegang heeft tot de salarisadministratie Toegang blokkeren
Als uw gebruikersrisico hoog is Meervoudige verificatie en een veilige wachtwoordwijziging vereisen

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:

  • noodtoegangaccounts of break glass-accounts om tenantbrede accountvergrendeling te voorkomen. In het onwaarschijnlijke scenario zijn alle beheerders uitgesloten van uw tenant, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden bij de tenant om stappen te ondernemen om de toegang te herstellen.
  • Serviceaccounts en service-principals, zoals het Microsoft Entra-Verbinding maken-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een bepaalde gebruiker. Ze worden normaal gesproken gebruikt door back-endservices die programmatische toegang tot toepassingen toestaan, maar worden ook gebruikt om u aan te melden bij systemen voor administratieve doeleinden. Serviceaccounts zoals deze moeten worden uitgesloten omdat MFA niet programmatisch kan worden voltooid. Aanroepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workloadidentiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
    • Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten. Als tijdelijke oplossing kunt u deze specifieke accounts uitsluiten van het basislijnbeleid.

De juiste vragen stellen

Hier volgen enkele veelgestelde vragen over toewijzingen en toegangsbeheer. Documenteer de antwoorden op vragen voor elk beleid voordat u het uitbouwt.

Gebruikers of workload-identiteiten

  • Welke gebruikers, groepen, directoryrollen of workloadidentiteiten zijn opgenomen in of uitgesloten van het beleid?
  • Welke accounts of groepen voor noodtoegang moeten worden uitgesloten van het beleid?

Cloud-apps of acties

Zal dit beleid gelden voor elke toepassing, gebruikersactie of verificatiecontext? Zo ja:

  • Op welke toepassingen of services is het beleid van toepassing?
  • Welke gebruikersacties zijn onderworpen aan dit beleid?
  • Op welke verificatiecontexten wordt dit beleid toegepast?
Filteren op toepassingen

Het gebruik van een filter voor toepassingen om toepassingen op te nemen of uit te sluiten in plaats van ze afzonderlijk op te geven, helpt organisaties:

  • Schaal eenvoudig en richt u op een willekeurig aantal toepassingen.
  • Beheer eenvoudig toepassingen met vergelijkbare beleidsvereisten.
  • Verminder het aantal afzonderlijke beleidsregels.
  • Verminder fouten tijdens het bewerken van beleidsregels: u hoeft geen toepassingen handmatig toe te voegen aan of te verwijderen uit het beleid. U hoeft alleen de kenmerken te beheren.
  • Beperkingen voor beleidsgrootte overwinnen.

Voorwaarden

  • Welke apparaatplatforms zijn opgenomen in of uitgesloten van het beleid?
  • Wat zijn de bekende netwerklocaties van de organisatie?
    • Welke locaties zijn opgenomen in of uitgesloten van het beleid?
  • Welke typen client-apps zijn opgenomen in of uitgesloten van het beleid?
  • Moet u specifieke apparaatkenmerken instellen?
  • Als u Identity Protection gebruikt, wilt u aanmeldings- of gebruikersrisico's opnemen?
Gebruikers- en aanmeldingsrisico

Voor organisaties met Microsoft Entra ID P2-licenties kunnen ze gebruikers- en aanmeldingsrisico's opnemen in hun beleid voor voorwaardelijke toegang. Deze toevoegingen kunnen helpen de wrijving van beveiligingsmaatregelen te verminderen door meervoudige verificatie of veilige wachtwoordwijziging alleen te vereisen wanneer een gebruiker of aanmelding als riskant wordt beschouwd.

Zie het artikel Wat is risico' voor meer informatie over risico's en het gebruik ervan in beleid.

Besturingselementen blokkeren of verlenen

Wilt u toegang tot resources verlenen door een of meer van het volgende te vereisen?

  • Meervoudige verificatie
  • Het apparaat is gemarkeerd als conform
  • Een hybride apparaat van Microsoft Entra gebruiken
  • Een goedgekeurde client-app gebruiken
  • App-beveiliging toegepast beleid
  • Wachtwoord wijzigen
  • Gebruiksvoorwaarden geaccepteerd

Het blokkeren van toegang is een krachtig besturingselement dat u moet toepassen met de correcte kennis. De beleidsregels met blokinstructies kunnen onbedoelde bijwerkingen hebben. Goede tests en validatie zijn essentieel voordat u het besturingselement op schaal inschakelt. Beheer istrators moeten hulpprogramma's zoals De modus Alleen voor voorwaardelijke toegang en het hulpprogramma What If in voorwaardelijke toegang bij het aanbrengen van wijzigingen.

Besturingselementen voor sessie

Wilt u een van de volgende toegangsbeheeropties voor cloud-apps afdwingen?

  • Door app afgedwongen beperkingen gebruiken
  • App-beheer voor voorwaardelijke toegang gebruiken
  • Aanmeldingsfrequentie afdwingen
  • Permanente browsersessies gebruiken
  • Continue toegangsevaluatie aanpassen

Beleid combineren

Wanneer u beleid maakt en toewijst, moet u rekening houden met de werking van toegangstokens. Toegangstokens verlenen of weigeren toegang op basis van of de gebruikers die een aanvraag indienen, zijn geautoriseerd en geverifieerd. Als de aanvrager kan bewijzen dat hij/zij is wie hij/zij beweert te zijn, heeft hij/zij toegang tot de beveiligde resources of functionaliteit.

Toegangstokens worden standaard uitgegeven als een voorwaarde voor beleid voor voorwaardelijke toegang geen toegangsbeheer activeert.

Dit beleid voorkomt niet dat de app de toegang kan blokkeren.

Denk bijvoorbeeld aan een vereenvoudigd beleidsvoorbeeld waarbij:

Gebruikers: FINANCE GROUP
Toegang tot: SALARISADMINISTRATIE-APP
Toegangsbeheer: Meervoudige verificatie

  • Gebruiker A bevindt zich in de GROEP FINANCIËN. Ze moeten meervoudige verificatie uitvoeren voor toegang tot de SALARISADMINISTRATIE-APP.
  • Gebruiker B bevindt zich niet in de GROEP FINANCIËN, krijgt een toegangstoken en heeft toegang tot de PAYROLL-APP zonder meervoudige verificatie uit te voeren.

Om ervoor te zorgen dat gebruikers buiten de financiële groep geen toegang hebben tot de salarisadministratie-app, kan er een afzonderlijk beleid worden gemaakt om alle andere gebruikers te blokkeren, zoals het volgende vereenvoudigde beleid:

Gebruikers: Alle gebruikers opnemen/FINANCE GROUP uitsluiten
Toegang tot: SALARISADMINISTRATIE-APP
Toegangsbeheer: Toegang blokkeren

Wanneer gebruiker B nu toegang probeert te krijgen tot de SALARISADMINISTRATIE-APP , worden ze geblokkeerd.

Aanbevelingen

Rekening houdend met onze bevindingen bij het gebruik van voorwaardelijke toegang en het ondersteunen van andere klanten, volgen hier enkele aanbevelingen op basis van onze bevindingen.

Beleidsregels voor voorwaardelijke toegang toepassen op elke app

Verzeker dat op elke app ten minste één beleid voor voorwaardelijke toegang wordt toegepast. Vanuit beveiligingsperspectief is het beter om een beleid te maken dat Alle cloud-apps omvat en vervolgens toepassingen uit te sluiten waarop u het beleid niet wilt toepassen. Deze procedure zorgt ervoor dat u geen beleid voor voorwaardelijke toegang hoeft bij te werken telkens wanneer u een nieuwe toepassing onboardt.

Tip

Wees zeer voorzichtig met het gebruik van 'Blokkeren' en 'Alle apps' in één beleid. Dit kan beheerders vergrendelen en uitsluitingen kunnen niet worden geconfigureerd voor belangrijke eindpunten zoals Microsoft Graph.

Het aantal beleidsregels voor voorwaardelijke toegang minimaliseren

Een beleid voor elke app maken is niet efficiënt en leidt tot moeilijk beheer. Voorwaardelijke toegang heeft een limiet van 195 beleidsregels per tenant. Deze beleidslimiet van 195 omvat beleidsregels voor voorwaardelijke toegang in alle statussen, inclusief de modus Alleen rapporten, in- of uitschakelen.

We raden u aan uw apps te analyseren en deze te groeperen in toepassingen met dezelfde resourcevereisten voor dezelfde gebruikers. Als bijvoorbeeld alle Microsoft 365-apps of alle HR-apps dezelfde vereisten hebben voor dezelfde gebruikers, maakt u één beleid en neemt u alle apps op waarop het van toepassing is.

Beleidsregels voor voorwaardelijke toegang zijn opgenomen in een JSON-bestand en dat bestand is gebonden aan een groottelimiet die we niet verwachten dat één beleid verder groeit. Als u een lange lijst met GUID's in uw beleid gebruikt, kunt u deze limiet bereiken. Als u deze limieten ondervindt, raden we alternatieven aan, zoals:

Modus Alleen rapporteren configureren

Standaard wordt elk beleid dat is gemaakt op basis van een sjabloon, gemaakt in de modus alleen voor rapporten. We raden organisaties aan om het gebruik te testen en te controleren, om ervoor te zorgen dat het beoogde resultaat wordt bereikt voordat elk beleid wordt ingeschakeld.

Beleid inschakelen in de modus Alleen-rapport. Zodra u een beleid opslaat in de modus Alleen-rapporteren, kunt u het effect zien op realtime aanmeldingen in de aanmeldingslogboeken. Selecteer in de aanmeldingslogboeken een gebeurtenis en navigeer naar het tabblad Alleen rapport om het resultaat van elk beleid voor alleen rapporten weer te geven.

U kunt de statistische gevolgen van uw beleid voor voorwaardelijke toegang bekijken in de werkmap Inzichten en Rapportage. Voor toegang tot de werkmap hebt u een Azure Monitor-abonnement nodig en moet u uw aanmeldingslogboeken streamen naar een Log Analytics-werkruimte.

Plannen voor onderbreking

Plan tolerantiestrategieën voor uw organisatie om het risico op vergrendeling tijdens onvoorziene onderbrekingen te verminderen.

Naamgevingsstandaarden instellen voor uw beleidsregels

Een naamgevingsstandaard helpt u beleidsregels te vinden en het doel ervan te begrijpen zonder ze te openen in de Azure-beheerportal. We raden u aan uw beleid een naam te geven die het volgende weergeeft:

  • Een volgnummer
  • De cloud-apps waarop deze van toepassing is
  • Het antwoord
  • Voor wie het geldt
  • Wanneer deze van toepassing is

Diagram met de voorbeeldnaamgevingsstandaarden voor beleid.

Voorbeeld: Een beleid voor het vereisen van MFA voor marketinggebruikers die toegang hebben tot de Dynamics CRP-app vanuit externe netwerken, kan het volgende zijn:

Diagram met een voorbeeld van een naamgevingsstandaard.

Een beschrijvende naam helpt u een overzicht te houden van uw implementatie van voorwaardelijke toegang. Het volgnummer is handig als u tijdens een gesprek naar een beleid moet verwijzen. Wanneer u bijvoorbeeld aan de telefoon met een beheerder praat, kunt u hem/haar vragen beleid CA01 te openen om een probleem op te lossen.

Naamgevingsstandaarden voor noodtoegangsbeheer

Implementeer naast uw actieve beleidsregels ook uitgeschakelde beleidsregels die fungeren als secundair robuust toegangsbeheer in onderbrekingen of noodscenario's. Uw naamgevingsstandaard voor de beleidsregels voor onvoorziene gebeurtenissen moet het volgende omvatten:

  • IN NOODGEVALLEN INSCHAKELEN aan het begin om de naam te laten opvallen tussen de andere beleidsregels.
  • De naam van de onderbreking waarvoor het moet gelden.
  • Een volgnummer zodat de beheerder kan zien in welke volgorde beleidsregels moeten worden ingeschakeld.

Voorbeeld: De volgende naam geeft aan dat dit beleid de eerste van vier beleidsregels is die moet worden ingeschakeld als er een MFA-onderbreking is:

  • EM01 - INSCHAKELEN IN NOODGEVALLEN: MFA-onderbreking [1/4] - Exchange SharePoint: vereisen dat Microsoft Entra hybrid join voor VIP-gebruikers is vereist.

Landen/regio's blokkeren waarvan u nooit een aanmelding verwacht

Met Microsoft Entra ID kunt u benoemde locaties maken. Maak de lijst met landen/regio's die zijn toegestaan en maak vervolgens een netwerkblokbeleid met deze 'toegestane landen/regio's' als uitsluiting. Met deze optie maakt u minder overhead voor klanten die zijn gebaseerd op kleinere geografische locaties. Zorg ervoor dat u uw accounts voor toegang tot noodgevallen uit dit beleid vrijstellen.

Beleid voor voorwaardelijke toegang implementeren

Wanneer u klaar bent, implementeert u uw beleid voor voorwaardelijke toegang in fasen.

Uw beleid voor voorwaardelijke toegang maken

Raadpleeg sjablonen voor beleid voor voorwaardelijke toegang en algemeen beveiligingsbeleid voor Microsoft 365-organisaties voor een voorsprong. Deze sjablonen zijn een handige manier om Microsoft-aanbevelingen te implementeren. Zorg ervoor dat u uw accounts voor noodtoegang uitsluit.

De impact van het beleid evalueren

U wordt aangeraden de volgende hulpprogramma's te gebruiken om het effect van uw beleid zowel vóór als na het aanbrengen van wijzigingen te evalueren. Een gesimuleerde uitvoering geeft u een goed beeld van het effect dat een beleid voor voorwaardelijke toegang heeft. Het vervangt geen daadwerkelijke testuitvoering in een goed geconfigureerde ontwikkelomgeving.

Uw beleid testen

Zorg ervoor dat u de uitsluitingscriteria van een beleid test. U kunt bijvoorbeeld een gebruiker of groep uitsluiten van een beleid waarvoor MFA is vereist. Test of de uitgesloten gebruikers om MFA worden gevraagd, want de combinatie van andere beleidsregels vereist mogelijk MFA voor deze gebruikers.

Voer elke test in uw testplan uit met testgebruikers. Het testplan is belangrijk om een vergelijking te hebben tussen de verwachte resultaten en de werkelijke resultaten. In de volgende tabel worden enkele voorbeeldtestcases beschreven. Pas de scenario's en verwachte resultaten aan op basis van hoe uw beleidsregels voor voorwaardelijke toegang zijn geconfigureerd.

Beleid Scenario Verwacht resultaat
Riskante aanmeldingen Gebruiker meldt zich aan bij app via een niet-goedgekeurde browser Berekent een risicoscore op basis van de waarschijnlijkheid dat de aanmelding niet door de gebruiker is uitgevoerd. Vereist dat de gebruiker zelf herstelt met behulp van MFA
Apparaatbeheer Geautoriseerde gebruiker probeert zich aan te melden vanaf een geautoriseerd apparaat Toegang verleend
Apparaatbeheer Geautoriseerde gebruiker probeert zich aan te melden vanaf een niet-geautoriseerd apparaat Toegang geblokkeerd
Wachtwoordwijziging voor riskante gebruikers Geautoriseerde gebruiker probeert zich aan te melden met gecompromitteerde referenties (aanmelding met een hoog risico) Gebruiker wordt gevraagd het wachtwoord te wijzigen of toegang wordt geblokkeerd op basis van uw beleid

Implementeren in productie

Nadat u hebt bevestigd dat dit van invloed is op de modus Alleen rapport, kan een beheerder de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Beleidsregels terugdraaien

Als u uw nieuw geïmplementeerde beleidsregels wilt terugdraaien, gebruikt u een of meer van de volgende opties:

  • Schakel het beleid uit. Als u een beleid uitschakelt, zorg er dan voor dat het niet geldt wanneer een gebruiker zich probeert aan te melden. U kunt altijd terugkomen en het beleid weer inschakelen wanneer u het wilt gebruiken.

  • Sluit een gebruiker of groep uit van een beleid. Als een gebruiker geen toegang tot de app kan krijgen, kunt u ervoor kiezen om de gebruiker uit te sluiten van het beleid.

    Let op

    Uitsluitingen moeten spaarzaam worden gebruikt, alleen in situaties waarin de gebruiker wordt vertrouwd. Gebruikers moeten zo snel mogelijk weer worden toegevoegd aan het beleid of de groep.

  • Als een beleid is uitgeschakeld en niet meer vereist is, verwijdert u het.

Problemen met beleid voor voorwaardelijke toegang oplossen

Als een gebruiker een probleem heeft met een beleid voor voorwaardelijke toegang, verzamelt u de volgende informatie om het oplossen van problemen te vergemakkelijken.

  • User Principal Name
  • Weergavenaam van de gebruiker
  • Naam van het besturingssysteem
  • Tijdstempel (ongeveer is prima)
  • Doeltoepassing
  • Type clienttoepassing (browser versus client)
  • Correlatie-id (deze id is uniek voor de aanmelding)

Als de gebruiker een bericht heeft ontvangen met een koppeling Meer details, kunnen ze de meeste van deze informatie voor u verzamelen.

Schermopnamen van een voorbeeldfoutbericht en meer details.

Zodra u de informatie hebt verzameld, raadpleegt u de volgende bronnen:

  • Aanmeldingsproblemen met voorwaardelijke toegang : krijg inzicht in onverwachte aanmeldingsresultaten met betrekking tot voorwaardelijke toegang met behulp van foutberichten en aanmeldingslogboeken van Microsoft Entra.
  • Het hulpprogramma What If gebruiken – Begrijp waarom een beleid wel of niet is toegepast op een gebruiker in een bepaalde omstandigheid, en of een beleid van toepassing zou zijn in een bekende omstandigheid.