Sjablonen voor voorwaardelijke toegang

Sjablonen voor voorwaardelijke toegang bieden een handige methode om nieuwe beleidsregels te implementeren die zijn afgestemd op De aanbevelingen van Microsoft. Deze sjablonen zijn ontworpen om maximale beveiliging te bieden die is afgestemd op veelgebruikte beleidsregels voor verschillende typen klanten en locaties.

Schermopname van beleid en sjablonen voor voorwaardelijke toegang in het Microsoft Entra-beheercentrum.

Sjablooncategorieën

Beleidssjablonen voor voorwaardelijke toegang zijn ingedeeld in de volgende categorieën:

Microsoft raadt dit beleid aan als basis voor alle organisaties. We raden u aan dit beleid als groep te implementeren.

Zoek deze sjablonen in het Microsoft Entra-beheercentrum>protection>voor voorwaardelijke toegang>Maak nieuw beleid op basis van sjablonen. Selecteer Meer weergeven om alle beleidssjablonen in elke categorie weer te geven.

Schermopname van het maken van beleid voor voorwaardelijke toegang op basis van een vooraf geconfigureerde sjabloon in het Microsoft Entra-beheercentrum.

Belangrijk

Sjabloon voor beleid voor sjabloon voor voorwaardelijke toegang sluit alleen de gebruiker die het beleid maakt uit van de sjabloon. Als uw organisatie andere accounts moet uitsluiten, kunt u het beleid wijzigen zodra ze zijn gemaakt. U vindt deze beleidsregels in het Microsoft Entra-beheercentrumbeveiligingsbeleid>> voor voorwaardelijke toegang.> Selecteer een beleid om de editor te openen en de uitgesloten gebruikers en groepen te wijzigen om accounts te selecteren die u wilt uitsluiten.

Standaard wordt elk beleid gemaakt in de modus Alleen-rapporteren, raden we organisaties aan om het gebruik te testen en te controleren, om ervoor te zorgen dat het beoogde resultaat wordt gegarandeerd voordat elk beleid wordt ingeschakeld.

Organisaties kunnen afzonderlijke beleidssjablonen selecteren en:

  • Bekijk een samenvatting van de beleidsinstellingen.
  • Bewerken, om aan te passen op basis van de behoeften van de organisatie.
  • Exporteer de JSON-definitie voor gebruik in programmatische werkstromen.
    • Deze JSON-definities kunnen worden bewerkt en vervolgens geïmporteerd op de hoofdpagina van het beleid voor voorwaardelijke toegang met behulp van de optie Beleid uploaden.

Andere algemene beleidsregels

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:

  • noodtoegangaccounts of break glass-accounts om tenantbrede accountvergrendeling te voorkomen. In het onwaarschijnlijke scenario zijn alle beheerders uitgesloten van uw tenant, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden bij de tenant om stappen te ondernemen om de toegang te herstellen.
  • Serviceaccounts en service-principals, zoals het Microsoft Entra-Verbinding maken-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een bepaalde gebruiker. Ze worden normaal gesproken gebruikt door back-endservices die programmatische toegang tot toepassingen toestaan, maar worden ook gebruikt om u aan te melden bij systemen voor administratieve doeleinden. Serviceaccounts zoals deze moeten worden uitgesloten omdat MFA niet programmatisch kan worden voltooid. Aanroepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workloadidentiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
    • Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten. Als tijdelijke oplossing kunt u deze specifieke accounts uitsluiten van het basislijnbeleid.

Volgende stappen