Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Overzicht
Microsoft Entra ID implementeert een verbeterd afdwingingsmodel voor beleidsregels voor voorwaardelijke toegang die gericht zijn op Alle resources en een of meer resourceuitsluitingen. Deze wijziging zorgt ervoor dat aanmeldingen die alleen basisbereiken aanvragen, dezelfde voorwaardelijke toegangsbeveiligingen krijgen als andere toegang tot resources.
Voorheen werden bepaalde scopes met lage rechten automatisch uitgesloten van handhaving van beleid wanneer er een uitsluiting van een bron bestond. Met deze wijziging worden deze bereiken nu geëvalueerd als adreslijsttoegang en zijn ze onderhevig aan uw beleid voor voorwaardelijke toegang.
Voor een gedetailleerde technische achtergrond, zie Nieuw gedrag voor voorwaardelijke toegang wanneer een beleid voor ALLE resources een bronuitsluiting heeft.
Belangrijk
Deze afdwingingsupdate is afgestemd op Microsoft's Secure Future Initiative en diepgaande verdedigingsinvesteringen. Microsoft raadt u aan het nieuwe afdwingingsmodel aan te passen om uw beveiligingspostuur te verbeteren.
Wie wordt beïnvloed
Deze wijziging is van invloed op uw tenant als aan alle volgende voorwaarden wordt voldaan:
- U hebt een of meer beleidsregels voor voorwaardelijke toegang die zijn gericht op alle resources.
- Deze beleidsregels hebben een of meer resourceuitsluitingen.
- Gebruikers in uw tenant melden zich aan via toepassingen die alleen basislijnbereiken aanvragen.
Als uw beleid gericht is op alle resources zonder enige resourceuitsluitingen, heeft deze wijziging geen invloed op u.
Wat zijn basislijnbereiken?
Baseline-scopen is een overkoepelende term voor de volgende set scopen.
-
OpenID Connect-bereiken
email(OIDC): ,offline_access, ,openidprofile -
Basismapbereiken:
User.Read,User.Read.All,User.ReadBasic.All,People.Read,People.Read.All,GroupMember.Read.All,Member.Read.Hidden
Wat verandert er?
Na de implementatie kunnen in de volgende scenario's uitdagingen met voorwaardelijke toegang (zoals MFA of apparaatnaleving) worden geactiveerd waar eerder toegang werd verleend zonder dat er handhaving plaatsvond.
-
Openbare clientapplicaties (zoals bureaubladapps) die alleen basislijnbereiken aanvragen. Een gebruiker meldt zich bijvoorbeeld aan bij de Visual Studio Code desktop-client, die
openidenprofilescopes aanvraagt, of Azure CLI, die alleenUser.Readaanvraagt. -
Vertrouwelijke clienttoepassingen (zoals web-apps) die zijn uitgesloten van een beleid voor alle resources en alleen basismapbereiken aanvragen. Een webtoepassing die bijvoorbeeld is uitgesloten van het beleid dat alleen
User.Readaanvraagt enPeople.Read.
De exacte uitdagingen zijn afhankelijk van de toegangscontroles die zijn geconfigureerd in uw beleid die van toepassing zijn op Alle resources of expliciet van toepassing zijn op Windows Azure Active Directory (Microsoft Entra ID directory) als de resource.
Wat verandert er niet?
- Wanneer een toepassing (openbaar of vertrouwelijk) een bereik aanvraagt buiten de basislijnbereiken (bijvoorbeeld
Mail.Read), is de toepassing al onderworpen aan afdwinging van voorwaardelijke toegang. Dit gedrag verandert niet. - Voor vertrouwelijke clienttoepassingen die uitgesloten zijn van alle beleidsregels voor resources en alleen OIDC-scopes aanvragen, wordt geen wijziging verwacht.
Wat u moet doen
Gebruik de volgende tabel om de vereiste acties voor uw toepassingen te bepalen:
| Toepassingstype | Eigendom | Vereiste actie |
|---|---|---|
| Publieke cliënt die alleen basisbereiken aanvraagt | Welke dan ook | Controleer of deze toepassingen moeten worden uitgesloten van afdwinging van voorwaardelijke toegang. Als er geldige zakelijke redenen zijn om een uitzondering te handhaven, raadpleegt u Verouderd gedrag behouden met basislijnbereikinstellingen. |
| Vertrouwelijke client die alleen basismapbereiken aanvraagt, uitgesloten van het beleid alle resources | Eigendom van tenant | Controleer of de uitsluiting nog steeds nodig is. Werk samen met uw applicatieontwikkelaars om te beoordelen of de app OIDC-bereiken (zoals openid, profile) kan aanvragen in plaats van map scopes zoals User.Read voor basale gebruikersinformatie. Als updates niet kunnen worden voltooid vóór de implementatie, raadpleegt u Verouderd gedrag behouden met basislijnbereikinstellingen. |
| Vertrouwelijke client die alleen basismapbereiken aanvraagt, uitgesloten van het beleid alle resources | ISV-eigendom | Controleer of de uitsluiting nog steeds nodig is. Neem contact op met uw ISV om te evalueren of de toepassing OIDC-bereiken kan aanvragen in plaats van directorybereiken. In de meeste gevallen bieden OIDC-bereiken de toegang met minimale bevoegdheden die vereist is voor deze scenario's. Als de ISV op tijd geen updates kan aanbrengen, raadpleegt u Verouderd gedrag behouden met basislijnbereikinstellingen. |
Belangrijk
Voor zowel openbare als vertrouwelijke clienttoepassingen die eigendom zijn van uw tenant, moet u ervoor zorgen dat de toepassing problemen met voorwaardelijke toegang (bijvoorbeeld MFA of apparaatcompatibiliteit) kan afhandelen. Zo niet, dan zijn toepassingsupdates mogelijk vereist. Raadpleeg de richtlijnen voor ontwikkelaars voor voorwaardelijke toegang voor het op de juiste wijze bijwerken van uw toepassing.
Impact beoordelen
Voorbeeld van de afdwingingswijziging bekijken
U kunt een voorbeeld bekijken van het verbeterde afdwingingsgedrag voordat de implementatie begint:
- Meld u aan bij de Microsoft Entra-beheercentrum als minimaal een beheerder van Conditionele toegang.
- Toegang tot de instellingen voor basislijnbereiken in Voorwaardelijke toegang. Deze directe koppeling is vereist om de preview-instellingen weer te geven.
- Kies default-doelresource (Windows Azure Active Directory).
- Selecteer Opslaan.
Opmerking
Met deze instelling wordt het bijgewerkte gedrag voor voorwaardelijke toegang onmiddellijk ingeschakeld voor alle beleidsregels voor resources met uitsluitingen.
Als gevolg hiervan kunnen sommige gebruikersaanmeldingen die niet eerder aan ca-afdwinging waren onderworpen, nu worden geëvalueerd en afgedwongen onder voorwaardelijke toegang met behulp van Windows Azure Active Directory als doelresource.
Als u wilt terugkeren naar het verouderde gedrag, selecteert u opnieuw instellen in de instellingen voor basislijnbereik.
Als er geen aangepaste doelresource is geselecteerd, wordt de implementatie op basis van Windows Azure Active Directory als de standaarddoelresource voor basislijnbereiken afgedwongen in fasen.
Betrokken toepassingen identificeren met een aangepaste doelresource
U kunt basislijnbereikinstellingen gebruiken om te bepalen welke toepassingen in uw tenant worden beïnvloed. Zodra de preview-instelling is ingeschakeld, worden aanmeldingsgebeurtenissen waarbij de toepassing basislijnbereiken aanvraagt de aangepaste toepassing als een doelgroep voor voorwaardelijke toegang in aanmeldingslogboeken weergeven. Zie Aanmeldingsproblemen met voorwaardelijke toegang oplossen voor meer informatie.
Query uitvoeren op betrokken toepassingen
Gebruik de volgende Microsoft Graph query om toepassingen weer te geven die alleen de basislijnbereiken aanvragen:
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=conditionalAccessAudiences/any(a:a eq '<your-custom-app-id>')&$select=appId,appDisplayName
Vervang door <your-custom-app-id> de app-id van uw aangepaste toepassing.
Gedurende een periode van meerdere dagen bevat het resultaat van deze query een lijst met clienttoepassingen die alleen basislijnbereiken aanvragen.
Verouderd gedrag behouden met basislijnbereikinstellingen
Opmerking
Microsoft raadt aan om af te stemmen op het nieuwe afdwingingsmodel. Gebruik alleen basislijnbereikinstellingen als u specifieke scenario's hebt waarvoor het verouderde gedrag is vereist.
Instellingen voor basislijnbereik is een configuratie op tenantniveau, waarmee u een aangepaste toepassing die eigendom is van de tenant kunt gebruiken als doelbron voor basislijnbereiken. Door deze aangepaste toepassing uit te sluiten van specifiek beleid voor alle resources, kunt u het verouderde gedrag behouden.
Wie moet deze instelling gebruiken
Gebruik deze instelling als u specifieke scenario's hebt waarvoor u het verouderde gedrag moet behouden. Voorbeeldscenario's zijn onder andere:
- Voor alle beleidsregels voor resources die vereisen dat een compatibel apparaat toestemming krijgt voor beheer: toepassingen die zijn uitgesloten van dit beleid omdat ze toegankelijk moeten zijn vanaf niet-beheerde apparaten.
- Alle beleidsregels voor resources waarvoor een app-beveiligingsbeleid is vereist, verlenen controle: clienttoepassingen die niet zijn geïntegreerd met de Intune SDK en die niet voldoen aan het app-beveiligingsbeleid.
- Alle beleidsregels voor resources met blokbeheer: clienttoepassingen die moeten worden uitgesloten van het blokbeleid.
- Openbare clients die moeten worden vrijgesteld van compatibele apparaatvereisten: vanwege specifieke beveiligings- en nalevingsredenen.
Veelgestelde vragen
Hoe kan ik een voorbeeld bekijken van de afdwingingswijziging vóór de implementatie?
Ga naar https://aka.ms/BaselineScopesSettingsUX, kies de default-doelresource (Windows Azure Active Directory) en selecteer Opslaan. Met deze instelling wordt het verbeterde gedrag onmiddellijk afgedwongen. Als u wilt teruggaan, selecteert u Opnieuw instellen. Zie Voorbeeld van de afdwingingswijziging voor meer informatie.
Hoe kan ik het verouderde gedrag behouden na de implementatie?
Gebruik de basislijninstellingen om een aangepaste tenant-eigendomstoepassing als doelresource voor basislijnbereiken aan te wijzen. Sluit die toepassing vervolgens uit van je beleid voor alle resources. Zie Verouderd gedrag behouden met basislijnbereikinstellingen voor meer informatie.
Moet ik alle toepassingen bijwerken?
Nee. Alleen toepassingen die uitsluitend basislijnbereiken aanvragen en worden beïnvloed door uw beleidsregels voor alle resources met resourceuitsluitingen, hebben aandacht nodig. Toepassingen die bereiken buiten de basislijn aanvragen (bijvoorbeeld Mail.Read) zijn al onderworpen aan afdwinging van voorwaardelijke toegang en worden niet beïnvloed door deze wijziging.