Verificatiestromen blokkeren met beleid voor voorwaardelijke toegang

Overzicht

Met de volgende stappen kunt u beleid voor voorwaardelijke toegang maken om te beperken hoe apparaatcodestroom en verificatieoverdracht binnen uw organisatie worden gebruikt.

Beleidsregels voor apparaatcode-verloop

Organisaties worden aangeraden zo dicht mogelijk bij een eenzijdig blok in de apparaatcodestroom te komen. Overweeg een beleid te maken om het bestaande gebruik van apparaatcodestroom te controleren en te bepalen of dit nog steeds nodig is. Sta alleen de stroom van apparaatcode toe in goed gedocumenteerde en beveiligde gebruiksvoorbeelden, zoals verouderde hulpprogramma's die niet kunnen worden bijgewerkt.

Voor organisaties die geen apparaatcodestroom gebruiken, blokkeert u deze met het volgende beleid voor voorwaardelijke toegang:

1. Meld u aan bij de Microsoft Entra-beheercentrum als ten minste een Conditional Access Administrator.
2. Blader naar Entra ID>Conditionele toegang>Policies.
3. Selecteer Nieuw beleid.
4. Selecteer onder Toewijzingen, gebruikers of workloadidentiteiten.
   1. Selecteer onder Opnemen de gebruikers die u binnen het bereik van het beleid wilt hebben (alle aanbevolen gebruikers ).
   2. Onder Uitsluiten:
      1. Selecteer Gebruikers en groepen en kies de accounts voor noodgevallen of break-glass-accounts van uw organisatie en andere benodigde gebruikers. Controleer deze uitsluitingslijst regelmatig.
5. Selecteer onder Doelresources>Resources (voorheen cloud-apps)>de apps die u binnen het bereik van het beleid wilt hebben (Alle resources (voorheen 'Alle cloud-apps') aanbevolen).
6. Stel onder Voorwaarden>VerificatiestromenConfigureren in op Ja.
   1. Selecteer apparaatcodestroom.
   2. Kies Gereed.
7. Onder Toegangsbeheer>Toestaan, selecteer Toegang blokkeren.
   1. Selecteer Selecteren.
8. Bevestig uw instellingen en stel Beleid inschakelen in op Alleen rapport.
9. Selecteer Maken om het beleid in te schakelen.

Nadat u uw instellingen hebt bevestigd met de beleidsimpactmodus of de modus Alleen-rapporteren, verplaatst u de wisselknop Beleid inschakelen van alleen rapport naar Aan.

Beleid voor authenticatieoverdracht

Gebruik de voorwaarde Verificatiestromen in voorwaardelijke toegang om de functie te beheren. Blokkeer verificatieoverdracht als u niet wilt dat gebruikers verificatie van hun pc overdragen naar een mobiel apparaat. U kunt bijvoorbeeld verificatieoverdracht blokkeren als u niet toestaat dat Outlook op persoonlijke apparaten door bepaalde groepen worden gebruikt. Gebruik het volgende beleid voor voorwaardelijke toegang om de overdracht van verificatie te blokkeren:

1. Meld u aan bij de Microsoft Entra-beheercentrum als ten minste een Conditional Access Administrator.
2. Blader naar Entra ID>Conditionele toegang>Policies.
3. Selecteer Nieuw beleid.
4. Selecteer onder Toewijzingen, gebruikers of workloadidentiteiten.
   1. Selecteer onder Opnemenalle gebruikers of gebruikersgroepen die u wilt blokkeren voor verificatieoverdracht.
   2. Onder Uitsluiten:
      1. Selecteer Gebruikers en groepen en kies de accounts voor noodgevallen of break-glass-accounts van uw organisatie en andere benodigde gebruikers. Controleer deze uitsluitingslijst regelmatig.
5. Selecteer onder Doelresources>Resources (voorheen cloud-apps)>Selecteeralle resources (voorheen 'Alle cloud-apps') of de apps die u wilt blokkeren voor verificatieoverdracht.
6. OnderVoorwaarden>Authenticatiestromen, stel Configureren in op Ja
   1. Selecteer Verificatieoverdracht.
   2. Kies Gereed.
7. Onder Toegangsbeheer>Toestaan, selecteer Toegang blokkeren.
   1. Selecteer Selecteren.
8. Bevestig uw instellingen en stel Beleid inschakelen in op Ingeschakeld.
9. Selecteer Maken om het beleid in te schakelen.

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang zijn krachtige instrumenten. We raden u aan de volgende accounts uit uw beleid uit te sluiten:

• Accounts voor noodtoegang of break-glass-accounts om uitsluiting te voorkomen door een verkeerde beleidsconfiguratie. In het onwaarschijnlijke scenario waarin alle beheerders zijn vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en de toegang te herstellen.
  • Meer informatie vindt u in het artikel Noodtoegangsaccounts beheren in Microsoft Entra ID.
• Serviceaccounts en Service principals, zoals het Microsoft Entra Connect Sync-account. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een specifieke gebruiker. Ze worden meestal gebruikt door back-endservices om programmatische toegang tot toepassingen toe te staan, maar ze worden ook gebruikt om zich voor beheerdoeleinden aan te melden bij systemen. Aanroepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workloadidentiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
  • Als uw organisatie deze accounts gebruikt in scripts of code, vervangt u deze door beheerde identiteiten.

Gerelateerde inhoud

• Voorwaardelijke toegang: verificatiestromen
• Voorwaardelijke toegang: verificatieoverdracht
• Voorwaardelijke toegang: voorwaarden