Vereiste werkzaamheden voor het implementeren van Zero Trust identiteits- en apparaattoegangsbeleid
In dit artikel worden de vereisten beschreven waaraan beheerders moeten voldoen om aanbevolen Zero Trust identiteits- en apparaattoegangsbeleid te gebruiken en om voorwaardelijke toegang te gebruiken. Ook worden de aanbevolen standaardinstellingen besproken voor het configureren van clientplatforms voor de beste ervaring met eenmalige aanmelding (SSO).
Vereisten
Voordat u het aanbevolen beleid voor Zero Trust identiteit en apparaattoegang gebruikt, moet uw organisatie voldoen aan de vereisten. De vereisten verschillen voor de verschillende identiteits- en verificatiemodellen die worden vermeld:
- Alleen in de cloud
- Hybride verificatie met wachtwoord-hashsynchronisatie (PHS)
- Hybride met passthrough-verificatie (PTA)
- Federatieve
In de volgende tabel worden de vereiste functies en hun configuratie beschreven die van toepassing zijn op alle identiteitsmodellen, behalve waar vermeld.
| Configuratie | Uitzonderingen | Licenties |
|---|---|---|
| PHS configureren. Deze functie moet zijn ingeschakeld om gelekte referenties te detecteren en hierop te reageren voor op risico gebaseerde voorwaardelijke toegang. Opmerking: Dit is vereist, ongeacht of uw organisatie federatieve verificatie gebruikt. | Alleen in de cloud | Microsoft 365 E3 of E5 |
| Schakel naadloze eenmalige aanmelding in om gebruikers automatisch aan te melden wanneer ze op hun organisatieapparaten zijn verbonden met het netwerk van uw organisatie. | Alleen cloud en federatief | Microsoft 365 E3 of E5 |
| Benoemde locaties configureren. Microsoft Entra ID Protection verzamelt en analyseert alle beschikbare sessiegegevens om een risicoscore te genereren. U wordt aangeraden de openbare IP-bereiken van uw organisatie voor uw netwerk op te geven in de configuratie Microsoft Entra ID benoemde locaties. Verkeer dat afkomstig is van deze bereiken krijgt een lagere risicoscore en verkeer van buiten de organisatieomgeving krijgt een hogere risicoscore. | Microsoft 365 E3 of E5 | |
| Registreer alle gebruikers voor selfservice voor wachtwoordherstel (SSPR) en meervoudige verificatie (MFA). U wordt aangeraden gebruikers vooraf te registreren voor Microsoft Entra meervoudige verificatie. Microsoft Entra ID Protection maakt gebruik van Microsoft Entra meervoudige verificatie om aanvullende beveiligingsverificatie uit te voeren. Voor de beste aanmeldingservaring raden we gebruikers bovendien aan de Microsoft Authenticator-app en de Microsoft Bedrijfsportal-app op hun apparaten te installeren. Deze kunnen voor elk platform worden geïnstalleerd vanuit de App Store. | Microsoft 365 E3 of E5 | |
| Plan uw Microsoft Entra hybride join-implementatie. Voorwaardelijke toegang zorgt ervoor dat apparaten die verbinding maken met apps, lid zijn van een domein of compatibel zijn. Als u dit wilt ondersteunen op Windows-computers, moet het apparaat zijn geregistreerd bij Microsoft Entra ID. In dit artikel wordt beschreven hoe u automatische apparaatregistratie configureert. | Alleen in de cloud | Microsoft 365 E3 of E5 |
| Bereid uw ondersteuningsteam voor. Zorg voor een plan voor gebruikers die MFA niet kunnen voltooien. Dit kan bestaan uit het toevoegen van een groep met beleidsuitsluitingen of het registreren van nieuwe MFA-gegevens voor hen. Voordat u een van deze beveiligingsgevoelige wijzigingen aanbrengt, moet u ervoor zorgen dat de werkelijke gebruiker de aanvraag indient. De beheerders van gebruikers verplichten om te helpen met de goedkeuring is een effectieve stap. | Microsoft 365 E3 of E5 | |
| Wachtwoord terugschrijven configureren naar on-premises AD. Met wachtwoord terugschrijven kunnen Microsoft Entra ID vereisen dat gebruikers hun on-premises wachtwoorden wijzigen wanneer een account met een hoog risico wordt gedetecteerd. U kunt deze functie op twee manieren inschakelen met Microsoft Entra Connect: wachtwoord terugschrijven inschakelen in het scherm met optionele functies van Microsoft Entra Verbinding maken instellen of inschakelen via Windows PowerShell. | Alleen in de cloud | Microsoft 365 E3 of E5 |
| Configureer Microsoft Entra wachtwoordbeveiliging. Microsoft Entra Wachtwoordbeveiliging detecteert en blokkeert bekende zwakke wachtwoorden en hun varianten, en kan ook aanvullende zwakke termen blokkeren die specifiek zijn voor uw organisatie. Standaard algemene lijsten met verboden wachtwoorden worden automatisch toegepast op alle gebruikers in een Microsoft Entra tenant. U kunt aanvullende vermeldingen definiëren in een aangepaste lijst met geblokkeerde wachtwoorden. Als gebruikers hun wachtwoord wijzigen of opnieuw instellen, worden deze verboden wachtwoordlijsten ingeschakeld om het gebruik van sterke wachtwoorden af te dwingen. | Microsoft 365 E3 of E5 | |
| Schakel Microsoft Entra ID Protection in. Microsoft Entra ID Protection stelt u in staat potentiële beveiligingsproblemen te detecteren die van invloed zijn op de identiteiten van uw organisatie en een geautomatiseerd herstelbeleid te configureren voor een laag, gemiddeld en hoog aanmeldingsrisico en gebruikersrisico. | Microsoft 365 E5 of Microsoft 365 E3 met de E5 Security-invoegtoepassing | |
| Schakel moderne verificatie in voor Exchange Online en voor Skype voor Bedrijven Online. Moderne verificatie is een vereiste voor het gebruik van MFA. Moderne verificatie is standaard ingeschakeld voor Office 2016- en 2019-clients, SharePoint en OneDrive voor Bedrijven. | Microsoft 365 E3 of E5 | |
| Schakel continue toegangsevaluatie in voor Microsoft Entra ID. Continue toegangsevaluatie beëindigt proactief actieve gebruikerssessies en dwingt wijzigingen in tenantbeleid bijna in realtime af. | Microsoft 365 E3 of E5 |
Aanbevolen clientconfiguraties
In deze sectie worden de standaardplatformclientconfiguraties beschreven die we aanbevelen om uw gebruikers de beste SSO-ervaring te bieden, evenals de technische vereisten voor voorwaardelijke toegang.
Windows-apparaten
U wordt aangeraden Windows 11 of Windows 10 (versie 2004 of hoger), omdat Azure is ontworpen om de soepelste SSO-ervaring te bieden die mogelijk is voor zowel on-premises als Microsoft Entra ID. Werk- of schoolapparaten moeten worden geconfigureerd om rechtstreeks deel te nemen aan Microsoft Entra ID of als de organisatie on-premises AD-domeindeelname gebruikt, moeten deze apparaten worden geconfigureerd om automatisch en op de achtergrond te worden geregistreerd bij Microsoft Entra ID.
Voor BYOD Windows-apparaten kunnen gebruikers Werk- of schoolaccount toevoegen gebruiken. Houd er rekening mee dat gebruikers van de Google Chrome-browser op Windows 11- of Windows 10-apparaten een extensie moeten installeren om dezelfde soepele aanmeldingservaring te krijgen als Microsoft Edge-gebruikers. Als uw organisatie Windows 8- of 8.1-apparaten heeft die lid zijn van een domein, kunt u Microsoft Workplace Join installeren voor niet-Windows 10 computers. Download het pakket om de apparaten te registreren bij Microsoft Entra ID.
iOS-apparaten
U wordt aangeraden de Microsoft Authenticator-app op gebruikersapparaten te installeren voordat u beleid voor voorwaardelijke toegang of MFA implementeert. De app moet minimaal worden geïnstalleerd wanneer gebruikers worden gevraagd hun apparaat te registreren bij Microsoft Entra ID door een werk- of schoolaccount toe te voegen, of wanneer ze de Intune bedrijfsportal-app installeren om hun apparaat in te schrijven voor beheer. Dit is afhankelijk van het geconfigureerde beleid voor voorwaardelijke toegang.
Android-apparaten
We raden gebruikers aan de Intune-bedrijfsportal-app en de Microsoft Authenticator-app te installeren voordat beleid voor voorwaardelijke toegang wordt geïmplementeerd of wanneer dit tijdens bepaalde verificatiepogingen is vereist. Na de installatie van de app kunnen gebruikers worden gevraagd zich te registreren bij Microsoft Entra ID of hun apparaat in te schrijven bij Intune. Dit is afhankelijk van het geconfigureerde beleid voor voorwaardelijke toegang.
We raden ook aan dat apparaten die eigendom zijn van de organisatie worden gestandaardiseerd op OEM's en versies die Ondersteuning bieden voor Android for Work of Samsung Knox, zodat e-mailaccounts kunnen worden beheerd en beveiligd door Intune MDM-beleid.
Aanbevolen e-mailclients
De volgende e-mailclients ondersteunen moderne verificatie en voorwaardelijke toegang.
| Platform | Client | Versie/notities |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook voor iOS | Laatste |
| Android | Outlook voor Android | Laatste |
| macOS | Outlook | 2019 en 2016 |
| Linux | Niet ondersteund |
Aanbevolen clientplatforms bij het beveiligen van documenten
De volgende clients worden aanbevolen wanneer een beleid voor beveiligde documenten is toegepast.
| Platform | Word/Excel/PowerPoint | OneNote | OneDrive-app | SharePoint-app | OneDrive-synchronisatieclient |
|---|---|---|---|---|---|
| Windows 11 of Windows 10 | Ondersteund | Ondersteund | N.v.t. | N.v.t. | Ondersteund |
| Windows 8.1 | Ondersteund | Ondersteund | N.v.t. | N.v.t. | Ondersteund |
| Android | Ondersteund | Ondersteund | Ondersteund | Ondersteund | N.v.t. |
| iOS | Ondersteund | Ondersteund | Ondersteund | Ondersteund | N.v.t. |
| macOS | Ondersteund | Ondersteund | N.v.t. | N.v.t. | Niet ondersteund |
| Linux | Niet ondersteund | Niet ondersteund | Niet ondersteund | Niet ondersteund | Niet ondersteund |
Microsoft 365-clientondersteuning
Zie de volgende artikelen voor meer informatie over clientondersteuning in Microsoft 365:
- Ondersteuning voor Microsoft 365-client-apps - voorwaardelijke toegang
- Ondersteuning voor Microsoft 365-client-apps - meervoudige verificatie
Beheerdersaccounts beveiligen
Voor Microsoft 365 E3 of E5 of met afzonderlijke Microsoft Entra ID P1- of P2-licenties kunt u MFA vereisen voor beheerdersaccounts met een handmatig gemaakt beleid voor voorwaardelijke toegang. Zie Voorwaardelijke toegang: MFA vereisen voor beheerders voor de details.
Voor edities van Microsoft 365 of Office 365 die geen ondersteuning bieden voor voorwaardelijke toegang, kunt u standaardinstellingen voor beveiliging inschakelen om MFA voor alle accounts te vereisen.
Hier volgen enkele aanvullende aanbevelingen:
- Gebruik Microsoft Entra Privileged Identity Management om het aantal permanente beheerdersaccounts te verminderen.
- Gebruik privileged access management om uw organisatie te beschermen tegen inbreuken die gebruikmaken van bestaande bevoegde beheerdersaccounts met permanente toegang tot gevoelige gegevens of toegang tot kritieke configuratie-instellingen.
- Creatie en gebruik afzonderlijke accounts waaraan microsoft 365-beheerdersrollenzijn toegewezen, alleen voor beheer. Beheerders moeten hun eigen gebruikersaccount hebben voor regelmatig niet-administratief gebruik en alleen een beheerdersaccount gebruiken wanneer dat nodig is om een taak te voltooien die is gekoppeld aan hun rol of functie.
- Volg de aanbevolen procedures voor het beveiligen van bevoegde accounts in Microsoft Entra ID.
Volgende stap
Het algemene Zero Trust identiteits- en apparaattoegangsbeleid configureren
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor