Voorwaardelijke toegang: Cloud-apps, acties en verificatiecontext

Cloud-apps, acties en verificatiecontext zijn belangrijke signalen in een beleid voor voorwaardelijke toegang. Met beleid voor voorwaardelijke toegang kunnen beheerders besturingselementen toewijzen aan specifieke toepassingen, acties of verificatiecontext.

  • Beheerders kunnen kiezen uit de lijst met toepassingen die ingebouwde Microsoft-toepassingen en geïntegreerde Azure AD-toepassingen bevatten, waaronder galerie, niet-galerie en toepassingen die zijn gepubliceerd via toepassingsproxy.
  • Beheerders kunnen ervoor kiezen om beleid te definiëren dat niet is gebaseerd op een cloudtoepassing, maar op een gebruikersactie zoals Beveiligingsgegevens registreren of Apparaten registreren of lid worden, zodat voorwaardelijke toegang besturingselementen voor deze acties kan afdwingen.
  • Beheerders kunnen verificatiecontext gebruiken om een extra beveiligingslaag in toepassingen te bieden.

Een beleid voor voorwaardelijke toegang definiëren en cloud-apps opgeven

Microsoft-cloudtoepassingen

Veel van de bestaande Microsoft-cloudtoepassingen zijn opgenomen in de lijst met toepassingen waar u uit kunt kiezen.

Beheerders kunnen beleid voor voorwaardelijke toegang toewijzen aan de volgende cloud-apps van Microsoft. Sommige apps, zoals Office 365 en Microsoft Azure Management, bevatten meerdere gerelateerde onderliggende apps of services. We voegen voortdurend meer apps toe, dus de volgende lijst is niet volledig en kan worden gewijzigd.

  • Office 365
  • Azure Analysis Services
  • Azure DevOps
  • Azure Event Hubs
  • Azure Service Bus
  • Azure SQL Database en Azure Synapse Analytics
  • Common Data Service
  • Microsoft Application Insights Analytics
  • Microsoft Azure Information Protection
  • Microsoft Azure-beheer
  • Microsoft Azure Abonnementsbeheer
  • Microsoft Cloud App Security
  • Microsoft Commerce Tools Access Control Portal
  • Verificatieservice voor Microsoft Commerce Tools
  • Microsoft Forms
  • Microsoft Intune
  • Microsoft Intune Inschrijving
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power Automate
  • Microsoft Search in Bing
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Teams
  • Exchange Online
  • SharePoint
  • Yammer
  • Office Delve
  • Office Sway
  • Outlook-groepen
  • Power BI-service
  • Project Online
  • Skype voor Bedrijven Online
  • Virtueel particulier netwerk (VPN)
  • Windows Defender ATP

Belangrijk

Toepassingen die beschikbaar zijn voor voorwaardelijke toegang hebben een onboarding- en validatieproces doorlopen. Deze lijst bevat niet alle Microsoft-apps, omdat veel back-endservices zijn en niet bedoeld zijn om beleid rechtstreeks op deze apps toe te laten voeren. Als u een toepassing zoekt die ontbreekt, kunt u contact opnemen met het specifieke toepassingsteam of een aanvraag indienen op UserVoice.

Office 365

Microsoft 365 biedt cloudgebaseerde productiviteits- en samenwerkingsservices zoals Exchange, SharePoint en Microsoft Teams. Microsoft 365 cloudservices zijn diep geïntegreerd om een soepele en samenwerkingservaring te garanderen. Deze integratie kan verwarring veroorzaken bij het maken van beleid, omdat sommige apps, zoals Microsoft Teams afhankelijk zijn van andere apps, zoals SharePoint of Exchange.

Met Office 365 suite kunt u deze services in één keer gebruiken. We raden u aan de nieuwe Office 365 suite te gebruiken, in plaats van dat u zich richt op afzonderlijke cloud-apps om problemen met serviceafhankelijkheden te voorkomen.

Door deze groep toepassingen te targeten, kunt u problemen voorkomen die zich kunnen voordoen als gevolg van inconsistent beleid en afhankelijkheden. Bijvoorbeeld: de Exchange Online is gekoppeld aan traditionele Exchange Online zoals e-mail, agenda en contactgegevens. Gerelateerde metagegevens kunnen worden weergegeven via verschillende resources, zoals zoeken. Om ervoor te zorgen dat alle metagegevens worden beveiligd door zoals bedoeld, moeten beheerders beleid toewijzen aan de Office 365 app.

Beheerders kunnen specifieke apps uitsluiten van beleid als ze dat willen, zoals de Office 365 suite en het uitsluiten van de specifieke apps in het beleid.

De volgende belangrijke toepassingen zijn opgenomen in de Office 365 client-app:

  • Microsoft Forms
  • Microsoft Stream
  • Microsoft To-Do
  • Microsoft Teams
  • Exchange Online
  • SharePoint Online
  • Microsoft 365 Zoekservice
  • Yammer
  • Office Delve
  • Office Online
  • Office.com
  • OneDrive
  • Power Automate
  • Power Apps
  • Skype voor Bedrijven Online
  • Sway

Microsoft Azure-beheer

De Microsoft Azure Management-toepassing bevat meerdere services.

  • Azure Portal
  • Azure Resource Manager provider
  • API's voor klassieke implementatiemodellen
  • Azure PowerShell
  • Azure CLI
  • Visual Studio-portal voor abonnementsbeheerders
  • Azure DevOps
  • Azure Data Factory portal

Notitie

De Microsoft Azure Management-toepassing is van toepassing op Azure PowerShell, die de api Azure Resource Manager aanroept. Het is niet van toepassing op Azure AD PowerShell, dat Microsoft-Graph.

Andere toepassingen

Beheerders kunnen elke geregistreerde Azure AD-toepassing toevoegen aan beleid voor voorwaardelijke toegang. Deze toepassingen kunnen het volgende omvatten:

Notitie

Omdat het beleid voor voorwaardelijke toegang de vereisten voor toegang tot een service in stelt, kunt u dit niet toepassen op een clienttoepassing (openbaar/systeemeigen). Met andere woorden, het beleid is niet rechtstreeks ingesteld op een clienttoepassing (openbaar/native) maar wordt toegepast wanneer een client een service aanroept. Een beleid dat is ingesteld voor de SharePoint is bijvoorbeeld van toepassing op de clients die SharePoint. Een beleid dat is ingesteld Exchange is van toepassing op de poging om toegang te krijgen tot de e-mail met behulp Outlook client. Daarom zijn clienttoepassingen (openbaar/native) niet beschikbaar voor selectie in de keuzeoptie Cloud Apps en is de optie Voorwaardelijke toegang niet beschikbaar in de toepassingsinstellingen voor de clienttoepassing (openbaar/native) die is geregistreerd in uw tenant.

Gebruikersacties

Gebruikersacties zijn taken die door een gebruiker kunnen worden uitgevoerd. Voorwaardelijke toegang ondersteunt momenteel twee gebruikersacties:

  • Beveiligingsgegevens registreren: met deze gebruikersactie kan het beleid voor voorwaardelijke toegang worden afgedwongen wanneer gebruikers die zijn ingeschakeld voor gecombineerde registratie proberen hun beveiligingsgegevens te registreren. Meer informatie vindt u in het artikel Gecombineerde registratie van beveiligingsgegevens.

  • Apparaten registreren of lid worden: met deze gebruikersactie kunnen beheerders beleid voor voorwaardelijke toegang afdwingen wanneer gebruikers apparaten registreren of lid worden van Azure AD. Het biedt granulariteit bij het configureren van meervoudige verificatie voor het registreren of samenvoegen van apparaten in plaats van een beleid voor de hele tenant dat momenteel bestaat. Er zijn drie belangrijke overwegingen bij deze gebruikersactie:

    • Require multi-factor authentication is het enige toegangsbeheer dat beschikbaar is met deze gebruikersactie en alle andere zijn uitgeschakeld. Deze beperking voorkomt conflicten met toegangsbesturingselementen die afhankelijk zijn van azure AD-apparaatregistratie of die niet van toepassing zijn op Azure AD-apparaatregistratie.
    • Client apps, en voorwaarden zijn niet beschikbaar voor deze gebruikersactie, omdat ze afhankelijk zijn van Azure AD-apparaatregistratie om beleid voor voorwaardelijke toegang Filters for devices af te Device state dwingen.
    • Wanneer een beleid voor voorwaardelijke toegang is ingeschakeld met deze gebruikersactie, moet u Azure Active Directory > > Device Instellingen instellen op - Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication Nee. Anders wordt het beleid voor voorwaardelijke toegang met deze gebruikersactie niet juist afgedwongen. Meer informatie over deze apparaatinstelling vindt u in Apparaatinstellingen configureren.

Verificatiecontext (preview)

Verificatiecontext kan worden gebruikt om gegevens en acties in toepassingen verder te beveiligen. Deze toepassingen kunnen uw eigen aangepaste toepassingen zijn, aangepaste LOB-toepassingen (Line-Of-Business), toepassingen zoals SharePoint of toepassingen die worden beveiligd met Microsoft Cloud App Security (MCAS).

Een organisatie kan bijvoorbeeld bestanden bewaren op SharePoint sites, zoals het lunchmenu of het geheime BBQ sauce-recept. Iedereen heeft mogelijk toegang tot de lunchmenusite, maar gebruikers die toegang hebben tot de geheime BBQ Sauce-receptsite moeten mogelijk toegang hebben vanaf een beheerd apparaat en akkoord gaan met specifieke gebruiksvoorwaarden.

Verificatiecontexten configureren

Verificatiecontexten worden beheerd in de Azure Portal onder Azure Active Directory > security > conditional access authentication > context.

Verificatiecontext in de Azure Portal

Waarschuwing

  • Tijdens de preview is het niet mogelijk om verificatiecontextdefinities te verwijderen.
  • De preview is beperkt tot een totaal van 25 contextdefinities voor verificatie in de Azure Portal.

Maak nieuwe verificatiecontextdefinities door Nieuwe verificatiecontext te selecteren in de Azure Portal. Configureer de volgende kenmerken:

  • Weergavenaam is de naam die wordt gebruikt voor het identificeren van de verificatiecontext in Azure AD en voor toepassingen die verificatiecontexten gebruiken. We raden namen aan die kunnen worden gebruikt voor resources, zoals 'vertrouwde apparaten', om het aantal benodigde verificatiecontexten te verminderen. Een gereduceerde set beperkt het aantal omleidingen en biedt een betere end-to-end-ervaring voor eindgebruikers.
  • Beschrijving biedt meer informatie over het beleid dat wordt gebruikt door Azure AD-beheerders en de beleidsregels die verificatiecontexten toepassen op resources.
  • Als het selectievakje Publiceren naar apps is ingeschakeld, wordt de verificatiecontext geadverteerd aan apps en kunnen ze worden toegewezen. Als dit niet is ingeschakeld, is de verificatiecontext niet beschikbaar voor downstream-resources.
  • Id is alleen-lezen en wordt gebruikt in tokens en apps voor contextdefinities voor aanvraagspecifieke verificatie. Deze wordt hier vermeld voor het oplossen van problemen en gebruiksgevallen voor ontwikkeling.

Toevoegen aan beleid voor voorwaardelijke toegang

Beheerders kunnen gepubliceerde verificatiecontexten selecteren in hun beleid voor voorwaardelijke toegang onder > Toewijzingen Cloud-apps of -acties en verificatiecontext selecteren in het menu Selecteren waarvoor dit beleid van toepassing is.

Een context voor verificatie van voorwaardelijke toegang toevoegen aan een beleid

Resources taggen met verificatiecontexten

Zie de volgende artikelen voor meer informatie over het gebruik van verificatiecontext in toepassingen.

Volgende stappen