Voorwaardelijke toegang: voorwaarden
Binnen een beleid voor voorwaardelijke toegang kan een beheerder gebruikmaken van signalen van voorwaarden zoals risico, apparaatplatform of locatie om de beleidsbeslissingen te verbeteren.
Er kunnen meerdere voorwaarden worden gecombineerd voor het maken van een fijngranenseerd en specifiek beleid voor voorwaardelijke toegang.
Bij het openen van een gevoelige toepassing kan een beheerder bijvoorbeeld informatie over aanmeldingsrisico's van Identity Protection en de locatie in hun toegangsbeslissing in rekening brengen naast andere besturingselementen, zoals meervoudige verificatie.
Aanmeldingsrisico
Voor klanten met toegang tot Identity Protectionkan aanmeldingsrisico worden geëvalueerd als onderdeel van een beleid voor voorwaardelijke toegang. Aanmeldingsrisico geeft de waarschijnlijkheid aan dat een bepaalde verificatieaanvraag niet is geautoriseerd door de identiteitseigenaar. Meer informatie over aanmeldingsrisico's vindt u in de artikelen Wat is risico en Hoe kan ik: risicobeleid configureren en inschakelen? vinden.
Gebruikersrisico
Voor klanten met toegang tot Identity Protectionkan gebruikersrisico worden geëvalueerd als onderdeel van een beleid voor voorwaardelijke toegang. Gebruikersrisico vertegenwoordigt de kans dat een bepaalde identiteit of account is aangetast. Meer informatie over gebruikersrisico's vindt u in de artikelen Wat is risico en Hoe kan ik: risicobeleid configureren en inschakelen? vinden.
Apparaatplatformen
Het apparaatplatform wordt gekenmerkt door het besturingssysteem dat op een apparaat wordt uitgevoerd. Azure AD identificeert het platform aan de hand van informatie die door het apparaat wordt verstrekt, zoals tekenreeksen van gebruikersagenten. Omdat tekenreeksen van gebruikersagenten kunnen worden gewijzigd, is deze informatie niet geverifieerd. Apparaatplatform moet worden gebruikt in overeenstemming met Microsoft Intune nalevingsbeleid voor apparaten of als onderdeel van een blokkeringsverklaring. De standaardinstelling is om van toepassing te zijn op alle apparaatplatforms.
Voorwaardelijke toegang van Azure AD ondersteunt de volgende apparaatplatforms:
- Android
- iOS
- Windows Phone
- Windows
- macOS
Als u verouderde verificatie blokkeert met behulp van de voorwaarde Andere clients, kunt u ook de platformvoorwaarde van het apparaat instellen.
Belangrijk
Microsoft raadt u aan een beleid voor voorwaardelijke toegang te hebben voor niet-ondersteunde apparaatplatforms. Als u bijvoorbeeld de toegang tot uw bedrijfsresources vanuit Linux of andere niet-ondersteunde clients wilt blokkeren, moet u een beleid configureren met een apparaatplatformvoorwaarde die elk apparaat bevat en ondersteunde apparaatplatformen uitsluit en Besturingselement verlenen ingesteld op Toegang blokkeren.
Locaties
Bij het configureren van locatie als voorwaarde kunnen organisaties ervoor kiezen om locaties op te nemen of uit te sluiten. Deze benoemde locaties kunnen de openbare IPv4-netwerkgegevens, het land of de regio of zelfs onbekende gebieden bevatten die niet zijn toe te staan aan specifieke landen of regio's. Alleen IP-adresbereiken kunnen worden gemarkeerd als een vertrouwde locatie.
Wanneer u een locatie op te geven, bevat deze optie alle IP-adressen op internet, niet alleen geconfigureerde benoemde locaties. Wanneer u een locatie selecteert, kunnen beheerders ervoor kiezen om alle vertrouwde of geselecteerde locaties uit te sluiten.
Sommige organisaties kunnen er bijvoorbeeld voor kiezen geen meervoudige verificatie te vereisen wanneer hun gebruikers zijn verbonden met het netwerk op een vertrouwde locatie, zoals hun fysieke hoofdkantoor. Beheerders kunnen een beleid maken dat elke locatie bevat, maar de geselecteerde locaties voor hun hoofdkantoornetwerken uitsluit.
Meer informatie over locaties vindt u in het artikel Wat is de locatievoorwaarde in Azure Active Directory voorwaardelijke toegang.
Client-apps
Standaard zijn alle nieuw gemaakte beleidsregels voor voorwaardelijke toegang van toepassing op alle typen client-apps, zelfs als de voorwaarde voor client-apps niet is geconfigureerd.
Notitie
Het gedrag van de voorwaarde voor client-apps is in augustus 2020 bijgewerkt. Als u bestaand beleid voor voorwaardelijke toegang hebt, blijven deze ongewijzigd. Als u echter op een bestaand beleid klikt, is de schakelknop Configureren verwijderd en worden de client-apps geselecteerd op wie het beleid van toepassing is.
Belangrijk
Aanmeldingen van verouderde verificatie-clients bieden geen ondersteuning voor MFA en geven geen informatie over de apparaattoestand door aan Azure AD. Daarom worden ze geblokkeerd door besturingselementen voor voorwaardelijke toegang, zoals het vereisen van MFA of compatibele apparaten. Als u accounts hebt die verouderde verificatie moeten gebruiken, moet u deze accounts uitsluiten van het beleid of het beleid zo configureren dat het alleen van toepassing is op clients met moderne verificatie.
De schakelknop Configureren wanneer deze is ingesteld op Ja is van toepassing op gecontroleerd items, wanneer deze is ingesteld op Nee, is van toepassing op alle client-apps, inclusief moderne en verouderde verificatieclients. Deze schakelknop wordt niet weergegeven in beleidsregels die zijn gemaakt vóór augustus 2020.
- Clients voor moderne verificatie
- Browser
- Dit zijn onder andere webtoepassingen die gebruikmaken van protocollen zoals SAML, WS-Federation, OpenID Verbinding maken of services die zijn geregistreerd als een vertrouwelijke OAuth-client.
- Mobiele apps en desktop-clients
- Deze optie omvat toepassingen zoals de Office desktop- en telefoontoepassingen.
- Browser
- Verouderde verificatie-clients
- Exchange ActiveSync-clients
- Deze selectie omvat alle gebruik van het Exchange ActiveSync (EAS)-protocol.
- Wanneer het beleid het gebruik van Exchange ActiveSync ontvangt de betrokken gebruiker één quarantaine-e-mail. Dit e-mailbericht bevat informatie over waarom ze zijn geblokkeerd en bevat indien mogelijk herstelinstructies.
- Beheerders kunnen beleid alleen toepassen op ondersteunde platforms (zoals iOS, Android en Windows) via de Microsoft Graph-API voor voorwaardelijke toegang.
- Andere clients
- Deze optie omvat clients die gebruikmaken van basis-/verouderde verificatieprotocollen die geen ondersteuning bieden voor moderne verificatie.
- Geverifieerde SMTP: wordt gebruikt door pop- en IMAP-client om e-mailberichten te verzenden.
- Automatisch ontdekken: wordt gebruikt door Outlook-clients en EAS-clients om postvakken in de Exchange Online.
- Exchange Online PowerShell: wordt gebruikt om verbinding te maken met Exchange Online externe PowerShell. Als u basisverificatie voor powershell Exchange Online, moet u de PowerShell Exchange Online module gebruiken om verbinding te maken. Zie PowerShell Verbinding maken gebruiken Exchange Online met meervoudige verificatievoor instructies.
- Exchange Web Services (EWS) - Een programmeerinterface die wordt gebruikt door Outlook, Outlook voor Mac apps en apps van derden.
- IMAP4: wordt gebruikt door IMAP-e-mail-clients.
- MAPI via HTTP (MAPI/HTTP) - gebruikt door Outlook 2010 en hoger.
- Offline Adresboek (OAB) : een kopie van adreslijstverzamelingen die worden gedownload en gebruikt door Outlook.
- Outlook Anywhere (RPC via HTTP) : wordt gebruikt door Outlook 2016 en eerder.
- Outlook Service: wordt gebruikt door de app Mail en Calendar voor Windows 10.
- POP3: wordt gebruikt door POP-e-mail-clients.
- Reporting Web Services: wordt gebruikt voor het ophalen van rapportgegevens in Exchange Online.
- Deze optie omvat clients die gebruikmaken van basis-/verouderde verificatieprotocollen die geen ondersteuning bieden voor moderne verificatie.
- Exchange ActiveSync-clients
Deze voorwaarden worden vaak gebruikt wanneer een beheerd apparaat is vereist, verouderde verificatie wordt geblokkeerd en webtoepassingen worden geblokkeerd, maar mobiele apps of desktop-apps zijn toe te staan.
Ondersteunde browsers
Deze instelling werkt voor alle browsers. Om te voldoen aan een apparaatbeleid, zoals een compatibel apparaatvereiste, worden de volgende besturingssystemen en browsers ondersteund:
| Besturingssysteem | Browsers |
|---|---|
| Windows 10 | Microsoft Edge, Internet Explorer, Chrome, Firefox 91+ |
| Windows 8 / 8.1 | Internet Explorer, Chrome |
| Windows 7 | Internet Explorer, Chrome |
| iOS | Microsoft Edge, Intune Managed Browser, Safari |
| Android | Microsoft Edge, Intune Managed Browser, Chrome |
| Windows Phone | Microsoft Edge, Internet Explorer |
| Windows Server 2019 | Microsoft Edge, Internet Explorer, Chrome |
| Windows Server 2016 | Internet Explorer |
| Windows Server 2012 R2 | Internet Explorer |
| Windows Server 2008 R2 | Internet Explorer |
| macOS | Microsoft Edge, Chrome, Safari |
Deze browsers ondersteunen apparaatverificatie, zodat het apparaat kan worden geïdentificeerd en gevalideerd op basis van een beleid. De apparaatcontrole mislukt als de browser wordt uitgevoerd in de privémodus of als cookies zijn uitgeschakeld.
Notitie
Voor Edge 85+ moet de gebruiker zijn aangemeld bij de browser om de apparaat-id goed door te geven. Anders gedraagt het zich als Chrome zonder de accountextensie. Deze aanmelding wordt mogelijk niet automatisch uitgevoerd in een scenario voor hybride Azure AD Join. Safari wordt ondersteund voor voorwaardelijke toegang op basis van apparaten, maar kan niet voldoen aan de beleidsvoorwaarden Goedgekeurde client-app vereisen of App-beveiliging vereisen. Een beheerde browser zoals Microsoft Edge voldoet aan goedgekeurde beleidsvereisten voor client-apps en app-beveiliging.
Waarom zie ik een certificaatprompt in de browser?
Op Windows 7 identificeert iOS, Android en macOS Azure AD het apparaat met behulp van een clientcertificaat dat wordt ingericht wanneer het apparaat wordt geregistreerd bij Azure AD. Wanneer een gebruiker zich voor het eerst via de browser meldt, wordt de gebruiker gevraagd het certificaat te selecteren. De gebruiker moet dit certificaat selecteren voordat de browser wordt gebruikt.
Chrome-ondersteuning
Installeer voor Chrome-ondersteuning in Windows 10-makersupdate (versie 1703) of hoger de extensie Windows 10 Accounts. Deze extensie is vereist wanneer een beleid voor voorwaardelijke toegang apparaatspecifieke details vereist.
Als u deze extensie automatisch wilt implementeren in Chrome-browsers, maakt u de volgende registersleutel:
- Pad HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
- Naam 1
- Typ REG_SZ (tekenreeks)
- Gegevens ppnbnpeolgkicgeggkbkbjmhlideopiji;https : /clients2.google.com/service/update2/crx
Voor chrome-ondersteuning in Windows 8.1 en 7 maakt u de volgende registersleutel:
- Pad HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
- Naam 1
- Typ REG_SZ (tekenreeks)
- Gegevens {"pattern":" https://device.login.microsoftonline.com ","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
Ondersteunde mobiele toepassingen en desktopcl clients
Organisaties kunnen Mobiele apps en desktopclients selecteren als client-app.
Deze instelling heeft invloed op toegangspogingen van de volgende mobiele apps en desktopcl clients:
| Client-apps | Doelservice | Platform |
|---|---|---|
| Dynamics CRM-app | Dynamics CRM | Windows 10, Windows 8.1, iOS en Android |
| App Mail/Calendar/People, Outlook 2016, Outlook 2013 (met moderne verificatie) | Exchange Online | Windows 10 |
| MFA- en locatiebeleid voor apps. Beleid op basis van apparaten wordt niet ondersteund. | Een Mijn apps App Service | Android en iOS |
| Microsoft Teams Services: deze client-app beheert alle services die ondersteuning bieden voor Microsoft Teams en alle client-apps- Windows Desktop, iOS, Android, WP en webclient | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android en macOS |
| Office 2016-apps Office 2013 (met moderne verificatie), OneDrive-synchronisatie client | SharePoint | Windows 8.1, Windows 7 |
| Office 2016, Universal Office-apps, Office 2013 (met moderne verificatie), OneDrive-synchronisatie client | SharePoint Online | Windows 10 |
| Office 2016 (Word, Excel, PowerPoint, OneNote only). | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10, macOS |
| Office mobiele apps | SharePoint | Android, iOS |
| Office Yammer app | Yammer | Windows 10, iOS, Android |
| Outlook 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (Office voor macOS) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (met moderne verificatie), Skype voor Bedrijven (met moderne verificatie) | Exchange Online | Windows 8.1, Windows 7 |
| Mobiele Outlook-app | Exchange Online | Android, iOS |
| Power BI-app | Power BI-service | Windows 10, Windows 8.1, Windows 7, Android en iOS |
| Skype voor Bedrijven | Exchange Online | Android, iOS |
| Visual Studio Team Services-app | Visual Studio Team Services | Windows 10, Windows 8.1, Windows 7, iOS en Android |
Exchange ActiveSync clients
- Organisaties kunnen alleen clients Exchange ActiveSync selecteren bij het toewijzen van beleid aan gebruikers of groepen. Als u Alle gebruikers, Alle gast- en externe gebruikers of Directory-rollen selecteert, worden alle gebruikers onderworpen aan het beleid.
- Wanneer u een beleid maakt dat is toegewezen Exchange ActiveSync clients, moet Exchange Online de enige cloudtoepassing zijn die aan het beleid is toegewezen.
- Organisaties kunnen het bereik van dit beleid beperken tot specifieke platforms met behulp van de voorwaarde Apparaatplatformen.
Als het toegangsbeheer dat is toegewezen aan het beleid gebruikmaakt van Goedgekeurde client-app vereisen, wordt de gebruiker omgeleid om de Outlook installeren en gebruiken. In het geval dat Multi-Factor Authentication, Gebruiksrechtovereenkomst of aangepaste besturingselementen zijn vereist, worden betrokken gebruikers geblokkeerd, omdat basisverificatie deze besturingselementen niet ondersteunt.
Raadpleeg voor meer informatie de volgende artikelen:
- Verouderde verificatie met voorwaardelijke toegang blokkeren
- Goedgekeurde client-apps met voorwaardelijke toegang vereisen
Andere clients
Door Andere clients te selecteren, kunt u een voorwaarde opgeven die van invloed is op apps die gebruikmaken van basisverificatie met e-mailprotocollen zoals IMAP, MAPI, POP, SMTP en oudere Office-apps die geen moderne verificatie gebruiken.
Apparaattoestand (preview)
Waarschuwing
Deze preview-functie wordt afgeschaft. Klanten moeten de voorwaarde Filter voor apparaten in Voorwaardelijke toegang gebruiken om te voldoen aan scenario's die eerder zijn bereikt met behulp van de voorwaarde apparaattoestand (preview).
De statusvoorwaarde van het apparaat kan worden gebruikt om apparaten die zijn samengevoegd met hybride Azure AD en/of apparaten die zijn gemarkeerd als compatibel met een Microsoft Intune-nalevingsbeleid, uit te sluiten van het beleid voor voorwaardelijke toegang van een organisatie.
Bijvoorbeeld Alle gebruikers die toegang hebben tot de cloud-app Microsoft Azure Management, met inbegrip van alle apparaattoestanden, met uitzondering van hybride Azure AD-apparaat en Apparaat gemarkeerd als compatibel en voor Toegangsbeheer , Blokkeren.
- In dit voorbeeld wordt een beleid gemaakt dat alleen toegang tot Microsoft Azure Management toestaat vanaf apparaten die zijn samengevoegd met hybride Azure AD of apparaten die zijn gemarkeerd als compatibel.
Het bovenstaande scenario kan worden geconfigureerd met alle gebruikers die toegang hebben tot de cloud-app Microsoft Azure Management, met uitzondering van filter voor apparaten met de volgende regel device.trustType -ne "ServerAD" -of device.isCompliant -ne True en voor Toegangsbeheer , Blokkeren.
- In dit voorbeeld wordt een beleid gemaakt dat alleen toegang tot Microsoft Azure Management toestaat vanaf apparaten die zijn samengevoegd met hybride Azure AD of apparaten die zijn gemarkeerd als compatibel.
Belangrijk
De apparaattoestand en filters voor apparaten kunnen niet samen worden gebruikt in het beleid voor voorwaardelijke toegang. Filters voor apparaten bieden gedetailleerdere targeting, waaronder ondersteuning voor het richten van apparaattoestandsinformatie via de trustType eigenschap isCompliant en .
Filteren op apparaten
Er is een nieuwe optionele voorwaarde in Voorwaardelijke toegang met de naam filter voor apparaten. Bij het configureren van het filter voor apparaten als voorwaarde kunnen organisaties ervoor kiezen om apparaten op te nemen of uit te sluiten op basis van een filter met behulp van een regelexpressie op apparaateigenschappen. De regelexpressie voor filter voor apparaten kan worden gemaakt met behulp van de opbouw- of regelsyntaxis van regels. Deze ervaring is vergelijkbaar met de ervaring die wordt gebruikt voor dynamische lidmaatschapsregels voor groepen. Zie het artikel Voorwaardelijke toegang: Filteren op apparaten (preview) voor meer informatie.