Voorwaardelijke toegang: MFA vereisen voor alle gebruikers

Zoals Alex Weinert, de Directory of Identity Security bij Microsoft, vermeldt in zijn blogbericht Your Pa$$word doesn't matter:

Uw wachtwoord maakt niet uit, maar MFA wel. Op basis van onze onderzoeken is het 99,9% minder waarschijnlijk dat uw account wordt aangetast als u MFA gebruikt.

De richtlijnen in dit artikel helpen uw organisatie bij het maken van een MFA-beleid voor uw omgeving.

Gebruikersuitsluitingen

Beleidsregels voor voorwaardelijke toegang zijn krachtige hulpprogramma's. We raden u aan de volgende accounts uit te sluiten van uw beleid:

• Noodtoegang of break-glass-accounts om tenantbrede accountvergrendeling te voorkomen. In het onwaarschijnlijke scenario dat alle beheerders zijn vergrendeld voor uw tenant, kan uw beheerdersaccount voor toegang in noodgevallen worden gebruikt om u aan te melden bij de tenant. Neem stappen om de toegang te herstellen.
  • Meer informatie vindt u in het artikel Accounts voor noodtoegang beheren in Azure AD.
• Serviceaccounts en service-principals, zoals het Azure AD Verbinding maken Sync-account. Serviceaccounts zijn niet-interactieve accounts die niet aan een bepaalde gebruiker zijn gekoppeld. Ze worden doorgaans gebruikt door back-endservices die programmatische toegang tot toepassingen toestaan, maar worden ook gebruikt om zich aan te melden bij systemen voor administratieve doeleinden. Serviceaccounts zoals deze moeten worden uitgesloten omdat MFA niet programmatisch kan worden voltooid. Aanroepen van service-principals worden niet geblokkeerd door voorwaardelijke toegang.
  • Als uw organisatie deze accounts gebruikt in scripts of code, kunt u overwegen deze te vervangen door beheerde identiteiten. Als tijdelijke tijdelijke oplossing kunt u deze specifieke accounts uitsluiten van het basislijnbeleid.

Toepassingsuitsluitingen

Organisaties hebben mogelijk veel cloudtoepassingen in gebruik. Niet al deze toepassingen vereisen mogelijk gelijke beveiliging. Voor de payroll- en attendance-toepassingen is bijvoorbeeld mogelijk MFA vereist, maar de verantwoordelijke waarschijnlijk niet. Beheerders kunnen ervoor kiezen om specifieke toepassingen uit te sluiten van hun beleid.

Sjabloonimplementatie

Organisaties kunnen ervoor kiezen om dit beleid te implementeren met behulp van de onderstaande stappen of met behulp van de sjablonen voor voorwaardelijke toegang (preview).

Beleid voor voorwaardelijke toegang maken

De volgende stappen helpen bij het maken van beleid voor voorwaardelijke toegang om te vereisen dat alle gebruikers meervoudige verificatie gebruiken.

1. Meld u aan bij Azure Portal globale beheerder, beveiligingsbeheerder of beheerder van voorwaardelijke toegang.
2. Blader naar Azure Active Directory > beveiliging voor > voorwaardelijke toegang.
3. Selecteer Nieuw beleid.
4. Geef uw beleid een naam. Organisaties wordt aangeraden een zinvolle standaard te maken voor de namen van hun beleid.
5. Selecteer onder Toewijzingen de optie Gebruikers en groepen
   1. Selecteer onder Opnemen de optie Alle gebruikers
   2. Selecteer onder Uitsluiten de optie Gebruikers en groepen en kies de accounts voor noodtoegang of break-glass van uw organisatie.
   3. Selecteer Gereed.
6. Selecteer onder Cloud-apps of > -acties Opnemen de optie Alle cloud-apps.
   1. Selecteer onder Uitsluiten alle toepassingen waarvoor geen meervoudige verificatie is vereist.
7. Selecteer onder > Toegangsbesturingselementen Verlenen de optie Toegang verlenen, Meervoudige verificatie vereisen en selecteer Selecteren.
8. Bevestig uw instellingen en stel Beleid inschakelen in op Alleen rapport.
9. Selecteer Maken om uw beleid in te stellen.

Nadat u uw instellingen hebt bevestigd met behulp van de modus alleen-rapporteren,kan een beheerder de schakelknop Beleid inschakelen verplaatsen van Alleen-rapport naar Aan.

Benoemde locaties

Organisaties kunnen ervoor kiezen om bekende netwerklocaties, ook wel Benoemde locaties genoemd, op te nemen in hun beleid voor voorwaardelijke toegang. Deze benoemde locaties kunnen vertrouwde IPv4-netwerken bevatten, zoals die voor een hoofdkantoorlocatie. Zie voor meer informatie over het configureren van benoemde locaties het artikel Wat is de locatievoorwaarde in Azure Active Directory voorwaardelijke toegang?

In het bovenstaande voorbeeldbeleid kan een organisatie ervoor kiezen geen meervoudige verificatie te vereisen als een cloud-app wordt gebruikt vanuit het bedrijfsnetwerk. In dit geval kunnen ze de volgende configuratie toevoegen aan het beleid:

1. Selecteer onder Toewijzingen > voorwaardenlocaties.
   1. Configureer Ja.
   2. Neem elke locatie op.
   3. Sluit Alle vertrouwde locaties uit.
   4. Selecteer Gereed.
2. Selecteer Gereed.
3. Sla de beleidswijzigingen op.

Volgende stappen

Algemeen beleid voor voorwaardelijke toegang

Aanmeldingsgedrag simuleren met behulp van het hulpprogramma What If voorwaardelijke toegang