Een implementatie van voorwaardelijke toegang plannen
Het plannen van de implementatie van voorwaardelijke toegang is essentieel voor het bereiken van de toegangsstrategie van uw organisatie voor apps en resources.
In een wereld waarin alles mobiel en cloud is, hebben uw gebruikers overal toegang tot de resources van uw organisatie met behulp van verschillende apparaten en apps. Als gevolg hiervan is het niet meer voldoende om te focussen op wie toegang heeft tot een resource. U moet ook overwegen waar de gebruiker is, het apparaat dat wordt gebruikt, de resource die wordt gebruikt en meer.
Azure Active Directory analyses van voorwaardelijke toegang (Azure AD) zoals gebruiker, apparaat en locatie om beslissingen te automatiseren en organisatietoegangsbeleid af te dwingen voor resource. U kunt beleid voor voorwaardelijke toegang gebruiken om toegangsbesturingselementen toe te passen, zoals Multi-Factor Authentication (MFA). Met beleid voor voorwaardelijke toegang kunt u gebruikers vragen om MFA wanneer dit nodig is voor beveiliging en kunt u gebruikers niet laten staan wanneer dat niet nodig is.
Microsoft biedt standaard voorwaardelijke beleidsregels die standaardinstellingen voor beveiliging worden genoemd en die een basisbeveiligingsniveau garanderen. Uw organisatie heeft echter mogelijk meer flexibiliteit nodig dan standaardinstellingen voor beveiliging bieden. U kunt voorwaardelijke toegang gebruiken om standaardinstellingen voor beveiliging met meer granulariteit aan te passen en om nieuwe beleidsregels te configureren die aan uw vereisten voldoen.
Learn
Voordat u begint, moet u weten hoe voorwaardelijke toegang werkt en wanneer u deze moet gebruiken.
Voordelen
De voordelen van het implementeren van voorwaardelijke toegang zijn:
Verhoog de productiviteit. Onderbreek alleen gebruikers met een aanmeldingsvoorwaarde zoals MFA wanneer een of meer signalen dit rechtvaardigen. Met beleid voor voorwaardelijke toegang kunt u bepalen wanneer gebruikers om MFA wordt gevraagd, wanneer de toegang wordt geblokkeerd en wanneer ze een vertrouwd apparaat moeten gebruiken.
Risico's beheren. Het automatiseren van een risicoanalyse met beleidsvoorwaarden betekent dat riskante aanmeldingen tegelijk worden geïdentificeerd en vervolled of geblokkeerd. Door voorwaardelijke toegang te koppelen met Identity Protection,waarmee afwijkingen en verdachte gebeurtenissen worden gedetecteerd, kunt u zich richten op wanneer de toegang tot resources wordt geblokkeerd of geblokkeerd.
Naleving en governance aanpakken. Met voorwaardelijke toegang kunt u de toegang tot toepassingen controleren, gebruiksvoorwaarden voor toestemming presenteren en de toegang beperken op basis van nalevingsbeleid.
Kosten beheren. Het verplaatsen van toegangsbeleid naar Azure AD vermindert de afhankelijkheid van aangepaste of on-premises oplossingen voor voorwaardelijke toegang en hun infrastructuurkosten.
Licentievereisten
Zie Licentievereisten voor voorwaardelijke toegang.
Als er aanvullende functies vereist zijn, hebt u mogelijk ook gerelateerde licenties nodig. Zie prijzen voor Azure Active Directory voor meer informatie.
Vereisten
Een werkende Azure AD-tenant waarvoor een Azure AD Premium- of proeflicentie is ingeschakeld. Maak er gratis een indien nodig.
Een account met beheerdersbevoegdheden voor voorwaardelijke toegang.
Een niet-beheerder met een wachtwoord dat u kent, zoals testuser. Als u een gebruiker wilt maken, raadpleegt u Snelstart: Nieuwe gebruikers toevoegen aan Azure Active Directory als een testgebruiker zonder beheerdersbevoegdheden een wachtwoord heeft dat u kent, en u een gebruiker moet maken.
Een groep waar de niet-beheerder lid van is. Als u een groep wilt maken, gaat u naar Een groep maken en leden toevoegen in Azure Active Directory.
Trainingsbronnen
De volgende bronnen kunnen nuttig zijn wanneer u meer te weten komt over voorwaardelijke toegang:
Video's
- Wat is voorwaardelijke toegang?
- Hoe implementeert u voorwaardelijke toegang?
- Hoe kan ik beleid voor voorwaardelijke toegang voor eindgebruikers uitrollen?
- Gebruikers opnemen in of uitsluiten van beleid voor voorwaardelijke toegang
- Voorwaardelijke toegang met apparaatbesturingen
- Voorwaardelijke toegang met Azure AD MFA
- Voorwaardelijke toegang in Enterprise Mobility + Security
Onlinecursussen over PluralSight
- Identiteitsbeheer ontwerpen in Microsoft Azure
- Verificatie ontwerpen voor Microsoft Azure
- Autorisatie ontwerpen voor Microsoft Azure
Het implementatieproject plannen
Houd rekening met de behoeften van uw organisatie terwijl u de strategie voor deze implementatie in uw omgeving bepaalt.
De juiste belanghebbenden betrekken
Wanneer technologieprojecten mislukken, doen ze dit meestal vanwege niet-overeenkomende verwachtingen over impact, resultaten en verantwoordelijkheden. Om deze valkuilen te voorkomen, moet u ervoor zorgen dat u de juiste belanghebbenden in de arm hebt en dat de projectrollen duidelijk zijn.
De communicatie plannen
Communicatie is essentieel voor het succes van elke nieuwe service. Proactief communiceren met uw gebruikers hoe hun ervaring zal veranderen, wanneer deze zal veranderen en hoe u ondersteuning kunt krijgen als ze problemen ervaren.
Een pilot plannen
Wanneer nieuwe beleidsregels gereed zijn voor uw omgeving, implementeert u deze in fasen in de productieomgeving. Pas eerst een beleid toe op een kleine set gebruikers in een testomgeving en controleer of het beleid naar verwachting werkt. Zie Best practices for a pilot (Best practices voor een pilot).
Notitie
Voor het uitrollen van nieuwe beleidsregels die niet specifiek zijn voor beheerders, moet u alle beheerders uitsluiten. Dit zorgt ervoor dat beheerders nog steeds toegang hebben tot het beleid en wijzigingen kunnen aanbrengen of intrekken als er een aanzienlijke impact is. Valideer het beleid altijd met kleinere gebruikersgroepen voordat u het op alle gebruikers van toepassing bent.
Informatie over beleidsonderdelen voor voorwaardelijke toegang
Beleid voor voorwaardelijke toegang zijn if-then-instructies: Als aan een toewijzing wordt voldaan, moet u deze toegangsbesturingselementen toepassen.
Bij het configureren van beleid voor voorwaardelijke toegang worden voorwaarden toewijzingen genoemd. Met beleid voor voorwaardelijke toegang kunt u toegangsbesturingselementen afdwingen voor de apps van uw organisatie op basis van bepaalde toewijzingen.
Zie Een beleid voor voorwaardelijke toegang bouwen voor meer informatie.
Gebruikers en groepen die worden beïnvloed door het beleid
Cloud-apps of -acties waarop het beleid van toepassing is
Voorwaarden waaronder het beleid van toepassing is.
Instellingen voor toegangsbesturingselementen bepalen hoe een beleid moet worden afgedwongen:
Toegang tot cloud-apps verlenen of blokkeren.
Sessiebesturingselementen maken beperkte ervaringen mogelijk binnen specifieke cloud-apps.
De juiste vragen stellen om uw beleid te maken
Beleidsregels beantwoorden vragen over wie toegang moet hebben tot uw resources, welke resources ze moeten openen en onder welke voorwaarden. Beleid kan worden ontworpen om toegang te verlenen of om toegang te blokkeren. Zorg ervoor dat u de juiste vragen stelt over wat uw beleid probeert te bereiken.
Documenteren van de antwoorden op vragen voor elk beleid voordat u het uitbouwt.
Veelvoorkomende vragen over toewijzingen
Welke gebruikers en groepen worden opgenomen in of uitgesloten van het beleid?
Omvat dit beleid alle gebruikers, specifieke groep gebruikers, directoryrollen of externe gebruikers?
Op welke toepassing(en) is het beleid van toepassing?
Welke gebruikersacties zijn onderworpen aan dit beleid?
Welke apparaatplatforms worden opgenomen in of uitgesloten van het beleid?
Wat zijn de vertrouwde locaties van de organisatie?
Welke locaties worden opgenomen in of uitgesloten van het beleid?
Welke typen client-apps (browser, mobiel, desktopclients, apps met verouderde verificatiemethoden) worden opgenomen in of uitgesloten van het beleid?
Hebt u beleidsregels die ervoor zorgen dat apparaten die zijn samengevoegd met Azure AD of hybride Azure AD-apparaten niet meer worden gebruikt voor beleid?
Als u Identity Protection gebruikt,wilt u dan bescherming tegen aanmeldingsrisico's opnemen?
Veelvoorkomende vragen over toegangsbesturingselementen
Wilt u toegang verlenen tot resources door een of meer van de volgende opties te vereisen?
MFA vereisen
Vereisen dat het apparaat moet worden gemarkeerd als compatibel
Hybride Azure AD-gekoppeld apparaat vereisen
Goedgekeurde client-apps vereisen
Beleid voor app-beveiliging vereisen
Wilt u een van de volgende toegangsregelaars voor cloud-apps afdwingen?
Door de app afgedwongen machtigingen gebruiken
Gebruik App-beheer voor voorwaardelijke toegang
Aanmeldingsfrequentie afdwingen
Permanente browsersessies gebruiken
Uitgifte van toegangs token
Het is belangrijk om te begrijpen hoe toegangstokens worden uitgegeven.
Notitie
Als er geen toewijzing is vereist en er geen beleid voor voorwaardelijke toegang van kracht is, is het standaardgedrag om een toegang token uit te geven.
Denk bijvoorbeeld aan een beleid waarbij:
Als de gebruiker zich in groep 1 heeft, dwingt u MFA af om toegang te krijgen tot App 1.
Als een gebruiker die niet in groep 1 zit, toegang probeert te krijgen tot de app, wordt er geen 'if'-voorwaarde voldaan en wordt er een token uitgegeven. Als u gebruikers buiten groep 1 wilt uitsluiten, is een afzonderlijk beleid vereist om alle andere gebruikers te blokkeren.
Best practices volgen
Het framework voor voorwaardelijke toegang biedt u een uitstekende configuratieflexibiliteit. Grote flexibiliteit betekent echter ook dat u elk configuratiebeleid zorgvuldig moet controleren voordat u het vrij geeft om ongewenste resultaten te voorkomen.
Beleid voor voorwaardelijke toegang toepassen op elke app
Toegangstokens worden standaard uitgegeven als een voorwaarde voor beleid voor voorwaardelijke toegang geen toegangsbeheer activeert. Zorg ervoor dat op elke app ten minste één beleid voor voorwaardelijke toegang is toegepast
Belangrijk
Wees voorzichtig bij het gebruik van blokkeren en alle apps in één beleid. Hierdoor kunnen beheerders worden vergrendeld uit de Azure-beheerportal en kunnen er geen uitsluitingen worden geconfigureerd voor belangrijke eindpunten, zoals Microsoft Graph.
Het aantal beleidsregels voor voorwaardelijke toegang minimaliseren
Het maken van een beleid voor elke app is niet efficiënt en leidt tot complex beheer. Er kan maximaal 195 voorwaardelijke toegang zijn in elke Azure AD-tenant. We raden u aan uw apps te analyseren en ze te groepen in beleidsregels met dezelfde toegangsvereisten. Als bijvoorbeeld voor alle Microsoft 365-apps of alle HR-apps dezelfde vereisten gelden voor dezelfde gebruikers, maakt u één beleid en voegt u al deze apps toe in plaats van een beleid voor elke app toe te voegen.
Accounts voor toegang in noodgevallen instellen
Als u een beleid onjuist configureert, kunnen de organisaties buiten het Azure Portal. Verminder de gevolgen van onbedoelde beheerdersvergrendeling door twee of meer accounts voor toegang in noodgevallen in uw organisatie te maken.
- Maak een gebruikersaccount dat is toegewezen aan beleidsbeheer en uitgesloten van al uw beleidsregels.
Alleen-rapportmodus instellen
Het kan lastig zijn om het aantal en de namen te voorspellen van gebruikers die worden beïnvloed door algemene implementatie-initiatieven, zoals:
- verouderde verificatie blokkeren
- MFA vereisen
- beleid voor aanmeldingsrisico's implementeren
Met de modus Alleen rapport kunnen beheerders de impact van beleid voor voorwaardelijke toegang evalueren voordat ze deze in hun omgeving inschakelen.
Meer informatie over het configureren van de modus alleen-rapporteren voor beleid voor voorwaardelijke toegang.
Plannen voor onderbreking
Als u vertrouwt op één toegangsbeheer, zoals MFA of een netwerklocatie, om uw IT-systemen te beveiligen, bent u vatbaar voor toegangsfouten als dat ene toegangsbeheer niet meer beschikbaar of onjuist is geconfigureerd. Plan strategieën om over te nemen voor uw organisatie om het risico op vergrendeling tijdens onvoorziene onderbrekingen te verminderen.
Naamgevingsstandaarden instellen voor uw beleid
De naamgevingsstandaard helpt u bij het vinden van beleidsregels en het begrijpen van hun doel zonder ze te openen in de Azure-beheerportal. U wordt aangeraden uw beleid een naam te geven om het volgende weer te geven:
Een volgnummer
De cloud-app(s) die van toepassing zijn op
Het antwoord
Wie van toepassing op
Wanneer dit van toepassing is (indien van toepassing)
Voorbeeld; Een beleid om MFA te vereisen voor marketinggebruikers die toegang hebben tot de Dynamics CRP-app vanuit externe netwerken, kan zijn:
Een beschrijvende naam helpt u een overzicht te houden van uw implementatie van voorwaardelijke toegang. Het volgnummer is handig als u moet verwijzen naar een beleid in een gesprek. Als u bijvoorbeeld telefonisch met een beheerder praat, kunt u hen vragen om beleid CA01 te openen om een probleem op te lossen.
Naamgevingsstandaarden voor besturingselementen voor toegang in noodgevallen
Naast uw actieve beleidsregels implementeert u uitgeschakelde beleidsregels die fungeren als secundaire flexibele toegangscontroles in uitval- of noodscenario's. Uw naamgevingsstandaard voor het beleid voor onvoorziene gebeurtenissen moet het volgende omvatten:
SCHAKEL IN NOODGEVALLEN aan het begin in om de naam te onderscheiden van de andere beleidsregels.
De naam van de onderbreking die moet worden toegepast.
Een volgordenummer om de beheerder te helpen te weten in welke volgordebeleidsregels moeten worden ingeschakeld.
Voorbeeld
De volgende naam geeft aan dat dit beleid de eerste van vier beleidsregels is die moeten worden ingeschakeld als er een MFA-onderbreking is:
EM01 - INSCHAKELEN IN NOOD: MFA-onderbreking [1/4] - Exchange SharePoint: Hybride Azure AD-join vereisen voor VIP-gebruikers.
Sluit landen uit waarvan u nooit een aanmelding verwacht.
Met Azure Active Directory kunt u benoemde locaties maken. Maak een benoemde locatie met alle landen van waaruit u verwacht dat er zich nooit zal aanmelden. Maak vervolgens een beleid voor Alle apps aanmelding vanaf die benoemde locatie blokkeert. Zorg ervoor dat u uw beheerders uit voor dit beleid uit te voeren.
Uw beleidsimplementatie plannen
Wanneer nieuwe beleidsregels gereed zijn voor uw omgeving, controleert u elk beleid voordat u het vrij geeft om ongewenste resultaten te voorkomen.
Algemene beleidsregels
Bij het plannen van uw beleidsoplossing voor voorwaardelijke toegang moet u beoordelen of u beleidsregels moet maken om de volgende resultaten te bereiken.
- MFA vereisen
- Reageren op mogelijk aangetaste accounts
- Beheerde apparaten vereisen
- Goedgekeurde clienttoepassingen vereisen
- Toegang blokkeren
MFA vereisen
Veelvoorkomende gebruiksgevallen voor het vereisen van MFA-toegang:
Reageren op mogelijk aangetaste accounts
Met beleid voor voorwaardelijke toegang kunt u geautomatiseerde reacties op aanmeldingen implementeren door mogelijk aangetaste identiteiten. De kans dat een account wordt aangetast, wordt uitgedrukt in de vorm van risiconiveaus. Er zijn twee risiconiveaus die worden berekend door Identity Protection: aanmeldingsrisico en gebruikersrisico. De volgende drie standaardbeleidsregels kunnen worden ingeschakeld.
Wachtwoordwijziging vereisen voor gebruikers met een hoog risico
MFA vereisen voor gebruikers met een gemiddeld of hoog aanmeldingsrisico
Beheerde apparaten vereisen
De toename van ondersteunde apparaten voor toegang tot uw cloudbronnen helpt de productiviteit van uw gebruikers te verbeteren. U wilt waarschijnlijk niet dat bepaalde resources in uw omgeving worden gebruikt door apparaten met een onbekend beveiligingsniveau. Voor deze resources moet u vereisen dat gebruikers alleen toegang hebben tot deze resources met behulp van een beheerd apparaat.
Goedgekeurde client-apps vereisen
Werknemers gebruiken hun mobiele apparaten voor zowel privé- als werktaken. Voor BYOD-scenario's moet u beslissen of u het hele apparaat of alleen de gegevens op het apparaat wilt beheren. Als u alleen gegevens en toegang beheert, kunt u goedgekeurde cloud-apps vereisen die uw bedrijfsgegevens kunnen beveiligen. U kunt bijvoorbeeld vereisen dat e-mail alleen toegankelijk is via Outlook mobile en niet via een algemeen e-mailprogramma.
Toegang blokkeren
De optie om alle toegang te blokkeren is krachtig. Deze kan bijvoorbeeld worden gebruikt wanneer u een app migreert naar Azure AD, maar nog niet gereed is voor aanmelding bij de app. Toegang blokkeren:
Overschrijvingen alle andere toewijzingen voor een gebruiker
Heeft de kracht om te blokkeren dat uw hele organisatie zich kan aanmelden bij uw tenant
Belangrijk
Als u een beleid maakt om toegang voor alle gebruikers te blokkeren, moet u accounts voor noodtoegang uitsluiten en overwegen om alle beheerders uit te sluiten van het beleid.
Andere veelvoorkomende scenario's waarin u de toegang voor uw gebruikers kunt blokkeren, zijn:
Bepaalde netwerklocaties blokkeren voor toegang tot uw cloud-apps. U kunt dit beleid gebruiken om bepaalde landen te blokkeren waar u zeker weet dat verkeer niet afkomstig mag zijn.
Azure AD ondersteunt verouderde verificatie. Verouderde verificatie biedt echter geen ondersteuning voor MFA en voor veel omgevingen is dit vereist om identiteitsbeveiliging aan te pakken. In dit geval kunt u de toegang tot uw tenantbronnen blokkeren voor apps die gebruikmaken van verouderde verificatie.
Beleid maken en testen
Zorg ervoor dat u in elke fase van uw implementatie evalueert dat de resultaten zijn zoals verwacht.
Wanneer nieuw beleid gereed is, implementeert u deze in fasen in de productieomgeving:
Interne wijzigingscommunicatie bieden aan eindgebruikers.
Begin met een kleine set gebruikers en controleer of het beleid werkt zoals verwacht.
Wanneer u een beleid uitbreidt om meer gebruikers op te nemen, moet u alle beheerders blijven uitsluiten. Het uitsluiten van beheerders zorgt ervoor dat iemand nog steeds toegang heeft tot een beleid als er een wijziging is vereist.
Pas een beleid pas toe op alle gebruikers nadat het grondig is getest. Zorg ervoor dat u ten minste één beheerdersaccount hebt waarop een beleid niet van toepassing is.
Testgebruikers maken
Maak een set testgebruikers die de gebruikers in uw productieomgeving weerspiegelen. Door testgebruikers te maken, kunt u controleren of het beleid werkt zoals verwacht voordat u echte gebruikers beïnvloedt en de toegang tot apps en resources mogelijk verstoort.
Sommige organisaties hebben testten tenants voor dit doel. Het kan echter lastig zijn om alle voorwaarden en apps in een test-tenant opnieuw te maken om het resultaat van een beleid volledig te testen.
Een testplan maken
Het testplan is belangrijk om een vergelijking te maken tussen de verwachte resultaten en de werkelijke resultaten. U moet altijd een verwachting hebben voordat u iets test. De volgende tabel bevat een overzicht van voorbeeldtestvoorbeelden. Pas de scenario's en verwachte resultaten aan op basis van de configuratie van uw beleid voor voorwaardelijke toegang.
| Beleid | Scenario | Verwacht resultaat |
|---|---|---|
| MFA vereisen wanneer u niet op het werk werkt | Geautoriseerde gebruiker meldt zich aan bij app op een vertrouwde locatie/werk | De gebruiker wordt niet gevraagd om MFA |
| MFA vereisen wanneer u niet op het werk werkt | Geautoriseerde gebruiker meldt zich aan bij de app terwijl deze zich niet op een vertrouwde locatie bevindt/werkt | Gebruiker wordt gevraagd om MFA en kan zich aanmelden |
| MFA vereisen (voor beheerder) | Globale beheerder meldt zich aan bij app | Beheerder wordt gevraagd om MFA |
| Riskante aanmeldingen | Gebruiker meldt zich aan bij app met een niet-goedgekeurde browser | Beheerder wordt gevraagd om MFA |
| Apparaatbeheer | Geautoriseerde gebruiker probeert zich aan te melden vanaf een geautoriseerd apparaat | Toegang verleend |
| Apparaatbeheer | Geautoriseerde gebruiker probeert zich aan te melden vanaf een niet-geautoriseerd apparaat | Toegang geblokkeerd |
| Wachtwoordwijziging voor riskante gebruikers | Geautoriseerde gebruiker probeert zich aan te melden met gecompromitteerde referenties (aanmelden met hoog risico) | De gebruiker wordt gevraagd het wachtwoord te wijzigen of de toegang wordt geblokkeerd op basis van uw beleid |
Het testbeleid configureren
In de Azure Portalconfigureert u beleid voor voorwaardelijke toegang onder Azure Active Directory > Beveiliging > voorwaardelijke toegang.
Als u meer wilt weten over het maken van beleid voor voorwaardelijke toegang, bekijkt u dit voorbeeld: Beleid voor voorwaardelijke toegang om te vragen om MFAwanneer een gebruiker zich bij de Azure Portal. Deze quickstart helpt u bij het volgende:
Vertrouwd raken met de gebruikersinterface
Een eerste indruk krijgen van de manier waarop voorwaardelijke toegang werkt
Het beleid in de modus Alleen rapport inschakelen
Als u de impact van uw beleid wilt beoordelen, moet u eerst het beleid inschakelen in de modus alleen-rapporteren. Beleid voor alleen-rapporteren wordt geëvalueerd tijdens het aanmelden, maar besturingselementen voor toekenning en sessiebesturingselementen worden niet afgedwongen. Zodra u het beleid in de modus alleen-rapporteren hebt op slaan, kunt u de gevolgen voor realtime-aanmeldingen in de aanmeldingslogboeken zien. Selecteer in de aanmeldingslogboeken een gebeurtenis en navigeer naar het tabblad Alleen-rapport om het resultaat van elk beleid voor alleen een rapport weer te geven.
Als u het beleid selecteert, kunt u ook zien hoe de toewijzingen en toegangsbesturingselementen van het beleid zijn geëvalueerd met behulp van het scherm Beleidsdetails. Als u een beleid wilt toepassen op een aanmelding, moet aan elk van de geconfigureerde toewijzingen worden voldaan.
Inzicht in de impact van uw beleid met behulp van de werkmap Insights en rapportage
U kunt de geaggregeerde impact van uw beleid voor voorwaardelijke toegang bekijken in de werkmap Insights en rapportage. Voor toegang tot de werkmap hebt u een Azure Monitor nodig en moet u uw aanmeldingslogboeken streamen naar een Log Analytics-werkruimte.
Aanmeldingen simuleren met behulp van het what-if-hulpprogramma
Een andere manier om uw beleid voor voorwaardelijke toegang te valideren, is met behulp van het what-if-hulpprogramma, waarmee wordt gesimuleerd welk beleid van toepassing is op een gebruiker die zich onder hypothetische omstandigheden aanmeldt. Selecteer de aanmeldingskenmerken die u wilt testen (zoals gebruiker, toepassing, apparaatplatform en locatie) en kijk welk beleid van toepassing is.
Notitie
Hoewel een gesimuleerde run u een goed beeld geeft van de impact die een beleid voor voorwaardelijke toegang heeft, wordt een daadwerkelijke test niet vervangen.
Uw beleid testen
Voer elke test in uw testplan uit met testgebruikers.
Zorg ervoor dat u de uitsluitingscriteria van een beleid test. U kunt bijvoorbeeld een gebruiker of groep uitsluiten van een beleid dat MFA vereist. Test of de uitgesloten gebruikers om MFA worden gevraagd, omdat de combinatie van andere beleidsregels mogelijk MFA vereist voor deze gebruikers.
Beleid terugdraaien
Als u uw zojuist geïmplementeerde beleidsregels wilt terugdraaien, gebruikt u een of meer van de volgende opties:
- Schakel het beleid uit. Het uitschakelen van een beleid zorgt ervoor dat dit niet van toepassing is wanneer een gebruiker zich probeert aan te melden. U kunt altijd teruggaan en het beleid inschakelen wanneer u het wilt gebruiken.
- Sluit een gebruiker of groep uit van een beleid. Als een gebruiker geen toegang heeft tot de app, kunt u ervoor kiezen om de gebruiker uit te sluiten van het beleid.
Notitie
Deze optie moet spaarzaam worden gebruikt, alleen in situaties waarin de gebruiker wordt vertrouwd. De gebruiker moet zo snel mogelijk weer worden toegevoegd aan het beleid of de groep.
- Verwijder het beleid. Als het beleid niet meer vereist is, verwijdert u het.
Toegang tot cloud-apps beheren
Gebruik de volgende opties beheren om uw beleid voor voorwaardelijke toegang te beheren:
Benoemde locaties
Met de locatievoorwaarde van een beleid voor voorwaardelijke toegang kunt u instellingen voor toegangsbesturingselementen aan de netwerklocaties van uw gebruikers binden. Met Benoemde locatieskunt u logische groeperingen van IP-adresbereiken of landen en regio's maken.
Aangepaste besturingselementen
Aangepaste besturingselementen leiden uw gebruikers om naar een compatibele service om te voldoen aan verificatievereisten buiten Azure AD. Om aan dit besturingselement te voldoen, wordt de browser van een gebruiker omgeleid naar de externe service, worden de vereiste verificaties uitgevoerd en vervolgens teruggeleid naar Azure AD. Azure AD verifieert het antwoord en als de gebruiker is geverifieerd of gevalideerd, gaat de gebruiker verder met de stroom voor voorwaardelijke toegang.
Gebruiksvoorwaarden
Voordat u toegang krijgt tot bepaalde cloud-apps in uw omgeving, kunt u toestemming krijgen van de gebruikers door uw Gebruiksrechtovereenkomst (ToU) te accepteren. Volg deze quickstart om gebruiksvoorwaarden te maken.
Problemen met voorwaardelijke toegang oplossen
Wanneer een gebruiker een probleem heeft met een beleid voor voorwaardelijke toegang, verzamelt u de volgende informatie om het oplossen van problemen mogelijk te maken.
Naam van gebruikersprincipa
Weergavenaam van gebruiker
Naam van besturingssysteem
Tijdstempel (bij benadering is ok)
Doeltoepassing
Clienttoepassingstype (browser versus client)
Correlatie-id (dit is uniek voor de aanmelding)
Als de gebruiker een bericht met een koppeling Meer details heeft ontvangen, kan deze de meeste informatie voor u verzamelen.
Nadat u de informatie hebt verzameld, bekijkt u de volgende resources:
Aanmeldingsproblemen met voorwaardelijke toegang: krijg inzicht in onverwachte aanmeldingsresultaten met betrekking tot voorwaardelijke toegang met behulp van foutberichten en Azure AD-aanmeldingenlogboek.
Het hulpprogramma What-If: begrijp waarom een beleid in een bepaalde situatie al dan niet is toegepast op een gebruiker of of een beleid in een bekende toestand zou worden toegepast.
Volgende stappen
Meer informatie over Multi-Factor Authentication
Meer informatie over Identity Protection
Beleid voor voorwaardelijke toegang beheren met Microsoft Graph-API