Toegangsbeoordelingen gebruiken om gebruikers te beheren die zijn uitgesloten van beleid voor voorwaardelijke toegang
In een ideale wereld volgen alle gebruikers het toegangsbeleid om de toegang tot de resources van uw organisatie te beveiligen. Soms zijn er echter zakelijke cases die uitzonderingen vereisen. In dit artikel worden enkele voorbeelden besproken van situaties waarin uitsluitingen nodig kunnen zijn. U, als IT-beheerder, kunt deze taak beheren, het toezicht op beleidsuitzonderingen voorkomen en auditeurs bewijs aanleveren dat deze uitzonderingen regelmatig worden gecontroleerd met behulp van toegangsbeoordelingen van Microsoft Entra.
Notitie
Een geldige Microsoft Entra ID P2 of Microsoft Entra ID-governance, betaalde Enterprise Mobility + Security E5-licentie of proeflicentie is vereist voor het gebruik van Microsoft Entra-toegangsbeoordelingen. Zie Microsoft Entra-edities voor meer informatie.
Waarom zou u gebruikers uitsluiten van beleid?
Stel dat u als beheerder besluit om voorwaardelijke toegang van Microsoft Entra te gebruiken om meervoudige verificatie (MFA) te vereisen en verificatieaanvragen te beperken tot specifieke netwerken of apparaten. Tijdens de implementatieplanning realiseert u zich dat niet alle gebruikers aan deze vereisten kunnen voldoen. U kunt bijvoorbeeld gebruikers hebben die werken vanuit externe kantoren, geen deel uitmaken van uw interne netwerk. Mogelijk moet u gebruikers die verbinding maken met niet-ondersteunde apparaten ook geschikt maken terwijl ze wachten tot deze apparaten zijn vervangen. Kortom, het bedrijf heeft deze gebruikers nodig om zich aan te melden en hun werk uit te voeren, zodat u ze uitsluit van beleid voor voorwaardelijke toegang.
U kunt bijvoorbeeld benoemde locaties in voorwaardelijke toegang gebruiken om een set landen en regio's op te geven waaruit u gebruikers geen toegang wilt geven tot hun tenant.
Sommige gebruikers kunnen helaas nog steeds een geldige reden hebben om zich aan te melden vanuit deze geblokkeerde landen/regio's. Gebruikers kunnen bijvoorbeeld reizen voor werk en toegang nodig hebben tot bedrijfsbronnen. In dit geval kan het beleid voor voorwaardelijke toegang om deze landen/regio's te blokkeren een cloudbeveiligingsgroep gebruiken voor de uitgesloten gebruikers van het beleid. Gebruikers die toegang nodig hebben tijdens het reizen, kunnen zichzelf toevoegen aan de groep met behulp van selfservicegroepsbeheer van Microsoft Entra.
Een ander voorbeeld is dat u een beleid voor voorwaardelijke toegang hebt waarmee verouderde verificatie voor de meeste gebruikers wordt geblokkeerd. Als u echter een aantal gebruikers hebt die verouderde verificatiemethoden moeten gebruiken voor toegang tot uw resources via Office 2010- of IMAP/SMTP/POP-clients, kunt u deze gebruikers uitsluiten van het beleid waarmee verouderde verificatiemethoden worden geblokkeerd.
Notitie
Microsoft raadt u ten zeerste aan het gebruik van verouderde protocollen in uw tenant te blokkeren om uw beveiligingspostuur te verbeteren.
Waarom zijn uitsluitingen lastig?
In Microsoft Entra ID kunt u een beleid voor voorwaardelijke toegang beperken tot een set gebruikers. U kunt ook uitsluitingen configureren door Microsoft Entra-rollen, afzonderlijke gebruikers of gasten te selecteren. Houd er rekening mee dat wanneer uitsluitingen zijn geconfigureerd, de beleidsintentie niet kan worden afgedwongen voor uitgesloten gebruikers. Als uitsluitingen zijn geconfigureerd met behulp van een lijst met gebruikers of met verouderde on-premises beveiligingsgroepen, hebt u beperkte zichtbaarheid in de uitsluitingen. Als gevolg hiervan:
Gebruikers weten mogelijk niet dat ze zijn uitgesloten.
Gebruikers kunnen lid worden van de beveiligingsgroep om het beleid te omzeilen.
Uitgesloten gebruikers hadden eerder kunnen worden gekwalificeerd voor de uitsluiting, maar komen niet meer in aanmerking voor de uitsluiting.
Wanneer u een uitsluiting voor het eerst configureert, is er vaak een korte lijst met gebruikers die het beleid omzeilen. Na verloop van tijd worden meer gebruikers toegevoegd aan de uitsluiting en groeit de lijst. Op een bepaald moment moet u de lijst controleren en controleren of elk van deze gebruikers nog steeds in aanmerking komt voor uitsluiting. Het beheren van de uitsluitingslijst kan vanuit technisch oogpunt relatief eenvoudig zijn, maar wie neemt de zakelijke beslissingen en hoe zorgt u ervoor dat alles controleerbaar is? Als u de uitsluiting echter configureert met behulp van een Microsoft Entra-groep, kunt u toegangsbeoordelingen gebruiken als compenserende controle, om zichtbaarheid te stimuleren en het aantal uitgesloten gebruikers te verminderen.
Een uitsluitingsgroep maken in beleid voor voorwaardelijke toegang
Volg deze stappen om een nieuwe Microsoft Entra-groep en een beleid voor voorwaardelijke toegang te maken dat niet van toepassing is op die groep.
Een uitsluitingsgroep maken
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruiker Beheer istrator.
Blader naar Identiteitsgroepen>>Alle groepen.
Selecteer Nieuwe groep.
In de lijst Groepstype selecteert u Beveiliging. Geef een naam en beschrijving op.
Zorg ervoor dat u het type lidmaatschap instelt op Toegewezen.
Selecteer de gebruikers die deel moeten uitmaken van deze uitsluitingsgroep en selecteer vervolgens Maken.
Een beleid voor voorwaardelijke toegang maken dat de groep uitsluit
U kunt nu een beleid voor voorwaardelijke toegang maken dat gebruikmaakt van deze uitsluitingsgroep.
Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
Blader naar voorwaardelijke toegang voor beveiliging>.
Selecteer Nieuw beleid maken.
Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
Selecteer onder Toewijzingen Gebruikers en groepen.
Selecteer Alle gebruikers op het tabblad Opnemen.
Selecteer onder Uitsluiten de optie Gebruikers en groepen en kies de uitsluitingsgroep die u hebt gemaakt.
Notitie
Het wordt aanbevolen om bij het testen ten minste één beheerdersaccount uit te sluiten van het beleid om ervoor te zorgen dat uw tenant niet is vergrendeld.
Ga door met het instellen van het beleid voor voorwaardelijke toegang op basis van de vereisten van uw organisatie.
Laten we twee voorbeelden bekijken waarin u toegangsbeoordelingen kunt gebruiken voor het beheren van uitsluitingen in beleid voor voorwaardelijke toegang.
Voorbeeld 1: Toegangsbeoordeling voor gebruikers die toegang hebben tot geblokkeerde landen/regio's
Stel dat u een beleid voor voorwaardelijke toegang hebt waarmee de toegang vanuit bepaalde landen/regio's wordt geblokkeerd. Het bevat een groep die is uitgesloten van het beleid. Hier volgt een aanbevolen toegangsbeoordeling waarin leden van de groep worden beoordeeld.
Notitie
Er is een rol van globale beheerder of gebruikersbeheerder vereist voor het maken van toegangsbeoordelingen. Zie voor een stapsgewijze handleiding voor het maken van een toegangsbeoordeling: Een toegangsbeoordeling maken van groepen en toepassingen.
De beoordeling vindt elke week plaats.
De beoordeling eindigt nooit om ervoor te zorgen dat u deze uitsluitingsgroep het meest up-to-date houdt.
Alle leden van deze groep vallen binnen het bereik van de beoordeling.
Elke gebruiker moet zelf attesteren dat ze nog steeds toegang nodig hebben vanuit deze geblokkeerde landen/regio's, daarom moeten ze nog steeds lid zijn van de groep.
Als de gebruiker niet reageert op de beoordelingsaanvraag, wordt deze automatisch verwijderd uit de groep en heeft deze geen toegang meer tot de tenant tijdens het reizen naar deze landen/regio's.
Schakel e-mailmeldingen in om gebruikers op de hoogte te stellen van de start en voltooiing van de toegangsbeoordeling.
Voorbeeld 2: Toegangsbeoordeling voor gebruikers die toegang hebben tot verouderde verificatie
Stel dat u een beleid voor voorwaardelijke toegang hebt waarmee de toegang voor gebruikers met verouderde verificatie en oudere clientversies wordt geblokkeerd en dat het een groep bevat die is uitgesloten van het beleid. Hier volgt een aanbevolen toegangsbeoordeling waarin leden van de groep worden beoordeeld.
Deze beoordeling moet een terugkerende beoordeling zijn.
Iedereen in de groep moet worden gecontroleerd.
Het kan worden geconfigureerd om de eigenaren van bedrijfsonderdelen weer te geven als de geselecteerde revisoren.
Pas de resultaten automatisch toe en verwijder gebruikers die niet zijn goedgekeurd om verouderde verificatiemethoden te blijven gebruiken.
Het kan nuttig zijn om aanbevelingen mogelijk te maken, zodat revisoren van grote groepen eenvoudig hun beslissingen kunnen nemen.
Schakel e-mailmeldingen in zodat gebruikers op de hoogte worden gesteld van het begin en de voltooiing van de toegangsbeoordeling.
Belangrijk
Als u veel uitsluitingsgroepen hebt en daarom meerdere toegangsbeoordelingen moet maken, kunt u deze programmatisch maken en beheren in Microsoft Graph. Als u aan de slag wilt gaan, raadpleegt u de API-verwijzing voor toegangsbeoordelingen en zelfstudie met behulp van de API voor toegangsbeoordelingen in Microsoft Graph.
Toegangsbeoordelingsresultaten en auditlogboeken
Nu u alles hebt geïmplementeerd, groeperen, beleid voor voorwaardelijke toegang en toegangsbeoordelingen, is het tijd om de resultaten van deze beoordelingen te controleren en bij te houden.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.
Blader naar toegangsbeoordelingen voor identiteitsbeheer>.
Selecteer de Toegangsbeoordeling die u gebruikt met de groep waarvoor u een uitsluitingsbeleid hebt gemaakt.
Selecteer Resultaten om te zien wie is goedgekeurd om in de lijst te blijven en wie is verwijderd.
Selecteer Auditlogboeken om de acties te bekijken die tijdens deze beoordeling zijn uitgevoerd.
Als IT-beheerder weet u dat het beheren van uitsluitingsgroepen voor uw beleid soms onvermijdelijk is. Het onderhouden van deze groepen, het regelmatig controleren door de eigenaar van het bedrijf of de gebruikers zelf, en het controleren van deze wijzigingen kan eenvoudiger worden gemaakt met toegangsbeoordelingen.