Risicobeleid configureren en inschakelen

Zoals we hebben geleerd in het artikel, op risico gebaseerd toegangsbeleid, zijn er twee soorten risicobeleidsregels in voorwaardelijke toegang van Microsoft Entra die u kunt instellen. U kunt deze beleidsregels gebruiken om de reactie op risico's te automatiseren, zodat gebruikers zichzelf kunnen herstellen wanneer er risico's worden gedetecteerd:

• Beleid voor aanmeldingsrisico's
• Beleid voor gebruikersrisico's

Acceptabele risiconiveaus kiezen

Organisaties moeten bepalen welk risiconiveau ze nodig hebben om toegangsbeheer te vereisen voor het verdelen van gebruikerservaring en beveiligingspostuur.

Als u ervoor kiest om toegangsbeheer toe te passen op een hoog risiconiveau, vermindert u het aantal keren dat een beleid wordt geactiveerd en minimaliseert u wrijving voor gebruikers. Het sluit echter lage en gemiddelde risico's uit van het beleid, waardoor een aanvaller mogelijk geen misbruik kan maken van een gecompromitteerde identiteit. Als u een laag risiconiveau selecteert om toegangsbeheer te vereisen, worden er meer gebruikersonderbrekingen geïntroduceerd.

Geconfigureerde vertrouwde netwerklocaties worden door Identity Protection in sommige risicodetecties gebruikt om fout-positieven te verminderen.

De volgende beleidsconfiguraties omvatten het besturingselement voor aanmeldingsfrequentiesessies waarvoor opnieuw verificatie is vereist voor riskante gebruikers en aanmeldingen.

Aanbeveling van Microsoft

Microsoft raadt de volgende configuraties voor risicobeleid aan om uw organisatie te beveiligen:

• Beleid voor gebruikersrisico's
  • Een veilige wachtwoordwijziging vereisen wanneer het gebruikersrisiconiveau hoog is. Microsoft Entra meervoudige verificatie is vereist voordat de gebruiker een nieuw wachtwoord kan maken met wachtwoord terugschrijven om het risico te herstellen.
• Beleid voor aanmeldingsrisico's
  • Vereisen dat Microsoft Entra meervoudige verificatie vereist wanneer het risiconiveau voor aanmelden gemiddeld of hoog is, zodat gebruikers kunnen bewijzen dat het ze zijn met behulp van een van hun geregistreerde verificatiemethoden, waardoor het aanmeldingsrisico wordt hersteld.

Toegangsbeheer vereisen wanneer het risiconiveau laag is, leidt tot meer wrijving en gebruikersonderbreken dan gemiddeld of hoog. Als u ervoor kiest om de toegang te blokkeren in plaats van zelfherstelopties toe te staan, zoals veilige wachtwoordwijziging en meervoudige verificatie, heeft dit nog meer invloed op uw gebruikers en beheerders. Weeg deze keuzes bij het configureren van uw beleid.

Risicoherstel

Organisaties kunnen ervoor kiezen de toegang te blokkeren wanneer er risico's worden gedetecteerd. Soms zorgt blokkeren ervoor dat legitieme gebruikers vereiste taken niet meer kunnen uitvoeren. Een betere oplossing is om zelfherstel toe te staan met behulp van Microsoft Entra meervoudige verificatie en veilige wachtwoordwijziging.

Waarschuwing

Gebruikers moeten zich registreren voor Meervoudige Verificatie van Microsoft Entra voordat ze te maken krijgen met een situatie waarvoor herstel is vereist. Voor hybride gebruikers die van on-premises naar de cloud worden gesynchroniseerd, moet wachtwoord terugschrijven zijn ingeschakeld. Gebruikers die niet zijn geregistreerd, worden geblokkeerd en vereisen tussenkomst van de beheerder.

Wachtwoordwijziging (ik ken mijn wachtwoord en wil dit wijzigen in iets nieuws) buiten de risicovolle herstelstroom voor gebruikersbeleid voldoet niet aan de vereiste voor veilige wachtwoordwijziging.

Risicobeleid migreren naar voorwaardelijke toegang

Als u verouderd risicobeleid hebt ingeschakeld in Microsoft Entra ID Protection, moet u van plan zijn deze te migreren naar voorwaardelijke toegang:

Waarschuwing

Het verouderde risicobeleid dat is geconfigureerd in Microsoft Entra ID Protection, wordt op 1 oktober 2026 buiten gebruik gesteld.

Migreren naar voorwaardelijke toegang

1. Maak een gelijkwaardigbeleid op basis van gebruikersrisico's en op basis van aanmeldingsrisico's in de modus Alleen-rapporteren voor voorwaardelijke toegang. U kunt een beleid maken met de vorige stappen of met behulp van sjablonen voor voorwaardelijke toegang op basis van de aanbevelingen van Microsoft en uw organisatievereisten.
   1. Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.
2. Schakel het oude risicobeleid in ID Protection uit.
   1. Blader naar Protection>Identity Protection> Selecteer het beleid voor gebruikersrisico's of aanmeldingsrisico's.
   2. Stel beleid afdwingen in op Uitgeschakeld.
3. Maak indien nodig ander risicobeleid in voorwaardelijke toegang.

Beleid inschakelen

Organisaties kunnen ervoor kiezen om beleid op basis van risico's in voorwaardelijke toegang te implementeren met behulp van de volgende stappen of sjablonen voor voorwaardelijke toegang te gebruiken.

Voordat organisaties dit beleid inschakelen, moeten ze actie ondernemen om actieve risico's te onderzoeken en op te lossen.

Beleidsuitsluitingen

Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:

• noodtoegangaccounts of break glass-accounts om tenantbrede accountvergrendeling te voorkomen. In het onwaarschijnlijke scenario zijn alle beheerders uitgesloten van uw tenant, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden bij de tenant om stappen te ondernemen om de toegang te herstellen.
  • Meer informatie vindt u in het artikel, Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID.
• Serviceaccounts en service-principals, zoals het Microsoft Entra-Verbinding maken-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gebonden aan een bepaalde gebruiker. Ze worden normaal gebruikt door back-end services die programmatische toegang tot toepassingen mogelijk maken, maar worden ook gebruikt om in te loggen op systemen voor administratieve doeleinden. Serviceaccounts zoals deze moeten worden uitgesloten omdat MFA niet programmatisch kan worden voltooid. Oproepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workload-identiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
  • Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten. Als tijdelijke oplossing kunt u deze specifieke accounts uitsluiten van het basislijnbeleid.

Beleid voor gebruikersrisico's in voorwaardelijke toegang

1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
2. Blader naar voorwaardelijke toegang voor beveiliging>.
3. Selecteer Nieuw beleid.
4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
   1. Selecteer onder Opnemen de optie Alle gebruikers.
   2. Selecteer bij Uitsluiten de optie Gebruikers en groepen en selecteer de accounts voor toegang bij noodgevallen van uw organisatie.
   3. Selecteer Gereed.
6. Selecteer bij Cloud-apps of -acties>Opnemen de optie Alle cloud-apps.
7. Stel bij Voorwaarden>GebruikersrisicoConfigureren in op Ja.
   1. Selecteer onder Niveaus van gebruikersrisico's configureren die nodig zijn om beleid af te dwingen de optie Hoog. Deze richtlijnen zijn gebaseerd op Microsoft-aanbevelingen en kunnen voor elke organisatie verschillen
   2. Selecteer Gereed.
8. Selecteer Toegangsbeheer>Verlenen.
   1. Selecteer Toegang verlenen, Meervoudige verificatie vereisen en Wachtwoordwijziging vereisen.
   2. Selecteer Selecteren.
9. Onder Sessie.
   1. Selecteer Aanmeldingsfrequentie.
   2. Zorg ervoor dat elke keer wordt geselecteerd.
   3. Selecteer Selecteren.
10. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
11. Selecteer Maken om het beleid te kunnen inschakelen.

Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Beleid voor aanmeldingsrisico's in voorwaardelijke toegang

1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
2. Blader naar voorwaardelijke toegang voor beveiliging>.
3. Selecteer Nieuw beleid.
4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
   1. Selecteer onder Opnemen de optie Alle gebruikers.
   2. Selecteer bij Uitsluiten de optie Gebruikers en groepen en selecteer de accounts voor toegang bij noodgevallen van uw organisatie.
   3. Selecteer Gereed.
6. Selecteer bij Cloud-apps of -acties>Opnemen de optie Alle cloud-apps.
7. Stel bij Voorwaarden>Aanmeldingsrisico de optie Configureren in op Ja.
   1. Selecteer Onder Selecteer het niveau van het aanmeldingsrisico dat dit beleid van toepassing is op, selecteert u Hoog en Gemiddeld. Deze richtlijnen zijn gebaseerd op Microsoft-aanbevelingen en kunnen voor elke organisatie verschillen
   2. Selecteer Gereed.
8. Selecteer Toegangsbeheer>Verlenen.
   1. Selecteer Toegang verlenen, Meervoudige verificatie vereisen.
   2. Selecteer Selecteren.
9. Onder Sessie.
   1. Selecteer Aanmeldingsfrequentie.
   2. Zorg ervoor dat elke keer wordt geselecteerd.
   3. Selecteer Selecteren.
10. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
11. Selecteer Maken om het beleid te kunnen inschakelen.

Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Gerelateerde inhoud

• Registratiebeleid voor meervoudige verificatie van Microsoft Entra inschakelen
• What is risk (Wat is een risico?)
• Risicodetectie onderzoeken
• Risicodetecties simuleren