Globale beheerdersaccounts beveiligen in uw Microsoft 365 voor ondernemingstestomgevingProtect global administrator accounts in your Microsoft 365 for enterprise test environment

Deze testlaborator kan alleen worden gebruikt Microsoft 365 voor bedrijfstestomgevingen.This Test Lab Guide can only be used for Microsoft 365 for enterprise test environments.

U kunt digitale aanvallen op uw organisatie voorkomen door ervoor te zorgen dat uw beheerdersaccounts zo veilig mogelijk zijn.You can prevent digital attacks on your organization by ensuring that your administrator accounts are as secure as possible.

In dit artikel wordt beschreven hoe u Azure Active Directory (Azure AD) beleid voor voorwaardelijke toegang gebruikt om globale beheerdersaccounts te beveiligen.This article describes how to use Azure Active Directory (Azure AD) conditional access policies to protect global administrator accounts.

Voor het beveiligen van globale beheerdersaccounts in Microsoft 365 testomgeving voor ondernemingen zijn twee fasen vereist:Protecting global administrator accounts in your Microsoft 365 for enterprise test environment involves two phases:

Testlabrichtlijnen voor de Microsoft-cloud

Tip

Voor een visuele kaart van alle artikelen in de Microsoft 365 voor enterprise Test Lab Guide stack, gaat u naar Microsoft 365 voor enterprise Test Lab Guide Stack.For a visual map to all the articles in the Microsoft 365 for enterprise Test Lab Guide stack, go to Microsoft 365 for enterprise Test Lab Guide Stack.

Fase 1: uw Microsoft 365 voor bedrijfstestomgevingPhase 1: Build out your Microsoft 365 for enterprise test environment

Als u de beveiliging van globale beheerdersaccounts op een lichtgewicht manier wilt testen met de minimumvereisten, volgt u de instructies in Lichtgewicht basisconfiguratie.If you want to test global administrator account protection in a lightweight way with the minimum requirements, follow the instructions in Lightweight base configuration.

Als u de beveiliging van globale beheerdersaccounts in een gesimuleerde onderneming wilt testen, volgt u de instructies in Pass-through-verificatie.If you want to test global administrator account protection in a simulated enterprise, follow the instructions in Pass-through authentication.

Notitie

Voor het testen van globale beheerdersaccountbeveiliging is geen gesimuleerde bedrijfstestomgeving vereist, waaronder een gesimuleerd intranet dat is verbonden met internet en adreslijstsynchronisatie voor een AD DS (Active Directory Domain Services).Testing global administrator account protection does not require the simulated enterprise test environment, which includes a simulated intranet connected to the internet and directory synchronization for an Active Directory Domain Services (AD DS). Het wordt hier als een optie aangeboden, zodat u de beveiliging van globale beheerdersaccounts kunt testen en erop kunt experimenteren in een omgeving die een normale organisatie vertegenwoordigt.It is provided here as an option so that you can test global administrator account protection and experiment with it in an environment that represents a typical organization.

Fase 2: Beleid voor voorwaardelijke toegang configurerenPhase 2: Configure conditional access policies

Maak eerst een nieuw gebruikersaccount als een toegewezen globale beheerder.First, create a new user account as a dedicated global administrator.

  1. Open op een afzonderlijk tabblad het Microsoft 365 beheercentrum.On a separate tab, open the Microsoft 365 admin center.
  2. Selecteer Gebruikers > Actieve gebruikers en selecteer vervolgens Een gebruiker toevoegen.Select Users > Active users, and then select Add a user.
  3. Voer in het deelvenster Gebruiker toevoegen DedicatedAdmin in de vakken Voornaam, Weergavenaam en Gebruikersnaam in.In the Add user pane, enter DedicatedAdmin in the First name, Display name, and Username boxes.
  4. Selecteer Wachtwoord, selecteer Laat me het wachtwoord maken en voer een sterk wachtwoord in.Select Password, select Let me create the password, and then enter a strong password. Neem het wachtwoord voor dit nieuwe account op een veilige locatie op.Record the password for this new account in a secure location.
  5. Selecteer Volgende.Select Next.
  6. Selecteer in het deelvenster Productlicenties toewijzen Microsoft 365 E5 en selecteer volgende.In the Assign product licenses pane, select Microsoft 365 E5, and then select Next.
  7. Selecteer in het deelvenster Optionele instellingen de optie > Rollenbeheerder toegang tot Globale > beheerder > Volgende.In the Optional settings pane, select Roles > Admin center access > Global admin > Next.
  8. Selecteer in het deelvenster U bent bijna klaar de optie Toevoegen voltooien en selecteer vervolgens Sluiten.On the You're almost done pane, select Finish adding, and then select Close.

Maak vervolgens een nieuwe groep met de naam GlobalAdmins en voeg het DedicatedAdmin-account hieraan toe.Next, create a new group named GlobalAdmins and add the DedicatedAdmin account to it.

  1. Selecteer op Microsoft 365 tabblad Beheercentrum de optie Groepen in de linkernavigatie en selecteer vervolgens Groepen.On the Microsoft 365 admin center tab, select Groups in the left navigation, and then select Groups.
  2. Selecteer Een groep toevoegen.Select Add a group.
  3. Selecteer in het deelvenster Een groeptype kiezen de optie Beveiliging en selecteer vervolgens Volgende.In the Choose a group type pane, select Security, and then select Next.
  4. Selecteer in het deelvenster De basisbeginselen instellen de optie Groep maken en selecteer vervolgens Sluiten.In the Set up the basics pane, select Create group, and then select Close.
  5. Voer in het deelvenster Controleren en voltooien groep toevoegen GlobalAdmins in en selecteer volgende.In the Review and finish adding group pane, enter GlobalAdmins, and then select Next.
  6. Selecteer in de lijst met groepen de groep GlobalAdmins.In the list of groups, select the GlobalAdmins group.
  7. Selecteer leden in het deelvenster GlobalAdmins en selecteer vervolgens Alle leden weergeven en beheren.In the GlobalAdmins pane, select Members, and then select View all and manage members.
  8. Selecteer in het deelvenster GlobalAdmins de optie Leden toevoegen, selecteer het DedicatedAdmin-account en uw globale beheerdersaccount en selecteer vervolgens Sluiten > > sluiten opslaan.In the GlobalAdmins pane, select Add members, select the DedicatedAdmin account and your global admin account, and then select Save > Close > Close.

Maak vervolgens beleid voor voorwaardelijke toegang om meervoudige verificatie voor globale beheerdersaccounts te vereisen en verificatie te weigeren als het aanmeldingsrisico gemiddeld of hoog is.Next, create conditional access policies to require multi-factor authentication for global administrator accounts and to deny authentication if the sign-in risk is medium or high.

Dit eerste beleid vereist dat alle globale beheerdersaccounts MFA gebruiken.This first policy requires that all global administrator accounts use MFA.

  1. Ga op een nieuw tabblad van uw browser naar https://portal.azure.com .In a new tab of your browser, go to https://portal.azure.com.
  2. Klik Azure Active Directory > > Voorwaardelijke toegang voor beveiliging.Click Azure Active Directory > Security > Conditional Access.
  3. Selecteer in het deelvenster Voorwaardelijke toegang - Beleid de optie Basislijnbeleid: MFA vereisen voor beheerders (voorbeeld).In the Conditional access – Policies pane, select Baseline policy: Require MFA for admins (preview).
  4. Selecteer in het deelvenster Basislijnbeleid de optie Beleid direct gebruiken > Opslaan.In the Baseline policy pane, select Use policy immediately > Save.

Dit tweede beleid blokkeert de toegang tot globale verificatie van beheerdersaccounts wanneer het aanmeldingsrisico gemiddeld of hoog is.This second policy blocks access to global administrator account authentication when the sign-in risk is medium or high.

  1. Selecteer in het deelvenster Voorwaardelijke toegang – Beleid de optie Nieuw beleid.In the Conditional access – Policies pane, select New policy.
  2. Voer in het deelvenster Nieuw globale beheerders in naam in.In the New pane, enter Global administrators in Name.
  3. Selecteer gebruikers en groepen in de sectie Opdrachten.In the Assignments section, select Users and groups.
  4. Selecteer op het tabblad Opnemen van het deelvenster Gebruikers en groepen de optie Gebruikers en groepen selecteren Gebruikers > en groepen > Selecteren.On the Include tab of the Users and groups pane, select Select users and groups > Users and groups > Select.
  5. Selecteer in het deelvenster Selecteren de groep GlobalAdmins en selecteer vervolgens Done > selecteren.In the Select pane, select the GlobalAdmins group, and then select Select > Done.
  6. Selecteer voorwaarden in de sectie Opdrachten.In the Assignments section, select Conditions.
  7. Selecteer in het deelvenster Voorwaarden de optie Aanmeldingsrisico, selecteer Ja voor configureren, selecteer Hoog en Gemiddeld en selecteer vervolgens Selecteren en Klaar.In the Conditions pane, select Sign-in risk, select Yes for Configure, select High and Medium, and then select Select and Done.
  8. Selecteer in de sectie Besturingselementen van Access van het deelvenster Nieuw de optie Grant.In the Access controls section of the New pane, select Grant.
  9. Selecteer in het deelvenster Verlenen de optie Toegang blokkeren en selecteer vervolgens Selecteren.In the Grant pane, select Block access, and then select Select.
  10. Selecteer in het deelvenster Nieuw de optie Aan voor Beleid inschakelen en selecteer vervolgens Maken.In the New pane, select On for Enable policy, and then select Create.
  11. Sluit de Azure-portal en Microsoft 365 tabbladen van het beheercentrum.Close the Azure portal and Microsoft 365 admin center tabs.

Als u het eerste beleid wilt testen, meld u zich af en meld u aan met het DedicatedAdmin-account.To test the first policy, sign out and sign in with the DedicatedAdmin account. U moet worden gevraagd om MFA te configureren.You should be prompted to configure MFA. Dit laat zien dat het eerste beleid wordt toegepast.This demonstrates that the first policy is being applied.

Volgende stapNext step

Verken aanvullende identiteitsfuncties en -mogelijkheden in uw testomgeving.Explore additional identity features and capabilities in your test environment.

Zie ookSee also

Routekaart voor identiteitIdentity roadmap

Microsoft 365 Enterprise-testlabrichtlijnenMicrosoft 365 for enterprise Test Lab Guides

Overzicht van Microsoft 365 voor ondernemingenMicrosoft 365 for enterprise overview

Microsoft 365 enterprise-documentatieMicrosoft 365 for enterprise documentation