Algemeen beleid voor identiteiten en apparaattoegangCommon identity and device access policies

In dit artikel wordt het aanbevolen beleid beschreven voor de beveiliging van de toegang tot Microsoft 365-cloudservices, waaronder on-premises toepassingen die zijn gepubliceerd met de toepassings proxy Azure Active Directory (Azure AD).This article describes the common recommended policies for securing access to Microsoft 365 cloud services, including on-premises applications published with Azure Active Directory (Azure AD) Application Proxy.

In deze richtlijnen wordt uitgelegd hoe u de aanbevolen beleidsregels implementeert in een nieuw ingerichte omgeving.This guidance discusses how to deploy the recommended policies in a newly-provisioned environment. Door deze beleidsregels in een afzonderlijke lab-omgeving in te stellen, kunt u de aanbevolen beleidsregels uitleggen en evalueren voordat u de implementatie uitschakelt voor de producties en productieomgevingen.Setting up these policies in a separate lab environment allows you to understand and evaluate the recommended policies before staging the rollout to your preproduction and production environments. Uw zojuist ingerichte omgeving kan alleen in de Cloud of hybride worden weergegeven om de evaluatie behoeften weer te geven.Your newly provisioned environment can be cloud-only or hybrid to reflect your evaluation needs.

BeleidsinstellingPolicy set

In het volgende diagram wordt de aanbevolen set beleidsregels getoond.The following diagram illustrates the recommended set of policies. In dit voorbeeld wordt aangegeven welke beveiligings bescherming elk beleid van toepassing is en of het beleid van toepassing is op Pc's of telefoons en tablets, of op beide soorten apparaten.It shows which tier of protections each policy applies to and whether the policies apply to PCs or phones and tablets, or both categories of devices. Ook wordt aangegeven waar u deze beleidsregels configureert.It also indicates where you configure these policies.

 Veelgebruikte beleidsregels voor het configureren van de identiteit en Apparaattoegang bieden een grotere versie van deze afbeelding weerCommon policies for configuring identity and device access See a larger version of this image

Hier ziet u een PDF-samenvatting van één pagina met koppelingen naar de afzonderlijke beleidsregels:Here's a one-page PDF summary with links to the individual policies:

Afbeelding van miniatuur voor identiteit en beveiliging van identiteit en apparaat voorhand-out van Microsoft 365Thumb image for Identity and device protection for Microsoft 365 handout
Weergeven als een PDF-bestand | Downloaden als een PDF-bestandView as a PDF | Download as a PDF

In de rest van dit artikel wordt uitgelegd hoe u deze beleidsregels configureert.The rest of this article describes how to configure these policies.

Notitie

Als u wilt dat het gebruik van multi-factor Authentication (MFA) wordt aanbevolen voordat u intune-apparaten registreert, moet u ervoor zorgen dat het apparaat over de juiste gebruiker beschikt.Requiring the use of multi-factor authentication (MFA) is recommended before enrolling devices in Intune to assure that the device is in the possession of the intended user. U moet apparaten in intune registreren voordat u beleidsregels voor apparaatcompatibiliteit kunt afdwingen.You must enroll devices in Intune before you can enforce device compliance policies.

Om u tijd te bieden voor het uitvoeren van deze taken, wordt u aangeraden het basisbeleid voor basisregels te implementeren in de volgorde waarin deze tabel wordt weergegeven.To give you time to accomplish these tasks, we recommend implementing the baseline policies in the order listed in this table. De MFA-beleidsregels voor gevoelige en hoogst gereglementeerde beveiligingsniveaus kunnen op elk moment worden geïmplementeerd.However, the MFA policies for sensitive and highly regulated levels of protection can be implemented at any time.

BeveiligingsniveauProtection level LijnenPolicies Meer informatieMore information
BasislijnBaseline MFA vereisen wanneer het aanmeld risico normaal of hoog isRequire MFA when sign-in risk is medium or high
Clients blokkeren die moderne verificatie niet ondersteunenBlock clients that don't support modern authentication Clients die geen moderne verificatie gebruiken, kunnen het beleid voor voorwaardelijke toegang omzeilen, dus het is belangrijk dat u dit blokkeert.Clients that do not use modern authentication can bypass Conditional Access policies, so it's important to block these.
Gebruikers met een hoog risico moeten het wachtwoord wijzigenHigh risk users must change password Hiermee zorgt u dat gebruikers hun wachtwoord kunnen wijzigen bij het aanmelden als er een High Risk-activiteit voor hun account wordt gedetecteerd.Forces users to change their password when signing in if high-risk activity is detected for their account.
Beleid voor app-gegevensbeveiliging toepassenApply app data protection policies Eén beleid voor het intune-app-bescherming per platform (Windows, iOS of iPadOS, Android).One Intune App Protection policy per platform (Windows, iOS/iPadOS, Android).
Goedgekeurde apps en app-beveiliging vereisenRequire approved apps and app protection Hiermee wordt de bescherming van de mobiele app afgedwongen voor telefoons en tablets via iOS, iPadOS of Android.Enforces mobile app protection for phones and tablets using iOS, iPadOS, or Android.
Beleidsregels voor naleving van apparaten definiërenDefine device compliance policies Eén beleid voor elk platform.One policy for each platform.
Eis conforme pc’sRequire compliant PCs Het intune-beheer van Pc's afdwingen met behulp van Windows of MacOS.Enforces Intune management of PCs using Windows or MacOS.
GevoeligSensitive MFA vereisen wanneer het aanmelding van risico slecht, gemiddeldof hoog isRequire MFA when sign-in risk is low, medium, or high
Compatibele Pc's en mobiele apparaten vereisenRequire compliant PCs and mobile devices Dwing het intune-beheer af voor Pc's (Windows of MacOS) en telefoons of Tablets (iOS, iPadOS of Android).Enforces Intune management for both PCs (Windows or MacOS) and phones or tablets (iOS, iPadOS, or Android).
Sterk gereglementeerdHighly regulated Altijd MFA vereisenAlways require MFA

Beleid toewijzen aan groepen en gebruikersAssigning policies to groups and users

Voordat u beleidsregels configureert, identificeert u de groepen van Azure AD die u voor elke beschermingsniveau gebruikt.Before configuring policies, identify the Azure AD groups you are using for each tier of protection. Normaalgesproken geldt er basislijn beveiliging voor iedereen in de organisatie.Typically, baseline protection applies to everybody in the organization. Een gebruiker die is opgenomen in de basislijn en de gevoelige beveiliging, heeft alle toegepaste basisregels plus het gevoelige beleid.A user who is included for both baseline and sensitive protection will have all the baseline policies applied plus the sensitive policies. Beveiliging is cumulatief en het meest beperkte beleid wordt afgedwongen.Protection is cumulative and the most restrictive policy is enforced.

U wordt geadviseerd een Azure AD-groep te maken voor de uitsluiting van voorwaardelijke toegang.A recommended practice is to create an Azure AD group for Conditional Access exclusion. Voeg deze groep toe aan al uw voorwaardelijke toegangsbeleidsregels in de instelling uitsluiten van de instelling gebruikers en groepen in de sectie opdrachten .Add this group to all of your Conditional Access policies in the Exclude value of the Users and groups setting in the Assignments section. U onthoudt een methode voor het verlenen van toegang aan een gebruiker wanneer u problemen met Access oplost.This gives you a method to provide access to a user while you troubleshoot access issues. Dit wordt alleen aanbevolen als tijdelijke oplossing.This is recommended as a temporary solution only. Bewaakt deze groep voor wijzigingen en zorg ervoor dat de uitsluitings groep uitsluitend wordt gebruikt zoals bedoeld.Monitor this group for changes and be sure the exclusion group is being used only as intended.

Hier ziet u een voorbeeld van opdrachten en uitsluitingen van groepen voor de vereiste MFA.Here's an example of group assignment and exclusions for requiring MFA.

Voorbeeld van toewijzingen en uitsluitingen van groepen voor MFA-beleid

Dit zijn de resultaten:Here are the results:

  • Alle gebruikers moeten gebruikmaken van MFA wanneer het aantekening van het risico normaal of hoog is.All users are required to use MFA when the sign-in risk is medium or high.

  • Leden van de groep werknemers moeten zijn verplicht MFA te gebruiken als het risico voor aanmeldingen laag, normaal of hoog is.Members of the Executive Staff group are required to use MFA when the sign-in risk is low, medium, or high.

    In dit geval komen leden van de groep werknemers overeen met de basislijn en het beleid voor voorwaardelijke toegang.In this case, members of the Executive Staff group match both the baseline and sensitive Conditional Access policies. De besturingselementen voor het openen van beide beleidsregels worden gecombineerd, wat niet het geval is.The access controls for both policies are combined, which in this case is equivalent to the sensitive Conditional Access policy.

  • Leden van de bovenste Secret Project X-groep zijn altijd verplicht MFA te gebruikenMembers of the Top Secret Project X group are always required to use MFA

    In dit geval komen leden van de bovenste geheimen van Project X-groepen overeen met het beleid voor voorwaardelijke toegang met basislijn en regels met volledig gereglementeerde regels.In this case, members of the Top Secret Project X group match both the baseline and highly-regulated Conditional Access policies. De toegangs elementen voor beide beleidsregels worden gecombineerd.The access controls for both policies are combined. Aangezien de toegangsregeling voor het zwaarbeveiligde beleid voor voorwaardelijke toegang meer beperkingen bevat, wordt dit gebruikt.Because the access control for the highly-regulated Conditional Access policy is more restrictive, it is used.

Wees voorzichtig wanneer u een hoger beveiligingsniveau toepast voor groepen en gebruikers.Be careful when applying higher levels of protection to groups and users. Leden van de hoofdmap Project X zijn bijvoorbeeld verplicht MFA te gebruiken telkens wanneer ze zich aanmelden, ook als ze niet werken met de uiterst gereguleerde inhoud van Project X.For example, members of the Top Secret Project X group will be required to use MFA every time they sign in, even if they are not working on the highly-regulated content for Project X.

Alle Azure AD-groepen die als onderdeel van deze aanbevelingen zijn gemaakt, moeten worden gemaakt als Microsoft 365-groepen.All Azure AD groups created as part of these recommendations must be created as Microsoft 365 groups. Dit is belangrijk voor de implementatie van tekstlabels bij het beveiligen van documenten in Microsoft teams en SharePoint.This is important for the deployment of sensitivity labels when securing documents in Microsoft Teams and SharePoint.

Schermafbeelding van het maken van Microsoft 365-groepen

MFA vereisen op basis van aanmeldings risicoRequire MFA based on sign-in risk

U moet uw gebruikers registreren voor MFA voordat u het gebruik ervan moet vereisen.You should have your users register for MFA prior to requiring its use. Als u met Microsoft 365 E5, Microsoft 365 E3 met de identiteit & invoegtoepassing voor beveiliging van bedreiging, Office 365 met EMS E5 of afzonderlijke Azure AD Premium-licenties hebt, kunt u het MFA-registratiebeleid gebruiken met Azure AD Identity Protection om gebruikers registreren voor MFA in te stellen.If you have Microsoft 365 E5, Microsoft 365 E3 with the Identity & Threat Protection add-on, Office 365 with EMS E5, or individual Azure AD Premium P2 licenses, you can use the MFA registration policy with Azure AD Identity Protection to require that users register for MFA. Het vereiste werk omvat het registreren van alle gebruikers met MFA.The prerequisite work includes registering all users with MFA.

Nadat uw gebruikers zijn geregistreerd, kunt u MFA vereisen voor aanmelding met een nieuw beleid voor voorwaardelijke toegang.After your users are registered, you can require MFA for sign-in with a new Conditional Access policy.

  1. Ga naar de Azure-Portalen meld u aan met uw referenties.Go to the Azure portal, and sign in with your credentials.
  2. Kies in de lijst met Azure-Services Azure Active Directory.In the list of Azure services, choose Azure Active Directory.
  3. Kies beveiligingin de lijst beheren en kies voorwaardelijke toegang.In the Manage list, choose Security, and then choose Conditional Access.
  4. Kies nieuwe beleids tekst en typ de naam van het nieuwe beleid.Choose New policy and type the new policy's name.

In de volgende tabellen worden de beleidsinstellingen voor voorwaardelijke toegang beschreven waarop MFA is vereist op basis van een aanmeldings risico.The following tables describes the Conditional Access policy settings to require MFA based on sign-in risk.

In de sectie opdrachten :In the Assignments section:

InstellingSetting EigenschappenProperties WaardenValues OpmerkingenNotes
Gebruikers en groepenUsers and groups VoorzienInclude Selecteer gebruikers en groepen > gebruikers en groepen: Selecteer specifieke groepen met gerichte gebruikersaccounts.Select users and groups > Users and groups: Select specific groups containing targeted user accounts. Begin met de groep die gebruikersaccounts voor prototype bevat.Start with the group that includes pilot user accounts.
UitExclude Gebruikers en groepen: Selecteer uw groep met uitzonderingen voor voorwaardelijke toegang. serviceaccounts (app-Identities).Users and groups: Select your Conditional Access exception group; service accounts (app identities). Het lidmaatschap moet zo nodig worden gewijzigd.Membership should be modified on an as-needed, temporary basis.
Cloud-apps of-actiesCloud apps or actions > van Cloud apps zijn inbegrepenCloud apps > Include Selecteer apps: Selecteer de apps waarop u dit beleid wilt toepassen.Select apps: Select the apps you want this policy to apply to. Selecteer bijvoorbeeld Exchange Online.For example, select Exchange Online.
VastgesteldeConditions Configureer voorwaarden die specifiek zijn voor uw omgeving en behoefte.Configure conditions that are specific to your environment and needs.
Aanmeld risicoSign-in risk Zie de instructies in de volgende tabel.See the guidance in the following table.

Instellingen voor aanmeldings risicoSign-in risk condition settings

De instellingen voor risiconiveau toepassen op basis van het beschermingsniveau dat u wilt instellen.Apply the risk level settings based on the protection level you are targeting.

BeschermingsniveauLevel of protection Vereiste risiconiveau waardenRisk level values needed ActierijAction
BasislijnBaseline Hoog, normaalHigh, medium Schakel beide selectievakjes in.Check both.
GevoeligSensitive Hoog, normaal, laagHigh, medium, low Selecteer alledrie.Check all three.
Sterk gereglementeerdHighly regulated Schakel alle opties uit om MFA altijd af te dwingen.Leave all options unchecked to always enforce MFA.

In de sectie Access-besturingselementen :In the Access controls section:

InstellingSetting EigenschappenProperties WaardenValues ActierijAction
WijsGrant Grant accessGrant access KiestSelect
Verificatie via meerdere factoren vereisenRequire Multi-factor authentication ChequeCheck
Alle geselecteerde besturingselementen vereisenRequire all the selected controls KiestSelect

Kies selecteren om de machtigings instellingen op te slaan.Choose Select to save the Grant settings.

Selecteer ten slotte het selectievakje ingeschakeld voor het beleid inschakelenen kies vervolgens maken.Finally, select On for Enable policy, and then choose Create.

U kunt ook het hulpprogramma Wat als gebruiken om het beleid te testen.Also consider using the What if tool to test the policy.

Cliënten blokkeren die geen moderne verificatie ondersteunenBlock clients that don't support modern authentication

Gebruik de instellingen in deze tabellen voor een voorwaardelijk toegangsbeleid om clients te blokkeren die moderne verificatie niet ondersteunen.Use the settings in these tables for a Conditional Access policy to block clients that don't support modern authentication.

Zie dit artikel voor een lijst met klanten in microsoft 365 met moderne verificatie voor Suppport.See this article for a list of clients in Microsoft 365 that do suppport modern authentication.

In de sectie opdrachten :In the Assignments section:

InstellingSetting EigenschappenProperties WaardenValues OpmerkingenNotes
Gebruikers en groepenUsers and groups VoorzienInclude Selecteer gebruikers en groepen > gebruikers en groepen: Selecteer specifieke groepen met gerichte gebruikersaccounts.Select users and groups > Users and groups: Select specific groups containing targeted user accounts. Begin met de groep die gebruikersaccounts voor prototype bevat.Start with the group that includes pilot user accounts.
UitExclude Gebruikers en groepen: Selecteer uw groep met uitzonderingen voor voorwaardelijke toegang. serviceaccounts (app-Identities).Users and groups: Select your Conditional Access exception group; service accounts (app identities). Het lidmaatschap moet zo nodig worden gewijzigd.Membership should be modified on an as-needed, temporary basis.
Cloud-apps of-actiesCloud apps or actions > van Cloud apps zijn inbegrepenCloud apps > Include Selecteer apps: Selecteer de apps die overeenkomen met de clients die moderne verificatie niet ondersteunen.Select apps: Select the apps corresponding to the clients that do not support modern authentication.
VastgesteldeConditions Client toepassingenClient apps Kies Ja voor configurerenChoose Yes for Configure
De vinkjes voor browser -en mobiele apps en desktop clients wissenClear the check marks for Browser and Mobile apps and desktop clients

In de sectie Access-besturingselementen :In the Access controls section:

InstellingSetting EigenschappenProperties WaardenValues ActierijAction
WijsGrant Toegang blokkerenBlock access KiestSelect
Alle geselecteerde besturingselementen vereisenRequire all the selected controls KiestSelect

Kies selecteren om de machtigings instellingen op te slaan.Choose Select to save the Grant settings.

Selecteer ten slotte het selectievakje ingeschakeld voor het beleid inschakelenen kies vervolgens maken.Finally, select On for Enable policy, and then choose Create.

U kunt ook het hulpmiddel Wat als gebruiken om het beleid te testen.Consider using the What if tool to test the policy.

Voor Exchange Online kunt u authenticatiebeleid gebruiken om Basisverificatie uit te schakelen, waardoor alle aanvragen voor clienttoegang worden gebruikt voor moderne verificatie.For Exchange Online, you can use authentication policies to disable Basic authentication, which forces all client access requests to use modern authentication.

Gebruikers met een hoog risico moeten het wachtwoord wijzigenHigh risk users must change password

U moet het volgende beleid toepassen om ervoor te zorgen dat alle accounts met een hoog risico voor het opnieuw instellen van wachtwoorden worden geforceerd wanneer ze zich aanmelden.To ensure that all high-risk users' compromised accounts are forced to perform a password change when signing-in, you must apply the following policy.

Meld u aan bij de Microsoft Azure https://portal.azure.com) -Portal ( met uw beheerdersreferenties en ga vervolgens naar Azure AD-identiteitsbeveiliging > gebruikers risico beleid.Log in to the Microsoft Azure portal (https://portal.azure.com) with your administrator credentials, and then navigate to Azure AD Identity Protection > User Risk Policy.

In de sectie opdrachten :In the Assignments section:

TypeType EigenschappenProperties WaardenValues ActierijAction
GebruikersUsers VoorzienInclude Alle gebruikersAll users KiestSelect
Gebruikers risicoUser risk HoogHigh KiestSelect

In het tweede gedeelte toewijzingen :In the second Assignments section:

TypeType EigenschappenProperties WaardenValues ActierijAction
AccessAccess Toegang toestaanAllow access KiestSelect
Wachtwoord wijzigen vereistRequire password change ChequeCheck

Kies gereed om de instellingen voor Access op te slaan.Choose Done to save the Access settings.

Selecteer ten slotte het selectievakje inschakelen voor beleid afdwingenen kies vervolgens Opslaan.Finally, select On for Enforce policy, and then choose Save.

U kunt ook het hulpmiddel Wat als gebruiken om het beleid te testen.Consider using the What if tool to test the policy.

U kunt dit beleid gebruiken in combinatie met Azure AD-wachtwoordbeveiliging configureren, waarmee bekende zwakke wachtwoorden en hun varianten worden gedetecteerd en geblokkeerd, en extra zwakke termen die specifiek zijn voor uw organisatie.Use this policy in conjunction with Configure Azure AD password protection, which detects and blocks known weak passwords and their variants and additional weak terms that are specific to your organization. Met de wachtwoordbeveiliging van Azure Active Directory zorgt u ervoor dat gewijzigde wachtwoorden sterk zijn.Using Azure AD password protection ensures that changed passwords are strong ones.

Beleid voor APP-gegevensbeveiliging toepassenApply APP data protection policies

App-beveiligingsbeleid (APP) Definieer welke apps zijn toegestaan en welke acties ze kunnen uitvoeren met de gegevens van uw organisatie.App Protection Policies (APP) define which apps are allowed and the actions they can take with your organization's data. Met de beschikbare opties in de APP kunnen organisaties de beveiliging op hun specifieke behoeften aanpassen.The choices available in APP enable organizations to tailor the protection to their specific needs. Voor sommige gevallen is het mogelijk niet duidelijk welke beleidsinstellingen zijn vereist voor de implementatie van een compleet scenario.For some, it may not be obvious which policy settings are required to implement a complete scenario. Microsoft heeft de taxonomie geïntroduceerd voor de APP Data Protection Framework voor iOS-en Android-apps voor mobiele apparaten.To help organizations prioritize mobile client endpoint hardening, Microsoft has introduced taxonomy for its APP data protection framework for iOS and Android mobile app management.

De APP Data Protection Framework is onderverdeeld in drie verschillende configuratieniveaus, waarbij elk niveau van het vorige niveau wordt opgebouwd:The APP data protection framework is organized into three distinct configuration levels, with each level building off the previous level:

  • Met Enterprise Basic Data Protection (niveau 1) zorgt u ervoor dat apps zijn beveiligd met een pincode en worden versleuteld en om selectief wissen te uitvoeren.Enterprise basic data protection (Level 1) ensures that apps are protected with a PIN and encrypted and performs selective wipe operations. Voor Android-apparaten valideert dit niveau Android-apparaatstatusverklaring.For Android devices, this level validates Android device attestation. Dit is een configuratie op het niveau van het gegevensbescherming van een e-mailbericht dat vergelijkbaar is met gegevensbescherming in Postvak beleid van Exchange Online, met ininformatie over en de gebruikers bevolking op APP.This is an entry level configuration that provides similar data protection control in Exchange Online mailbox policies and introduces IT and the user population to APP.
  • Enterprise Enhanced Data Protection (niveau 2) introduceert app data lekkage preventie en minimale besturingssysteemvereisten.Enterprise enhanced data protection (Level 2) introduces APP data leakage prevention mechanisms and minimum OS requirements. Dit is de configuratie die van toepassing is op de meeste mobiele gebruikers, die werk-of school gegevens raadplegen.This is the configuration that is applicable to most mobile users accessing work or school data.
  • Met High Data Protection (niveau 3) van de onderneming worden geavanceerde mechanismen voor gegevensbeveiliging geïntroduceerd, verbeterde configuratie van pincode en beveiliging van de mobiele bedreiging van de app.Enterprise high data protection (Level 3) introduces advanced data protection mechanisms, enhanced PIN configuration, and APP Mobile Threat Defense. Deze configuratie is wenselijk voor gebruikers die toegang hebben tot de High Risk-gegevens.This configuration is desirable for users that are accessing high risk data.

Als u de specifieke aanbevelingen voor elk configuratieniveau en de minimaal te beschermen Apps wilt bekijken, moet u gegevens beschermings raamwerk raadplegen met behulp van het app-beveiligingsbeleid.To see the specific recommendations for each configuration level and the minimum apps that must be protected, review Data protection framework using app protection policies.

Met behulp van de basisprincipes van het werken met identiteits-en Apparaattoegang-configuraties, de plattegrond van de basislijn en de gevoelige beveiliging nauwkeurig met de instellingen voor verbeterde gegevensbeveiliging van niveau 2 Enterprise.Using the principles outlined in Identity and device access configurations, the Baseline and Sensitive protection tiers map closely with the Level 2 enterprise enhanced data protection settings. De zeer gereguleerde beveiligingslagen zijn nauwkeurig voor de instellingen voor hoog beveiligingsniveau van de onderneming van niveau 3.The Highly regulated protection tier maps closely to the Level 3 enterprise high data protection settings.

BeveiligingsniveauProtection level Beleid voor app-beveiligingApp Protection Policy Meer informatieMore information
BasislijnBaseline Niveau 2 verbeterde gegevensbeschermingLevel 2 enhanced data protection Met de beleidsinstellingen die worden toegepast op niveau 2, zijn alle beleidsinstellingen die worden aanbevolen voor niveau 1 opgenomen en worden de onderstaande beleidsinstellingen toegevoegd of bijgewerkt om meer besturingselementen te implementeren en een meer verfijnde configuratie dan niveau 1 te implementeren.The policy settings enforced in level 2 include all the policy settings recommended for level 1 and only adds to or updates the below policy settings to implement more controls and a more sophisticated configuration than level 1.
GevoeligSensitive Niveau 2 verbeterde gegevensbeschermingLevel 2 enhanced data protection Met de beleidsinstellingen die worden toegepast op niveau 2, zijn alle beleidsinstellingen die worden aanbevolen voor niveau 1 opgenomen en worden de onderstaande beleidsinstellingen toegevoegd of bijgewerkt om meer besturingselementen te implementeren en een meer verfijnde configuratie dan niveau 1 te implementeren.The policy settings enforced in level 2 include all the policy settings recommended for level 1 and only adds to or updates the below policy settings to implement more controls and a more sophisticated configuration than level 1.
Zeer gereguleerdHighly Regulated Niveau 3 Enterprise High Data ProtectionLevel 3 enterprise high data protection Met de beleidsinstellingen die worden toegepast op niveau 3, worden alle beleidsinstellingen die worden aanbevolen voor niveau 1 en 2, weergegeven en worden alleen de onderstaande beleidsinstellingen toegevoegd of bijgewerkt om meer besturingselementen en een verfijnde configuratie van niveau 2 te implementeren.The policy settings enforced in level 3 include all the policy settings recommended for level 1 and 2 and only adds to or updates the below policy settings to implement more controls and a more sophisticated configuration than level 2.

U kunt als volgt een nieuw beleid voor app-beveiliging maken voor elk platform (iOS en Android) in Microsoft Endpoint Manager met de instellingen voor Data Protection Framework:To create a new app protection policy for each platform (iOS and Android) within Microsoft Endpoint Manager using the data protection framework settings, you can:

  1. Maak handmatig een beleid door de stappen te volgen voor het maken en implementeren van een app-beveiligingsbeleid met Microsoft intune.Manually create the policies by following the steps in How to create and deploy app protection policies with Microsoft Intune.
  2. Importeer de JSON-sjablonen voor het voorbeeld van een intune-app-beveiligings raamwerk met de PowerShell-scripts van intune.Import the sample Intune App Protection Policy Configuration Framework JSON templates with Intune's PowerShell scripts.

Goedgekeurde apps en APP-beveiliging vereisenRequire approved apps and APP protection

Als u wilt dat het beleid voor APP-beveiliging afdwingt dat u hebt toegepast op intune, moet u een beleid voor voorwaardelijke toegang maken om goedgekeurde client-apps en de voorwaarden in het beleid voor APP-beveiliging te vereisen.To enforce the APP protection policies you applied in Intune, you must create a Conditional Access policy to require approved client apps and the conditions set in the APP protection policies.

Voor het afdwingen van een APP-beveiligingsbeleid is een set beleidsregels vereist die worden beschreven in het beleid voor de app-beveiliging vereisen voor toegang tot de Cloud-app met voorwaardelijke toegang.Enforcing APP protection policies requires a set of policies described in in Require app protection policy for cloud app access with Conditional Access. Deze beleidsregels zijn allemaal opgenomen in deze aanbevolen set identiteit en toegangsbeleid.These policies are each included in this recommended set of identity and access configuration policies.

Als u het beleid voor voorwaardelijke toegang wilt maken waarvoor goedgekeurde apps en APP-beveiliging zijn vereist, volgt u ' stap 1: een Azure AD voor Microsoft-beleid instellen voor Microsoft 365 ' in scenario 1: voor Microsoft 365-apps zijn goedgekeurde apps vereist met een app-beveiligingsbeleid, waaronder Outlook voor IOS en Android-clients, maar wel VPN-clients met Exchange Online.To create the Conditional Access policy that requires approved apps and APP protection, follow "Step 1: Configure an Azure AD Conditional Access policy for Microsoft 365" in Scenario 1: Microsoft 365 apps require approved apps with app protection policies, which allows Outlook for iOS and Android, but blocks OAuth capable Exchange ActiveSync clients from connecting to Exchange Online.

Notitie

Met deze beleidsinstelling zorgt u ervoor dat mobiele gebruikers toegang hebben tot alle Office-eindpunten met behulp van de toepasselijke apps.This policy ensures mobile users can access all Office endpoints using the applicable apps.

Als u mobiele toegang voor Exchange Online inschakelt, kunt u blokkerings ActiveSync-clientsimplementeren, zodat Exchange ActiveSync-clients niet via basisverificatie verbinding maken met Exchange Online.If you are enabling mobile access to Exchange Online, implement Block ActiveSync clients, which prevents Exchange ActiveSync clients leveraging basic authentication from connecting to Exchange Online. Dit beleid is niet afbeelding van de afbeelding boven aan dit artikel.This policy is not pictured in the illustration at the top of this article. In dit onderwerp wordt beschreven hoe u beleids aanbevelingen voor de beveiliging van e-mail ontvangt.It is described and pictured in Policy recommendations for securing email.

Voor deze beleidsregels gelden de goedgekeurde client-app en het vereisen van een app-beveiligingsbeleid.These policies leverage the grant controls Require approved client app and Require app protection policy.

Ten slotte kunt u de oudere verificatie voor andere client-apps op iOS-en Android-apparaten blokkeren, zodat deze clients geen beleid voor voorwaardelijke toegang kunnen negeren.Finally, blocking legacy authentication for other client apps on iOS and Android devices ensures that these clients cannot bypass Conditional Access policies. Als u de instructies in dit artikel volgt, hebt u al een Blokkeer clients geconfigureerd die moderne verificatie niet ondersteunen.If you're following the guidance in this article, you've already configured Block clients that don't support modern authentication.

Beleid voor naleving van apparaat definiërenDefine device-compliance policies

Beleid voor naleving van apparaat definiëren de vereisten waaraan apparatuur moet voldoen om te voldoen aan de normen.Device-compliance policies define the requirements that devices must meet to be determined as compliant. U maakt een intune-apparaatcompatibiliteitbeleid vanuit het Beheercentrum van Microsoft Endpoint Manager.You create Intune device compliance policies from within the Microsoft Endpoint Manager admin center.

U moet een beleid maken voor elke PC, telefoon of Tablet platform:You must create a policy for each PC, phone, or tablet platform:

  • Android-apparaat beheerderAndroid device administrator
  • Android EnterpriseAndroid Enterprise
  • iOS-iPadOSiOS/iPadOS
  • macOSmacOS
  • Windows 8,1 en hogerWindows 8.1 and later
  • Windows 10 en hogerWindows 10 and later

U maakt beleidsregels voor naleving van apparaten door u aan te melden bij het Microsoft Endpoint Manager-Beheercentrum met uw Devicesbeheerdersreferenties en vervolgens naar > beleidsregels voornalevingsbeleidvan apparaten te navigeren > Policies.To create device compliance policies, log in to the Microsoft Endpoint Manager Admin Center with your administrator credentials, and then navigate to Devices > Compliance policies > Policies. Selecteer beleid maken.Select Create Policy.

Voor het toepassen van apparaatcompatibiliteit moet de beleidsregels worden toegewezen aan gebruikersgroepen.For device compliance policies to be deployed, they must be assigned to user groups. U kunt een beleid toewijzen nadat u het hebt gemaakt en opgeslagen.You assign a policy after you create and save it. Selecteer in het Beheercentrum het beleid en selecteer vervolgens opdrachten.In the admin center, select the policy and then select Assignments. Nadat u de groepen waarvoor u het beleid wilt ontvangen, hebt geselecteerd, selecteert u Opslaan om deze groepstoewijzing op te slaan en het beleid te implementeren.After selecting the groups that you want to receive the policy, select Save to save that group assignment and deploy the policy.

Zie een nalevingsbeleid maken in Microsoft intune in de intune-documentatie voor stapsgewijze instructies voor het maken van compliance-beleidsregels in intune.For step-by-step guidance on creating compliance policies in Intune, see Create a compliance policy in Microsoft Intune in the Intune documentation.

De volgende instellingen worden aanbevolen voor Pc's met Windows 10 en latere versies, zoals is geconfigureerd in stap 2: compliance Settings, van het proces voor het maken van beleid.The following settings are recommended for PCs running Windows 10 and later, as configured in Step 2: Compliance settings, of the policy creation process.

Zie de volgende tabel voor meer informatie over de statuswaarden van de apparaatstatusverklaring- Service >.For Device health > Windows Health Attestation Service evaluation rules, see this table.

EigenschappenProperties WaardeValue ActierijAction
BitLocker vereisenRequire BitLocker DientRequire KiestSelect
Het veilig opstarten moet zijn ingeschakeld op het apparaatRequire Secure Boot to be enabled on the device DientRequire KiestSelect
Code integriteit vereistRequire code integrity DientRequire KiestSelect

Voor Apparaateigenschappengeeft u de juiste waarden op voor besturingssysteemversies op basis van uw IT-en beveiligingsbeleid.For Device properties, specify appropriate values for operating system versions based on your IT and security policies.

Voor naleving van Configuration Managerselecteert u vereisen.For Configuration Manager Compliance, select Require.

Zie de volgende tabel voor meer informatie over systeembeveiliging.For System security, see this table.

TypeType EigenschappenProperties WaardeValue ActierijAction
WachtwoordPassword Een wachtwoord vereisen om mobiele apparaten te ontgrendelenRequire a password to unlock mobile devices DientRequire KiestSelect
Eenvoudige wachtwoordenSimple passwords BlokkerenBlock KiestSelect
Type wachtwoordPassword type Apparaat standaardDevice default KiestSelect
Minimale wachtwoordlengteMinimum password length zes6 TypeType
Maximum aantal minuten van inactiviteit voordat wachtwoord is vereistMaximum minutes of inactivity before password is required 1515 TypeType
Deze instelling wordt ondersteund voor Android-versies 4,0 en hoger of KNOX 4,0 en hoger.This setting is supported for Android versions 4.0 and above or KNOX 4.0 and above. Voor iOS-apparaten is de ondersteuning voor iOS 8,0 en hoger.For iOS devices, it's supported for iOS 8.0 and above.
Wachtwoord verloopt (dagen)Password expiration (days) 4141 TypeType
Aantal eerdere wachtwoorden om hergebruik te voorkomenNumber of previous passwords to prevent reuse vijf5 TypeType
Wachtwoord vereisen wanneer het apparaat niet-actief is (mobiele en Holographic)Require password when device returns from idle state (Mobile and Holographic) DientRequire Beschikbaar voor Windows 10 en nieuwere versiesAvailable for Windows 10 and later
VersleutelingEncryption Versleuteling van gegevensopslag op apparaatEncryption of data storage on device DientRequire KiestSelect
Beveiliging van apparatenDevice Security BlokkeertFirewall DientRequire KiestSelect
AntivirussoftwareAntivirus DientRequire KiestSelect
Programma'sAntispyware DientRequire KiestSelect
Voor deze instelling is een anti spyware-oplossing vereist die is geregistreerd met Windows Beveiligingscentrum.This setting requires an Anti-Spyware solution registered with Windows Security Center.
BeschermdDefender Microsoft Defender antimalwareMicrosoft Defender Antimalware DientRequire KiestSelect
Minimale versie Microsoft Defender antimalwareMicrosoft Defender Antimalware minimum version TypeType
Alleen ondersteund voor de bureaubladversie van Windows 10.Only supported for Windows 10 desktop. Microsoft adviseert geen versies van meer dan vijf erachter van de meest recente versie.Microsoft recommends versions no more than five behind from the most recent version.
Microsoft Defender antimalware-handtekening up-to-dateMicrosoft Defender Antimalware signature up to date DientRequire KiestSelect
Real-time beveiligingReal-time protection DientRequire KiestSelect
Alleen ondersteund voor Windows 10-bureaubladOnly supported for Windows 10 desktop

Microsoft Defender ATPMicrosoft Defender ATP

TypeType EigenschappenProperties WaardeValue ActierijAction
Regels voor Geavanceerd Bedreigingsbeveiliging voor Microsoft DefenderMicrosoft Defender Advanced Threat Protection rules Het apparaat moet zich op of onder de risicoscore voor de machine bevindenRequire the device to be at or under the machine-risk score MediumMedium KiestSelect

Compatibele Pc's (maar niet compliant telefoons en tablets) vereisenRequire compliant PCs (but not compliant phones and tablets)

Voordat u een beleid toevoegt voor het vereisen van compatibele Pc's, moet u de apparaten voor het beheer van intune registreren.Before adding a policy to require compliant PCs, be sure to enroll devices for management into Intune. Het gebruik van multi-factor Authentication wordt aanbevolen voordat u apparaten registreert voor een intune-service om zeker te zijn dat het apparaat in bezit is van de bedoelde gebruiker.Using multi-factor authentication is recommended before enrolling devices into Intune for assurance that the device is in the possession of the intended user.

Compatibele Pc's vereisen:To require compliant PCs:

  1. Ga naar de Azure-Portalen meld u aan met uw referenties.Go to the Azure portal, and sign in with your credentials.

  2. Kies in de lijst met Azure-Services Azure Active Directory.In the list of Azure services, choose Azure Active Directory.

  3. Kies beveiligingin de lijst beheren en kies voorwaardelijke toegang.In the Manage list, choose Security, and then choose Conditional Access.

  4. Kies nieuwe beleids tekst en typ de naam van het nieuwe beleid.Choose New policy and type the new policy's name.

  5. Onder toewijzingenkiest u gebruikers en groepen , en kunt u ook aangeven met wie u het beleid wilt toepassen.Under Assignments, choose Users and groups and include who you want the policy to apply to. Sluit ook uw groep met voorwaardelijke toegang.Also exclude your Conditional Access exclusion group.

  6. Kies onder opdrachtende optie Cloud-apps of acties.Under Assignments, choose Cloud apps or actions.

  7. Voor opnemenkiest u apps selecteren > selecterenen selecteert u vervolgens de gewenste apps in de lijst met Cloud-apps .For Include, choose Select apps > Select, and then select the desired apps from the Cloud apps list. Selecteer bijvoorbeeld Exchange Online.For example, select Exchange Online. Kies selecteren wanneer u klaar bent.Choose Select when done.

  8. Als u compatibele Pc's (maar niet de compliant telefoons en tablets) nodig hebt, kiest u onder opdrachtende optie voorwaarden > apparaat-platforms.To require compliant PCs (but not compliant phones and tablets), under Assignments, choose Conditions > Device platforms. Selecteer Ja voor configureren.Select Yes for Configure. Kies hardwareplatforms selecteren, selecteer Windows en macOSen kies vervolgens gereed.Choose Select device platforms, select Windows and macOS, and then choose Done.

  9. Kies subsidie onder toegangsbeheer.Under Access controls, choose Grant .

  10. Kies toegang verlenen en controleer vervolgens of apparaat is gemarkeerd als compatibel.Choose Grant access and then check Require device to be marked as compliant. Voor meerdere besturingselementen selecteert u alle geselecteerde besturingselementen vereisen.For multiple controls, select Require all the selected controls. Wanneer u klaar bent, kiest u selecteren.When complete, choose Select.

  11. Selecteer inschakelen voor beleidsoptie en kies vervolgens maken.Select On for Enable policy, and then choose Create.

Notitie

Zorg ervoor dat uw apparaat compatibel is voordat u dit beleid inschakelt.Make sure that your device is compliant before enabling this policy. Anders kon u uitgaand raken en kunt u dit beleid niet wijzigen totdat uw gebruikersaccount is toegevoegd aan de groep voorwaardelijke toegang.Otherwise, you could get locked out and will be unable to change this policy until your user account has been added to the Conditional Access exclusion group.

Compatibele Pc's en mobiele apparaten vereisenRequire compliant PCs and mobile devices

Naleving voor alle apparaten vereisen:To require compliance for all devices:

  1. Ga naar de Azure-Portalen meld u aan met uw referenties.Go to the Azure portal, and sign in with your credentials.

  2. Kies in de lijst met Azure-Services Azure Active Directory.In the list of Azure services, choose Azure Active Directory.

  3. Kies beveiligingin de lijst beheren en kies voorwaardelijke toegang.In the Manage list, choose Security, and then choose Conditional Access.

  4. Kies nieuwe beleids tekst en typ de naam van het nieuwe beleid.Choose New policy and type the new policy's name.

  5. Onder toewijzingenkiest u gebruikers en groepen , en kunt u ook aangeven met wie u het beleid wilt toepassen.Under Assignments, choose Users and groups and include who you want the policy to apply to. Sluit ook uw groep met voorwaardelijke toegang.Also exclude your Conditional Access exclusion group.

  6. Kies onder opdrachtende optie Cloud-apps of acties.Under Assignments, choose Cloud apps or actions.

  7. Voor opnemenkiest u apps selecteren > selecterenen selecteert u vervolgens de gewenste apps in de lijst met Cloud-apps .For Include, choose Select apps > Select, and then select the desired apps from the Cloud apps list. Selecteer bijvoorbeeld Exchange Online.For example, select Exchange Online. Kies selecteren wanneer u klaar bent.Choose Select when done.

  8. Kies subsidie onder toegangsbeheer.Under Access controls, choose Grant .

  9. Kies toegang verlenen en controleer vervolgens of apparaat is gemarkeerd als compatibel.Choose Grant access and then check Require device to be marked as compliant. Voor meerdere besturingselementen selecteert u alle geselecteerde besturingselementen vereisen.For multiple controls, select Require all the selected controls. Wanneer u klaar bent, kiest u selecteren.When complete, choose Select.

  10. Selecteer inschakelen voor beleidsoptie en kies vervolgens maken.Select On for Enable policy, and then choose Create.

Notitie

Zorg ervoor dat uw apparaat compatibel is voordat u dit beleid inschakelt.Make sure that your device is compliant before enabling this policy. Anders kon u uitgaand raken en kunt u dit beleid niet wijzigen totdat uw gebruikersaccount is toegevoegd aan de groep voorwaardelijke toegang.Otherwise, you could get locked out and will be unable to change this policy until your user account has been added to the Conditional Access exclusion group.

Volgende stapNext step

Stap 3: beleid voor gast en externe gebruikersStep 3: Policies for guest and external users

Meer informatie over beleids aanbevelingen voor gast en externe gebruikersLearn about policy recommendations for guest and external users