Vereiste werk voor het implementeren van beleidsregels voor identiteits- en apparaattoegang van Zero Trust
Van toepassing op
- Exchange Online Protection
- Abonnement 1 en abonnement 2 voor Microsoft Defender voor Office 365
- Azure
In dit artikel worden de vereisten beschreven waar beheerders aan moeten voldoen om het aanbevolen beleid voor identiteits- en apparaattoegang van Zero Trust te gebruiken en Voorwaardelijke toegang te gebruiken. Ook worden de aanbevolen standaardinstellingen besproken voor het configureren van clientplatforms voor de beste ervaring met eenmalige aanmelding (SSO).
Vereisten
Voordat u het beleid voor identiteits- en apparaattoegang van Zero Trust gebruikt dat wordt aanbevolen, moet uw organisatie voldoen aan vereisten. De vereisten zijn verschillend voor de verschillende identiteits- en verificatiemodellen die worden vermeld:
- Alleen in de cloud
- Hybride met PHS-verificatie (Password Hash Sync)
- Hybride met pass-throughverificatie (PTA)
- Federatief
De volgende tabel bevat de vereiste functies en de configuratie die van toepassing zijn op alle identiteitsmodellen, behalve indien vermeld.
| Configuratie | Uitzonderingen | Licenties |
|---|---|---|
| PHS configureren. Dit moet zijn ingeschakeld om gelekte referenties op te sporen en op te treden voor voorwaardelijke toegang op basis van risico's. Opmerking: Dit is vereist, ongeacht of uw organisatie federatief verificatie gebruikt. | Alleen in de cloud | Microsoft 365 E3 of E5 |
| Schakel naadloze één aanmelding in om gebruikers automatisch aan te melden wanneer ze zich op hun organisatieapparaten aanmelden die zijn verbonden met uw organisatienetwerk. | Alleen-cloud en federatief | Microsoft 365 E3 of E5 |
| Benoemde locaties configureren. Azure AD Identity Protection verzamelt en analyseert alle beschikbare sessiegegevens om een risicoscore te genereren. Het is raadzaam om de openbare IP-bereik van uw organisatie op te geven voor uw netwerk in de configuratie met de naam Azure AD-locaties. Verkeer dat afkomstig is uit deze reeksen krijgt een lagere risicoscore en verkeer van buiten de organisatieomgeving krijgt een hogere risicoscore. | Microsoft 365 E3 of E5 | |
| Registreer alle gebruikers voor selfservice password reset (SSPR) en multifactor authentication (MFA). U wordt aangeraden gebruikers vooraf te registreren voor Azure AD Multifactor Authentication. Azure AD Identity Protection maakt gebruik van Azure AD Multifactor Authentication om extra beveiligingsverificatie uit te voeren. Voor de beste aanmeldingservaring raden we gebruikers bovendien aan de app Microsoft Authenticator en de Microsoft-Bedrijfsportal op hun apparaten te installeren. Deze kunnen worden geïnstalleerd vanuit de App Store voor elk platform. | Microsoft 365 E3 of E5 | |
| Automatische apparaatregistratie van domeingevoegde Windows inschakelen. Voorwaardelijke toegang zorgt ervoor dat apparaten die verbinding maken met apps zijn verbonden met een domein of compatibel zijn. Als u dit wilt ondersteunen op Windows computers, moet het apparaat zijn geregistreerd bij Azure AD. In dit artikel wordt beschreven hoe u automatische apparaatregistratie configureert. | Alleen in de cloud | Microsoft 365 E3 of E5 |
| Bereid uw ondersteuningsteam voor. Een abonnement hebben voor gebruikers die MFA niet kunnen voltooien. Dit kan het toevoegen van deze gegevens aan een groep met beleidsuitsluitingen of het registreren van nieuwe MFA-gegevens voor hen zijn. Voordat u een van deze beveiligingsgevoelige wijzigingen aan gaat brengen, moet u ervoor zorgen dat de werkelijke gebruiker de aanvraag doet. Het is een effectieve stap om managers van gebruikers te vragen om te helpen met de goedkeuring. | Microsoft 365 E3 of E5 | |
| Wachtwoord writeback configureren naar on-premises AD. Met wachtwoord writeback kan Azure AD vereisen dat gebruikers hun on-premises wachtwoorden wijzigen wanneer een risicovolle accountcompromitteerd wordt gedetecteerd. U kunt deze functie op twee manieren inschakelen met Azure AD Verbinding maken: wachtwoordopschrijven inschakelen in het optionele functiesscherm van De installatie van Azure AD Verbinding maken of inschakelen via Windows PowerShell. | Alleen in de cloud | Microsoft 365 E3 of E5 |
| Azure AD-wachtwoordbeveiliging configureren. Azure AD-wachtwoordbeveiliging detecteert en blokkeert bekende zwakke wachtwoorden en hun varianten, en kan ook aanvullende zwakke termen blokkeren die specifiek zijn voor uw organisatie. Standaardlijsten met verboden wachtwoorden worden automatisch toegepast op alle gebruikers in een Azure AD-tenant. U kunt aanvullende vermeldingen definiëren in een aangepaste lijst met geblokkeerde wachtwoorden. Als gebruikers hun wachtwoord wijzigen of opnieuw instellen, worden deze verboden wachtwoordlijsten ingeschakeld om het gebruik van sterke wachtwoorden af te dwingen. | Microsoft 365 E3 of E5 | |
| Schakel Azure Active Directory identiteitsbeveiliging in. Met Azure AD Identity Protection kunt u mogelijke beveiligingslekken opsporen die van invloed zijn op de identiteiten van uw organisatie en een geautomatiseerd herstelbeleid configureren op laag, gemiddeld en hoog aanmeldings- en gebruikersrisico. | Microsoft 365 E5 of Microsoft 365 E3 met de E5-beveiligings-invoeging | |
| Moderne verificatie inschakelen voor Exchange Online en voor Skype voor Bedrijven Online. Moderne verificatie is een vereiste voor het gebruik van MFA. Moderne verificatie is standaard ingeschakeld voor Office 2016- en 2019-clients, SharePoint en OneDrive voor Bedrijven. | Microsoft 365 E3 of E5 | |
| Continue toegangsevaluatie voor Azure AD inschakelen. Doorlopende toegangsevaluatie beëindigt actieve gebruikerssessies proactief en dwingt wijzigingen in tenantbeleid af in bijna realtime. | Microsoft 365 E3 of E5 | |
Aanbevolen clientconfiguraties
In deze sectie worden de standaardconfiguraties voor platformclients beschreven die we aanbevelen om de beste SSO-ervaring te bieden aan uw gebruikers, evenals de technische vereisten voor Voorwaardelijke toegang.
Windows apparaten
We raden Windows 11 of Windows 10 (versie 2004 of hoger) aan, omdat Azure is ontworpen om de soepelste SSSO-ervaring te bieden die mogelijk is voor zowel on-premises als Azure AD. Werk- of schoolapparaten moeten worden geconfigureerd om rechtstreeks deel te nemen aan Azure AD of als de organisatie on-premises AD-domein join gebruikt, moeten deze apparaten worden geconfigureerd om zich automatisch en stil te registreren bij Azure AD.
Voor BYOD Windows apparaten kunnen gebruikers werk- of schoolaccount toevoegen gebruiken. Gebruikers van de Google Chrome-browser op Windows 11- of Windows 10-apparaten moeten een extensie installeren om dezelfde soepele aanmeldingservaring te krijgen als Microsoft Edge gebruikers. Als uw organisatie domeingevoegde apparaten Windows 8 of 8,1 apparaten heeft, kunt u Microsoft Workplace Join installeren voor niet-Windows 10 computers. Download het pakket om de apparaten te registreren bij Azure AD.
iOS-apparaten
Het is raadzaam de app Microsoft Authenticator te installeren op gebruikersapparaten voordat u beleidsregels voor voorwaardelijke toegang of MFA implementeert. De app moet minimaal worden geïnstalleerd wanneer gebruikers worden gevraagd hun apparaat te registreren bij Azure AD door een werk- of schoolaccount toe te voegen of wanneer ze de intune-bedrijfsportal-app installeren om hun apparaat in te schrijven voor beheer. Dit is afhankelijk van het geconfigureerde beleid voor voorwaardelijke toegang.
Android-apparaten
Het is raadzaam dat gebruikers de Intune-bedrijfsportal app en Microsoft Authenticator installeren voordat beleid voor voorwaardelijke toegang wordt geïmplementeerd of wanneer vereist tijdens bepaalde verificatiepogingen. Na de installatie van de app kunnen gebruikers worden gevraagd zich te registreren bij Azure AD of hun apparaat te registreren bij Intune. Dit is afhankelijk van het geconfigureerde beleid voor voorwaardelijke toegang.
We raden ook aan dat apparaten die eigendom zijn van de organisatie gestandaardiseerd zijn op OEM's en versies die Android voor Werk of Samsung Knox ondersteunen om e-mailaccounts toe te staan, te beheren en te beschermen met het MDM-beleid van Intune.
Aanbevolen e-mail clients
De volgende e-mail clients ondersteunen moderne verificatie en Voorwaardelijke toegang.
| Platform | Client | Versie/notities |
|---|---|---|
| Windows | Outlook | 2019, 2016, 2013 |
| iOS | Outlook voor iOS | Meest recent |
| Android | Outlook voor Android | Meest recent |
| macOS | Outlook | 2019 en 2016 |
| Linux | Niet ondersteund | |
Aanbevolen clientplatforms bij het beveiligen van documenten
De volgende clients worden aanbevolen wanneer een beleid voor veilige documenten is toegepast.
| Platform | Word/Excel/PowerPoint | OneNote | OneDrive app | SharePoint App | OneDrive-synchronisatieclient |
|---|---|---|---|---|---|
| Windows 11 of Windows 10 | Ondersteund | Ondersteund | N.v.t. | N.v.t. | Ondersteund |
| Windows 8.1 | Ondersteund | Ondersteund | N.v.t. | N.v.t. | Ondersteund |
| Android | Ondersteund | Ondersteund | Ondersteund | Ondersteund | N.v.t. |
| iOS | Ondersteund | Ondersteund | Ondersteund | Ondersteund | N.v.t. |
| macOS | Ondersteund | Ondersteund | N.v.t. | N.v.t. | Niet ondersteund |
| Linux | Niet ondersteund | Niet ondersteund | Niet ondersteund | Niet ondersteund | Niet ondersteund |
Microsoft 365 clientondersteuning
Zie de volgende artikelen voor meer informatie over Microsoft 365 clientondersteuning:
- Microsoft 365 Client App-ondersteuning - Voorwaardelijke toegang
- Microsoft 365 Client App-ondersteuning - Meervoudige verificatie
Beheerdersaccounts beveiligen
Voor Microsoft 365 E3 of E5 of met afzonderlijke Azure AD Premium P1- of P2-licenties, kunt u MFA voor beheerdersaccounts vereisen met een handmatig gemaakt beleid voor Voorwaardelijke toegang. Zie Voorwaardelijke toegang: MFA vereisen voor beheerders voor de details.
Voor edities van Microsoft 365 of Office 365 die geen ondersteuning bieden voor Voorwaardelijke toegang, kunt u beveiligingsinstellingen inschakelen voor het vereisen van MFA voor alle accounts.
Hier volgen enkele extra aanbevelingen:
- Gebruik Azure AD Privileged Identity Management om het aantal permanente beheerdersaccounts te verminderen.
- Gebruik bevoorrecht toegangsbeheer om uw organisatie te beschermen tegen inbreuken die bestaande bevoorrechte beheerdersaccounts kunnen gebruiken met permanente toegang tot gevoelige gegevens of toegang tot kritieke configuratie-instellingen.
- Maak en gebruik afzonderlijke accounts die alleen zijn toegewezen Microsoft 365 beheerdersrollen voor beheer. Beheerders moeten een eigen gebruikersaccount hebben voor regelmatig niet-administratief gebruik en alleen een beheeraccount gebruiken wanneer dat nodig is om een taak te voltooien die is gekoppeld aan hun rol of functie.
- Volg best practices voor het beveiligen van bevoorrechte accounts in Azure AD.
Volgende stap
Het algemene beleid voor identiteits- en apparaattoegang voor Zero Trust configureren