Delen via

Apparaatcompatibiliteit met voorwaardelijke toegang vereisen

Microsoft Intune en Microsoft Entra werken samen om uw organisatie te beveiligen via nalevingsbeleid voor apparaten en voorwaardelijke toegang. Apparaatnalevingsbeleid zorgt ervoor dat gebruikersapparaten voldoen aan de minimale configuratievereisten. De vereisten kunnen worden afgedwongen wanneer gebruikers toegang hebben tot services die zijn beveiligd met beleid voor voorwaardelijke toegang.

Sommige organisaties zijn mogelijk niet klaar om apparaatcompatibiliteit te vereisen voor alle gebruikers. Deze organisaties kunnen in plaats daarvan ervoor kiezen om het volgende beleid te implementeren:

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang is krachtige hulpprogramma's. We raden u aan de volgende accounts uit uw beleid uit te sluiten:

  • Noodtoegangsaccounts of break-glass accounts om vergrendeling te voorkomen door een verkeerde beleidsconfiguratie. In het onwaarschijnlijke scenario waarin alle beheerders zijn vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en de toegang te herstellen.
  • Serviceaccounts en serviceprincipals, zoals het Microsoft Entra Connect-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een specifieke gebruiker. Ze worden meestal gebruikt door back-endservices om programmatische toegang tot toepassingen toe te staan, maar ze worden ook gebruikt om zich voor beheerdoeleinden aan te melden bij systemen. Aanroepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workloadidentiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
    • Als uw organisatie deze accounts gebruikt in scripts of code, vervangt u deze door beheerde identiteiten.

Sjabloonimplementatie

Organisaties kunnen dit beleid implementeren door de onderstaande stappen te volgen of door de sjablonen voor voorwaardelijke toegang te gebruiken.

Beleid voor voorwaardelijke toegang maken

Met de volgende stappen kunt u een beleid voor voorwaardelijke toegang maken om te vereisen dat apparaten die toegang hebben tot resources, worden gemarkeerd als compatibel met het Intune-nalevingsbeleid van uw organisatie.

Waarschuwing

Zonder nalevingsbeleid dat is gemaakt in Microsoft Intune, werkt dit beleid voor voorwaardelijke toegang niet zoals bedoeld. Maak eerst een nalevingsbeleid en zorg ervoor dat u ten minste één compatibel apparaat hebt voordat u doorgaat.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beheerder van Voorwaardelijke Toegang.
  2. Blader naar Entra ID>Voorwaardelijke Toegang>Beleid.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen selecteer gebruikers of workload-identiteiten.
    1. Onder 'Opnemen', selecteer 'alle gebruikers'
    2. Onder uitsluiten:
      1. Gebruikers en groepen selecteren
        1. Kies de noodtoegang of noodaccounts van uw organisatie.
        2. Als u hybride identiteitsoplossingen zoals Microsoft Entra Connect of Microsoft Entra Connect Cloud Sync gebruikt, selecteert u Directory-rollen en vervolgens Directorysynchronisatieaccounts.
  6. Onder Doelresources>(voorheen cloud-apps)>Opnemen, selecteer Alle resources (voorheen Alle cloud-apps).
  7. Onder Toegangsbeheer>verlenen.
    1. Selecteer Vereisen dat het apparaat als compatibel moet worden gemarkeerd.
    2. Selecteer Selecteren.
  8. Bevestig uw instellingen en stel Beleid inschakelen in op Alleen rapport.
  9. Selecteer Maken om uw beleid in te schakelen.

Nadat u uw instellingen hebt bevestigd met de beleidsimpactmodus of de modus Alleen-rapporteren, verplaatst u de wisselknop Beleid inschakelen van alleen rapport naar Aan.

Notitie

U kunt uw nieuwe apparaten bij Intune registreren, zelfs als u selecteert dat het apparaat als conform moet worden gemarkeerd voor alle gebruikers en alle bronnen (voorheen 'Alle cloud-apps'), met behulp van de vorige stappen. De besturingselement Apparaat vereist gemarkeerd te zijn als compliant blokkeert geen Intune-registratie.

Op dezelfde manier blokkeert het vereisen dat het apparaat als compatibel wordt gemarkeerd , de toegang van de Microsoft Authenticator-app tot het bereik UserAuthenticationMethod.Read niet. Authenticator heeft tijdens de registratie toegang nodig tot de UserAuthenticationMethod.Read-scope om te bepalen welke referenties een gebruiker kan configureren. nl-NL: Authenticator heeft toegang nodig tot UserAuthenticationMethod.ReadWrite om inloggegevens te registreren. Dit omzeilt de controle 'Vereisen dat het apparaat als conform wordt gemarkeerd' niet.

Bekend gedrag

In iOS, Android, macOS en sommige niet-Microsoft-webbrowsers identificeert Microsoft Entra ID het apparaat met behulp van een clientcertificaat dat wordt ingericht wanneer het apparaat is geregistreerd bij Microsoft Entra ID. Wanneer een gebruiker zich voor het eerst aanmeldt via de browser, wordt de gebruiker gevraagd het certificaat te selecteren. De eindgebruiker moet dit certificaat selecteren voordat deze de browser kan blijven gebruiken.

B2B-scenario's

Voor organisaties met wie u een relatie hebt en vertrouwt, kunt u hun nalevingsclaims voor apparaten vertrouwen. Zie het artikel Instellingen voor toegang tussen tenants beheren voor B2B-samenwerking om deze instelling te configureren.

Abonnement activeren

Organisaties die gebruikmaken van de functie Abonnementsactivering om gebruikers in staat te stellen 'op te treden' van de ene versie van Windows naar een andere, willen mogelijk de Windows Store voor Bedrijven, AppID 45a30b1-b1ec-4cc1-9161-9f03992aa49f uitsluiten van hun nalevingsbeleid voor apparaten.

Gerelateerde inhoud

  • Last updated on