Een op apparaten gebaseerd beleid voor voorwaardelijke toegang maken

Microsoft Intune nalevingsbeleid voor apparaten kan de status van beheerde apparaten evalueren om ervoor te zorgen dat ze voldoen aan uw vereisten voordat u ze toegang verleent tot de apps en services van uw organisatie. De status die het resultaat is van uw nalevingsbeleid voor apparaten kan worden gebruikt door Microsoft Entra beleid voor voorwaardelijke toegang om beveiligings- en nalevingsstandaarden af te dwingen. Deze combinatie wordt voorwaardelijke toegang op basis van apparaten genoemd.

Voorwaardelijke toegang is een Microsoft Entra-technologie. Het knooppunt voor voorwaardelijke toegang dat u opent vanuit het Microsoft Intune-beheercentrum is hetzelfde knooppunt dat u opent vanuit Microsoft Entra ID. U hoeft dus niet tussen de knooppunten te schakelen om beleid te configureren.

Vereisten

Hoe dit werkt

Op apparaten gebaseerde voorwaardelijke toegang maakt gebruik van nalevingsstatussignalen van Intune om toegangsbeheer in Microsoft Entra ID af te dwingen. Configuratie omvat twee fasen:

• Fase 1: nalevingsbeleid voor apparaten configureren in Intune: met dit beleid wordt geëvalueerd of beheerde apparaten voldoen aan uw beveiligingsvereisten. Intune meldt deze nalevingsstatus aan Microsoft Entra ID.

• Fase 2: een beleid voor voorwaardelijke toegang maken in Microsoft Entra: het beleid maakt gebruik van het nalevingssignaal van Intune. In dit artikel wordt beschreven hoe u het beleid configureert vanuit het Microsoft Intune-beheercentrum.

Het beleid voor voorwaardelijke toegang maken

1. Meld je aan bij het Microsoft Intune-beheercentrum.

2. Selecteer Eindpuntbeveiliging>Voorwaardelijke toegang>Nieuw beleid maken.

   Het deelvenster Nieuw wordt geopend. Dit is het configuratievenster van Microsoft Entra. Het beleid dat u maakt, is een Microsoft Entra-beleid voor voorwaardelijke toegang. Zie Onderdelen van het beleid voor voorwaardelijke toegang in de Microsoft Entra inhoud voor meer informatie over dit deelvenster en het beleid voor voorwaardelijke toegang.

3. Configureer onder ToewijzingenGebruikers en groepen om de identiteiten te selecteren in de map waarop het beleid van toepassing is. Zie Gebruikers en groepen in de documentatie voor Microsoft Entra voor meer informatie.

   • Configureer op het tabblad Opnemen de gebruiker en groepen die u wilt opnemen.
   • Gebruik het tabblad Uitsluiten als er gebruikers, rollen of groepen zijn die u wilt uitsluiten van dit beleid.

   Tip

   Test het beleid voor een kleinere groep gebruikers om te controleren of het werkt zoals verwacht voordat u het implementeert in grotere groepen.

4. Configureer vervolgens Doelresources, die zich ook onder Toewijzingen bevindt. Gebruik de vervolgkeuzelijst voor Selecteren waarop dit beleid van toepassing is om Cloud-apps te selecteren.

   • Gebruik op het tabblad Opnemen beschikbare opties om de apps en services te identificeren die u wilt beveiligen met dit beleid voor voorwaardelijke toegang.

     Als u Apps selecteren kiest, gebruikt u de beschikbare gebruikersinterface om apps en services te selecteren die u wilt beveiligen met dit beleid.

     Voorzichtigheid

     Sluit jezelf niet op. Als u Alle cloud-apps kiest, moet u de waarschuwing doornemen en vervolgens uw gebruikersaccount of andere relevante gebruikers en groepen uitsluiten van dit beleid die toegang moeten behouden om de Microsoft Entra-beheercentrum of Microsoft Intune beheercentrum te gebruiken nadat dit beleid van kracht is geworden.

   • Gebruik het tabblad Uitsluiten als er apps of services zijn die u wilt uitsluiten van dit beleid.

   Zie Cloud-apps of -acties in de documentatie voor Microsoft Entra voor meer informatie.

5. Configureer vervolgens Voorwaarden. Selecteer de signalen die u wilt gebruiken als voorwaarden voor dit beleid. Opties zijn onder andere:

   • Gebruikersrisico
   • Aanmeldingsrisico
   • Apparaatplatforms
   • Locaties
   • Client-apps
   • Filteren op apparaten

   Zie Voorwaarden in de documentatie voor Microsoft Entra voor meer informatie over deze opties.

   Tip

   Als u zowel moderne verificatieclients als Exchange ActiveSync-clients wilt beveiligen, maakt u twee afzonderlijke beleidsregels voor voorwaardelijke toegang, één voor elk clienttype. Hoewel Exchange ActiveSync moderne verificatie ondersteunt, is het platform de enige voorwaarde die door Exchange ActiveSync wordt ondersteund. Andere voorwaarden, waaronder meervoudige verificatie, worden niet ondersteund. Als u de toegang tot Exchange Online effectief wilt beveiligen tegen Exchange ActiveSync, maakt u een beleid voor voorwaardelijke toegang dat de cloud-app Microsoft 365-Exchange Online en de client-app Exchange ActiveSync met Beleid alleen toepassen op ondersteunde platforms geselecteerd.

6. Configureer onder Toegangsbeheerverlenen om een of meer vereisten te selecteren. Zie Grant in de Microsoft Entra Documentation voor meer informatie over de opties voor Toekenning.

   Belangrijk

   Als u wilt dat dit beleid de nalevingsstatus van het apparaat gebruikt, moet u voor Toegang verlenen de optie Vereisen dat het apparaat is gemarkeerd als compatibel selecteren.

   • Toegang blokkeren: toegang tot de opgegeven apps of services wordt geweigerd.
   • Toegang verlenen: verleent toegang, maar u kunt een of meer voorwaarden vereisen. Als u de nalevingsstatus van het apparaat wilt gebruiken vanuit Intune, selecteert u Vereisen dat het apparaat is gemarkeerd als compatibel.

7. Selecteer onder Beleid inschakelen de optie Aan. Het beleid is standaard ingesteld op Alleen rapporteren.

8. Selecteer Maken.

Volgende stappen

• Op apps gebaseerde voorwaardelijke toegang met Intune
• Problemen met Intune voorwaardelijke toegang oplossen