Aan de slag met Voorwaardelijke Toegang

Beveiliging is topprioriteit voor organisaties die gebruik maken van de cloud. Althans, dat zou zo moeten zijn. De vraag is, waar te beginnen? In een moderne wereld hebben medewerkers vrijwel vanaf elk apparaat en plaats toegang tot belangrijke bedrijfsdata. Hierin is het belangrijk om een goede balans te vinden tussen veiligheid en productiviteit.

Door: Jan Bakker

Voorwaardelijke toegang is een krachtige tool binnen Azure Active Directory om bedrijfsgegevens te beschermen op basis van locatie, apparaat, aanmeldrisico en clienttoepassing. Zo is het bijvoorbeeld mogelijk om toegang te blokkeren voor niet-ondersteunde apparaten of onveilige locaties.

We geven enkele voorbeelden om te laten zien wat je zoal met Voorwaardelijke toegang kunt bereiken:

  • Blokkeer toegang tot Exchange Online vanuit het buitenland
  • Blokkeer toegang tot SharePoint vanaf Android devices
  • Beperk het gebruik van Microsoft Teams tot enkel de browser

In iedere beleidsregel wordt steeds eerst een conditie gedefinieerd. Daarna volgt een actie. Maak je al gebruik van Office 365, maar heb je geen idee hoe om te gaan met beveiliging? Dan is Voorwaardelijke Toegang een goede stap in de juiste richting.

Hoe begin ik?

Voorwaardelijke toegang is heel krachtig. Vanuit dat oogpunt is het raadzaam om voorzichtig te werk te gaan en op kleine schaal te beginnen. Maak hiervoor een nieuwe Azure Active Directory groep aan en voeg enkele testgebruikers toe. Zo kun je kleinschalig de impact testen. Als voorbeeld geven we de volgende situatie: je wilt extra authenticatie (MFA) afdwingen voor het sales team wanneer er vanaf een externe, onveilige locatie ingelogd wordt in Exchange Online.

Om te beginnen heb je toegang nodig tot de Azure Portal via https://portal.azure.com.

Stap 1 – Maak een veilige locatie aan

Om onderscheid te kunnen maken is het nodig om de locaties die je vertrouwt toe te voegen als veilige locatie.

Kies in het linker menu voor Active Directory en vervolgens voor Voorwaardelijke Toegang –> Benoemde locaties. Kies voor + Nieuwe locatie

Geef vervolgens de naam en de IP adres reeks op van de locatie en markeer deze als een veilige locatie. Sla de locatie op.

Stap 2 – Maak de beleidsregel

Ga vervolgens naar het kopje Beleidsregels en kies voor + Nieuw beleid.

Geef de regel een naam en kies voor het sectie Gebruikers en groepen.
Selecteer vervolgens de betreffende groep. In dit voorbeeld gebruiken we Sales Team.

Kies vervolgens onder de sectie Cloud-apps voor Office 365 Exchange Online.

Onder het tabblad Voorwaarden -> Locaties kies je voor Elke locatie.

Onder het tabblad Uitsluiten selecteer je de vertrouwde locatie uit de vorige stap. Hiermee geldt de regel voor alle locaties, behalve vertrouwde locaties. Je kunt meerdere locaties opvoeren en in een later stadium toevoegen.

Onder de sectie Verlenen kies je vervolgens voor Meervoudige verificatie vereisen.

Hierna kun je de beleidsregel inschakelen en de regel opslaan.

That’s it! Je hebt zojuist de Office365 omgeving een stukje veiliger gemaakt.

What-if tool

Een eenvoudige manier om te testen of de regels een gewenst effect hebben, is de What-if tool. Hiermee kun je een simulatie uitvoeren om te kijken welke beleidsregels van toepassing zijn.

Als voorbeeld kunnen we controleren of het de voorgaande stappen het gewenste effect hebben gehad:

Zoals je ziet zal de gebruiker Ver Koopmans om meervoudige verificatie worden gevraagd wanneer deze vanaf een onveilige locatie inlogt op Exchange Online. Ver Koopmans is lid van de groep Sales Team, en dus is het beleid van toepassing.

Meervoudige authenticatie voor administrators

Binnen Voorwaardelijke Toegang is een baseline policy die alle gebruikers met een beheerdersrol automatisch vraagt om meervoudige authenticatie. Het is verstandig om deze beleidsregel in te schakelen.

Licentie

Om Voorwaardelijk Toegang te kunnen gebruiken is een Active Directory Premium licentie nodig. Wanneer je (nog) niet over een dergelijke licentie beschikt, kun je een gratis proeflicentie aanvragen.

Hulp van ResultaatGroep

ResultaatGroep kan helpen om de Office 365 omgeving beter te beveiligen, door bijvoorbeeld Voorwaardelijke Toegang in te richten. Neem daarvoor vrijblijvend contact op met één van onze specialisten. Stay safe!