Toegangsbeslissingen met voorwaardelijke toegang automatiseren

Het externe werkmodel heeft bewezen een voordeel te zijn voor beide organisaties en werknemers en zal gehandhaafd blijven. Omdat externe gebruikers gevoeliger zijn voor cyberaanvallen, moeten strikte beveiligingsmaatregelen, zoals meervoudige verificatie (MFA) worden afgedwongen om gegevensinbreuken te voorkomen. Het toepassen van een organisatie-overschrijdend strikt toegangsbeleid zoals MFA, kan negatieve effecten hebben op de gebruikerservaring. Terwijl een tweeledige of drieledige verificatie aanmeldingen op afstand kan beveiligen, kan het een onnodige rompslomp zijn voor on-premises gebruikers die al beveiligd zijn binnen de perimeter van het kantoor. Een meer efficiënte benadering is het toepassen van een toegangsbeleid op basis van context. De functie Voorwaardelijke toegang van ADSelfService Plus helpt u dit te bereiken. Dit helpt organisaties met:

• Het implementeren van toegangscontroles zonder tussenkomst van de IT-beheerder.
• Het verbeteren van de beveiligingshouding van uw organisatie zonder de gebruikerservaring te beïnvloeden.

Wat is voorwaardelijke toegang?

Voorwaardelijke toegang implementeert een set regels die de verschillende risicofactoren analyseren, zoals IP-adres, toegangstijdstip, apparaat en de geolocatie van de gebruiker voor het afdwingen van geautomatiseerde toegangscontrolebeslissingen. De beslissingen worden in realtime geïmplementeerd op basis van de risicofactoren van gebruikers om te vermijden dat er onnodig strenge beveiligingsmaatregelen worden opgelegd in scenario's zonder risico. Dit garandeert een verbeterde gebruikerservaring zonder de beveiliging te beïnvloeden.

Sommige van de gebruikelijke scenario's en de overeenkomende beveiligingsmaatregelen die kunnen worden toegepast met voorwaardelijke toegang, omvatten:

• Verplichten van meervoudige verificatie voor bevoorrechte gebruikers.
• Verplichten van MFA voor off-site toegang tot bedrijfskritische toepassingen voor alle werknemers.
• Het blokkeren van de toegang tot acties met een hoog risico, zoals aanvragen voor het opnieuw instellen van wachtwoord van niet-vertrouwde IP's of onbekende apparaten.

Hoe werkt een voorwaardelijk toegangsbeleid?

Laten we, voordat u leert hoe voorwaardelijke toegang werkt, kijken naar de basisprincipes voor het opmaken van een voorwaardelijke toegangsregel:

1. Voorwaarden

   Dit omvat de lijst van factoren die de beveiliging van uw organisatie kunnen maken of breken. Met ADSelfService Plus kunt u voorwaarden configureren op basis van de volgende risicofactoren:

   • IP-adres (vertrouw en niet-vertrouwd)
   • Apparaat (apparaattype en platform)
   • Kantooruren (kantooruren en niet-kantooruren)
   • Geolocatie (op basis van de herkomst van de aanvraag)
2. Criteria

   Na het configureren van de voorwaarden, kunnen criteria worden opgemaakt met operators zoals EN, OF of NIET. Het zijn deze criteria die worden gekoppeld met het toegangsbeleid.

3. Toegangsbeleid

   De criteria worden dan gekoppeld met een vooraf geconfigureerd toegangsbeleid waarnaar in ADSelfService Plus wordt verwezen als een selfservicebeleid. IT-beheerders kunnen selfservice beleidslijnen maken en specifieke functies inschakelen voor gebruikers die bij specifieke domeinen, organisatie-eenheden (OU's) en groepen horen.

Raadpleeg de handleidingen over het configureren van selfservice beleid en voorwaardelijke toegang voor meer details over het opmaken van voorwaardelijke toegangsregels.

Zodra een voorwaardelijke toegangsregel is gebouwd, gebeurt het volgende:

1. Een gebruiker probeert aan te melden op zijn machine of probeert om na het aanmelden toegang te verkrijgen tot een toepassing op een van de selfservice-functies in ADSelfService Plus.
2. Op basis van vooraf gedefinieerde voorwaarden, worden risicofactoren, zoals het IP-adres, het toegangstijdstip en de geolocatie van de gebruiker geanalyseerd.
3. Als de gegevens voldoen aan de voorwaarden, wordt de gebruiker toegewezen aan een selfservice-beleid dat een van deze acties mogelijk maakt:
   • De toegang tot de domeinaccount en -functies voltooien
   • De toegang beveiligen met MFA
   • Beperkte toegang tot bepaalde functies
   • Beperkte toegang tot specifieke functies
4. Als de gebruiker niet voldoet aan een van de geconfigureerde voorwaardelijke toegangsregels, wordt een selfservice beleid toegepast op basis van de gebruikersgroep of OU.

Gebruikscasussen die illustreren hoe een beleid voor Voorwaardelijke toegang werkt

Gebruikscasus 1: Wanneer aanmeldingen op afstand bij het Active Directory (AD)-domein van een organisatie, moet worden beveiligd met MFA

Houd er in ons voorbeeld rekening mee dat on-premises gebruikers 50% uitmaken van de werkkracht van uw organisatie. Een andere 20% hiervan zijn externe gebruikers. De resterende 30% zijn gebruikers die afwisselen tussen externe en on-premises werkmodellen, zoals vereist. We zullen MFA moeten afdwingen voor gebruikers die op afstand aanmelden. Het gebruik van voorwaardelijke toegang voor dit scenario omvat:

1. Het afdwingen van een selfservice-beleid dat eindpunt-MFA inschakelt.
2. Twee voorwaarden configureren:
   • IP-adres: toont een lijst van vertrouwde IP-adressen.
   • Locatie: Hiermee selecteert u locaties buiten de locatie van de organisatie.
3. De volgende criteria maken:
   • (NIET vertrouwde IP-adressen) EN geselecteerde locaties
4. De criteria worden gekoppeld met een selfservicebeleid.

Dit beleid voor voorwaardelijke toegang werkt op de volgende manier:

Wanneer een gebruiker probeert aan te melden bij een machine, worden het IP-adres en de geolocatie van de gebruiker geanalyseerd. Als het geen vertrouwd IP-adres en een geselecteerde geolocatie is, wordt aan de criteria voldaan en wordt de gebruiker toegewezen aan het selfservicebeleid dat de eindpunt-MFA afdwingt. Wanneer niet is voldaan aan de voorwaarden, wordt elk andere selfservicebeleid dat op de gebruiker van toepassing is, toegewezen.

Gebruikscasus 2: Sta alleen gebruikers toe met machines die lid zijn van een domein om toegang te krijgen tot bedrijfstoepassingen met SSO

Bedrijfstoepassingen worden vaak gebruikt voor het verwerken en opslaan van vertrouwelijke gebruikersgegevens. Omdat de meeste van deze toepassingen nu in de cloud zijn geïmplementeerd en zich buiten de beveiligingsperimeter van uw netwerk bevinden, vormen ze een favoriet doelwit voor cyberaanvallen. Ze gebruiken phishing en andere aanvalstechnieken om toegang te verkrijgen tot de toepassingen en gegevens op afstand te exfiltreren. Met voorwaardelijke toegang kunt u alleen gebruikers toestaan die een computer hebben die lid is van een domein om toegang te krijgen tot belangrijke toepassingen die gevoelige gegevens bevatten. U kunt één stap verder gaan en alleen een lijst van vertrouwde IP-adressen toegang verlenen tot kritieke toepassingen zodat u zeker bent dat aanvallers geen toegang kunnen krijgen tot deze toepassingen, zelfs als ze uw gebruikersreferenties stelen. Hier vindt u een voorbeeld voor het configureren van een voorwaardelijke toegangsregel voor dit scenario:

1. Het configureren van een selfservicebeleid dat SSO inschakelt voor de vereiste toepassingen.
2. Twee voorwaarden configureren:
   • Op IP-adres gebaseerd: toont een lijst van vertrouwde IP-adressen.
   • Op apparaat gebaseerd: Alle computerobjecten die lid zijn van een domein worden geselecteerd.
3. De volgende criteria maken:
   • Vertrouwde IP-adressen EN geselecteerde computerobjecten
4. De criteria koppelen met de het aangemaakte selfservicebeleid.

Deze regel voor voorwaardelijke toegang werkt op de volgende manier:

Wanneer een gebruiker probeert aan te melden bij een bedrijfstoepassing via SSO, worden het IP-adres en type van het apparaat geanalyseerd. Als dit een vertrouwd IP-adres is en het computerobject bij het AD-domein hoort, is voldaan aan de gemaakte criteria. Daarna wordt het selfservicebeleid dat is gekoppeld met de criteria, toegewezen aan de gebruiker. Hiermee kan de gebruiker toegang krijgen tot bedrijfstoepassingen via SSO.

Voordelen van het inschakelen van voorwaardelijke toegang met ADSelfService Plus

• Gebruik meer dan 20 geavanceerde verificatiefactoren voor het implementeren van MFA
• Regel de toegang tot machines, VPN's, RDP, OWA en het Exchange-beheercentrum vanaf één console
• Schakel gedetailleerde beleidslijnen voor voorwaardelijke toegang in voor verschillende afdelingen in de organisatie