In dit artikel ziet u veelvoorkomende toepassingen van contextbewuste toegang en voorbeeldconfiguraties die zijn gemaakt in de basismodus.
Zie Voorbeelden van contextbewuste toegang voor de geavanceerde modus voor voorbeelden van toegangsniveaus die zijn gemaakt in de geavanceerde modus (met de CEL-editor).
Toegang voor opdrachtnemers alleen toestaan via het bedrijfsnetwerk
Veel bedrijven willen de toegang van opdrachtnemers tot bedrijfsbronnen beperken. Dit geldt bijvoorbeeld voor bedrijven die opdrachtnemers gebruiken om supportgesprekken te voeren of die helpcentrums en callcenters inhuren. Net als uw eigen werknemers moeten opdrachtnemers een ondersteunde licentie hebben voordat beleid voor contextbewuste toegang voor hen geldt.
In dit voorbeeld krijgen opdrachtnemers alleen toegang tot bedrijfsbronnen via een specifiek IP-adresbereik van een bedrijf.
| Naam van toegangsniveau | toegang_opdrachtnemers |
| Opdrachtnemers krijgen toegang als deze | Voldoen aan de kenmerken |
| Voorwaarde 1 kenmerk | IP-subnet 74.125.192.0/18 |
| Waar wordt toegangsniveau toegewezen | Organisatie-eenheden voor opdrachtnemers Alle apps die opdrachtnemers gebruiken |
Toegang blokkeren vanaf bekende IP-adressen van hackers
De meeste bedrijven blokkeren de toegang van bekende bronnen met hoog risico om te voorkomen dat bedrijfsbronnen worden gecompromitteerd.
In dit voorbeeld is IP-adres 74.125.195.105 geblokkeerd. Gebruikers krijgen toegang tot bedrijfsbronnen als ze een sessie uitvoeren via een ander IP-adres. U kunt meerdere IP-adressen en IP-adresbereiken opgeven.
| Naam van toegangsniveau | blokkeren_hoog_risico |
| Gebruikers krijgen toegang als ze | Ze voldoen niet aan de kenmerken |
| Voorwaarde 1 kenmerk | IP-subnet 74.125.195.105 |
| Waar wordt toegangsniveau toegewezen | Organisatie op het hoogste niveau Alle apps |
Toegang vanaf specifieke locaties wel of niet toestaan
Als u werknemers heeft die regelmatig in andere kantoren werken van uw bedrijf of partnerbedrijven, kunt u de geografische locaties opgeven van waaruit ze toegang hebben tot bedrijfsbronnen.
Stel dat een groep verkoopmedewerkers regelmatig klanten in Australië en India bezoekt. U kunt de toegang dan beperken tot hun reguliere kantoor, Australië en India. Als ze tijdens een zakenreis voor een persoonlijke vakantie naar een ander land reizen, hebben ze geen toegang tot bedrijfsbronnen vanuit die andere landen.
In dit voorbeeld heeft de groep verkoopmedewerkers alleen toegang tot bedrijfsbronnen in Nederland (reguliere kantoor), Australië en India.
| Naam van toegangsniveau | toegang_verkoop |
| Verkoopmedewerkers krijgen toegang als ze | Voldoen aan de kenmerken |
| Voorwaarde 1 kenmerk | Geografische oorsprong Nederland, Australië, India |
| Waar wordt toegangsniveau toegewezen | Groep met verkoopmedewerkers Alle apps die de verkoopmedewerkers gebruiken |
U kunt ook beleid maken waarmee toegang uit specifieke landen wordt geblokkeerd door op te geven dat gebruikers toegang krijgen als ze niet voldoen aan de voorwaarden. Vervolgens geeft u de landen op van waaruit u de toegang wilt blokkeren.
Geneste toegangsniveaus gebruiken in plaats van meerdere toegangsniveaus tijdens het toewijzen
Als u toegangsniveaus wilt toewijzen aan een bepaalde organisatie-eenheid of groep en een app (of een reeks apps), ziet u in sommige gevallen een foutmelding waarin u wordt gevraagd het aantal apps of toegangsniveaus te verminderen.
Als u dit wilt voorkomen, kunt u het aantal toegangsniveaus dat u toewijst verminderen door ze in één toegangsniveau te nesten. In het geneste toegangsniveau voegt u meerdere voorwaarden samen met de operator OR en voegt u aan elke voorwaarde een individueel toegangsniveau toe.
In dit voorbeeld zijn West, Oost en Midden 3 aparte toegangsniveaus. U wilt dat gebruikers toegang hebben tot apps als ze voldoen aan de toegangsniveaus West OF Oost OF Midden. U kunt één genest toegangsniveau maken (met de naam Regio) waarin de operator OR wordt gebruikt, Als u toegangsniveaus toewijst, wijst u het toegangsniveau Regio toe aan de app voor de organisatie-eenheid of groep.
|
Naam van toegangsniveau |
Regio |
|
Gebruikers krijgen toegang als deze |
Voldoen aan de kenmerken |
|
Voorwaarde 1 kenmerk (slechts 1 toegangsniveau per voorwaarde) |
Toegangsniveau West |
|
Voeg voorwaarde 1 en 2 samen door er de volgende operator tussen te plaatsen |
OR |
|
Gebruikers krijgen toegang als deze |
Voldoen aan de kenmerken |
|
Voorwaarde 2 kenmerk |
Toegangsniveau Oost |
|
Voeg voorwaarde 2 en 3 samen door er de volgende operator tussen te plaatsen |
OR |
|
Gebruikers krijgen toegang als deze |
Voldoen aan de kenmerken |
|
Voorwaarde 3 kenmerk |
Toegangsniveau Midden |
Vereisen dat desktops eigendom zijn van het bedrijf, maar niet mobiele apparaten
Een bedrijf kan vereisen dat desktops eigendom zijn van het bedrijf, maar mobiele apparaten niet.
Maak eerst een toegangsniveau voor desktops:
|
Naam van toegangsniveau |
tndesktop_toegang |
|
Gebruikers krijgen toegang als ze |
Voldoen aan de kenmerken |
|
Voorwaarde 1 kenmerk |
Apparaatbeleid
Apparaatversleuteling = niet ondersteund Apparaat-OS macOS = 0.0.0 Windows =0.0.0 Linux OS = 0.0.0 Chrome OS = 0.0.0 |
Maak vervolgens een toegangsniveau voor mobiele apparaten:
|
Naam van toegangsniveau |
tnmobiel_toegang |
|
Gebruikers krijgen toegang als ze |
Voldoen aan de kenmerken |
|
Voorwaarde 1 kenmerk |
Apparaat-OS iOS = 0.0.0 Android = 0.0.0 |
Algemene apparaatbeveiliging vereisen
De meeste grote bedrijven vereisen dat werknemers bedrijfsbronnen openen via versleutelde apparaten die een bepaalde versie van het besturingssysteem of hoger gebruiken. Sommige bedrijven vereisen ook dat werknemers apparaten gebruiken die eigendom zijn van het bedrijf.
U kunt dit beleid instellen voor alle organisatie-eenheden of alleen voor organisatie-eenheden die werken met gevoelige gegevens, zoals de directie, de financiële afdeling of human resources.
U kunt op verschillende manieren beleid instellen voor apparaatversleuteling, minimum versie van het besturingssysteem en apparaten die eigendom zijn van het bedrijf. Alle manieren hebben voor- en nadelen.
Eén toegangsniveau met alle beveiligingsvereisten
Als een gebruikersapparaat bijvoorbeeld is versleuteld en eigendom is van het bedrijf, maar niet de juiste versie van het besturingssysteem heeft, krijgt de gebruiker geen toegang.
Voordeel: Eenvoudig in te stellen. Als u dit toegangsniveau toewijst aan een app, moet een gebruiker aan alle vereisten voldoen.
Nadeel: Als u verschillende beveiligingsvereisten wilt toewijzen aan verschillende organisatie-eenheden, moet u een apart toegangsniveau maken voor elke beveiligingsvereiste.
| Naam van toegangsniveau | apparaatbeveiliging |
| Gebruikers krijgen toegang als deze | Voldoen aan de kenmerken |
| Voorwaarde 1 kenmerk (U kunt alle kenmerken toevoegen aan 1 voorwaarde of 3 voorwaarden maken, gescheiden door de operator AND.) |
Apparaat-OS |
3 aparte toegangsniveaus
Een gebruiker met een versleuteld, persoonlijk apparaat met een oudere versie van het besturingssysteem krijgt bijvoorbeeld toegang.
Voordeel: Dit is een gedetailleerde manier van toegangsniveaus maken. U kunt toegangsniveaus afzonderlijk toewijzen aan verschillende organisatie-eenheden.
Nadeel: Gebruikers hoeven maar te voldoen aan de voorwaarden van één toegangsniveau.
| Naam van toegangsniveau | apparaatversleuteling |
| Gebruikers krijgen toegang als deze | Voldoen aan de kenmerken |
| Voorwaarde 1 kenmerk |
Apparaatbeleid |
| Naam van toegangsniveau | bedrijfsapparaat |
| Gebruikers krijgen toegang als deze | Voldoen aan de kenmerken |
| Voorwaarde 1 kenmerk |
Apparaatbeleid |
| Naam van toegangsniveau | min_os |
| Gebruikers krijgen toegang als deze | Voldoen aan de kenmerken |
| Voorwaarde 1 kenmerk |
Apparaatbeleid |
Eén toegangsniveau met geneste toegangsniveaus
Als u het vierde toegangsniveau toewijst aan apps, moeten gebruikers voldoen aan de voorwaarden van elk van de 3 geneste toegangsniveaus om toegang te krijgen. Dit is een logische AND van toegangsniveaus.
Een gebruiker met een versleuteld, persoonlijk apparaat met een oudere versie van het besturingssysteem krijgt bijvoorbeeld geen toegang.
Voordeel: U kunt beveiligingsniveaus nog steeds scheiden via toegangsniveau 1, 2 en 3. Met toegangsniveau 4 kunt u beleid afdwingen met alle beveiligingsvereisten.
Nadeel: In het controlelogboek wordt alleen vastgelegd dat gebruikers geen toegang hebben gekregen vanwege toegangsniveau 4 (niet vanwege toegangsniveau 1, 2 of 3), omdat toegangsniveau 1, 2 of 3 niet rechtstreeks zijn toegewezen aan apps.
Maak 3 toegangsniveaus zoals hierboven beschreven in '3 aparte toegangsniveaus': apparaatversleuteling, bedrijfsapparaat en min_os. Maak vervolgens een vierde toegangsniveau met de naam apparaatbeveiliging dat 3 voorwaarden bevat. Elke voorwaarde heeft een toegangsniveau als kenmerk. (U kunt per voorwaarde slechts 1 toegangsniveaukenmerk toevoegen.)
| Naam van toegangsniveau | apparaatbeveiliging |
| Gebruikers krijgen toegang als deze | Voldoen aan de kenmerken |
| Voorwaarde 1 kenmerk (slechts één toegangsniveau per voorwaarde) |
Toegangsniveau apparaatversleuteling |
| Voeg voorwaarde 1 en 2 samen door er de volgende operator tussen te plaatsen | AND |
| Gebruikers krijgen toegang als deze | Voldoen aan de kenmerken |
| Voorwaarde 1 kenmerk | Toegangsniveau bedrijfsapparaat |
| Voeg voorwaarde 2 en 3 samen door er de volgende operator tussen te plaatsen | AND |
| Gebruikers krijgen toegang als deze | Voldoen aan de kenmerken |
| Voorwaarde 1 kenmerk | Toegangsniveau min_os |
Gerelateerde informatie
- Overzicht van contextbewuste toegang
- Software instellen en niveaus voor contextbewuste toegang maken
- Niveaus voor contextbewuste toegang toewijzen aan apps
- Contextbewuste toegang aanpassen met groepen
- Voorbeelden van contextbewuste toegang voor de geavanceerde modus
- Controlelogboek voor contextbewuste toegang
