Toegang voor toepassingen in uw omgeving beheren

Microsoft Entra ID-governance kunt u de behoefte van uw organisatie aan beveiliging en productiviteit van werknemers verdelen met de juiste processen en zichtbaarheid. De functies zorgen ervoor dat de juiste personen op het juiste moment toegang hebben tot de juiste resources in uw organisatie.

Organisaties met nalevingsvereisten of risicobeheerplannen hebben gevoelige of bedrijfskritieke toepassingen. De vertrouwelijkheid van de toepassing kan zijn gebaseerd op het doel of de gegevens die deze bevat, zoals financiële gegevens of persoonlijke gegevens van de klanten van de organisatie. Voor deze toepassingen is doorgaans alleen een subset van alle gebruikers in de organisatie gemachtigd om toegang te hebben en mag toegang alleen worden toegestaan op basis van gedocumenteerde bedrijfsvereisten. Als onderdeel van de besturingselementen van uw organisatie voor het beheren van toegang, kunt u Microsoft Entra-functies gebruiken om:

• de juiste toegang instellen
• gebruikers inrichten voor toepassingen
• Toegangscontroles afdwingen
• rapporten te maken om te laten zien hoe deze controles worden gebruikt om te voldoen aan uw nalevings- en risicobeheerdoelstellingen.

Naast het scenario voor toegangsbeheer voor toepassingen kunt u ook Microsoft Entra ID-governance functies en de andere Microsoft Entra-functies voor andere scenario's gebruiken, zoals het controleren en verwijderen van gebruikers uit andere organisaties of het beheren van gebruikers die zijn uitgesloten van beleid voor voorwaardelijke toegang. Als uw organisatie meerdere beheerders in Microsoft Entra ID of Azure heeft, B2B of selfservicegroepsbeheer gebruikt, moet u een implementatie van toegangsbeoordelingen voor deze scenario's plannen.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID-governance licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.

Aan de slag met het beheren van toegang tot toepassingen

Microsoft Entra ID-governance kan worden geïntegreerd met veel toepassingen, met behulp van standaarden zoals OpenID Verbinding maken, SAML, SCIM, SQL en LDAP. Via deze standaarden kunt u Microsoft Entra ID gebruiken met veel populaire SaaS-toepassingen, on-premises toepassingen en toepassingen die uw organisatie heeft ontwikkeld. Zodra u uw Microsoft Entra-omgeving hebt voorbereid, zoals beschreven in de onderstaande sectie, wordt in het drie stappenplan beschreven hoe u een toepassing verbindt met Microsoft Entra ID en waarmee identiteitsbeheerfuncties voor die toepassing kunnen worden gebruikt.

1. Het beleid van uw organisatie definiëren voor het beheren van toegang tot de toepassing
2. Integreer de toepassing met Microsoft Entra ID om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de toepassing en controleer de bestaande toegang van de gebruiker tot de toepassing om een basislijn in te stellen van alle gebruikers die zijn gecontroleerd. Hierdoor kunnen verificatie en gebruikers worden ingericht
3. Implementeer deze beleidsregels voor het beheren van eenmalige aanmelding (SSO) en het automatiseren van toegangstoewijzingen voor die toepassing

Vereisten voordat u Microsoft Entra-id en Microsoft Entra ID-governance configureert voor identiteitsbeheer

Voordat u begint met het beheerproces voor toepassingstoegang vanuit Microsoft Entra ID-governance, moet u controleren of uw Microsoft Entra-omgeving op de juiste wijze is geconfigureerd.

• Zorg ervoor dat uw Microsoft Entra-id en Microsoft Online Services-omgeving gereed zijn voor de nalevingsvereisten voor de toepassingen die moeten worden geïntegreerd en correct zijn gelicentieerd. Naleving is een gedeelde verantwoordelijkheid tussen Microsoft, cloudserviceproviders (CSP's) en organisaties. Als u de Microsoft Entra-id wilt gebruiken om de toegang tot toepassingen te beheren, moet u een van de volgende licentiecombinaties in uw tenant hebben:

  • Microsoft Entra ID-governance en de bijbehorende vereisten, Microsoft Entra ID P1
  • Microsoft Entra ID-governance Stap omhoog voor Microsoft Entra ID P2 en de bijbehorende vereisten: Microsoft Entra ID P2 of Enterprise Mobility + Security (EMS) E5

  Uw tenant moet ten minste zoveel licenties hebben als het aantal lidgebruikers (niet-gastgebruikers) die worden beheerd, inclusief gebruikers die toegang tot de toepassingen hebben of kunnen aanvragen, de toegang tot de toepassingen goedkeuren of controleren. Met een juiste licentie voor deze gebruikers kunt u vervolgens de toegang tot maximaal 1500 toepassingen per gebruiker beheren.

• Als u de toegang van gasten tot de toepassing wilt beheren, koppelt u uw Microsoft Entra-tenant aan een abonnement voor MAU-facturering. Deze stap is nodig voordat u een gastaanvraag hebt of de toegang ervan controleert. Zie het factureringsmodel voor Microsoft Entra Externe ID voor meer informatie.

• Controleer of Microsoft Entra ID het auditlogboek en eventueel andere logboeken naar Azure Monitor verzendt. Azure Monitor is optioneel, maar handig voor het beheren van toegang tot apps, omdat Microsoft Entra alleen auditgebeurtenissen gedurende maximaal 30 dagen in het auditlogboek opslaat. U kunt de controlegegevens langer bewaren dan de standaardretentieperiode, die wordt beschreven in hoe lang slaat Microsoft Entra ID rapportagegegevens op? en gebruikt Azure Monitor-werkmappen en aangepaste query's en rapporten over historische controlegegevens. U kunt de Configuratie van Microsoft Entra controleren om te zien of azure Monitor wordt gebruikt in Microsoft Entra-id in het Microsoft Entra-beheercentrum door op Workbooks te klikken. Als deze integratie niet is geconfigureerd en u een Azure-abonnement hebt en zich in de Global Administrator of Security Administrator rollen bevindt, kunt u Microsoft Entra-id configureren voor het gebruik van Azure Monitor.

• Zorg ervoor dat alleen geautoriseerde gebruikers zich in de beheerdersrollen met hoge bevoegdheden in uw Microsoft Entra-tenant bevinden. Beheer istrators in de Global Beheer istrator, Identity Governance Beheer istrator, User Beheer istrator, Application Beheer istrator, Cloud Application Beheer istrator en Privileged Role Beheer istrator kunnen wijzigingen aanbrengen in gebruikers en hun toepassingsroltoewijzingen. Als de lidmaatschappen van deze rollen nog niet onlangs zijn gecontroleerd, hebt u een gebruiker nodig die zich in de globale Beheer istrator of bevoorrechte rol bevindt Beheer istrator om ervoor te zorgen dat de toegangsbeoordeling van deze directoryrollen wordt gestart. U moet er ook voor zorgen dat gebruikers in Azure-rollen in abonnementen met Azure Monitor, Logic Apps en andere resources die nodig zijn voor de werking van uw Microsoft Entra-configuratie, zijn gecontroleerd.

• Controleer of uw tenant de juiste isolatie heeft. Als uw organisatie gebruikmaakt van Active Directory on-premises en deze AD-domeinen zijn verbonden met Microsoft Entra-id, moet u ervoor zorgen dat beheerbewerkingen met hoge bevoegdheden voor services in de cloud worden geïsoleerd van on-premises accounts. Controleer of u uw systemen hebt geconfigureerd om uw Microsoft 365-cloudomgeving te beschermen tegen on-premises inbreuk.

Zodra u uw Microsoft Entra-omgeving hebt gecontroleerd, gaat u verder met het definiëren van het governancebeleid voor uw toepassingen.

Volgende stappen

• Governancebeleid definiëren
• Een toepassing integreren met Microsoft Entra-id
• Governancebeleid implementeren