Zelfstudie: Toegang tot resources beheren in Azure AD-rechtenbeheer

  • Artikel
  • 7 minuten om te lezen

Het beheren van toegang tot alle resources die werknemers nodig hebben, zoals groepen, toepassingen en sites, is een belangrijke functie voor organisaties. U wilt werknemers het juiste toegangsniveau verlenen om productief te zijn en hun toegang verwijderen wanneer deze niet meer nodig is.

In deze zelfstudie werkt u als IT-beheerder voor de Woodgrove Bank. U bent gevraagd om een pakket met resources te maken voor een marketingcampagne die interne gebruikers kunnen gebruiken om een selfserviceaanvraag in te dienen. Voor aanvragen is geen goedkeuring nodig en de toegang van gebruikers verloopt na 30 dagen. Voor deze zelfstudie zijn de resources van de marketingcampagne lid van slechts één groep, maar dit kan een verzameling van groepen, toepassingen of SharePoint Online-sites zijn.

Diagram met een overzicht van het scenario.

In deze zelfstudie leert u het volgende:

  • Een toegangspakket maken met een groep als een resource
  • Een gebruiker in uw directory toestaan om toegang aan te vragen
  • Hoe een interne gebruiker het toegangspakket kan aanvragen

Bekijk de volgende video voor een stapsgewijze demonstratie van het proces voor het implementeren van Azure Active Directory-rechtenbeheer, inclusief het maken van uw eerste toegangspakket:

Vereisten

Als u Azure AD-rechtenbeheer wilt gebruiken, moet u over een van de volgende licenties beschikken:

  • Azure AD Premium P2
  • Licentie voor Enterprise Mobility + Security (EMS) E5

Zie Licentievereisten voor meer informatie.

Stap 1: Gebruikers en groep instellen

Een resourcedirectory bevat een of meer resources om te delen. In deze stap maakt u een groep met de naam Marketingresources in de directory Woodgrove Bank die de doelresource voor rechtenbeheer is. U stelt ook een interne aanvrager in.

Vereiste rol: bedrijfsbeheerder of gebruikersbeheerder

Gebruikers en groepen maken

  1. Meld u aan bij de Azure Portal als globale beheerder of bedrijfsbeheerder.

  2. Klik in de linkernavigatie op Azure Active Directory.

  3. Maak of configureer de volgende twee gebruikers. U kunt deze namen of andere namen gebruiken. Admin1 kan de gebruiker zijn met wie u momenteel bent aangemeld.

    Naam Directory-rol
    Admin1 Globale beheerder
    -of-
    Gebruikersbeheerder
    Requestor1 Gebruiker

  4. Maak een Azure AD-beveiligingsgroep met de naam Marketingresources met Toegewezen als lidmaatschapstype.

    Deze groep wordt de doelresource voor rechtenbeheer. De groep moet leeg zijn.

Stap 2: Een toegangspakket maken

Een toegangspakket is een bundel resources die een team of project nodig heeft en die wordt beheerd met beleid. Toegangspakketten worden gedefinieerd in containers die catalogussen worden genoemd. In deze stap maakt u een toegangspakket voor een marketingcampagne in de catalogus Algemeen.

Vereiste rol: Globale beheerder, Identity Governance-beheerder, Gebruikersbeheerder, Cataloguseigenaar of Toegangspakketbeheerder

Een toegangspakket maken

  1. Klik in de Azure-portal in de linkernavigatie op Azure Active Directory.

  2. Klik in het linkermenu op Identity Governance

  3. Klik in het linkermenu op Toegangspakketten. Als Toegang geweigerd wordt weergegeven, moet u ervoor zorgen dat uw directory een Azure AD Premium P2-licentie bevat.

  4. Klik op Nieuw toegangspakket.

    Rechtenbeheer in de Azure-portal

  5. Typ op het tabblad Basinformatie de naam Marketingcampagne-toegangspakket en de beschrijving Toegang tot resources voor de campagne.

  6. Laat de vervolgkeuzelijst Catalogus ingesteld op Algemeen.

    Nieuw toegangspakket - tabblad Basisinformatie

  7. Klik op Volgende om het tabblad Resourcerollen te openen.

    Op dit tabblad selecteert u de resources en de resourcefunctie die u wilt toevoegen aan het toegangspakket.

  8. Klik op Groepen en teams.

  9. Zoek en selecteer in het deelvenster Groepen selecteren de groep Marketingresources die u eerder hebt gemaakt.

    Standaard ziet u groepen binnen de catalogus Algemeen. Wanneer u een groep buiten de catalogus Algemeen selecteert, zoals u kunt zien als u het selectievakje Alles weergeven inschakelt, wordt deze toegevoegd aan de catalogus Algemeen.

    Schermopname van het tabblad Nieuw toegangspakket - Resourcerollen en het venster Groepen selecteren.

  10. Klik op Selecteren om de groep aan de lijst toe te voegen.

  11. Selecteer in de vervolgkeuzelijst Rol de optie Lid.

    Nieuw toegangspakket - tabblad Resourcerollen

    Belangrijk

    De roltoewijzingsgroepen die aan een toegangspakket zijn toegevoegd, worden aangegeven met het subtype Toewijsbaar aan rollen. Raadpleeg Een roltoewijsbare groep maken in Azure Active Directory voor meer informatie over groepen die kunnen worden toegewezen aan Azure AD-rollen. Houd er rekening mee dat zodra een rol-toewijsbare groep aanwezig is in een catalogus met toegangspakketten, gebruikers met beheerdersrechten die kunnen beheren in rechtenbeheer, waaronder globale beheerders, gebruikersbeheerders en cataloguseigenaren van de catalogus, de toegangspakketten in de catalogus kunnen beheren, zodat ze kunnen kiezen wie aan deze groepen kan worden toegevoegd. Als u geen roltoewijsbare groep ziet die u wilt toevoegen of als u deze niet kunt toevoegen, zorg er dan voor dat u de vereiste Azure AD-rol en rechtenbeheerrol hebt om deze bewerking uit te voeren. Mogelijk moet u iemand met de vereiste rollen vragen om de bron aan uw catalogus toe te voegen. Bekijk Vereiste rollen om bronnen aan een catalogus toe te voegen voor meer informatie.

    Notitie

    Wanneer u dynamische groepen gebruikt, ziet u behalve de eigenaar geen andere beschikbare rollen. Dit is standaard. Overzicht van scenario's

  12. Klik op Volgende om het tabblad Aanvragen te openen.

    Op dit tabblad maakt u een aanvraagbeleid. Een beleid definieert de regels of richtlijnen voor toegang tot een toegangspakket. U maakt een beleid waarmee een specifieke gebruiker in de resourcedirectory dit toegangspakket kan aanvragen.

  13. Klik in de sectie Gebruikers die toegang kunnen aanvragen op Voor gebruikers in uw directory en klik vervolgens op Specifieke gebruikers en groepen.

    Nieuw toegangspakket - tabblad Aanvragen

  14. Klik op Gebruikers en groepen toevoegen.

  15. Selecteer in het deelvenster Gebruikers en groepen selecteren de gebruiker Requestor1 die u eerder hebt gemaakt.

    Nieuw toegangspakket - tabblad Aanvragen - Gebruikers en groepen selecteren

  16. Klik op Selecteren.

  17. Schuif omlaag naar de secties Goedkeuring en Aanvragen inschakelen.

  18. Laat Goedkeuring vereisen ingesteld op Nee.

  19. Klik voor Aanvragen inschakelen op Ja om dit toegangspakket in te schakelen zodra het is gemaakt.

    Nieuw toegangspakket - tabblad Aanvragen - Goedkeuring en aanvragen inschakelen

  20. Klik op Volgende om het tabblad Levenscyclus te openen.

  21. Stel in de sectie Verloop de optie De toegangspakkettoewijzingen verlopen in op Aantal dagen.

  22. Stel Toewijzingen verlopen na in op 30 dagen.

    Nieuw toegangspakket - tabblad Levenscyclus

  23. Klik op Volgende om het tabblad Beoordelen en maken te openen.

    Nieuw toegangspakket - tabblad Beoordelen en maken

    Na enkele ogenblikken ziet u een melding dat het toegangspakket is gemaakt.

  24. Klik in het linkermenu van het toegangspakket Marketingcampagne op Overzicht.

  25. Kopieer de Koppeling voor de portal Mijn toegang.

    U gebruikt deze koppeling voor de volgende stap.

    Overzicht van toegangspakket - Koppeling voor de portal Mijn toegang

Stap 3: Toegang aanvragen

In deze stap voert u de stappen uit als de interne aanvrager en vraagt u toegang tot het toegangspakket aan. Aanvragers verzenden hun aanvragen via de portal Mijn toegang. Via de portal Mijn toegang kunnen aanvragers aanvragen voor toegangspakketten verzenden, de toegangspakketten waartoe ze al toegang hebben bekijken en hun aanvraaggeschiedenis weergeven.

Vereiste rol: Interne aanvrager

  1. Meld u af bij de Azure-portal.

  2. Navigeer in een nieuw browservenster naar de koppeling voor de portal Mijn toegang die u in de vorige stap hebt gekopieerd.

  3. Meld u als Requestor1 bij de portal Mijn toegang aan.

    U ziet het toegangspakket Marketingcampagne.

  4. Klik indien nodig in de kolom Beschrijving op de pijl om de details van het toegangspakket weer te geven.

    Portal Mijn toegang - Toegangspakketten

  5. Klik op het vinkje om het pakket te selecteren.

  6. Klik op Toegang aanvragen om het deelvenster Toegang aanvragen te openen.

    Portal Mijn toegang - knop Toegang aanvragen

  7. Typ in het vak Zakelijke reden de reden Ik werk aan de nieuwe marketingcampagne.

    Portal Mijn toegang - Toegang aanvragen

  8. Klik op Submit

  9. Klik in het menu links op Geschiedenis van de aanvraag om te controleren of uw aanvraag is verzonden.

Stap 4: Controleren of de toegang is toegewezen

In deze stap bevestigt u dat de interne aanvrager aan het toegangspakket is toegewezen en dat deze nu lid is van de groep Marketingresources.

Vereiste rol: globale beheerder, gebruikersbeheerder, cataloguseigenaar of toegangspakketbeheerder

  1. Meld u af bij de portal Mijn toegang.

  2. Meld u bij de Azure Portal aan als Admin1.

  3. Klik op Azure Active Directory en vervolgens op Identity Governance.

  4. Klik in het linkermenu op Toegangspakketten.

  5. Zoek het toegangspakket Marketingcampagne en klik erop.

  6. Klik in het linkermenu op Aanvragen.

    U ziet Requestor1 en het initiële beleid met de status Geleverd.

  7. Klik op de aanvraag om de details van de aanvraag weer te geven.

    Toegangspakket - Aanvraagdetails

  8. Klik in de linkernavigatie op Azure Active Directory.

  9. Klik op Groepen en open de groep Marketingresources.

  10. Klik op Leden.

    U ziet Requestor1 vermeld als een lid.

    Leden van marketingresources

Stap 5: Resources opschonen

In deze stap verwijdert u de wijzigingen die u hebt aangebracht en verwijdert u het toegangspakket Marketingcampagne.

Vereiste rol: bedrijfsbeheerder of gebruikersbeheerder

  1. Klik in de Azure-portal op Azure Active Directory en vervolgens op Identity Governance.

  2. Open het toegangspakket Marketingcampagne.

  3. Klik op Toewijzingen.

  4. Klik voor Requestor1 op het weglatingsteken ( ... ) en klik vervolgens op Toegang verwijderen. Klik in het bericht dat wordt weergegeven op Ja.

    Na enkele ogenblikken wordt de status gewijzigd van Geleverd in Verlopen.

  5. Klik op Resourcerollen.

  6. Klik voor Marketingresources op het weglatingsteken ( ... ) en klik vervolgens op Resourcerol verwijderen. Klik in het bericht dat wordt weergegeven op Ja.

  7. Open de lijst met toegangspakketten.

  8. Klik voor Marketingcampagne op het weglatingsteken ( ... ) en klik vervolgens op Verwijderen. Klik in het bericht dat wordt weergegeven op Ja.

  9. Verwijder in Azure Active Directory de gebruikers die u hebt gemaakt, zoals Requestor1 en Admin1.

  10. Verwijder de groep Marketingresources.

Volgende stappen

Ga naar het volgende artikel voor meer informatie over veelvoorkomende scenariostappen in rechtenbeheer.

Algemene scenario's