App- en resource-toegang met behulp van Azure Active Directory-groepen beherenManage app and resource access using Azure Active Directory groups

Azure Active Directory (Azure AD) helpt u bij het beheren van uw cloud-gebaseerde apps, on-premises toepassingen en uw resources met behulp van groepen van uw organisatie.Azure Active Directory (Azure AD) helps you to manage your cloud-based apps, on-premises apps, and your resources using your organization's groups. Uw resources kunnen deel uitmaken van de map, zoals machtigingen voor het beheren van objecten door middel van rollen in de directory, of extern naar de map, zoals software as a Service (SaaS)-apps, Azure-services, SharePoint-sites, en on-premises resources.Your resources can be part of the directory, such as permissions to manage objects through roles in the directory, or external to the directory, such as for Software as a Service (SaaS) apps, Azure services, SharePoint sites, and on-premises resources.

Notitie

U hebt een Azure-account nodig voor het gebruik van Azure Active Directory.To use Azure Active Directory, you need an Azure account. Als u nog geen account hebt, kunt u zich registreren voor een gratis Azure-account.If you don't have an account, you can sign up for a free Azure account.

Hoe toegangsbeheer in Azure AD-werk?How does access management in Azure AD work?

Azure AD kunt u toegang geven tot resources van uw organisatie door te geven van de rechten voor één gebruiker of groep met een hele Azure AD.Azure AD helps you give access to your organization's resources by providing access rights to a single user or to an entire Azure AD group. Met behulp van groepen, kunt de resource-eigenaar (of de eigenaar van de Azure AD-directory), een reeks machtigingen toewijzen aan alle leden van de groep, in plaats van deze op te geven van de rechten één voor één.Using groups lets the resource owner (or Azure AD directory owner), assign a set of access permissions to all the members of the group, instead of having to provide the rights one-by-one. De eigenaar van de resource of directory kan ook rights management voor de lijst met leden geven aan iemand anders, zoals de afdelingsmanager van een of Helpdesk-beheerder, zodat deze persoon toevoegen en verwijderen van leden, indien nodig.The resource or directory owner can also give management rights for the member list to someone else, such as a department manager or a Helpdesk administrator, letting that person add and remove members, as needed. Zie voor meer informatie over het beheren van groepseigenaren eigenaren van groepen beherenFor more information about how to manage group owners, see Manage group owners

Schema van toegangsbeheer in Azure Active Directory

Methoden voor het toewijzen van rechtenWays to assign access rights

Er zijn vier manieren om toe te wijzen resource toegangsrechten aan uw gebruikers:There are four ways to assign resource access rights to your users:

  • Rechtstreekse toewijzing toe.Direct assignment. De gebruiker de resource-eigenaar rechtstreeks toegewezen aan de resource.The resource owner directly assigns the user to the resource.

  • Toewijzing van de groep.Group assignment. De resource-eigenaar wijst een Azure AD-groep toe aan de resource, waarmee automatisch alle van de groep leden toegang tot de resource.The resource owner assigns an Azure AD group to the resource, which automatically gives all of the group members access to the resource. Lidmaatschap van groep wordt beheerd door zowel de Groepseigenaar van de en de resource-eigenaar, zodat de eigenaar toevoegen of verwijderen van leden uit de groep.Group membership is managed by both the group owner and the resource owner, letting either owner add or remove members from the group. Zie voor meer informatie over het toevoegen of verwijderen van het groepslidmaatschap het: Toevoegen of verwijderen van een groep uit een andere groep met behulp van de Azure Active Directory-portal.For more information about adding or removing group membership, see How to: Add or remove a group from another group using the Azure Active Directory portal.

  • Toewijzing op basis van een regel.Rule-based assignment. De resource-eigenaar een groep maakt en gebruikt een regel voor het definiëren welke gebruikers zijn toegewezen aan een specifieke resource.The resource owner creates a group and uses a rule to define which users are assigned to a specific resource. De regel is gebaseerd op kenmerken die zijn toegewezen aan individuele gebruikers.The rule is based on attributes that are assigned to individual users. De resource-eigenaar beheert de regel, waarmee wordt bepaald welke kenmerken en waarden vereist zijn voor toegang tot de resource.The resource owner manages the rule, determining which attributes and values are required to allow access the resource. Zie voor meer informatie, een dynamische groep maken en de status controleren.For more information, see Create a dynamic group and check status.

    U kunt ook deze korte video voor een korte uitleg over het maken en gebruiken van dynamische groepen bekijken:You can also Watch this short video for a quick explanation about creating and using dynamic groups:

  • Toewijzing van externe-instantie.External authority assignment. Er is toegang afkomstig van een externe bron, zoals een on-premises directory of een SaaS-app.Access comes from an external source, such as an on-premises directory or a SaaS app. In dit geval de resource-eigenaar wijst een groep voor toegang tot de resource en vervolgens de leden van de groep voor het beheren van de externe bron.In this situation, the resource owner assigns a group to provide access to the resource and then the external source manages the group members.

    Schema van toegangsbeheer

Gebruikers kunnen lid groepen zonder te worden toegewezen?Can users join groups without being assigned?

De eigenaar van de groep kunt toestaan dat gebruikers hun eigen groepen om toe te voegen, in plaats van ze toe te wijzen.The group owner can let users find their own groups to join, instead of assigning them. De eigenaar van de kunt ook instellen van de groep alle gebruikers die deelnemen aan automatisch accepteren of goedkeuring vereisen.The owner can also set up the group to automatically accept all users that join or to require approval.

Nadat een gebruiker aanvragen voor deelname aan een groep, wordt de aanvraag doorgestuurd naar de eigenaar van de groep.After a user requests to join a group, the request is forwarded to the group owner. Als dit vereist is, de eigenaar van de aanvraag kan goedkeuren en de gebruiker wordt op de hoogte gesteld van het groepslidmaatschap.If it's required, the owner can approve the request and the user is notified of the group membership. Echter, als u meerdere eigenaars hebben en een van beide disapproves, de gebruiker op de hoogte is gesteld, maar is niet toegevoegd aan de groep.However, if you have multiple owners and one of them disapproves, the user is notified, but isn't added to the group. Zie voor meer informatie en instructies over het kunnen uw gebruikers vragen om toe te voegen groepen Azure AD instellen, zodat gebruikers aanvragen kunnen voor deelname aan groepenFor more information and instructions about how to let your users request to join groups, see Set up Azure AD so users can request to join groups

Volgende stappenNext steps

Nu dat u een deel van een inleiding tot beheer van toegang met behulp van groepen hebt, start u uw resources en -apps beheren.Now that you have a bit of an introduction to access management using groups, you start to manage your resources and apps.