Wat zijn Azure AD-toegang beoordeelt?What are Azure AD access reviews?

Azure Active Directory (Azure AD)-toegangsbeoordelingen kunnen organisaties op efficiënte wijze groepslidmaatschappen beheren, toegang tot bedrijfstoepassingen en roltoewijzingen.Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. Van de gebruiker toegang kan worden gecontroleerd op regelmatige basis om ervoor te zorgen dat alleen de juiste personen blijven toegang houden.User's access can be reviewed on a regular basis to make sure only the right people have continued access.

Hier volgt een video waarin een kort overzicht van toegangsbeoordelingen geeft:Here's a video that provides a quick overview of access reviews:

Waarom zijn de toegang beoordeelt belangrijk?Why are access reviews important?

Azure AD kunt u intern samenwerken binnen uw organisatie en gebruikers van externe organisaties, zoals partners.Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. Gebruikers kunnen deelnemen aan groepen, gasten uitnodigen, verbinding maken met cloud-apps en op afstand werken vanaf hun werk- of persoonlijke apparaten.Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. Het gemak van het gebruik van de kracht van self-service heeft geleid tot betere mogelijkheden voor toegangsbeheer nodig.The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • Wanneer nieuwe werknemers aan worden toegevoegd, hoe u ervoor zorgen dat ze de juiste toegang om productief te zijn?As new employees join, how do you ensure they have the right access to be productive?
  • Wanneer mensen teams verplaatsen of het bedrijf verlaten, hoe u ervoor zorgen dat de oude toegang wordt verwijderd, met name wanneer dan ook de gasten?As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • Overmatige toegangsrechten kunnen leiden tot het controleren van de bevindingen en compromissen aangezien ze duiden op een gebrek aan beheer van toegang.Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • U moet proactief betrekken met eigenaren van resources om te controleren of dat ze regelmatig te controleren wie toegang heeft tot hun resources.You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

Wanneer u de toegang beoordeelt?When to use access reviews?

  • Te veel gebruikers in bevoorrechte rollen: Er is een goed idee om te controleren hoeveel gebruikers met beheerdersrechten toegang hebben, hoeveel hiervan zijn globale beheerders, en als er een uitgenodigd gasten of partners die zijn niet verwijderd nadat ze zijn toegewezen aan het doen van een beheertaak.Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. U kunt opnieuw certificeren voor de rol van toewijzing van gebruikers in Azure AD-rollen zoals globale beheerders of Azure-resources-rollen zoals Administrator voor gebruikerstoegang in de Azure AD Privileged Identity Management (PIM) optreden.You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • Automation is wanneer onbruikbare: U kunt regels voor dynamisch lidmaatschap voor beveiligingsgroepen of Office 365-groepen, maar wat gebeurt er als de HR-gegevens zijn niet in Azure AD of als gebruikers nog steeds toegang nodig na het verlaten van de groep hun vervanging van de trein maken?When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? Vervolgens kunt u een evaluatie maken voor de groep om ervoor te zorgen die nog steeds toegang nodig blijvende toegang moeten hebben.You can then create a review on that group to ensure those who still need access should have continued access.
  • Wanneer een groep wordt gebruikt voor een nieuw doel: Als u een groep die u wilt worden gesynchroniseerd met Azure AD hebt, of als u van plan bent om in te schakelen van de Salesforce-toepassing voor iedereen in de groep Sales-team, is het handig om te vragen van de eigenaar van de groep om te controleren van het groepslidmaatschap voorafgaand aan de groep wordt gebruikt in een co verschillende risico 's inhoud.When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • Toegang tot kritieke gegevens van zakelijke: voor bepaalde resources, kan het worden vereist om aan te vragen mensen buiten IT regelmatig afmelden en geef een reden op waarom ze toegang nodig hebben voor controledoeleinden.Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign off and give a justification on why they need access for auditing purposes.
  • Lijst met uitzonderingen van een beleid onderhouden: In een ideaal volgen alle gebruikers het toegangsbeleid voor beveiligde toegang tot resources van uw organisatie.To maintain a policy's exception list: In an ideal world, all users would follow the access policies to secure access to your organization's resources. Soms zijn er echter bedrijfsscenario's waarvoor u uitzonderingen maken.However, sometimes there are business cases that require you to make exceptions. Als de IT-beheerder, kunt u deze taak beheren, te voorkomen dat toezicht van uitzonderingen en auditors voorzien van bewijs dat deze uitzonderingen regelmatig worden gecontroleerd.As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • Eigenaren van groepen om te bevestigen moeten nog steeds gasten in hun groepen vragen: Toegang van werknemers kan worden geautomatiseerd met bepaalde on-premises IAM, maar niet uitgenodigd.Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. Als een groep Gasten toegang geeft tot zakelijke gevoelige inhoud wordt beschreven, worden de verantwoordelijkheid van de Groepseigenaar om te bevestigen van de gasten hebben nog steeds een legitieme zakelijke behoeften om toegang te krijgen.If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • Beoordelingen regelmatig terugkerende hebben: U kunt terugkerende toegangsbeoordelingen van gebruikers bij set-frequenties, zoals instellen wekelijks, maandelijks, per kwartaal of jaar en de revisoren ontvangt een melding aan het begin van elke beoordeling.Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. Revisoren kunnen goedkeuren of weigeren van toegang met een gebruiksvriendelijke interface en met behulp van intelligente aanbevelingen.Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

Waar ik u beoordelingen maken?Where do you create reviews?

Afhankelijk van wat u bekijken wilt, maakt u de toegangsbeoordeling in Azure AD toegang tot beoordelingen, Azure AD enterprise-apps (in Preview-versie) of Azure AD PIM.Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

Rechten van gebruikersAccess rights of users Revisoren kunnen zijnReviewers can be Revisie is gemaakt inReview created in Revisor-ervaringReviewer experience
Leden van beveiligingSecurity group members
Leden van OfficeOffice group members
Opgegeven revisorenSpecified reviewers
Eigenaren van groepenGroup owners
Zelf controlerenSelf-review
Azure AD-toegangsbeoordelingenAzure AD access reviews
Azure AD-groepenAzure AD groups
ToegangsvensterAccess panel
Toegewezen aan een verbonden appAssigned to a connected app Opgegeven revisorenSpecified reviewers
Zelf controlerenSelf-review
Azure AD-toegangsbeoordelingenAzure AD access reviews
Azure AD-enterprise-apps (in Preview-versie)Azure AD enterprise apps (in preview)
ToegangsvensterAccess panel
Azure AD-rolAzure AD role Opgegeven revisorenSpecified reviewers
Zelf controlerenSelf-review
Azure AD PIMAzure AD PIM Azure PortalAzure portal
De rol van de Azure-resourceAzure resource role Opgegeven revisorenSpecified reviewers
Zelf controlerenSelf-review
Azure AD PIMAzure AD PIM Azure PortalAzure portal

Welke gebruikers moeten licenties hebben?Which users must have licenses?

Elke gebruiker die met toegangsbeoordelingen communiceert moet een betaalde Azure AD Premium P2-licentie hebben.Each user who interacts with access reviews must have a paid Azure AD Premium P2 license. Voorbeelden zijn:Examples include:

  • Beheerders die een toegangsbeoordeling makenAdministrators who create an access review
  • Eigenaren van groepen die toegang controlerenGroup owners who perform an access review
  • Gebruikers die zijn toegewezen als revisorenUsers assigned as reviewers
  • Gebruikers die uitvoeren op een zelf controlerenUsers who perform a self-review

U kunt ook vragen gastgebruikers ook kunnen op hun eigen toegang beoordelen.You can also ask guest users to review their own access. Voor elke betaalde Azure AD Premium P2-licentie die u aan een van de gebruikers van uw eigen organisatie toewijst, kunt u Azure AD business-to-business (B2B) op maximaal vijf gastgebruikers onder de aftrek van de externe gebruiker uitnodigen.For each paid Azure AD Premium P2 license that you assign to one of your own organization's users, you can use Azure AD business-to-business (B2B) to invite up to five guest users under the External User Allowance. Deze gastgebruikers kunnen functies van Azure AD Premium P2 ook gebruiken.These guest users can also use Azure AD Premium P2 features. Zie voor meer informatie, Azure AD B2B-samenwerking licentierichtlijnen.For more information, see Azure AD B2B collaboration licensing guidance.

Hier volgen enkele scenario's met voorbeelden om te bepalen het aantal licenties hebt.Here are some example scenarios to help you determine the number of licenses you must have.

ScenarioScenario BerekeningCalculation Vereiste aantal licentiesRequired number of licenses
Een beheerder maakt een toegangsbeoordeling van groep A met 500 gebruikers.An administrator creates an access review of Group A with 500 users.
3 groepseigenaren als beoordelaar toegewezen.Assigns 3 group owners as reviewers.
beheerder van 1 + 3 groepseigenaren1 administrator + 3 group owners 44
Een beheerder maakt een toegangsbeoordeling van groep A met 500 gebruikers.An administrator creates an access review of Group A with 500 users.
Maakt het een zelf controleren.Makes it a self-review.
1 beheerder + 500 gebruikers als zelfrevisors1 administrator + 500 users as self-reviewers 501501
Een beheerder maakt een toegangsbeoordeling van groep A met 5 gebruikers en 25 gastgebruikers.An administrator creates an access review of Group A with 5 users and 25 guest users.
Maakt het een zelf controleren.Makes it a self-review.
1 beheerder + 5 gebruikers als zelfrevisors1 administrator + 5 users as self-reviewers
(gastgebruikers ook kunnen worden behandeld in de verhouding van de vereiste 1:5)(guest users are covered in the required 1:5 ratio)
66
Een beheerder maakt een toegangsbeoordeling van groep A met 5 gebruikers en 28 gastgebruikers.An administrator creates an access review of Group A with 5 users and 28 guest users.
Maakt het een zelf controleren.Makes it a self-review.
1 beheerder + 5 gebruikers als zelfrevisors + 1 voor de gebruiker om gastgebruikers ook kunnen in de verhouding tussen de vereiste 1:51 administrator + 5 users as self-reviewers + 1 user to cover guest users in the required 1:5 ratio 77

Zie voor meer informatie over het toewijzen van licenties aan uw gebruikt toewijzen of verwijderen met behulp van de Azure Active Directory-portal licenties.For information about how to assign licenses to your uses, see Assign or remove licenses using the Azure Active Directory portal.

Meer informatie over toegangsbeoordelingenLearn about access reviews

Bekijk deze korte demo voor meer informatie over het maken en uitvoeren van beoordelingen:To learn more about creating and performing access reviews, watch this short demo:

Als u klaar bent voor toegangsbeoordelingen in uw organisatie te implementeren, als volgt te werk in de video om te introduceren, trainen uw beheerders en uw eerste toegangsbeoordeling maken!If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

LicentievereistenLicense requirements

Met deze functie is een Azure AD Premium P2-licentie vereist.Using this feature requires an Azure AD Premium P2 license. De juiste licentie voor uw vereisten, Zie algemeen beschikbare functies van de gratis, Basic en Premium-edities vergelijken.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Volgende stappenNext steps