Een toegangsbeoordeling maken van groepen en toepassingen in Azure AD

De toegang tot groepen en toepassingen voor werknemers en gasten verandert in de tijd. Om het risico van verouderde toegangstoewijzingen te verminderen, kunnen beheerders Azure Active Directory (Azure AD) gebruiken om toegangsbeoordelingen te maken voor groepsleden of toegang tot toepassingen.

Microsoft 365- en beveiligingsgroepseigenaren kunnen ook Azure AD gebruiken om toegangsbeoordelingen voor groepsleden te maken, zolang de globale beheerder of de gebruikersbeheerder de instelling in het deelvenster Toegangsbeoordelingen Instellingen (preview) invoegt. Zie Toegangsbeoordelingen beheren voor meer informatie over deze scenario's.

Bekijk een korte video waarin wordt gesproken over het inschakelen van toegangsbeoordelingen.

In dit artikel wordt beschreven hoe u een of meer toegangsbeoordelingen maakt voor groepsleden of toegang tot toepassingen.

Vereisten

  • Azure AD Premium P2.
  • Globale beheerder, Gebruikersbeheerder of Identity Governance-beheerder om beoordelingen te maken voor groepen of toepassingen.
  • Globale beheerders en beheerders met bevoorrechte rollen kunnen beoordelingen maken voor groepen die aan rollen kunnen worden toegewezen. Zie Azure AD-groepen gebruiken om roltoewijzingente beheren voor meer informatie.
  • (Preview) Microsoft 365 en beveiligingsgroepeigenaar.

Zie Licentievereisten voor meer informatie.

Een of meer toegangsbeoordelingen maken

  1. Meld u aan bij Azure Portal en open de pagina Identiteitsbeheer.

  2. Selecteer toegangsbeoordelingen in het menu aan de linkerkant.

  3. Selecteer Nieuwe toegangsbeoordeling om een nieuwe toegangsbeoordeling te maken.

    Schermopname van het deelvenster Toegangsbeoordelingen in Identiteitsbeheer.

  4. Selecteer in het vak Selecteren wat u wilt controleren welke resource u wilt controleren.

    Schermopname van het maken van een toegangsbeoordeling.

  5. Als u Teams + Groepen hebt geselecteerd, hebt u twee opties:

    • Alle Microsoft 365 met gastgebruikers: selecteer deze optie als u terugkerende beoordelingen wilt maken voor al uw gastgebruikers in al uw Microsoft Teams en Microsoft 365 in uw organisatie. Dynamische groepen en rol toewijsbare groepen worden niet opgenomen. U kunt er ook voor kiezen om afzonderlijke groepen uit te sluiten door Groep(en) selecteren om uit te sluiten.

    • Selecteer Teams + groepen: selecteer deze optie als u een eindige set teams of groepen wilt opgeven die u wilt controleren. Aan de rechterkant wordt een lijst met groepen weergegeven waar u uit kunt kiezen.

      Schermopname van het selecteren Teams + Groepen.

  6. Als u Toepassingen hebt geselecteerd, selecteert u een of meer toepassingen.

    Schermopname van de interface die wordt weergegeven als u toepassingen hebt geselecteerd in plaats van groepen.

    Notitie

    Als u meerdere groepen of toepassingen selecteert, worden er meerdere toegangsbeoordelingen gemaakt. Als u bijvoorbeeld vijf groepen selecteert om te controleren, is het resultaat vijf afzonderlijke toegangsbeoordelingen.

  7. U kunt nu een bereik voor de beoordeling selecteren. Uw opties zijn:

    • Alleen gastgebruikers: met deze optie wordt de toegangsbeoordeling beperkt tot alleen de Azure AD B2B-gastgebruikers in uw directory.
    • Iedereen: met deze optie wordt de toegangsbeoordeling beperkt tot alle gebruikersobjecten die aan de resource zijn gekoppeld.

    Notitie

    Als u Alle Microsoft 365 met gastgebruikers hebt geselecteerd, kunt u alleen gastgebruikers controleren.

  8. Selecteer Volgende: Beoordelingen.

  9. Selecteer in de sectie Revisoren opgeven in het vak Revisoren selecteren een of meer personen om de toegangsbeoordelingen uit te geven. U kunt kiezen uit:

    • Groepseigenaar(s): deze optie is alleen beschikbaar wanneer u een beoordeling voor een team of groep maakt.
    • Geselecteerde gebruikers of groepen
    • Gebruikers beoordelen hun eigen toegang
    • Managers van gebruikers

    Als u Managers van gebruikers of Groepseigenaar(s) kiest, kunt u ook een revisor voor terugval opgeven. Revisoren van terugval worden gevraagd om een beoordeling uit te maken wanneer de gebruiker geen manager heeft opgegeven in de directory of als de groep geen eigenaar heeft.

    Schermopname van Nieuwe toegangsbeoordeling.

  10. Geef in de sectie Terugkeerpatroon van beoordeling opgeven de volgende selecties op:

    • Duur (in dagen): hoe lang een beoordeling is geopend voor invoer van revisoren.

    • Begindatum: wanneer de reeks beoordelingen begint.

    • Einddatum: wanneer de reeks beoordelingen eindigt. U kunt opgeven dat deze nooit wordt beëindigd. U kunt ook Beëindigen selecteren op een specifieke datum of Beëindigen na het aantal exemplaren.

      Schermopname die laat zien hoe vaak de beoordeling moet worden uitgevoerd.

  11. Selecteer Volgende: Instellingen.

  12. In de sectie Instellingen na voltooiing kunt u opgeven wat er gebeurt nadat de beoordeling is voltooid.

    Schermopname van de instellingen bij voltooiing.

    • Resultaten automatisch toepassen op resource: schakel dit selectievakje in als u wilt dat de toegang van geweigerde gebruikers automatisch wordt verwijderd nadat de duur van de beoordeling is beëindigd. Als de optie is uitgeschakeld, moet u de resultaten handmatig toepassen wanneer de beoordeling is voltooien. Zie Toegangsbeoordelingen beheren voor meer informatie over het toepassen van de resultaten van de beoordeling.

    • Als revisoren niet reageren: gebruik deze optie om op te geven wat er gebeurt voor gebruikers die niet worden beoordeeld door een revisor binnen de beoordelingsperiode. Deze instelling heeft geen invloed op gebruikers die zijn beoordeeld door een revisor. De vervolgkeuzelijst bevat de volgende opties:

      • Geen wijziging: de toegang van een gebruiker blijft ongewijzigd.
      • Toegang verwijderen: hiermee verwijdert u de toegang van een gebruiker.
      • Toegang goedkeuren: keurt de toegang van een gebruiker goed.
      • Aanbevelingen volgen: neemt de aanbeveling van het systeem aan om de voortdurende toegang van de gebruiker te weigeren of goed te keuren.
    • Actie om toe te passen op geweigerde gastgebruikers: deze optie is alleen beschikbaar als het bereik van de toegangsbeoordeling is beperkt tot alleen gastgebruikers om op te geven wat er gebeurt met gastgebruikers als ze worden geweigerd door een revisor of door de instelling Als revisoren niet reageren.

      • Lidmaatschap van gebruiker verwijderen uit de resource: met deze optie wordt de toegang van een geweigerde gastgebruiker tot de groep of toepassing die wordt gecontroleerd, verwijderd. Ze kunnen zich nog steeds aanmelden bij de tenant en verliezen geen andere toegang.
      • Blokkeren dat een gebruiker zich 30 dagen kan aanmelden en vervolgens de gebruiker uit de tenant verwijdert: met deze optie wordt geblokkeerd dat een geweigerde gastgebruiker zich kan aanmelden bij de tenant, ongeacht of deze toegang heeft tot andere resources. Als deze actie is ondernomen, kunnen beheerders de toegang van de gastgebruiker binnen 30 dagen nadat de gastgebruiker is uitgeschakeld, opnieuw in- of herstellen. Als er na 30 dagen geen actie wordt ondernomen op de uitgeschakelde gastgebruiker, worden deze verwijderd uit de tenant.

    Zie Use Azure AD Identity Governance to review and remove external users who no longerhave resource access voor meer informatie over best practices voor het verwijderen van gastgebruikers die geen toegang meer hebben tot resources in uw organisatie.

    Notitie

    De actie die moet worden toegepast op geweigerde gastgebruikers, kan niet worden geconfigureerd voor beoordelingen die zijn beperkt tot meer dan gastgebruikers. Het kan ook niet worden geconfigureerd voor beoordelingen van alle Microsoft 365 groepen met gastgebruikers. Wanneer deze optie niet kan worden geconfigureerd, wordt de standaardoptie voor het verwijderen van het lidmaatschap van een gebruiker uit de resource gebruikt voor geweigerde gebruikers.

  13. Gebruik de optie Aan het einde van de beoordeling meldingen verzenden naar om meldingen te verzenden naar andere gebruikers of groepen met voltooiingsupdates. Met deze functie kunnen andere belanghebbenden dan de maker van de beoordeling worden bijgewerkt op de voortgang van de beoordeling. Als u deze functie wilt gebruiken, kiest u Gebruiker(s) of Groep(en) selecteren en voegt u een andere gebruiker of groep toe waarvoor u de status van voltooiing wilt ontvangen.

  14. Kies in de sectie Helpers voor beoordelingsbeslissingen inschakelen of u wilt dat uw revisor aanbevelingen ontvangt tijdens het beoordelingsproces. Wanneer deze functie is ingeschakeld, worden gebruikers die zich tijdens de vorige periode van 30 dagen hebben aangemeld, aanbevolen voor goedkeuring. Gebruikers die zich de afgelopen 30 dagen niet hebben aangemeld, worden aanbevolen voor weigering.

    Notitie

    Als u een toegangsbeoordeling maakt op basis van toepassingen, zijn uw aanbevelingen gebaseerd op de intervalperiode van 30 dagen, afhankelijk van wanneer de gebruiker zich voor het laatst heeft aangemeld bij de toepassing in plaats van de tenant.

    Schermopname van de optie Beslissingshulpers voor revisoren inschakelen.

  15. In de sectie Geavanceerde instellingen kunt u het volgende kiezen:

    • Vereiste reden: schakel dit selectievakje in om te vereisen dat de revisor een reden voor goedkeuring of weigering oplevert.

    • E-mailmeldingen: schakel dit selectievakje in om azure AD e-mailmeldingen te laten verzenden naar revisoren wanneer een toegangsbeoordeling wordt gestart en naar beheerders wanneer een beoordeling is uitgevoerd.

    • Herinneringen: schakel dit selectievakje in om Azure AD herinneringen over toegangsbeoordelingen te laten verzenden naar alle revisoren. Revisoren ontvangen de herinneringen halverwege de beoordeling, ongeacht of ze hun beoordeling al dan niet hebben voltooid.

    • Aanvullende inhoud voor e-mail van revisor: de inhoud van het e-mailbericht dat naar revisoren wordt verzonden, wordt automatisch gegenereerd op basis van de beoordelingsdetails, zoals de naam van de beoordeling, de resourcenaam en de einddatum. Als u meer informatie wilt communiceren, kunt u in het vak details opgeven, zoals instructies of contactgegevens. De informatie die u op te geven is opgenomen in de uitnodiging en herinneringsmails worden verzonden naar toegewezen revisoren. In de sectie die in de volgende afbeelding is gemarkeerd, ziet u waar deze informatie wordt weergegeven.

      Schermopname met aanvullende inhoud voor revisoren.

  16. Selecteer Volgende: Beoordelen en maken.

    Schermopname van het tabblad Beoordelen en maken.

  17. Noem de toegangsbeoordeling. Geef eventueel een beschrijving op voor de beoordeling. De naam en beschrijving worden weergegeven aan de revisoren.

  18. Controleer de informatie en selecteer Maken.

Groepseigenaren toestaan om toegangsbeoordelingen van hun groepen te maken en beheren (preview)

De vereiste rol is een globale beheerder of gebruikersbeheerder.

  1. Meld u aan bij Azure Portal en open de pagina Identiteitsbeheer.

  2. Selecteer in het menu aan de linkerkant onder Toegangsbeoordelingen de optie Instellingen.

  3. Stel op de pagina Gemachtigden die toegangsbeoordelingen kunnen maken en beheren groepseigenaren in (preview) toegangsbeoordelingen maken en beheren voor groepen die ze hebben de waarde Ja.

    Schermopname van het inschakelen van groepseigenaren om te controleren.

    Notitie

    De instelling is standaard ingesteld op Nee. Als u wilt toestaan dat groepseigenaren toegangsbeoordelingen maken en beheren, wijzigt u de instelling in Ja.

De toegangsbeoordeling starten

Nadat u de instellingen voor een toegangsbeoordeling hebt opgegeven, selecteert u Starten. De toegangsbeoordeling wordt weergegeven in de lijst met een indicator van de status.

Schermopname van een lijst met toegangsbeoordelingen en hun status.

Standaard stuurt Azure AD kort nadat de beoordeling is gestart een e-mail naar revisoren. Als u ervoor kiest om azure AD geen e-mail te laten verzenden, moet u de beoordelaars ervan op de hoogte stellen dat er een toegangsbeoordeling wacht totdat deze is voltooid. U kunt hen de instructies laten zien voor het controleren van toegang tot groepen of toepassingen. Als uw beoordeling is dat gasten hun eigen toegang kunnen beoordelen, laat ze dan de instructies zien voor het beoordelen van de toegang voor uzelf tot groepen of toepassingen.

Als u gasten hebt toegewezen als revisoren en zij hun uitnodiging voor de tenant niet hebben geaccepteerd, ontvangen ze geen e-mail van toegangsbeoordelingen. Ze moeten de uitnodiging eerst accepteren voordat ze kunnen beginnen met beoordelen.

De toegangsbeoordeling bijwerken

Nadat een of meer toegangsbeoordelingen zijn gestart, kunt u de instellingen van uw bestaande toegangsbeoordelingen wijzigen of bijwerken. Hier zijn enkele veelvoorkomende scenario's die u kunt overwegen:

  • Instellingen of revisoren bijwerken: Als een toegangsbeoordeling terugkerend is, zijn er afzonderlijke instellingen onder Huidig en onder Reeks. Bij het bijwerken van de instellingen of revisoren onder Huidig worden alleen wijzigingen toegepast op de huidige toegangsbeoordeling. Door de instellingen onder Reeks bij te werken, worden de instellingen voor alle toekomstige terugkeerpatroon bijgewerkt.

    Schermopname van het bijwerken van de toegangsbeoordelingsinstellingen.

  • Revisoren toevoegen en verwijderen: Wanneer u toegangsbeoordelingen bijwerkt, kunt u naast de primaire revisor ook een revisor voor terugval toevoegen. Primaire revisoren kunnen worden verwijderd wanneer u een toegangsbeoordeling bijwerkt. Terugvalrevisoren zijn niet per se verwisselbaar.

    Notitie

    Terugvalvisoren kunnen alleen worden toegevoegd wanneer het type revisor een manager of groepseigenaar is. Primaire revisoren kunnen worden toegevoegd wanneer het type revisor de geselecteerde gebruiker is.

  • De beoordelaars eraan herinneren: Wanneer u toegangsbeoordelingen bij werkt, kunt u ervoor kiezen om de optie Herinneringen in te stellen onder Geavanceerde instellingen. Gebruikers ontvangen vervolgens een e-mailmelding op het midden van de beoordelingsperiode, ongeacht of ze de beoordeling al dan niet hebben voltooid.

    Schermopname van revisoren eraan herinneren.

Volgende stappen