Een implementatie van Microsoft Entra-toegangsbeoordelingen plannen
Microsoft Entra-toegangsbeoordelingen helpen uw organisatie enterprise veiliger te houden door de levenscyclus van de toegang tot resources te beheren. Met toegangsbeoordelingen kunt u:
Plan regelmatig beoordelingen of voer ad-hocbeoordelingen uit om te ontdekken wie toegang heeft tot specifieke resources, zoals toepassingen en groepen.
Beoordelingen bijhouden om inzichts-, nalevings- of beleidsredenen.
Beoordelingen delegeren aan specifieke beheerders, bedrijfseigenaren, of gebruikers die zelf kunnen bevestigen dat ze doorlopende toegang nodig hebben.
De inzichten gebruiken om efficiënt te bepalen of gebruikers toegang moeten blijven hebben.
Beoordelingsresultaten automatiseren, zoals de toegang van gebruikers tot resources verwijderen.
Toegangsbeoordelingen zijn een Microsoft Entra ID-governance mogelijkheid. De andere mogelijkheden zijn rechtenbeheer, Privileged Identity Management (PIM), levenscycluswerkstromen, inrichting en gebruiksvoorwaarden. Samen helpen ze u deze vier vragen te beantwoorden:
- Welke gebruikers moeten toegang hebben tot welke resources?
- Wat doen gebruikers met die toegang?
- Beschikt de organisatie over effectieve beheeropties voor het beheren van toegang?
- Kunnen auditors controleren of de beheeropties werken?
Het plannen van uw implementatie van toegangsbeoordelingen is essentieel om ervoor te zorgen dat u uw gewenste governancestrategie voor gebruikers in uw organisatie bereikt.
Belangrijkste voordelen
De belangrijkste voordelen van het inschakelen van toegangsbeoordelingen zijn:
- Samenwerking beheren: Met toegangsbeoordelingen kunt u de toegang beheren tot alle resources die uw gebruikers nodig hebben. Wanneer gebruikers delen en samenwerken, kunt u er zeker van zijn dat de informatie zich alleen onder geautoriseerde gebruikers bevindt.
- Risico's beheren: toegangsbeoordelingen bieden u een manier om de toegang tot gegevens en toepassingen te controleren, waardoor het risico op gegevenslekken en gegevenslekken wordt verlaagd. U krijgt de mogelijkheid om regelmatig de toegang van externe partners tot bedrijfsbronnen te beoordelen.
- Naleving en governance adresseren: Met toegangsbeoordelingen kunt u de levenscyclus van toegang tot groepen, apps en sites beheren en opnieuw certificeren. U kunt beoordelingen controleren en bijhouden voor naleving of risicogevoelige toepassingen die specifiek zijn voor uw organisatie.
- Kosten verlagen: Toegangsbeoordelingen zijn ingebouwd in de cloud en werken systeemeigen met cloudresources, zoals groepen, toepassingen en toegangspakketten. Het gebruiken van toegangsbeoordelingen is goedkoper dan het bouwen van uw eigen hulpprogramma's of het anderszins upgraden van uw on-premises hulpprogrammaset.
Trainingsmateriaal
De volgende video's bieden u meer informatie over toegangsbeoordelingen:
- Wat zijn toegangsbeoordelingen in Microsoft Entra ID?
- Toegangsbeoordelingen maken in Microsoft Entra-id
- Automatische toegangsbeoordelingen maken voor alle gastgebruikers met toegang tot Microsoft 365-groepen in Microsoft Entra-id
- Toegangsbeoordelingen inschakelen in Microsoft Entra ID
- Toegang beoordelen met behulp van Mijn toegang
Licenties
Voor het gebruik van deze functie zijn Microsoft Entra ID-governance abonnementen vereist voor de gebruikers van uw organisatie. Sommige mogelijkheden in deze functie werken mogelijk met een Microsoft Entra ID P2-abonnement. Zie de artikelen van elke mogelijkheid voor meer informatie. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.
Notitie
Voor het maken van een beoordeling van inactieve gebruikers en met aanbevelingen voor gebruikers-naar-groep-lidmaatschap is een Microsoft Entra ID-governance licentie vereist.
Het implementatieproject voor toegangsbeoordelingen plannen
Overweeg de behoeften van uw organisatie om de strategie te kunnen bepalen voor het implementeren van toegangsbeoordelingen in uw omgeving.
De juiste belanghebbenden betrekken
Wanneer technologieprojecten mislukken, komt dit meestal door niet-overeenkomende verwachtingen met betrekking tot de impact, resultaten en verantwoordelijkheden. Om deze valkuilen te voorkomen, moet u ervoor zorgen dat u de juiste belanghebbenden betrekt en dat projectrollen duidelijk zijn.
Voor toegangsbeoordelingen neemt u waarschijnlijk vertegenwoordigers uit de volgende teams in uw organisatie op:
IT-beheer beheert uw IT-infrastructuur, cloudinvesteringen en SaaS-apps (Software as a Service). Dit team:
- Beoordeelt bevoegde toegang tot infrastructuur en apps, waaronder Microsoft 365 en Microsoft Entra-id.
- Plant toegangsbeoordelingen en voert deze uit op groepen die worden gebruikt voor het onderhouden van uitzonderingslijsten of IT-proefprojecten om up-to-date toegangslijsten te onderhouden.
- Zorgt ervoor dat programmatische (gescripte) toegang tot resources via service-principals wordt beheerd en beoordeeld.
- Automatiseer processen zoals onboarding van gebruikers en offboarding, toegangsaanvragen en toegangscertificeringen.
Beveiligingsteams zorgen ervoor dat het plan voldoet aan de beveiligingsvereisten van uw organisatie en dwingt Zero Trust af. Dit team:
- Vermindert risico's en versterkt de beveiliging
- Dwingt minimale toegangsrechten voor resources en toepassingen af
- Maakt gebruik van hulpprogramma's om een gecentraliseerde gezaghebbende bron te zien, van wie toegang heeft tot wat en voor hoe lang.
Ontwikkelteams bouwen en onderhouden toepassingen voor uw organisatie. Dit team:
- Bepaalt wie onderdelen kan openen en beheren in SaaS-, PaaS- (Platform as a Service) en IaaS-resources (Infrastructure as a Service) waaruit de ontwikkelde oplossingen bestaan.
- Beheert groepen die toegang hebben tot toepassingen en hulpprogramma's voor interne toepassingsontwikkeling.
- Vereist bevoorrechte identiteiten die toegang hebben tot productiesoftware of -oplossingen die worden gehost voor uw klanten.
Bedrijfseenheden beheren projecten en eigen toepassingen. Dit team:
- Beoordeelt de toegang tot groepen en toepassingen en keurt deze goed of weigert deze voor interne en externe gebruikers.
- Plant beoordelingen en voert deze uit om doorlopende toegang te bevestigen voor werknemers en externe identiteiten zoals zakenpartners.
- Werknemers moeten toegang hebben tot de apps die zijn vereist voor hun werk.
- Hiermee kunnen afdelingen de toegang voor hun gebruikers beheren.
Corporate governance zorgt ervoor dat de organisatie intern beleid volgt en voorschriften naleeft. Dit team:
- Vraagt nieuwe toegangsbeoordelingen aan of plant deze.
- Evalueert processen en procedures voor het beoordelen van toegang, waaronder documentatie en het bijhouden van records voor naleving.
- Controleert de resultaten van eerdere beoordelingen voor de meeste kritieke resources.
- Valideert of de juiste controles zijn ingesteld om te voldoen aan verplicht beveiligings- en privacybeleid.
- Vereist herhaalbare toegangsprocessen die eenvoudig kunnen worden gecontroleerd en rapporteren.
Notitie
Voor beoordelingen die handmatige evaluaties vereisen, moet u voldoende beoordelaars en beoordelingscycli inplannen die voldoen aan uw beleids- en nalevingsbehoeften. Als beoordelingscycli te vaak plaatsvinden of als er te weinig beoordelaars zijn, kan de kwaliteit verloren gaan en kunnen te veel of te weinig personen toegang hebben. We raden u aan duidelijke verantwoordelijkheden vast te stellen voor de verschillende belanghebbenden en afdelingen die betrokken zijn bij de toegangsbeoordelingen. Alle teams en personen die deelnemen, moeten hun respectieve rollen en verplichtingen begrijpen om het beginsel van minimale bevoegdheden te handhaven.
Communicatie plannen
Communicatie is essentieel voor het succes van elk nieuwe bedrijfsproces. Communiceer proactief met gebruikers over hoe en wanneer hun ervaring zal veranderen. Vertel ze hoe ze ondersteuning kunnen krijgen als ze problemen ondervinden.
Wijzigingen in verantwoordelijkheid communiceren
Toegangsbeoordelingen ondersteunen het verschuiven van de verantwoordelijkheid voor het beoordelen van en actie ondernemen op doorlopende toegang naar bedrijfseigenaren. Toegangsbeslissingen loskoppelen van de IT-afdeling leidt tot nauwkeurigere toegangsbeslissingen. Deze verschuiving is een culturele verandering in de aansprakelijkheid en verantwoordelijkheid van de resource-eigenaar. Communiceer proactief over deze wijziging en zorg ervoor dat resource-eigenaren worden getraind en de inzichten kunnen gebruiken om goede beslissingen te nemen.
De IT-afdeling wil de controle houden over alle beslissingen over toegang die betrekking hebben op de infrastructuur en bevoorrechte roltoewijzingen.
E-mailcommunicatie aanpassen
Wanneer u een beoordeling plant, nomineert u gebruikers die deze beoordeling uitvoeren. Deze beoordelaars ontvangen vervolgens een e-mailmelding over nieuwe beoordelingen die aan hen zijn toegewezen en herinneringen voordat een beoordeling die aan hen is toegewezen verloopt.
De e-mail die naar beoordelaars wordt verzonden, kan worden aangepast met een kort bericht dat hen aanmoedigt actie te ondernemen op de beoordeling. Gebruik de extra tekst om:
Een persoonlijk bericht aan beoordelaars op te nemen, zodat ze begrijpen dat het wordt verzonden door uw nalevings- of IT-afdeling.
Een verwijzing op te nemen naar interne informatie over de verwachtingen van de beoordeling en extra naslag- of trainingsmateriaal.
Nadat u Beoordeling starten hebt geselecteerd, worden beoordelaars omgeleid naar de portal Mijn toegang voor toegangsbeoordelingen voor groepen en toepassingen. De portal biedt hen een overzicht van alle gebruikers die toegang hebben tot de resource die ze beoordelen, en systeemaanbevelingen op basis van laatste aanmelding en toegangsinformatie.
Een testfase plannen
We raden klanten aan om toegangsbeoordelingen in eerste instantie met een kleine groep te testen en deze op niet-kritieke resources te richten. Testfases kunnen u helpen processen en communicatie aan te passen, indien nodig. Ze kunnen u helpen gebruikers en beoordelaars beter te laten voldoen aan beveiligings- en nalevingsvereisten.
In uw testfase raden we u aan het volgende te doen:
- Begin met beoordelingen waarbij de resultaten niet automatisch worden toegepast en u de gevolgen kunt bepalen.
- Zorg ervoor dat alle gebruikers geldige e-mailadressen hebben die worden vermeld in de Microsoft Entra-id. Bevestig dat ze e-mailcommunicatie ontvangen om de juiste actie te ondernemen.
- Documenteer alle toegang die is verwijderd als onderdeel van de testfase, voor het geval u deze snel moet herstellen.
- Bewaak auditlogboeken om ervoor te zorgen dat alle gebeurtenissen correct worden gecontroleerd.
Zie Best practices voor een testfase voor meer informatie.
Inleiding tot toegangsbeoordelingen
In deze sectie worden concepten voor toegangsbeoordeling geïntroduceerd die u moet kennen voordat u uw beoordelingen plant.
Welke resourcetypen kunnen worden beoordeeld?
Nadat u de resources van uw organisatie hebt geïntegreerd met Microsoft Entra ID, zoals gebruikers, toepassingen en groepen, kunnen ze worden beheerd en gecontroleerd.
Typische doelen voor beoordeling zijn onder andere:
- Toepassingen die zijn geïntegreerd met Microsoft Entra ID voor eenmalige aanmelding, zoals SaaS en Line-Of-Business.
- Groepslidmaatschap gesynchroniseerd met Microsoft Entra-id of gemaakt in Microsoft Entra-id of Microsoft 365, inclusief Microsoft Teams.
- Toegangspakket waarmee resources zoals groepen, apps en sites worden gegroepeerd in één pakket om de toegang te beheren.
- Microsoft Entra-rollen en Azure-resourcerollen zoals gedefinieerd in PIM.
Wie maakt en beheert toegangsbeoordelingen?
De beheerdersrol die is vereist voor het maken, beheren of lezen van een toegangsbeoordeling, is afhankelijk van het type resource waarvan het lidmaatschap wordt beoordeeld. De volgende tabel geeft de rollen aan die vereist zijn voor elk resourcetype.
| Brontype | Toegangsbeoordelingen maken en beheren (makers) | Resultaten van de toegangsbeoordeling lezen |
|---|---|---|
| Groep of toepassing | Globale beheerder Gebruikersbeheerder Identity Governance-beheerder Beheerder van bevoorrechte rol (alleen beoordelingen voor microsoft Entra-groepen die aan rollen kunnen worden toegewezen) Groepseigenaar (indien ingeschakeld door een beheerder) |
Globale beheerder Globale lezer Gebruikersbeheerder Identity Governance-beheerder Beheerder voor bevoorrechte rollen Beveiligingslezer Groepseigenaar (indien ingeschakeld door een beheerder) |
| Microsoft Entra-rollen | Globale beheerder Beheerder voor bevoorrechte rollen |
Globale beheerder Globale lezer Gebruikersbeheerder Beheerder voor bevoorrechte rollen
Beveiligingslezer |
| Azure-resourcerollen | Beheerder van gebruikerstoegang (voor de resource) Resource-eigenaar Aangepaste rollen met de machtiging Microsoft.Authorization/* . |
Beheerder van gebruikerstoegang (voor de resource) Resource-eigenaar Lezer (voor de resource) Aangepaste rollen met Microsoft.Authorization/*/leesmachtigingen. |
| Toegangspakket | Globale beheerder Identity Governance-beheerder Cataloguseigenaar (voor het toegangspakket) Toegangspakketbeheerder (voor het toegangspakket) |
Globale beheerder Globale lezer Gebruikersbeheerder Identity Governance-beheerder Cataloguseigenaar (voor het toegangspakket) Toegangspakketbeheerder (voor het toegangspakket) Beveiligingslezer |
Zie Beheer machtigingen voor rollen in Microsoft Entra-id voor meer informatie.
Wie beoordeelt de toegang tot de resource?
De maker van de toegangsbeoordeling bepaalt op het moment van maken wie de beoordeling gaat uitvoeren. Deze instelling kan niet worden gewijzigd nadat de beoordeling is gestart. Beoordelaars worden vertegenwoordigd door:
- Resource-eigenaren die de bedrijfseigenaren van de resource zijn.
- Individueel geselecteerde gemachtigden zoals gekozen door de beheerder van toegangsbeoordelingen.
- Gebruikers die zelf bevestigen dat ze doorlopende toegang nodig hebben.
- Managers beoordelen de toegang van hun direct ondergeschikten tot de resource.
Notitie
Wanneer u Resource-eigenaren of -managers selecteert, wijzen beheerders terugvalrevisoren aan die contact opnemen als de primaire contactpersoon niet beschikbaar is.
Wanneer u een toegangsbeoordeling maakt, kunnen beheerders een of meer beoordelaars kiezen. Alle beoordelaars kunnen een beoordeling starten en uitvoeren door gebruikers te kiezen voor doorlopende toegang tot een resource of door ze te verwijderen.
Onderdelen van een toegangsbeoordeling
Voordat u uw toegangsbeoordelingen implementeert, plant u de typen beoordelingen die relevant zijn voor uw organisatie. Hiervoor moet u zakelijke beslissingen nemen over wat u wilt beoordelen en welke acties u moet ondernemen op basis van deze beoordelingen.
Als u een toegangsbeoordelingsbeleid wilt maken, hebt u de volgende informatie nodig:
Wat zijn de resources die moeten worden beoordeeld?
Van wie wordt de toegang beoordeeld?
Hoe vaak moet de beoordeling plaatsvinden?
Wie zal de beoordeling uitvoeren?
- Hoe worden ze hiervan op de hoogte gesteld?
- Wat zijn de tijdlijnen die moeten worden afgedwongen voor beoordeling?
Welke automatische acties moeten worden afgedwongen op basis van de beoordeling?
- Wat gebeurt er als de revisor niet op tijd reageert?
Welke handmatige acties worden er als resultaat genomen op basis van de beoordeling?
Welke communicatie moet worden verzonden op basis van ondernomen acties?
Voorbeeld van toegangsbeoordelingsplan
| Onderdeel | Weergegeven als |
|---|---|
| Resources die moeten worden beoordeeld | Toegang tot Microsoft Dynamics. |
| Beoordelingsfrequentie | Maandelijks. |
| Wie de beoordeling uitvoert | Programmamanagers voor Dynamics-bedrijfsgroepen. |
| Melding | E-mail wordt verzonden aan het begin van een beoordeling naar de alias Dynamics-Pms. Voeg een aanmoedigend aangepast bericht toe aan beoordelaars om hun acceptatie te garanderen. |
| Tijdlijn | 48 uur na melding. |
| Automatische acties | Verwijder de toegang van een account dat binnen 90 dagen geen interactieve aanmelding heeft, door de gebruiker te verwijderen uit de dynamics-access van de beveiligingsgroep. Voer acties uit als deze niet binnen de tijdlijn zijn beoordeeld. |
| Handmatige acties | Beoordelaars kunnen indien gewenst verwijderingen goedkeuren vóór geautomatiseerde actie. |
Acties automatiseren op basis van toegangsbeoordelingen
U kunt ervoor kiezen de toegangsverwijdering te automatiseren door de optie Resultaten automatisch toepassen op resource in te stellen op Inschakelen.
Nadat de beoordeling is voltooid en is beëindigd, worden gebruikers die niet zijn goedgekeurd door de beoordelaar automatisch verwijderd uit de resource of behouden met doorlopende toegang. Opties kunnen betekenen dat hun groepslidmaatschap of toepassingstoewijzing wordt verwijderd of hun recht wordt ingetrokken om een bevoorrechte rol uit te breiden.
Aanbevelingen ophalen
Aanbevelingen worden weergegeven aan beoordelaars als onderdeel van de beoordelaarservaring en geven iemands laatste aanmelding bij de tenant of laatste toegang tot een toepassing aan. Deze informatie helpt beoordelaars de juiste toegangsbeslissing te nemen. Als u Aanbevelingen ophalen selecteert, worden de aanbevelingen van de toegangsbeoordeling opgevolgd. Aan het einde van een toegangsbeoordeling past het systeem deze aanbevelingen automatisch toe op gebruikers waarvoor beoordelaars niet hebben gereageerd.
Aanbevelingen zijn gebaseerd op de criteria in de toegangsbeoordeling. Als u de beoordeling bijvoorbeeld zo configureert dat de toegang wordt verwijderd als er gedurende 90 dagen geen interactieve aanmelding was, wordt aanbevolen dat alle gebruikers die aan deze criteria voldoen, moeten worden verwijderd. Microsoft werkt voortdurend aan het verbeteren van aanbevelingen.
De toegang van gastgebruikers beoordelen
Gebruik toegangsbeoordelingen om de identiteiten van samenwerkingspartners uit externe organisaties te beoordelen en op te schonen. Configuratie van een beoordeling per partner kan voldoen aan nalevingsvereisten.
Externe identiteiten kunnen toegang worden verleend tot bedrijfsbronnen. Dit kunnen de volgende zijn:
- Toegevoegd aan een groep.
- Uitgenodigd voor Teams.
- Toegewezen aan een ondernemingstoepassing of toegangspakket.
- Een bevoorrechte rol toegewezen in Microsoft Entra ID of in een Azure-abonnement.
Zie het voorbeeldscript voor meer informatie. In het script ziet u waar externe identiteiten worden gebruikt die zijn uitgenodigd voor de tenant. U ziet het groepslidmaatschap van een externe gebruiker, roltoewijzingen en toepassingstoewijzingen in Microsoft Entra-id. In het script worden geen toewijzingen weergegeven buiten Microsoft Entra-id, bijvoorbeeld directe rechtentoewijzing aan SharePoint-resources, zonder het gebruik van groepen.
Wanneer u een toegangsbeoordeling voor groepen of toepassingen maakt, kunt u ervoor kiezen om de revisor alleen te laten focussen op alle gebruikers of gastgebruikers. Door alleen gastgebruikers te selecteren, krijgen revisoren een lijst met externe identiteiten van Microsoft Entra business to business (B2B) die toegang hebben tot de resource.
Belangrijk
Deze lijst bevat geen externe leden die als userTypelid hebben. Deze lijst bevat ook geen gebruikers die buiten Microsoft Entra B2B-samenwerking zijn uitgenodigd. Een voorbeeld hiervan zijn gebruikers die rechtstreeks via SharePoint toegang hebben tot gedeelde inhoud.
Toegangsbeoordelingen voor toegangspakketten plannen
Toegangspakketten kunnen uw strategie voor governance en toegangsbeoordeling aanzienlijk vereenvoudigen. Een toegangspakket is een bundel van alle resources met de toegang die een gebruiker nodig heeft om aan een project te werken of een taak uit te voeren. U kunt bijvoorbeeld een toegangspakket maken dat alle toepassingen bevat die ontwikkelaars in uw organisatie nodig hebben, of alle toepassingen waartoe externe gebruikers toegang moeten hebben. Een beheerder of een gedelegeerde toegangspakketbeheerder groepeert vervolgens de resources (groepen of apps) en de rollen die de gebruikers nodig hebben voor die resources.
Wanneer u een toegangspakket maakt, kunt u een of meer beleidsregels voor toegangspakketten maken die voorwaarden instellen voor welke gebruikers een toegangspakket kunnen aanvragen, hoe het goedkeuringsproces eruitziet en hoe vaak een persoon opnieuw toegang moet aanvragen of de toegang moet laten beoordelen. Toegangsbeoordelingen worden geconfigureerd terwijl u deze beleidsregels voor toegangspakketten maakt of bewerkt.
Selecteer het tabblad Levenscyclus en schuif omlaag naar toegangsbeoordelingen.
Toegangsbeoordelingen voor groepen plannen
Naast toegangspakketten is het beoordelen van groepslidmaatschap de meest effectieve manier om de toegang te beheren. Wijs toegang tot resources toe via beveiligingsgroepen of Microsoft 365-groepen. Voeg gebruikers toe aan deze groepen om toegang te krijgen.
Eén groep kan toegang krijgen tot alle juiste resources. U kunt de groep toegang tot afzonderlijke resources geven of tot een toegangspakket dat toepassingen en andere resources groepeert. Met deze methode kunt u de toegang van de groep beoordelen in plaats van de toegang van een persoon tot elke toepassing.
Groepslidmaatschap kan worden beoordeeld door:
- Beheerders.
- Groepseigenaren.
- Bepaalde gebruikers aan wie de beoordelingsmogelijkheid wordt gedelegeerd wanneer de beoordeling wordt gemaakt.
- Leden van de groep die zelf bevestigen.
- Managers die de toegang van hun direct ondergeschikten beoordelen.
Groepseigendom
Groepseigenaren beoordelen het lidmaatschap omdat ze het best gekwalificeerd zijn om te weten wie toegang nodig heeft. Het eigendom van groepen verschilt afhankelijk van het type groep:
Groepen die zijn gemaakt in Microsoft 365 en Microsoft Entra ID hebben een of meer goed gedefinieerde eigenaren. In de meeste gevallen zijn deze eigenaren de perfecte beoordelaars voor hun eigen groepen, omdat ze weten wie toegang moet hebben.
Microsoft Teams gebruikt bijvoorbeeld Microsoft 365 Groepen als het onderliggende autorisatiemodel om gebruikers toegang te verlenen tot resources in SharePoint, Exchange, OneNote of andere Microsoft 365-services. De maker van het team wordt automatisch eigenaar en moet verantwoordelijk zijn voor het bevestigen van het lidmaatschap van die groep.
Groepen die handmatig zijn gemaakt in het Microsoft Entra-beheercentrum of via scripts via Microsoft Graph, hebben mogelijk niet per se eigenaars gedefinieerd. Definieer ze via het Microsoft Entra-beheercentrum in de sectie Eigenaren van de groep of via Microsoft Graph.
Groepen die vanuit on-premises Active Directory worden gesynchroniseerd, kunnen geen eigenaar in Microsoft Entra-id hebben. Wanneer u een toegangsbeoordeling voor hen maakt, selecteert u personen die het meest geschikt zijn om te beslissen over lidmaatschap.
Notitie
Maak bedrijfsbeleid dat definieert hoe groepen worden gemaakt, om ervoor te zorgen dat het eigendom en de verantwoordelijkheid van groepen duidelijk zijn voor regelmatige beoordeling van het lidmaatschap.
Lidmaatschap van uitsluitingsgroepen beoordelen in beleid voor voorwaardelijke toegang
Zie Microsoft Entra-toegangsbeoordelingen gebruiken om gebruikers te beheren die zijn uitgesloten van beleid voor voorwaardelijke toegang voor meer informatie over het controleren van lidmaatschap van uitsluitingsgroepen.
Groepslidmaatschappen van gastgebruikers beoordelen
Toegang tot on-premises groepen beoordelen
Toegangsbeoordelingen kunnen het groepslidmaatschap van groepen die u synchroniseert vanuit on-premises AD met Microsoft Entra niet wijzigen Verbinding maken. Deze beperking komt doordat de bron van de instantie voor een groep die afkomstig is van AD on-premises AD is. Als u de toegang tot op AD-groepen gebaseerde apps wilt beheren, gebruikt u write-back van Microsoft Entra Cloud Sync-groepen.
Totdat u bent gemigreerd naar Microsoft Entra-groepen met terugschrijven van groepen, kunt u nog steeds toegangsbeoordelingen gebruiken om regelmatige beoordelingen van bestaande on-premises groepen te plannen en te onderhouden. In dit geval nemen beheerders vervolgens actie in de on-premises groep nadat elke beoordeling is voltooid. Deze strategie behoudt toegangsbeoordelingen als het hulpprogramma voor alle beoordelingen.
U kunt de resultaten van een toegangsbeoordeling op on-premises groepen gebruiken en deze verder verwerken door:
- Het CSV-rapport uit de toegangsbeoordeling te downloaden en handmatig actie te ondernemen.
- Microsoft Graph gebruiken om programmatisch de resultaten van beslissingen van voltooide toegangsbeoordelingen op te halen.
Als u bijvoorbeeld resultaten wilt ophalen voor een door Windows Server AD beheerde groep, gebruikt u dit PowerShell-voorbeeldscript. Het script bevat een overzicht van de vereiste Microsoft Graph-aanroepen en exporteert de Windows Server AD PowerShell-opdrachten om de wijzigingen uit te voeren.
Toegangsbeoordelingen voor toepassingen plannen
Wanneer u iedereen bekijkt die is toegewezen aan de toepassing, controleert u de gebruikers, inclusief werknemers en externe identiteiten, die zich bij die toepassing kunnen verifiëren met behulp van hun Microsoft Entra-identiteit. Kies ervoor om een toepassing te beoordelen wanneer u wilt weten wie toegang heeft tot een specifieke toepassing, in plaats van een toegangspakket of een groep.
Plan beoordelingen voor toepassingen in de volgende scenario's wanneer:
- Gebruikers directe toegang krijgen tot de toepassing (buiten een groep of toegangspakket).
- De toepassing kritieke of gevoelige informatie beschikbaar maakt.
- De toepassing specifieke nalevingsvereisten heeft die u moet bevestigen.
- U ongepaste toegang vermoedt.
Voordat u toegangsbeoordelingen voor een toepassing maakt, moet de toepassing worden geïntegreerd met Microsoft Entra-id als een toepassing in uw tenant, waarbij gebruikers zijn toegewezen aan de app-rollen en de optie Gebruikerstoewijzing vereist? voor de toepassing ingesteld op Ja. Als deze optie is ingesteld op Nee, hebben alle gebruikers in uw directory, inclusief externe identiteiten, toegang tot de toepassing en kunt u de toegang tot de toepassing niet beoordelen.
Wijs vervolgens de gebruikers en groepen toe waarvan u de toegang wilt beoordelen.
Lees meer over het voorbereiden op een toegangsbeoordeling van de toegang van gebruikers tot een toepassing.
Beoordelaars voor een toepassing
Toegangsbeoordelingen kunnen zijn voor de leden van een groep of voor gebruikers die zijn toegewezen aan een toepassing. Toepassingen in Microsoft Entra-id hebben niet noodzakelijkerwijs een eigenaar. Daarom is de optie voor het selecteren van de eigenaar van de toepassing als revisor niet mogelijk. U kunt een beoordeling verder beperken om alleen gastgebruikers te beoordelen die zijn toegewezen aan de toepassing, in plaats van alle toegang te beoordelen.
Beoordeling van Microsoft Entra-id en Azure-resourcerollen plannen
Privileged Identity Management vereenvoudigt de wijze waarop ondernemingen bevoorrechte toegang tot resources in Microsoft Entra ID beheren. Met PIM blijft de lijst met bevoorrechte rollen in Microsoft Entra ID en Azure-resources kleiner. Het verhoogt ook de algehele beveiliging van de directory.
Met toegangsbeoordelingen kunnen beoordelaars bevestigen of gebruikers nog steeds een bepaalde rol nodig hebben. Net zoals toegangsbeoordelingen voor toegangspakketten, worden beoordelingen voor Microsoft Entra-rollen en Azure-resources geïntegreerd in de gebruikerservaring van PIM-beheerders.
Beoordeel regelmatig de volgende roltoewijzingen:
- Globale beheerder
- Gebruikersbeheerder
- Bevoorrechte verificatiebeheerder
- Voorwaardelijke-toegangsbeheerder
- Beveiligingsbeheerder
- Alle Microsoft 365- en Dynamics Service-beheerrollen
Rollen die worden beoordeeld, omvatten permanente en in aanmerking komende toewijzingen.
Selecteer in de sectie Beoordelaars een of meer personen om alle gebruikers te beoordelen. Of u kunt Manager selecteren om een manager de toegang te laten controleren van personen die ze beheren, of leden (zelf) om de leden hun eigen toegang te laten beoordelen.
Toegangsbeoordelingen implementeren
Nadat u een strategie en een plan hebt voorbereid om de toegang te controleren voor resources die zijn geïntegreerd met Microsoft Entra ID, implementeert en beheert u beoordelingen met behulp van de volgende resources.
Toegangspakketten beoordelen
Om het risico op verouderde toegang te beperken, kunnen beheerders periodieke beoordelingen inschakelen van gebruikers met actieve toewijzingen voor een toegangspakket. Volg de instructies in de artikelen die in de tabel staan vermeld.
| Artikelen met procedures | Beschrijving |
|---|---|
| Toegangsbeoordelingen maken | Schakel beoordelingen van een toegangspakket in. |
| Toegangsbeoordelingen uitvoeren | Voer toegangsbeoordelingen uit voor andere gebruikers die zijn toegewezen aan een toegangspakket. |
| Toegewezen toegangspakket(en) zelf beoordelen | Voer een zelfbeoordeling van toegewezen toegangspakketten uit. |
Notitie
Gebruikers die een zelfbeoordeling uitvoeren en zeggen dat ze geen toegang meer nodig hebben, worden niet onmiddellijk uit het toegangspakket verwijderd. Ze worden uit het toegangspakket verwijderd wanneer de beoordeling is beëindigd of als een beheerder de beoordeling stopt.
Groepen en apps beoordelen
De behoeften van werknemers en gasten voor toegang tot groepen en toepassingen veranderen in de loop der tijd meestal. Beheerders kunnen toegangsbeoordelingen maken voor groepsleden of toepassingstoegang om het risico te beperken dat gepaard gaat met verouderde toegangstoewijzingen. Volg de instructies in de artikelen die in de tabel staan vermeld.
| Artikelen met procedures | Beschrijving |
|---|---|
| Toegangsbeoordelingen maken | Maak een of meer toegangsbeoordelingen voor groepsleden of toepassingstoegang. |
| Toegangsbeoordelingen uitvoeren | Voer een toegangsbeoordeling uit voor leden van een groep of gebruikers met toegang tot een toepassing. |
| Uw toegang zelf beoordelen | Sta leden toe hun eigen toegang tot een groep of toepassing te beoordelen. |
| Toegangsbeoordeling voltooien | Bekijk een toegangsbeoordeling en pas de resultaten toe. |
| Actie ondernemen voor on-premises groepen | Gebruik een PowerShell-voorbeeldscript om actie te ondernemen op toegangsbeoordelingen voor on-premises groepen. |
Microsoft Entra-rollen controleren
Als u het risico wilt verminderen dat is gekoppeld aan verouderde roltoewijzingen, controleert u regelmatig de toegang van bevoorrechte Microsoft Entra-rollen.
Volg de instructies in de artikelen die in de tabel staan vermeld.
| Artikelen met procedures | Beschrijving |
|---|---|
| Toegangsbeoordelingen maken | Maak toegangsbeoordelingen voor bevoorrechte Microsoft Entra-rollen in PIM. |
| Uw toegang zelf beoordelen | Als u bent toegewezen aan een beheerdersrol, kunt u de toegang tot uw rol goedkeuren of weigeren. |
| Complete an access review (Een toegangscontrole voltooien) | Bekijk een toegangsbeoordeling en pas de resultaten toe. |
Azure-resourcerollen beoordelen
Om het risico te beperken dat gepaard gaat met verouderde roltoewijzingen, beoordeelt u regelmatig de toegang tot bevoorrechte Azure-resourcerollen.
Volg de instructies in de artikelen die in de tabel staan vermeld.
| Artikelen met procedures | Beschrijving |
|---|---|
| Toegangsbeoordelingen maken | Maak toegangsbeoordelingen voor bevoorrechte Azure-resourcerollen in PIM. |
| Uw toegang zelf beoordelen | Als u bent toegewezen aan een beheerdersrol, kunt u de toegang tot uw rol goedkeuren of weigeren. |
| Complete an access review (Een toegangscontrole voltooien) | Bekijk een toegangsbeoordeling en pas de resultaten toe. |
De API Toegangsbeoordelingen gebruiken
Zie Microsoft Graph-API-methoden en Verificatiecontroles voor rol- en toepassingsmachtigingen om beoordeelbare resources te gebruiken en beheren. De toegangsbeoordelingsmethoden in de Microsoft Graph-API zijn beschikbaar voor zowel toepassings- als gebruikerscontexten. Wanneer u scripts uitvoert in de toepassingscontext, moet het account dat wordt gebruikt voor het uitvoeren van de API (de service-principal) de machtiging AccessReview.Read.All krijgen om informatie over toegangsbeoordelingen op te vragen.
Populaire toegangsbeoordelingstaken om te automatiseren met behulp van de Microsoft Graph-API voor toegangsbeoordelingen zijn:
- Een toegangsbeoordeling maken en starten.
- Een toegangsbeoordeling handmatig beëindigen vóór het geplande einde.
- Alle actieve toegangsbeoordelingen en hun status vermelden.
- De geschiedenis van een beoordelingsreeks bekijken en de beslissingen en acties die in elke beoordeling zijn genomen.
- Beslissingen verzamelen uit een toegangsbeoordeling.
- Beslissingen verzamelen uit voltooide beoordelingen waarbij de beoordelaar een andere beslissing heeft genomen dan wat het systeem heeft aanbevolen.
Wanneer u nieuwe Microsoft Graph-API-query's maakt voor automatisering, gebruikt u Graph Explorer om uw Microsoft Graph-query's te bouwen en te verkennen voordat u ze in scripts en code plaatst. Deze stap kan u helpen uw query snel te herhalen, zodat u precies de resultaten krijgt die u zoekt, zonder de code van uw script te wijzigen.
Toegangsbeoordelingen bewaken
Activiteiten voor toegangsbeoordelingen worden vastgelegd en beschikbaar in de Auditlogboeken van Microsoft Entra. U kunt de auditgegevens filteren op categorie, activiteitstype en datumbereik. Hier volgt een voorbeeldquery.
| Categorie | Beleid |
|---|---|
| Type activiteit | Toegangsbeoordeling maken |
| Toegangsbeoordeling bijwerken | |
| Toegangsbeoordeling beëindigd | |
| Toegangsbeoordeling verwijderen | |
| Beslissing goedkeuren | |
| Beslissing weigeren | |
| Beslissing opnieuw instellen | |
| Beslissing toepassen | |
| Datumbereik | Zeven dagen |
Voor geavanceerdere query's en analyse van toegangsbeoordelingen en om wijzigingen en voltooiing van beoordelingen bij te houden, exporteert u uw Microsoft Entra-auditlogboeken naar Azure Log Analytics of Azure Event Hubs. Wanneer auditlogboeken zijn opgeslagen in Log Analytics, kunt u de krachtige analysetaal gebruiken en uw eigen dashboards maken.
Volgende stappen
Meer informatie over de volgende gerelateerde technologieën: