Organisatiebeleid definiëren voor het beheren van toegang tot toepassingen in uw omgeving
Zodra u een of meer toepassingen hebt geïdentificeerd die u microsoft Entra-id wilt gebruiken om toegang te beheren, noteert u het beleid van de organisatie om te bepalen welke gebruikers toegang moeten hebben en eventuele andere beperkingen die het systeem moet bieden.
Identificeert toepassingen en hun rollen binnen het bereik
Organisaties met nalevingsvereisten of risicobeheerplannen hebben gevoelige of bedrijfskritieke toepassingen. Als deze toepassing een bestaande toepassing in uw omgeving is, hebt u mogelijk al het toegangsbeleid gedocumenteerd voor wie toegang moet hebben tot deze toepassing. Als dat niet het geval is, moet u mogelijk contact opnemen met verschillende belanghebbenden, zoals compliance- en risicobeheerteams, om ervoor te zorgen dat het beleid dat wordt gebruikt voor het automatiseren van toegangsbeslissingen geschikt is voor uw scenario.
Verzamel de rollen en machtigingen die elke toepassing biedt. Sommige toepassingen hebben mogelijk slechts één rol, bijvoorbeeld een toepassing die alleen de rol Gebruiker heeft. Complexere toepassingen kunnen meerdere rollen weergeven die moeten worden beheerd via Microsoft Entra-id. Deze toepassingsrollen maken doorgaans brede beperkingen voor de toegang die een gebruiker met die rol zou hebben binnen de app. Een toepassing met een administrator-persona kan bijvoorbeeld twee rollen hebben: 'Gebruiker' en 'Beheer istrator'. Andere toepassingen kunnen ook afhankelijk zijn van groepslidmaatschappen of claims voor fijnmazige rolcontroles, die kunnen worden verstrekt aan de toepassing van Microsoft Entra-id in inrichting of claims die zijn uitgegeven met behulp van federatieve SSO-protocollen of die zijn geschreven naar AD als lidmaatschap van een beveiligingsgroep. Ten slotte zijn er mogelijk toepassingsspecifieke rollen die niet worden weergegeven in Microsoft Entra-id. Mogelijk staat de toepassing het definiëren van de beheerders in Microsoft Entra-id niet toe, in plaats daarvan afhankelijk van zijn eigen autorisatieregels om beheerders te identificeren. SAP Cloud Identity Services heeft slechts één rol, Gebruiker, beschikbaar voor toewijzing.
Notitie
Als u een toepassing gebruikt uit de Microsoft Entra-toepassingsgalerie die ondersteuning biedt voor het inrichten, kan Microsoft Entra ID gedefinieerde rollen in de toepassing importeren en het toepassingsmanifest automatisch bijwerken met de rollen van de toepassing zodra het inrichten is geconfigureerd.
Selecteer welke rollen en groepen lidmaatschap hebben die moeten worden beheerd in Microsoft Entra-id. Op basis van nalevings- en risicobeheervereisten geven organisaties vaak prioriteit aan die toepassingsrollen of groepen die bevoegde toegang of toegang geven tot gevoelige informatie.
Het beleid van de organisatie definiëren met vereisten en andere beperkingen voor toegang tot de toepassing
In deze sectie schrijft u het organisatiebeleid op dat u wilt gebruiken om de toegang tot de toepassing te bepalen. U kunt dit opnemen als een tabel in een spreadsheet, bijvoorbeeld
| App-rol | Vereiste voor toegang | Goedkeurders | Standaardduur van toegang | Scheiding van takenbeperkingen | Beleid voor voorwaardelijke toegang |
|---|---|---|---|---|---|
| Westerse verkoop | Lid van verkoopteam | manager van gebruiker | Jaarlijkse beoordeling | Kan geen oostelijke verkooptoegang hebben | Meervoudige verificatie (MFA) en geregistreerd apparaat vereist voor toegang |
| Westerse verkoop | Elke werknemer buiten de verkoop | hoofd verkoopafdeling | 90 dagen | N.v.t. | MFA en geregistreerd apparaat vereist voor toegang |
| Westerse verkoop | Vertegenwoordiger van niet-werknemers | hoofd verkoopafdeling | 30 dagen | N.v.t. | MFA vereist voor toegang |
| Oostelijke verkoop | Lid van verkoopteam | manager van gebruiker | Jaarlijkse beoordeling | Kan geen westerse verkooptoegang hebben | MFA en geregistreerd apparaat vereist voor toegang |
| Oostelijke verkoop | Elke werknemer buiten de verkoop | hoofd verkoopafdeling | 90 dagen | N.v.t. | MFA en geregistreerd apparaat vereist voor toegang |
| Oostelijke verkoop | Vertegenwoordiger van niet-werknemers | hoofd verkoopafdeling | 30 dagen | N.v.t. | MFA vereist voor toegang |
Als u al een organisatieroldefinitie hebt, raadpleegt u hoe u een organisatierol migreert voor meer informatie.
Bepaal of er vereisten zijn, standaarden waaraan een gebruiker moet voldoen voordat deze toegang krijgt tot een toepassing. In normale omstandigheden moeten bijvoorbeeld alleen voltijdse werknemers of werknemers in een bepaalde afdeling of kostenplaats toegang hebben tot de toepassing van een bepaalde afdeling. Mogelijk moet u ook het rechtenbeheerbeleid voor een gebruiker van een andere afdeling vereisen om toegang te krijgen tot een of meer extra goedkeurders. Als u meerdere fasen van goedkeuring hebt, kan het algehele proces van een gebruiker dat toegang krijgt vertragen, zorgen deze extra fasen ervoor dat toegangsaanvragen geschikt zijn en beslissingen verantwoordelijk zijn. Aanvragen voor toegang door een werknemer kunnen bijvoorbeeld twee fasen van goedkeuring hebben, eerst door de manager van de gebruiker en ten tweede door een van de resource-eigenaren die verantwoordelijk zijn voor gegevens die zijn opgeslagen in de toepassing.
Bepaal hoe lang een gebruiker die is goedgekeurd voor toegang, toegang moet hebben en wanneer die toegang moet verdwijnen. Voor veel toepassingen kan een gebruiker voor onbepaalde tijd toegang behouden totdat deze niet meer is gekoppeld aan de organisatie. In sommige situaties kan de toegang worden gekoppeld aan bepaalde projecten of mijlpalen, zodat de toegang automatisch wordt verwijderd wanneer het project afloopt. Of, als slechts een paar gebruikers een toepassing via een beleid gebruiken, kunt u kwartaal- of jaarlijkse beoordelingen van de toegang van iedereen configureren via dat beleid, zodat er regelmatig toezicht wordt gehouden.
Als uw organisatie de toegang al regelt met een organisatierolmodel, wilt u dat organisatierolmodel in Microsoft Entra-id brengen. Mogelijk hebt u een organisatierol gedefinieerd die toegang toewijst op basis van de eigenschap van een gebruiker, zoals hun positie of afdeling. Deze processen kunnen ervoor zorgen dat gebruikers uiteindelijk geen toegang meer nodig hebben, zelfs als er geen vooraf bepaalde einddatum van het project is.
Vraag of er sprake is van scheiding van takenbeperkingen. U hebt bijvoorbeeld een toepassing met twee app-rollen, Western Sales en Eastern Sales, en u wilt ervoor zorgen dat een gebruiker slechts één verkoopgebied tegelijk kan hebben. Neem een lijst op van alle paren van app-rollen die niet compatibel zijn voor uw toepassing, zodat als een gebruiker één rol heeft, deze niet de tweede rol mag aanvragen.
Selecteer het juiste beleid voor voorwaardelijke toegang voor toegang tot de toepassing. U wordt aangeraden uw toepassingen te analyseren en te groeperen in toepassingen met dezelfde resourcevereisten voor dezelfde gebruikers. Als dit de eerste federatieve SSO-toepassing is die u integreert met Microsoft Entra ID-governance voor identiteitsbeheer, moet u mogelijk een nieuw beleid voor voorwaardelijke toegang maken om beperkingen uit te drukken, zoals vereisten voor meervoudige verificatie (MFA) of op locatie gebaseerde toegang. U kunt configureren dat gebruikers verplicht zijn om akkoord te gaan met een gebruiksrechtovereenkomst. Zie Een implementatie van voorwaardelijke toegang plannen voor meer overwegingen over het definiëren van beleid voor voorwaardelijke toegang.
Bepaal hoe uitzonderingen op uw criteria moeten worden verwerkt. Een toepassing kan bijvoorbeeld doorgaans alleen beschikbaar zijn voor aangewezen werknemers, maar een auditor of leverancier heeft mogelijk tijdelijke toegang nodig voor een specifiek project. Of een werknemer die onderweg is, heeft mogelijk toegang nodig vanaf een locatie die normaal gesproken wordt geblokkeerd omdat uw organisatie geen aanwezigheid op die locatie heeft. In deze situaties kunt u ervoor kiezen om ook een rechtenbeheerbeleid te hebben voor goedkeuring met verschillende fasen, of een andere tijdslimiet of een andere fiatteur. Een leverancier die is aangemeld als gastgebruiker in uw Microsoft Entra-tenant heeft mogelijk geen manager, dus in plaats daarvan kunnen hun toegangsaanvragen worden goedgekeurd door een sponsor voor hun organisatie, of door een resource-eigenaar of een beveiligingsmedewerker.
Aangezien het organisatiebeleid voor wie toegang moet hebben, wordt beoordeeld door de belanghebbenden, kunt u beginnen met de integratie van de toepassing met Microsoft Entra-id. Op die manier bent u in een latere stap klaar om het door de organisatie goedgekeurde beleid voor toegang in Microsoft Entra ID-governance te implementeren.