Toegang beheren voor externe gebruikers in rechtenbeheer

  • Artikel

Rechtenbeheer maakt gebruik van Microsoft Entra business-to-business (B2B) om toegang te delen, zodat u kunt samenwerken met personen buiten uw organisatie. Met Microsoft Entra B2B verifiëren externe gebruikers zich bij hun basismap, maar hebben ze een weergave in uw adreslijst. Met dat account in uw map kan de gebruiker toegang toegewezen krijgen tot uw resources.

In dit artikel worden de instellingen beschreven die u kunt opgeven om de toegang voor externe gebruikers te bepalen.

Hoe rechtenbeheer kan helpen

Wanneer u de microsoft Entra B2B-uitnodigingservaring gebruikt, moet u al de e-mailadressen kennen van de externe gastgebruikers die u in uw resourcemap wilt opnemen en ermee wilt werken. Het rechtstreeks uitnodigen van elke gebruiker werkt uitstekend wanneer u aan een kleiner of kortlopende project werkt en u alle deelnemers al kent, maar dit proces is moeilijker te beheren als u veel gebruikers hebt waarmee u wilt werken of als de deelnemers na verloop van tijd veranderen. U werkt bijvoorbeeld met een andere organisatie en hebt één contactpunt bij die organisatie, maar na verloop van tijd hebben extra gebruikers van die organisatie ook toegang nodig.

Met rechtenbeheer kunt u een beleid definiëren waarmee gebruikers van organisaties die u opgeeft zelf een toegangspakket kunnen aanvragen. Dit beleid omvat of goedkeuring vereist is, of toegangsbeoordelingen vereist zijn en een vervaldatum voor de toegang. In de meeste gevallen wilt u goedkeuring vereisen om ervoor te zorgen dat er voldoende toezicht wordt gehouden op welke gebruikers in uw adreslijst worden geplaatst. Als goedkeuring is vereist, kunt u voor belangrijke externe organisatiepartners overwegen om een of meer gebruikers van de externe organisatie uit te nodigen voor uw adreslijst, hen als sponsors aan te wijzen en te configureren dat sponsors goedkeurders zijn, omdat ze waarschijnlijk weten welke externe gebruikers van hun organisatie toegang nodig hebben. Zodra u het toegangspakket hebt geconfigureerd, verkrijgt u de aanvraagkoppeling van het toegangspakket, zodat u die koppeling kunt verzenden naar uw contactpersoon (sponsor) bij de externe organisatie. Die contactpersoon kan delen met andere gebruikers in diens externe organisatie en kan deze link gebruiken om het toegangspakket aan te vragen. Gebruikers van die organisatie die al zijn uitgenodigd voor uw directory, kunnen die link ook gebruiken.

U kunt rechtenbeheer ook gebruiken voor het binnenbrengen van gebruikers van organisaties die geen eigen Microsoft Entra-adreslijst hebben. U kunt een federatieve id-provider configureren voor hun domein of verificatie op basis van e-mail gebruiken. U kunt gebruikers ook ophalen van sociale id-providers, waaronder gebruikers met Microsoft-accounts.

Wanneer een aanvraag wordt goedgekeurd, richt rechtenbeheer de gebruiker doorgaans met de benodigde toegang in. Als de gebruiker nog niet voorkomt in uw directory, nodigt rechtenbeheer de gebruiker eerst uit. Wanneer de gebruiker wordt uitgenodigd, maakt Microsoft Entra ID automatisch een B2B-gastaccount voor hen, maar stuurt de gebruiker geen e-mail. Een beheerder kan eerder hebben beperkt welke organisaties zijn toegestaan voor samenwerking door een B2B-acceptatie- of blokkeringslijst in te stellen om uitnodigingen voor domeinen van andere organisaties toe te staan of te blokkeren. Als het domein van de gebruiker niet is toegestaan door deze lijsten, wordt deze niet uitgenodigd en kan deze pas worden toegewezen als de lijsten zijn bijgewerkt.

Omdat u niet wilt dat de toegang van de externe gebruiker voor altijd duurt, geeft u een vervaldatum op in het beleid, zoals 180 dagen. Als de toegang na 180 dagen niet is verlengd, wordt met rechtenbeheer alle toegang verwijderd die aan dat toegangspakket is gekoppeld. Als de gebruiker die is uitgenodigd via rechtenbeheer standaard geen andere toewijzingen voor toegangspakketten heeft, kan het gastaccount zich 30 dagen niet meer aanmelden en later worden verwijderd. Dit voorkomt de verspreiding van onnodige accounts. Zoals beschreven in de volgende secties, kunnen deze instellingen worden geconfigureerd.

Hoe toegang werkt voor externe gebruikers

Het volgende diagram en de volgende stappen bieden een overzicht van hoe externe gebruikers toegang wordt verleend tot een toegangspakket.

Diagram showing the lifecycle of external users

  1. U voegt een verbonden organisatie toe voor de Microsoft Entra-directory of het domein waarmee u wilt samenwerken. U kunt ook een verbonden organisatie configureren voor een sociale id-provider.

  2. U controleert of de catalogusinstelling Ingeschakeld is voor externe gebruikers in de catalogus om het toegangspakket te bevatten ja.

  3. U maakt een toegangspakket in uw directory met een beleid voor gebruikers die zich niet in uw directory bevinden en geeft de verbonden organisaties op die de instellingen voor de fiatteur en levenscyclus kunnen aanvragen. Als u in het beleid de optie van specifieke verbonden organisaties of de optie van alle verbonden organisaties selecteert, kunnen alleen gebruikers van die organisaties die eerder zijn geconfigureerd aanvragen. Als u in het beleid de optie van alle gebruikers selecteert, kan elke gebruiker aanvragen, inclusief gebruikers die nog geen deel uitmaken van uw directory en geen deel uitmaken van een verbonden organisatie.

  4. U controleert de verborgen instelling in het toegangspakket om ervoor te zorgen dat het toegangspakket verborgen is. Als het niet verborgen is, kan elke gebruiker die is toegestaan door de beleidsinstellingen in dat toegangspakket bladeren naar het toegangspakket in de portal Mijn toegang voor uw tenant.

  5. U stuurt een link naar de 'Mijn toegang'-portal naar uw contactpersoon bij de externe organisatie die deze kan delen met hun gebruikers om het toegangspakket aan te vragen.

  6. Een externe gebruiker (aanvrager A in dit voorbeeld) gebruikt de link naar het 'Mijn toegang'-portal om toegang aan te vragen tot het toegangspakket. De portal Mijn toegang vereist dat de gebruiker zich aanmeldt als onderdeel van de verbonden organisatie. Hoe de gebruiker zich aanmeldt, is afhankelijk van het verificatietype van de directory of het domein dat is gedefinieerd in de verbonden organisatie en in de instellingen voor externe gebruikers.

  7. Een fiatteur keurt de aanvraag goed (ervan uitgaande dat het beleid goedkeuring vereist).

  8. De aanvraag krijgt de status Levering.

  9. Met behulp van het B2B-uitnodigingsproces wordt een gastgebruikersaccount gemaakt in uw directory (aanvrager A (gast) in dit voorbeeld). Als er een acceptatielijst of een bloklijst is gedefinieerd, wordt de lijstinstelling toegepast.

  10. De gastgebruiker krijgt toegang toegewezen tot alle resources in het toegangspakket. Het kan enige tijd duren voordat wijzigingen zijn aangebracht in Microsoft Entra ID en andere Microsoft Online Services of verbonden SaaS-toepassingen. Zie Wanneer wijzigingen worden toegepast voor meer informatie.

  11. De externe gebruiker ontvangt een e-mailbericht dat aangeeft dat de toegang is geleverd.

  12. Voor toegang tot de resources kan de externe gebruiker de koppeling in het e-mailbericht selecteren of rechtstreeks toegang proberen te krijgen tot een van de adreslijstbronnen om het uitnodigingsproces te voltooien.

  13. Als de beleidsinstellingen een vervaldatum bevatten, worden de toegangsrechten van de externe gebruiker verwijderd wanneer de toewijzing van het toegangspakket aan de externe gebruiker vervalt.

  14. Afhankelijk van de levenscyclus van de instellingen van externe gebruikers, wordt het aanmelden geblokkeerd wanneer de externe gebruiker geen toegangspakkettoewijzingen meer heeft en wordt het account van de externe gebruiker uit uw adreslijst verwijderd.

Instellingen voor externe gebruikers

Om ervoor te zorgen dat personen buiten uw organisatie toegangspakketten kunnen aanvragen en toegang kunnen krijgen tot de resources in die toegangspakketten, zijn er enkele instellingen die u moet controleren of deze juist zijn geconfigureerd.

Catalogus inschakelen voor externe gebruikers

  • Wanneer u een nieuwe catalogus maakt, is deze standaard ingeschakeld om externe gebruikers toegangspakketten in de catalogus aan te vragen. Zorg dat Ingeschakeld voor externe gebruikers is ingesteld op Ja.

    Edit catalog settings

    Als u een beheerder of cataloguseigenaar bent, kunt u de lijst met catalogi weergeven die momenteel zijn ingeschakeld voor externe gebruikers in de lijst met catalogi in het Microsoft Entra-beheercentrum door de filterinstelling ingeschakeld voor externe gebruikers te wijzigen in Ja. Als een van deze catalogi die worden weergegeven in die gefilterde weergave een niet-nul aantal toegangspakketten heeft, hebben deze toegangspakketten mogelijk een beleid voor gebruikers die zich niet in uw directory bevinden, zodat externe gebruikers deze kunnen aanvragen.

Instellingen voor externe samenwerking van Microsoft Entra B2B configureren

  • Het toestaan van gasten om andere gasten uit te nodigen voor uw directory betekent dat gastuitnodigingen kunnen plaatsvinden buiten rechtenbeheer. We raden aan de instelling Gasten kunnen uitnodigen in te stellen op Nee, om alleen goed beheerde uitnodigingen toe te staan.

  • Als u eerder de B2B-acceptatielijst hebt gebruikt, moet u die lijst verwijderen of ervoor zorgen dat alle domeinen van alle organisaties waarmee u wilt samenwerken met het gebruik van rechtenbeheer, aan de lijst worden toegevoegd. Als u de B2B-bloklijst gebruikt, moet u er ook voor zorgen dat er geen domein van een organisatie met wie u wilt samenwerken aanwezig is in die lijst.

  • Als u een rechtenbeheerbeleid maakt voor alle gebruikers (alle verbonden organisaties en eventuele nieuwe externe gebruikers) en een gebruiker geen deel uitmaakt van een verbonden organisatie in uw directory, wordt er automatisch een verbonden organisatie gemaakt voor die gebruiker wanneer deze het pakket aanvraagt. Alle B2B-instellingen voor toestaan of blokkeren heeft echter voorrang. Daarom wilt u de acceptatielijst verwijderen, als u er een hebt gebruikt, zodat alle gebruikers toegang kunnen aanvragen en alle geautoriseerde domeinen uit uw blokkeringslijst uitsluiten als u een blokkeringslijst gebruikt.

  • Als u een rechtenbeheerbeleid wilt maken met alle gebruikers (alle verbonden organisaties en eventuele nieuwe externe gebruikers), moet u eerst Verificatie met eenmalige wachtwoordcode via e-mail inschakelen voor uw directory. Zie Verificatie met eenmalige wachtwoordcode via e-mail voor meer informatie.

  • Zie Instellingen voor externe samenwerking configureren voor meer informatie over instellingen voor externe samenwerking van Microsoft Entra B2B.

    Microsoft Entra external collaboration settings

    Notitie

    Als u een verbonden organisatie maakt voor een Microsoft Entra-tenant vanuit een andere Microsoft-cloud, moet u ook instellingen voor toegang tussen tenants op de juiste manier configureren. Zie Instellingen voor toegang voor meerdere tenants configureren voor meer informatie over het configureren van deze instellingen.

Uw beleid voor voorwaardelijke toegang controleren

  • Zorg ervoor dat u de Rechtenbeheer-app uitsluit van beleidsregels voor voorwaardelijke toegang die van invloed zijn op gastgebruikers. Anders kan een beleid voor voorwaardelijke toegang verhinderen dat ze toegang krijgen tot MyAccess of zich kunnen aanmelden bij uw directory. Gasten hebben bijvoorbeeld waarschijnlijk geen geregistreerd apparaat, bevinden zich niet op een bekende locatie en willen zich niet opnieuw registreren voor meervoudige verificatie (MFA), dus als u deze vereisten toevoegt in een beleid voor voorwaardelijke toegang, kunnen gasten geen rechtenbeheer gebruiken. Zie Wat zijn voorwaarden in voorwaardelijke toegang van Microsoft Entra? voor meer informatie.

  • Een gemeenschappelijk beleid voor klanten van Rechtenbeheer is het blokkeren van alle apps van gasten, met uitzondering van Rechtenbeheer voor gasten. Met dit beleid kunnen gasten Mijn toegang invoeren en een toegangspakket aanvragen. Dit pakket moet een groep bevatten (in het volgende voorbeeld gasten van Mijn toegang genoemd). Dit pakket moet worden uitgesloten van het beleid voor alle apps blokkeren. Zodra het pakket is goedgekeurd, bevindt de gast zich in de map. Aangezien de eindgebruiker de toewijzing van het toegangspakket heeft en deel uitmaakt van de groep, heeft de eindgebruiker toegang tot alle andere apps. Andere algemene beleidsregels omvatten het uitsluiten van de Rechtenbeheer-app van MFA en het compatibele apparaat.

    Screenshot of exclude app options.

    Screenshot of selection to exclude cloud apps.

    Screenshot of the exclude guests app selection.

Notitie

De Rechtenbeheer-app bevat de rechtenbeheerzijde van MyAccess, de rechtenbeheerzijde van het Microsoft Entra-beheercentrum en het gedeelte Rechtenbeheer van MS Graph. De laatste twee vereisen extra machtigingen voor toegang, dus worden ze niet geopend door gasten, tenzij er expliciete machtigingen zijn opgegeven.

Uw instellingen voor extern delen via SharePoint Online controleren

  • Als u SharePoint Online-sites wilt opnemen in uw toegangspakketten voor externe gebruikers, moet u ervoor zorgen dat de instelling voor extern delen op organisatieniveau is ingesteld op Iedereen (gebruikers vereisen zich niet aan te melden) of Nieuwe en bestaande gasten (gasten moeten zich aanmelden of een verificatiecode opgeven). Zie Extern delen in- of uitschakelen voor meer informatie.

  • Als u extern delen buiten rechtenbeheer wilt beperken, kunt u de instelling voor extern delen instellen op Bestaande gasten. Vervolgens kunnen alleen nieuwe gebruikers die worden uitgenodigd via rechtenbeheer toegang krijgen tot deze sites. Zie Extern delen in- of uitschakelen voor meer informatie.

  • Zorg dat de instellingen op siteniveau gasttoegang inschakelen (dezelfde optieselecties als eerder vermeld). Zie Extern delen in- of uitschakelen voor een site voor meer informatie.

Instellingen voor delen van Microsoft 365-groepen controleren

  • Als u Microsoft 365-groepen wilt opnemen in uw toegangspakketten voor externe gebruikers, moet u ervoor zorgen dat Toestaan dat gebruikers nieuwe gasten toevoegen aan de organisatie is ingesteld op Aan om gasttoegang toe te staan. Zie Gasttoegang tot Microsoft 365 Groepen beheren voor meer informatie.

  • Als u wilt dat externe gebruikers toegang hebben tot de SharePoint Online-site en -resources behorende bij een Microsoft 365-groep, moet u extern delen via SharePoint Online inschakelen. Zie Extern delen in- of uitschakelen voor meer informatie.

  • Zie voorbeeld: Gastbeleid configureren voor groepen op directoryniveau voor informatie over het instellen van het gastbeleid voor Microsoft 365-groepen op directoryniveau in PowerShell.

Instellingen voor delen via Teams controleren

De levenscyclus van externe gebruikers beheren

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

U kunt selecteren wat er gebeurt wanneer een externe gebruiker, die is uitgenodigd voor uw directory, geen toegangspakkettoewijzingen meer heeft. Dit kan gebeuren als de gebruiker alle toewijzingen van het toegangspakket opgeeft of als de laatste toegangspakkettoewijzing vervalt. Wanneer een externe gebruiker geen toegangspakkettoewijzingen meer heeft, kunnen ze zich standaard niet meer aanmelden bij uw directory. Na 30 dagen wordt het gastgebruikersaccount verwijderd uit uw directory. U kunt ook configureren dat een externe gebruiker niet wordt geblokkeerd om zich aan te melden of te verwijderen of dat een externe gebruiker zich niet kan aanmelden, maar wordt verwijderd (preview).

Vereiste rol: Globale Beheer istrator of Identity Governance-Beheer istrator

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.

  2. Blader naar Beheer van identiteitsbeheerrechten>> Instellingen.

  3. Selecteer Bewerken.

    Settings to manage the lifecycle of external users

  4. Selecteer in de sectie Levenscyclus van externe gebruikers beheren de verschillende instellingen voor externe gebruikers.

  5. Wanneer een externe gebruiker de laatste toegangspakkettoewijzing verliest, stelt u Externe gebruiker blokkeren van aanmelding bij deze directory in op Ja, als u aanmelding bij deze directory wilt blokkeren voor de gebruiker.

    Notitie

    Rechtenbeheer blokkeert alleen externe gastgebruikersaccounts van aanmelding die zijn uitgenodigd via rechtenbeheer of die zijn toegevoegd aan rechtenbeheer voor levenscyclusbeheer door hun gastgebruikersaccount te laten converteren naar beheerd. Houd er ook rekening mee dat een gebruiker wordt geblokkeerd om zich aan te melden, zelfs als deze gebruiker is toegevoegd aan resources in deze map die geen toegang hebben tot pakkettoewijzingen. Als een gebruiker zich niet kan aanmelden bij deze directory, kan deze het toegangspakket niet opnieuw aanvragen of aanvullende toegang aanvragen in deze directory. Configureer niet dat ze zich kunnen aanmelden als ze vervolgens toegang tot deze of andere toegangspakketten moeten aanvragen.

  6. Wanneer een externe gebruiker zijn laatste toegangspakkettoewijzing verliest, stelt u Externe gebruiker verwijderen in op Ja als u het gastgebruikersaccount in deze directory wilt verwijderen.

    Notitie

    Met rechtenbeheer worden alleen externe gastgebruikersaccounts verwijderd die zijn uitgenodigd via rechtenbeheer of die zijn toegevoegd aan rechtenbeheer voor levenscyclusbeheer door hun gastgebruikersaccount te laten converteren naar beheerd. Houd er ook rekening mee dat een gebruiker uit deze map wordt verwijderd, zelfs als deze gebruiker is toegevoegd aan resources in deze map die geen toegang hebben tot pakkettoewijzingen. Als de gast aanwezig was in deze directory voordat deze toegangspakkettoewijzingen ontving, blijft de gast behouden. Als de gast echter is uitgenodigd via een toegangspakkettoewijzing en nadat deze is uitgenodigd ook is toegewezen aan een OneDrive voor Bedrijven- of SharePoint Online-site, wordt deze wel verwijderd. Als u de instelling Externe gebruikers verwijderen wijzigt in Nee, is dit alleen van invloed op gebruikers die hun laatste toewijzing van het toegangspakket verliezen. Gebruikers die zijn gepland voor verwijdering en die zijn geblokkeerd voor aanmelding, worden nog steeds verwijderd volgens hun oorspronkelijke planning.

  7. Als u het gastgebruikersaccount in deze directory wilt verwijderen, kunt u het aantal dagen instellen voordat het wordt verwijderd. Hoewel een externe gebruiker op de hoogte wordt gesteld wanneer het toegangspakket verloopt, wordt er geen melding weergegeven wanneer hun account wordt verwijderd. Als u het gastgebruikersaccount wilt verwijderen zodra deze de laatste toegangspakkettoewijzing verliest, stelt u het Aantal dagen voordat externe gebruiker uit deze directory wordt verwijderd in op 0. Wijzigingen in deze waarde zijn alleen van invloed op gebruikers die vervolgens hun laatste toegangspakkettoewijzing gebruiken; gebruikers die zijn gepland voor verwijdering, worden nog steeds verwijderd volgens hun oorspronkelijke planning.

  8. Selecteer Opslaan.

Volgende stappen