Problemen met rechtenbeheer oplossen

  • Artikel

In dit artikel worden enkele items beschreven die u moet controleren om problemen met rechtenbeheer op te lossen.

Beheer

  • Als u een bericht krijgt dat de toegang is geweigerd bij het configureren van rechtenbeheer en u een globale beheerder bent, moet u ervoor zorgen dat uw adreslijst een Licentie voor Microsoft Entra ID P2 of Microsoft Entra ID-governance (of EMS E5) heeft. Als u onlangs een verlopen Microsoft Entra ID P2 of Microsoft Entra ID-governance-abonnement hebt verlengd, kan het acht uur duren voordat deze licentievernieuwing zichtbaar is.

  • Als de Microsoft Entra ID P2 of Microsoft Entra ID-governance licentie van uw tenant is verlopen, kunt u geen nieuwe toegangsaanvragen verwerken of toegangsbeoordelingen uitvoeren.

  • Als u een bericht krijgt dat de toegang wordt geweigerd bij het maken of weergeven van toegangspakketten en u lid bent van een catalogusmakergroep, moet u een catalogus maken voordat u uw eerste toegangspakket maakt.

Resources

  • Rollen voor toepassingen worden gedefinieerd door de toepassing zelf en worden beheerd in Microsoft Entra-id. Als een toepassing geen resourcerollen heeft, wijst rechtenbeheer gebruikers toe aan een standaardtoegangsrol .

    Het Microsoft Entra-beheercentrum kan ook service-principals weergeven voor services die niet als toepassingen kunnen worden geselecteerd. Exchange Online en SharePoint Online zijn met name services, niet toepassingen met resourcerollen in de directory, zodat ze niet kunnen worden opgenomen in een toegangspakket. Gebruik in plaats daarvan op groepen gebaseerde licenties om een geschikte licentie te maken voor een gebruiker die toegang nodig heeft tot deze services.

  • Toepassingen die alleen gebruikers van persoonlijke Microsoft-accounts ondersteunen voor verificatie en geen ondersteuning bieden voor organisatieaccounts in uw directory, hebben geen toepassingsrollen en kunnen niet worden toegevoegd voor toegang tot pakketcatalogussen.

  • Als een groep een resource in een toegangspakket is, moet deze kunnen worden gewijzigd in Microsoft Entra-id. Groepen die afkomstig zijn uit een on-premises Active Directory, kunnen niet worden toegewezen als resources omdat hun eigenaar- of lidkenmerken niet kunnen worden gewijzigd in Microsoft Entra-id. Groepen die afkomstig zijn uit Exchange Online als distributiegroepen kunnen ook niet worden gewijzigd in Microsoft Entra-id.

  • SharePoint Online-documentbibliotheken en afzonderlijke documenten kunnen niet als resources worden toegevoegd. Maak in plaats daarvan een Microsoft Entra-beveiligingsgroep, neem die groep en een siterol op in het toegangspakket en gebruik die groep in SharePoint Online om de toegang tot de documentbibliotheek of het document te beheren.

  • Als er gebruikers zijn die al zijn toegewezen aan een resource die u met een toegangspakket wilt beheren, moet u ervoor zorgen dat de gebruikers met een toepasselijk beleid worden toegewezen aan het toegangspakket. Het is bijvoorbeeld mogelijk dat u een groep wilt opnemen in een toegangspakket dat al gebruikers in de groep bevat. Als die gebruikers in de groep voortdurende toegang nodig hebben, moeten ze beschikken over het juiste beleid voor de toegangspakketten, zodat ze hun toegang tot de groep niet verliezen. U kunt het toegangspakket toewijzen door de gebruikers te vragen het toegangspakket met die resource aan te vragen, of door ze rechtstreeks toe te wijzen aan het toegangspakket. Zie Instellingen voor aanvragen en goedkeuringen voor een toegangspakket wijzigen voor meer informatie.

  • Wanneer u een lid van een team verwijdert, worden ze ook verwijderd uit de Microsoft 365-groep. Het verwijderen uit de chatfunctionaliteit van het team kan worden uitgesteld. Zie Groepslidmaatschap voor meer informatie.

Toegangspakketten

  • Als bij het verwijderen van een toegangspakket of beleidsregel het foutbericht wordt weergegeven dat er actieve toewijzingen zijn en u geen gebruikers met toewijzingen ziet, controleert u of er nog toewijzingen zijn van onlangs verwijderde gebruikers. In het tijdvenster van 30 dagen na verwijdering van een gebruiker kan het gebruikersaccount worden hersteld.

Externe gebruikers

  • Wanneer een externe gebruiker toegang tot een toegangspakket wil aanvragen, moet u ervoor zorgen dat deze de portalkoppeling Mijn toegang gebruikt voor het toegangspakket. Zie Koppeling voor het aanvragen van een toegangspakket delen voor meer informatie. Als een externe gebruiker alleen myaccess.microsoft.com bezoekt en de volledige koppeling Mijn toegangsportal niet gebruikt, zien ze de beschikbare toegangspakketten in hun eigen organisatie en niet in uw organisatie.

  • Als een externe gebruiker geen toegang kan aanvragen tot een toegangspakket of geen toegang kan krijgen tot resources, controleert u de instellingen voor externe gebruikers.

  • Als een nieuwe externe gebruiker die zich nog niet eerder heeft aangemeld bij uw directory een toegangspakket met inbegrip van een SharePoint Online-site ontvangt, wordt het toegangspakket weergegeven als niet volledig geleverd totdat het account is ingericht in SharePoint Online. Zie Uw instellingen voor extern delen in SharePoint Online bekijken voor meer informatie over instellingen voor delen.

Verzoeken

  • Wanneer een gebruiker toegang tot een toegangspakket wil aanvragen, moet u ervoor zorgen dat deze de portalkoppeling Mijn toegang gebruikt voor het toegangspakket. Zie Koppeling voor het aanvragen van een toegangspakket delen voor meer informatie.

  • Als u de portal Mijn toegang opent met de browser in privé- of incognitomodus, kan dit conflicteren met het aanmeldingsgedrag. U wordt aangeraden de privémodus of incognitomodus voor uw browser niet te gebruiken wanneer u de portal Mijn toegang bezoekt.

  • Wanneer een gebruiker die zich nog niet in uw adreslijst bevindt zich aanmeldt bij de portal Mijn toegang om een toegangspakket aan te vragen, moet u zich verifiëren met behulp van het organisatieaccount. Het organisatieaccount kan een account in de resourcedirectory zijn, of in een directory die is opgenomen in een van de beleidsregels van het toegangspakket. Als het account van de gebruiker geen organisatieaccount is, of als de directory waarin de gebruiker zich verifieert niet is opgenomen in het beleid, ziet de gebruiker het toegangspakket niet. Zie Toegang tot een toegangspakket aanvragen voor meer informatie.

  • Als een gebruiker zich niet kan aanmelden bij de resourcemap, kan deze geen toegang aanvragen in de portal Mijn toegang. Voordat de gebruiker toegang kan aanvragen, moet u de aanmeldingsblokkering verwijderen uit het profiel van de gebruiker. Als u het aanmeldingsblok wilt verwijderen, selecteert u identiteit in het Microsoft Entra-beheercentrum, selecteert u Gebruikers, selecteert u de gebruiker en selecteert u Vervolgens Profiel. Bewerk de sectie Instellingen en wijzig Aanmelden blokkeren in Nee. Zie Profielgegevens van een gebruiker toevoegen of bijwerken met behulp van Microsoft Entra-id voor meer informatie. U kunt ook controleren of de gebruiker is geblokkeerd vanwege een Identiteitsbeveiligingsbeleid.

  • Als een gebruiker zowel een aanvrager als een fiatteur is in de portal Mijn toegang, zien ze hun aanvraag voor een toegangspakket niet op de pagina Goedkeuringen. Dit gedrag is opzettelijk: een gebruiker kan zijn eigen aanvraag niet goedkeuren. Zorg ervoor dat het toegangspakket dat ze aanvragen, aanvullende goedkeurders heeft geconfigureerd voor het beleid. Zie Instellingen voor aanvragen en goedkeuringen voor een toegangspakket wijzigen voor meer informatie.

De bezorgingsfouten van een aanvraag weergeven

Vereiste rol: Globale beheerder, Identity Governance-beheerder, Cataloguseigenaar, Access-pakketbeheer of Toegangspakkettoewijzingsbeheer

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.

  2. Blader naar toegangspakketten voor identiteitsbeheerrechten>>.

  3. Selecteer Aanvragen.

  4. Selecteer de aanvraag die u wilt bekijken.

    Als de aanvraag bezorgingsfouten bevat, wordt de aanvraagstatus Niet geleverd of Gedeeltelijk geleverd.

    Als er bezorgingsfouten zijn, wordt een aantal bezorgingsfouten weergegeven in het detailvenster van de aanvraag.

  5. Selecteer het aantal om alle bezorgingsfouten van de aanvraag weer te geven.

Een aanvraag opnieuw verwerken

Als een fout optreedt nadat een aanvraag voor het opnieuw verwerken van een toegangspakket is geactiveerd, moet u wachten terwijl het systeem de aanvraag opnieuw verwerkt. Het systeem probeert meerdere keren opnieuw te verwerken gedurende enkele uren. U kunt de verwerking gedurende deze tijd dus niet kunt afdwingen.

U kunt alleen aanvragen met de status Levering mislukt of Gedeeltelijk geleverd en een voltooiingsdatum van minder dan één week opnieuw verwerken. Anders wordt de knop Opnieuw verwerken grijs weergegeven.

Reprocess button grayed out

  • Als de fout wordt opgelost tijdens het tijdsvenster voor pogingen, wordt de aanvraagstatus gewijzigd in Afleveren. De aanvraag wordt opnieuw verwerkt zonder extra acties van de gebruiker.

  • Als de fout niet wordt opgelost tijdens het tijdsvenster voor pogingen, is de aanvraagstatus mogelijk Levering mislukt of Gedeeltelijk geleverd. Vervolgens kunt u de knop Opnieuw verwerken gebruiken. U hebt zeven dagen de tijd om de aanvraag opnieuw te verwerken.

Vereiste rol: Globale beheerder, Identity Governance-beheerder, Cataloguseigenaar, Access-pakketbeheer of Toegangspakkettoewijzingsbeheer

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.

  2. Blader naar toegangspakketten voor identiteitsbeheerrechten>>om een toegangspakket te openen.

  3. Selecteer Aanvragen.

  4. Selecteer de aanvraag die u opnieuw wilt verwerken.

  5. Selecteer in het deelvenster Aanvraagdetails de optie Aanvraag opnieuw verwerken.

    Reprocess a failed request

Een in behandeling zijnde aanvraag annuleren

U kunt alleen een aanvraag annuleren die nog niet is bezorgd of waarvan de levering is mislukt. De knop Annuleren wordt anders grijs weergegeven.

Vereiste rol: Globale beheerder, Identity Governance-beheerder, Cataloguseigenaar, Access-pakketbeheer of Toegangspakkettoewijzingsbeheer

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.

  2. Blader naar toegangspakketten voor identiteitsbeheerrechten>>om een toegangspakket te openen.

  3. Selecteer Aanvragen.

  4. Selecteer de aanvraag die u wilt annuleren.

  5. Selecteer De aanvraag annuleren in het deelvenster Details van de aanvraag.

Beleid voor automatische toewijzing

  • Elk beleid voor automatische toewijzing kan maximaal 5000 gebruikers bevatten binnen het bereik van de regel. Extra gebruikers binnen het bereik van de regel krijgen mogelijk geen toegang.

Meerdere beleidsregels

  • Rechtenbeheer volgt aanbevolen procedures voor minimale bevoegdheden. Wanneer een gebruiker toegang vraagt tot een toegangspakket met meerdere beleidsregels die van toepassing zijn, bevat rechtenbeheer logica om te zorgen dat strengere of specifiekere beleidsregels prioriteit krijgen boven algemene beleidsregels. Als een beleid algemeen is, kan rechtenbeheer het beleid mogelijk niet weergeven aan de aanvrager of automatisch een strenger beleid selecteren.

  • Denk bijvoorbeeld aan een toegangspakket met twee beleidsregels voor gebruikers in de directory, waarin beide beleidsregels van toepassing zijn op de aanvrager. Het eerste beleid is voor specifieke gebruikers die de aanvrager omvatten. Het tweede beleid is voor alle gebruikers in de directory. In dit scenario wordt het eerste beleid automatisch geselecteerd voor de aanvrager, omdat dit strikter is. De aanvrager krijgt niet de optie om het tweede beleid te selecteren.

  • Wanneer meerdere beleidsregels van toepassing zijn, is het beleid dat automatisch wordt geselecteerd of het beleid dat aan de aanvrager wordt weergegeven, gebaseerd op de volgende prioriteitslogica:

    Beleidsprioriteit Bereik
    P1 Specifieke gebruikers en groepen in uw directory OF Specifieke verbonden organisaties
    P2 Alle leden in uw directory (met uitzondering van gasten)
    P3 Alle gebruikers in uw directory (inclusief gasten) OF specifieke verbonden organisaties
    P4 Alle geconfigureerde verbonden organisaties OF alle gebruikers (alle verbonden organisaties + eventuele nieuwe externe gebruikers)

    Als een beleid zich in een categorie met hogere prioriteit bevindt, worden de categorieën met een lagere prioriteit genegeerd. Zie Een beleid selecteren voor een voorbeeld van hoe meerdere beleidsregels met dezelfde prioriteit worden weergegeven aan de aanvrager.

Volgende stappen