Externe toegang beheren met Microsoft Entra-rechtenbeheer

Gebruik de functie rechtenbeheer om de levenscyclus van identiteiten en toegang te beheren. U kunt werkstromen voor toegangsaanvragen, toegangstoewijzingen, beoordelingen en vervaldatum automatiseren. Gedelegeerde niet-beheerders gebruiken rechtenbeheer om toegangspakketten te maken waartoe externe gebruikers, van andere organisaties, toegang kunnen aanvragen. Een en meervoudige goedkeuringswerkstromen kunnen worden geconfigureerd voor het evalueren van aanvragen en het inrichten van gebruikers voor tijdgebonden toegang met terugkerende beoordelingen. Gebruik rechtenbeheer voor het inrichten en ongedaan maken van de inrichting van externe accounts op basis van beleid.

Meer informatie:

• Wat is rechtenbeheer?
• Wat zijn toegangspakketten en welke resources kan ik ermee beheren?
• Wat is inrichting?

Voordat u begint

Dit artikel is nummer 6 in een reeks van 10 artikelen. We raden u aan de artikelen op volgorde te bekijken. Ga naar de sectie Volgende stappen om de hele reeks weer te geven.

Rechtenbeheer inschakelen

De volgende kernconcepten zijn belangrijk om inzicht te krijgen in Rechtenbeheer.

Toegangspakketten

Een toegangspakket is de basis van rechtenbeheer: groeperingen van door beleid beheerde resources voor gebruikers om samen te werken aan een project of andere taken uit te voeren. Een toegangspakket kan bijvoorbeeld het volgende omvatten:

• Toegang tot SharePoint-sites
• Bedrijfstoepassingen, waaronder uw aangepaste interne SaaS-apps (Software as a Service), zoals Salesforce
• Microsoft Teams
• Microsoft 365 Groups

Catalogi

Toegangspakketten bevinden zich in catalogi. Wanneer u gerelateerde resources en toegangspakketten wilt groeperen en hun beheer wilt delegeren, maakt u een catalogus. Eerst voegt u resources toe aan een catalogus en vervolgens kunt u resources toevoegen om toegang te krijgen tot pakketten. U kunt bijvoorbeeld een financiële catalogus maken en het beheer delegeren aan een lid van het financiële team. Deze persoon kan resources toevoegen, toegangspakketten maken en goedkeuring van toegang beheren.

Meer informatie:

• Een catalogus met resources maken en beheren in rechtenbeheer
• Delegatie en rollen in rechtenbeheer
• Resources toevoegen aan een catalogus

In het volgende diagram ziet u een typische governancelevenscyclus van een externe gebruiker die toegang krijgt tot een toegangspakket, met een vervaldatum.

Externe toegang via selfservice

U kunt toegangspakketten beschikbaar maken via de Microsoft Entra My Access-portal, zodat externe gebruikers toegang kunnen aanvragen. Beleidsregels bepalen wie een toegangspakket kan aanvragen. Zie: Toegang tot een toegangspakket aanvragen in rechtenbeheer.

U geeft op wie het toegangspakket mag aanvragen:

• Verbinding maken ed organisaties
  • Zie, Een verbonden organisatie toevoegen aan rechtenbeheer
• Geconfigureerde verbonden organisaties
• Gebruikers van organisaties
• Lid- of gastgebruikers in uw tenant

Goedkeuringen

Toegangspakketten kunnen verplichte goedkeuring voor toegang bevatten. Goedkeuringen kan één of meerdere fases zijn en worden bepaald door beleid. Als interne en externe gebruikers toegang nodig hebben tot hetzelfde pakket, kunt u toegangsbeleid instellen voor categorieën verbonden organisaties en voor interne gebruikers.

Belangrijk

Implementeer goedkeuringsprocessen voor externe gebruikers.

Verloop

Toegangspakketten kunnen een vervaldatum of een aantal dagen bevatten dat u voor toegang hebt ingesteld. Wanneer het toegangspakket verloopt en de toegang eindigt, kan het B2B-gastgebruikersobject dat de gebruiker vertegenwoordigt, worden verwijderd of geblokkeerd voor aanmelding. We raden u aan vervaldatum af te dwingen voor toegangspakketten voor externe gebruikers. Niet alle toegangspakketten hebben een vervaldatum.

Belangrijk

Voor pakketten zonder verlooptijd voert u regelmatig toegangsbeoordelingen uit.

Toegangsbeoordelingen

Toegangspakketten kunnen periodieke toegangsbeoordelingen vereisen, waarvoor de eigenaar van het pakket of een ontwerp is vereist om de voortdurende behoefte aan toegang van gebruikers te bevestigen. Zie Gasttoegang beheren met toegangsbeoordelingen.

Voordat u uw beoordeling instelt, moet u de volgende criteria bepalen:

• Wie
  • Criteria voor continue toegang
  • Revisoren
• Hoe vaak
  • Ingebouwde opties zijn maandelijks, kwartaal, BI-jaarlijks of jaarlijks
  • We raden u aan om elk kwartaal of vaker te beoordelen op pakketten die externe toegang ondersteunen

Belangrijk

Beoordelingen van toegangspakketten onderzoeken de toegang die is verleend via rechtenbeheer. Stel andere processen in om de toegang tot externe gebruikers te controleren, buiten rechtenbeheer.

Meer informatie: Een implementatie van Microsoft Entra-toegangsbeoordelingen plannen.

Automatisering van rechtenbeheer gebruiken

• Werken met de Microsoft Entra-API voor rechtenbeheer
• accessPackage resourcetype
• Microsoft Entra-toegangsbeoordelingen
• connectedOrganization resourcetype
• entitlementManagementSettings resourcetype

Aanbevelingen voor externe toegangsbeheer

Aanbevolen procedures

We raden de volgende procedures aan om externe toegang met rechtenbeheer te beheren.

• Voor projecten met een of meer zakenpartners maakt en gebruikt u toegangspakketten voor onboarding en biedt u toegang tot resources.
  • Een nieuw toegangspakket maken in rechtenbeheer
• Als u B2B-gebruikers in uw directory hebt, kunt u deze toewijzen aan toegangspakketten.
• U kunt toegang toewijzen in Azure Portal of met Microsoft Graph
  • Toewijzingen voor een toegangspakket weergeven, toevoegen en verwijderen in rechtenbeheer
  • Een nieuw toegangspakket maken in rechtenbeheer

Identiteitsbeheer - Instellingen

Identiteitsbeheer gebruiken: Instellingen om gebruikers uit uw directory te verwijderen wanneer hun toegangspakketten verlopen. De volgende instellingen zijn van toepassing op gebruikers die onboarding hebben uitgevoerd met rechtenbeheer.

Catalogus- en pakketbeheer delegeren

U kunt catalogus- en pakketbeheer delegeren aan bedrijfseigenaren, die meer informatie hebben over wie toegang moet hebben. Zie, delegatie en rollen in rechtenbeheer

Vervaldatum van toegangspakket afdwingen

U kunt het verlopen van toegang afdwingen voor externe gebruikers. Zie de levenscyclus-instellingen voor een toegangspakket wijzigen in rechtenbeheer.

• Voor de einddatum van een op een project gebaseerd toegangspakket gebruikt u Op datum om de datum in te stellen.
  • Anders raden we aan dat de vervaldatum niet langer 365 dagen is, tenzij het een project van meerdere jaren is
• Gebruikers toestaan om toegang uit te breiden
  • Goedkeuring vereisen om de extensie te verlenen

Beoordelingen van gasttoegangspakketten afdwingen

U kunt beoordelingen van gasttoegangspakketten afdwingen om ongepaste toegang voor gasten te voorkomen. Zie Gasttoegang beheren met toegangsbeoordelingen.

• Kwartaalbeoordelingen afdwingen
• Stel voor nalevingsgerelateerde projecten de revisoren in op revisoren in plaats van zelfbeoordeling voor externe gebruikers.
  • U kunt toegangspakketbeheerders gebruiken als revisoren
• Voor minder gevoelige projecten vermindert de zelfbeoordeling van gebruikers de last om de toegang van gebruikers niet meer met de organisatie te verwijderen.

Meer informatie: Toegang beheren voor externe gebruikers in rechtenbeheer

Volgende stappen

Gebruik de volgende reeks artikelen voor meer informatie over het beveiligen van externe toegang tot resources. U wordt aangeraden de vermelde bestelling te volgen.

1. Uw beveiligingspostuur bepalen voor externe toegang met Microsoft Entra-id

2. De huidige status van externe samenwerking in uw organisatie ontdekken

3. Een beveiligingsplan maken voor externe toegang tot resources

4. Externe toegang beveiligen met groepen in Microsoft Entra ID en Microsoft 365

5. Overgang naar beheerde samenwerking met Microsoft Entra B2B-samenwerking

6. Externe toegang beheren met Microsoft Entra-rechtenbeheer (u bent hier)

7. Externe toegang tot resources beheren met beleid voor voorwaardelijke toegang

8. Externe toegang tot resources in Microsoft Entra-id beheren met vertrouwelijkheidslabels

9. Externe toegang tot Microsoft Teams, SharePoint en OneDrive voor Bedrijven beveiligen met Microsoft Entra-id

10. Lokale gastaccounts converteren naar Microsoft Entra B2B-gastaccounts