Share via


Scheiding van takencontroles configureren voor een toegangspakket in rechtenbeheer

In rechtenbeheer kunt u meerdere beleidsregels configureren, met verschillende instellingen voor elke gebruikerscommunity die toegang nodig heeft via een toegangspakket. Werknemers hebben bijvoorbeeld alleen goedkeuring van de manager nodig om toegang te krijgen tot bepaalde apps, maar gasten die afkomstig zijn van andere organisaties, kunnen vereisen dat zowel een sponsor als een afdelingsmanager van het resourceteam goedkeurt. In een beleid voor gebruikers die zich al in de directory bevinden, kunt u een bepaalde groep gebruikers opgeven die toegang kan aanvragen. U kunt echter een vereiste hebben om te voorkomen dat een gebruiker overmatige toegang krijgt. Om aan deze vereiste te voldoen, wilt u verder beperken wie toegang kan aanvragen op basis van de toegang die de aanvrager al heeft.

Met de scheiding van instellingen voor taken in een toegangspakket kunt u configureren dat een gebruiker die lid is van een groep of die al een toewijzing voor het ene toegangspakket heeft, geen ander toegangspakket kan aanvragen.

Ervaring in Mijn toegang bij aanvragen van incompatibele toegang

Scenario's voor controle op scheiding van taken

U hebt bijvoorbeeld een toegangspakket, Marketingcampagne, waartoe personen in uw organisatie en andere organisaties toegang kunnen aanvragen, om te werken met de marketingafdeling van uw organisatie terwijl die campagne loops. Aangezien werknemers van de marketingafdeling al toegang moeten hebben tot dat marketingcampagnemateriaal, wilt u niet dat werknemers van de marketingafdeling toegang tot dat toegangspakket aanvragen. Of u kunt al een dynamische lidmaatschapsgroep, marketingafdelingsmedewerkers, met alle marketingmedewerkers erin hebben. U kunt aangeven dat het toegangspakket niet compatibel is met de dynamische lidmaatschapsgroep. Als een medewerker van een marketingafdeling dan op zoek is naar een toegangspakket om aan te vragen, kan deze geen toegang aanvragen tot het toegangspakket Marketingcampagne.

Op dezelfde manier kunt u een toepassing hebben met twee app-rollen, Western Sales en Eastern Sales, die verkoopregio's vertegenwoordigen en u ervoor wilt zorgen dat een gebruiker slechts één verkoopgebied tegelijk kan hebben. Als u twee toegangspakketten hebt, één toegangspakket Western Territory met de rol Western Sales en het andere toegangspakket Eastern Territory dat de rol Eastern Sales geeft, kunt u het volgende configureren:

  • het toegangspakket Westelijk gebied heeft het pakket Oostelijk gebied als incompatibel, en
  • het toegangspakket Oostelijk gebied heeft het pakket Westelijk gebied als incompatibel.

Als u Microsoft Identity Manager of andere on-premises identiteitsbeheersystemen hebt gebruikt voor het automatiseren van toegang voor on-premises apps, kunt u deze systemen ook integreren met rechtenbeheer. Als u de toegang tot geïntegreerde Microsoft Entra-apps beheert via rechtenbeheer en wilt voorkomen dat gebruikers incompatibele toegang hebben, kunt u configureren dat een toegangspakket niet compatibel is met een groep. Dit kan een groep zijn die uw on-premises identiteitsbeheersysteem via Microsoft Entra Connect naar Microsoft Entra ID verzendt. Deze controle zorgt ervoor dat een gebruiker geen toegangspakket kan aanvragen als dat toegangspakket toegangspakket geeft dat niet compatibel is met toegang die de gebruiker in on-premises apps heeft.

Vereisten

Als u rechtenbeheer wilt gebruiken en gebruikers wilt toewijzen aan toegangspakketten, moet u een van de volgende licenties hebben:

  • Microsoft Entra ID P2 of Microsoft Entra ID-governance
  • Licentie voor Enterprise Mobility + Security (EMS) E5

Een ander toegangspakket of groepslidmaatschap configureren als incompatibel voor het aanvragen van toegang tot een toegangspakket

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Volg deze stappen om de lijst van incompatibele groepen of andere toegangspakketten te wijzigen voor een bestaand toegangspakket:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en access-pakketbeheer.

  2. Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.

  3. Open op de pagina Access-pakketten het toegangspakket dat gebruikers aanvragen.

  4. Selecteer de optie Scheiding van taken in het menu links.

  5. De lijst op het tabblad Incompatibele toegangspakketten is van andere toegangspakketten. Als een gebruiker al een toewijzing aan een toegangspakket in die lijst heeft, mag deze gebruiker dit toegangspakket niet aanvragen.

  6. Als u wilt voorkomen dat gebruikers die al een andere toegangspakkettoewijzing hebben dit toegangspakket aanvragen, selecteer dan Toegangspakket toevoegen en selecteer het toegangspakket waaraan de gebruiker al is toegewezen. Dat toegangspakket wordt vervolgens toegevoegd aan de lijst met toegangspakketten op het tabblad Niet-compatibele toegangspakketten .

    Configuratie van incompatibele toegangspakketten

  7. Als u wilt voorkomen dat gebruikers met een bestaand groepslidmaatschap dit toegangspakket aanvragen, selecteer dan Groep toevoegen en selecteert de groep waarin de gebruiker zich al bevindt. Deze groep wordt vervolgens toegevoegd aan de lijst met groepen op het tabblad Incompatibele groepen .

  8. Als u wilt dat de gebruikers die aan dit toegangspakket zijn toegewezen, dat toegangspakket niet kan aanvragen, omdat elke niet-compatibele toegangspakketrelatie unidirectioneel is, wijzigt u dit toegangspakket en voegt u dit toegangspakket toe als niet compatibel. U wilt bijvoorbeeld dat gebruikers met het toegangspakket westelijk gebied geen toegangspakket kunnen aanvragen voor het oostelijke gebied en gebruikers met het toegangspakket Eastern Territory om het toegangspakket western territory niet aan te vragen. Als u eerst op het toegangspakket westelijk gebied hebt toegevoegd, hebt u het toegangspakket Eastern Territory als incompatibel toegevoegd, vervolgens wijzigt u het toegangspakket voor het oostelijke gebied en voegt u het toegangspakket westelijk gebied toe als niet compatibel.

Programmatisch incompatibele toegangspakketten configureren via Graph

U kunt de groepen en andere toegangspakketten configureren die niet compatibel zijn met een toegangspakket met behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All machtiging of een toepassing met de EntitlementManagement.ReadWrite.All toepassingsmachtiging kan de API aanroepen om de incompatibele groepen en toegangspakketten van een toegangspakket toe te voegen, te verwijderen en weer te geven.

Incompatibele toegangspakketten configureren via Microsoft PowerShell

U kunt ook de groepen en andere toegangspakketten configureren die niet compatibel zijn met een toegangspakket in PowerShell met de cmdlets uit de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 1.16.0 of hoger.

Dit volgende script illustreert het gebruik van het v1.0 profiel van Graph om een relatie te maken om een ander toegangspakket aan te geven als niet compatibel.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$otherapid = "11112222-bbbb-3333-cccc-4444dddd5555"

$params = @{
   "@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $otherapid
}
New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $apid -BodyParameter $params

Andere toegangspakketten weergeven die zijn geconfigureerd als incompatibel met deze

Volg deze stappen om de lijst van andere toegangspakketten weer te geven waarvan is aangegeven dat ze incompatibel zijn met een bestaand toegangspakket:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en access-pakketbeheer.

  2. Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.

  3. Open het toegangspakket op de pagina Access-pakketten.

  4. Selecteer de optie Scheiding van taken in het menu links.

  5. Selecteer Incompatibel met.

Gebruikers identificeren die al incompatibele toegang hebben tot een ander toegangspakket (preview)

Als u incompatibele toegangsinstellingen hebt geconfigureerd voor een toegangspakket waaraan al gebruikers zijn toegewezen, kunt u een lijst downloaden met gebruikers die die extra toegang hebben. Gebruikers die ook een toewijzing aan het incompatibele toegangspakket hebben, kunnen geen toegang opnieuw aanvragen.

Volg deze stappen om de lijst weer te geven van gebruikers die zijn toegewezen aan twee toegangspakketten.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en access-pakketbeheer.

  2. Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.

  3. Open op de pagina Access-pakketten het toegangspakket waarin u een ander toegangspakket hebt geconfigureerd als niet compatibel.

  4. Selecteer de optie Scheiding van taken in het menu links.

  5. Als er in de tabel een niet-nulwaarde is in de kolom Aanvullende toegang voor het tweede toegangspakket, wordt aangegeven dat er een of meer gebruikers zijn met toewijzingen.

    Schermopname van een toegangspakket dat is gemarkeerd als niet compatibel met bestaande toegangstoewijzingen.

  6. Selecteer dat aantal om de lijst met incompatibele toewijzingen weer te geven.

  7. Als u wilt, kunt u de knop Downloaden selecteren om die lijst met toewijzingen op te slaan als een CSV-bestand.

Gebruikers identificeren die incompatibele toegang hebben tot een ander toegangspakket

Als u instellingen voor incompatibele toegang configureert voor een toegangspakket waaraan al gebruikers zijn toegewezen, kunnen alle gebruikers die ook zijn toegewezen aan het incompatibele toegangspakket of groepen niet opnieuw toegang aanvragen.

Volg deze stappen om de lijst weer te geven van gebruikers die zijn toegewezen aan twee toegangspakketten.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en access-pakketbeheer.

  2. Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.

  3. Open het toegangspakket waarin u incompatibele toewijzingen configureert.

  4. Selecteer Toewijzingen in het menu links.

  5. Zorg dat in het veld Status de status Geleverd is geselecteerd.

  6. Selecteer de knop Downloaden en sla het resulterende CSV-bestand op als het eerste bestand met een lijst van toewijzingen.

  7. Selecteer Identity Governance in de navigatiebalk.

  8. Selecteer in Toegangspakketten in het menu links en open vervolgens het toegangspakket dat u wilt aangeven als incompatibel.

  9. Selecteer Toewijzingen in het menu links.

  10. Zorg dat in het veld Status de status Geleverd is geselecteerd.

  11. Selecteer de knop Downloaden en sla het resulterende CSV-bestand op als het tweede bestand met een lijst van toewijzingen.

  12. Gebruik een spreadsheetprogramma zoals Excel om de twee bestanden te openen.

  13. Gebruikers die in beide bestanden worden vermeld, hebben al bestaande incompatibele toewijzingen.

Programmatisch gebruikers identificeren die al incompatibele toegang hebben

U kunt toewijzingen voor een toegangspakket ophalen met behulp van Microsoft Graph, afgestemd op alleen gebruikers die ook zijn toegewezen aan een ander toegangspakket. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde machtiging EntitlementManagement.Read.All of EntitlementManagement.ReadWrite.All kan de API aanroepen om aanvullende toegang op te sommen.

Programmatisch gebruikers identificeren die al incompatibele toegang hebben met PowerShell

U kunt ook een query uitvoeren op de gebruikers die toewijzingen hebben aan een toegangspakket met de Get-MgEntitlementManagementAssignment cmdlet vanuit de Microsoft Graph PowerShell-cmdlets voor de module Identity Governance versie 2.1.0 of hoger.

Als u bijvoorbeeld twee toegangspakketten hebt, één met de id 00aa00aa-bb11-cc22-dd33-44ee44ee44ee en de andere met de id 11bb11bb-cc22-dd33-ee44-55ff55ff55ff, kunt u de gebruikers ophalen die zijn toegewezen aan het eerste toegangspakket en deze vervolgens vergelijken met de gebruikers die zijn toegewezen aan het tweede toegangspakket. U kunt ook de gebruikers rapporteren die toewijzingen hebben die zijn geleverd aan beide, met behulp van een PowerShell-script vergelijkbaar met het volgende:

$c = Connect-MgGraph -Scopes "EntitlementManagement.Read.All"

$ap_w_id = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$ap_e_id = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$apa_w_filter = "accessPackage/id eq '" + $ap_w_id + "' and state eq 'Delivered'"
$apa_e_filter = "accessPackage/id eq '" + $ap_e_id + "' and state eq 'Delivered'"
$apa_w = @(Get-MgEntitlementManagementAssignment -Filter $apa_w_filter -ExpandProperty target -All)
$apa_e = @(Get-MgEntitlementManagementAssignment -Filter $apa_e_filter -ExpandProperty target -All)
$htt = @{}; foreach ($e in $apa_e) { if ($null -ne $e.Target -and $null -ne $e.Target.Id) {$htt[$e.Target.Id] = $e} }
foreach ($w in $apa_w) { if ($null -ne $w.Target -and $null -ne $w.Target.Id -and $htt.ContainsKey($w.Target.Id)) { write-output $w.Target.Email } }

Meerdere toegangspakketten configureren voor overschrijvingsscenario's

Als een toegangspakket is geconfigureerd als niet compatibel, kan een gebruiker die is toegewezen aan dat niet-compatibele toegangspakket het toegangspakket niet aanvragen en kan een beheerder geen nieuwe toewijzing maken die incompatibel is.

Als het toegangspakket Productieomgeving bijvoorbeeld het pakket Ontwikkelomgeving als incompatibel heeft gemarkeerd en een gebruiker is toegewezen aan het toegangspakket Ontwikkelomgeving, kan de toegangspakketbeheerder voor Productieomgeving geen toewijzing voor die gebruiker maken aan de Productieomgeving. Om door te gaan met die toewijzing, moet eerst de bestaande toewijzing van de gebruiker aan het toegangspakket Ontwikkelomgeving worden verwijderd.

Als er een uitzonderlijke situatie is waarbij de scheiding van taakregels mogelijk moet worden overschreven, kunt u een extra toegangspakket configureren om de gebruikers met overlappende toegangsrechten vast te leggen, zodat deze duidelijk zijn voor de goedkeurders, revisoren en auditors.

Als er bijvoorbeeld een scenario is waarin sommige gebruikers gelijktijdig toegang moeten hebben tot zowel productie- als implementatieomgevingen, kunt u een nieuw toegangspakket Productie- en ontwikkelomgeving maken. Als resourcerollen kan dit toegangspakket enkele van de resourcerollen van het toegangspakket Productieomgeving hebben en enkele van de resourcerollen van het toegangspakket Ontwikkelomgeving.

Als de motivatie van de incompatibele toegang de rollen van één resource problematisch is, kan die resource worden weggelaten uit het gecombineerde toegangspakket en is expliciete beheerderstoewijzing van een gebruiker aan de rol van de resource vereist. Als dat een toepassing van derden of uw eigen toepassing is, kunt u het toezicht garanderen door deze roltoewijzingen te bewaken met behulp van de werkmap Activiteit van toewijzing van toepassingsrollen die in de volgende sectie wordt beschreven.

Afhankelijk van uw governanceprocessen kan dat gecombineerde toegangspakket als beleid hebben:

  • een direct toewijzingsbeleid, zodat alleen een toegangspakketbeheerder interactie met het toegangspakket heeft, of
  • een gebruiker kan toegangsbeleid aanvragen, zodat een gebruiker kan aanvragen, met mogelijk een extra goedkeuringsfase

Dit beleid kan de levenscyclus-instellingen een korter verloopaantal dagen hebben dan een beleid voor andere toegangspakketten, of vereisen vaker toegangsbeoordelingen, met regelmatig toezicht, zodat gebruikers de toegang niet langer bewaren dan nodig is.

Toegangstoewijzingen bewaken en rapporteren

U kunt Azure Monitor-werkmappen gebruiken om inzicht te krijgen in hoe gebruikers hun toegang hebben verkregen.

  1. Configureer de Microsoft Entra-id om controlegebeurtenissen naar Azure Monitor te verzenden.

  2. In de werkmap genaamd Toegangspakketactiviteit wordt elke gebeurtenis met betrekking tot een bepaald toegangspakket weergegeven.

    Toegangspakketgebeurtenissen weergeven

  3. Om te zien of er wijzigingen zijn in toepassingsroltoewijzingen voor een toepassing die niet zijn gemaakt vanwege toegangspakkettoewijzingen, kunt u de werkmap genaamd Activiteit van toewijzing van toepassingsrollen selecteren. Als u ervoor kiest om rechtenactiviteit weg te laten, worden alleen wijzigingen in toepassingsrollen weergegeven die niet door rechtenbeheer zijn gemaakt. U ziet bijvoorbeeld een rij als een globale beheerder een gebruiker rechtstreeks aan een toepassingsrol had toegewezen.

    App-roltoewijzingen weergeven

Volgende stappen