Gebruikers- en gastgebruikerstoegang beheren met toegangsbeoordelingen
Met toegangsbeoordelingen kunt u er eenvoudig voor zorgen dat gebruikers of gasten over de juiste toegang beschikken. U kunt gebruikers zelf of een besluitvormer vragen deel te nemen aan een toegangsbeoordeling om de toegang van gebruikers te bevestigen. De revisoren kunnen hun input geven over de behoefte van elke gebruiker aan continue toegang op basis van suggesties van Microsoft Entra-id. Wanneer een toegangsbeoordeling is voltooid, kunt u wijzigingen aanbrengen en de toegang verwijderen voor gebruikers die deze niet meer nodig hebben.
Notitie
In dit artikel wordt beschreven hoe u toegangsbeoordelingen uitvoert voor gebruikers en toepassingen. Zie hier De toegang van een toegangspakket in Microsoft Entra-rechtenbeheer voor meer informatie over het uitvoeren van een toegangsbeoordeling voor meerdere resources in toegangspakketten. Zie Een toegangsbeoordeling starten in Microsoft Entra Privileged Identity Management als u de toegang tot Microsoft Entra ID- of Azure-resourcerollen wilt controleren.
Vereisten
- Microsoft Entra ID P2 of Microsoft Entra ID-governance
Zie Licentievereisten voor meer informatie.
Een toegangsbeoordeling voor gebruikers maken en uitvoeren
U moet eerst een van de volgende rollen toegewezen krijgen:
- Globale beheerder
- Gebruikersbeheerder
- Identity Governance-beheerder
- Bevoorrechte rol Beheer istrator (alleen voor beoordelingen van roltoewijzingsgroepen)
- (Preview) Microsoft 365- of Microsoft Entra-beveiligingsgroepeigenaar van de groep die moet worden beoordeeld
Notitie
Na toegang met minimale bevoegdheden raden we u aan om Identity Governance Beheer istrator of User Beheer istrator te gebruiken voor deze taken.
Ga vervolgens naar de pagina Identiteitsbeheer om ervoor te zorgen dat toegangsbeoordelingen gereed zijn voor uw organisatie.
Een toegangsbeoordeling kan een of meer gebruikers als beoordelaar hebben.
Selecteer een groep in Microsoft Entra-id met een of meer leden. Of selecteer een toepassing die is verbonden met Microsoft Entra-id waaraan een of meer gebruikers zijn toegewezen.
Bepaal of elke gebruikersbeoordeling een eigen toegang moet hebben, of dat een of meer gebruikers de toegang van iedereen kunnen beoordelen.
Ga in een van de eerder vermelde rollen naar de pagina Identiteitsbeheer.
Maak de toegangsbeoordeling. Zie Een toegangsbeoordeling maken van groepen of toepassingen voor meer informatie.
Wanneer de toegangsbeoordeling wordt gestart, vraagt u de revisoren om invoer te geven. Standaard ontvangen ze elk een e-mail van Microsoft Entra ID met een koppeling naar het toegangsvenster, waar ze de toegang tot groepen of toepassingen bekijken.
Als de revisoren geen invoer hebben gegeven, kunt u microsoft Entra-id vragen om ze een herinnering te sturen. Standaard verzendt Microsoft Entra-id automatisch een herinnering halverwege naar de einddatum naar alle revisoren.
Wanneer alle beoordelaars feedback hebben gegeven, kunt u de toegangsbeoordeling stoppen en de wijzigingen toepassen. Zie Een toegangsbeoordeling van groepen of toepassingen voltooien voor meer informatie.
Gasttoegang beheren met Microsoft Entra-toegangsbeoordelingen
Met Microsoft Entra ID kunt u eenvoudig samenwerking tussen organisatiegrenzen inschakelen met behulp van de Microsoft Entra B2B-functie. Gastgebruikers van andere tenants kunnen worden uitgenodigd door beheerders of door andere gebruikers. Deze mogelijkheid is ook van toepassing op sociale identiteiten, zoals Microsoft-accounts.
Een toegangsbeoordeling voor gasten maken en uitvoeren
Dezelfde rollen die nodig zijn voor het maken van een toegangsbeoordeling voor gebruikers, zijn ook vereist voor het maken van een toegangsbeoordeling voor gasten. Zie Een toegangsbeoordeling voor gebruikers maken en uitvoeren voor meer informatie.
Microsoft Entra ID maakt verschillende scenario's mogelijk voor het beoordelen van gastgebruikers.
U kunt een van de volgende opties bekijken:
- Een groep in Microsoft Entra-id met een of meer gasten als leden.
- Een toepassing die is verbonden met Microsoft Entra-id waaraan een of meer gastgebruikers zijn toegewezen.
Wanneer u gastgebruikerstoegang tot Microsoft 365-groepen bekijkt, kunt u afzonderlijk een beoordeling voor elke groep maken of automatische, terugkerende toegangsbeoordelingen van gastgebruikers in alle Microsoft 365-groepen inschakelen. De volgende video biedt meer informatie over terugkerende toegangsbeoordelingen van gastgebruikers:
Vervolgens kunt u beslissen of u elke gast vraagt om hun eigen toegang te controleren of om een of meer gebruikers te vragen om de toegang van elke gast te controleren.
Deze scenario's worden behandeld in de volgende secties.
Gasten vragen om hun eigen lidmaatschap in een groep te controleren
U kunt toegangsbeoordelingen gebruiken om ervoor te zorgen dat gebruikers die zijn uitgenodigd en aan een groep zijn toegevoegd, nog steeds toegang nodig hebben. U kunt gasten eenvoudig vragen hun eigen lidmaatschap van die groep te controleren.
Als u een toegangsbeoordeling voor de groep wilt maken, selecteert u de beoordeling om alleen gastgebruikersleden op te nemen en die leden zelf beoordelen. Zie Een toegangsbeoordeling maken van groepen of toepassingen voor meer informatie.
Vraag elke gast om hun eigen lidmaatschap te controleren. Standaard ontvangt elke gast die een uitnodiging heeft geaccepteerd een e-mail van Microsoft Entra ID met een koppeling naar de toegangsbeoordeling. Microsoft Entra ID bevat instructies voor gasten over het controleren van toegang tot groepen of toepassingen.
Wanneer alle beoordelaars feedback hebben gegeven, kunt u de toegangsbeoordeling stoppen en de wijzigingen toepassen. Zie Een toegangsbeoordeling van groepen of toepassingen voltooien voor meer informatie.
Naast gebruikers die hun eigen behoefte aan continue toegang hebben geweigerd, kunt u ook gebruikers verwijderen die niet hebben gereageerd.
Als de groep niet wordt gebruikt voor toegangsbeheer, kunt u ook gebruikers verwijderen die niet zijn geselecteerd om deel te nemen aan de beoordeling omdat ze hun uitnodiging niet hebben geaccepteerd. Niet accepteren kan erop wijzen dat het e-mailadres van de uitgenodigde gebruiker een typefout had. Als een groep wordt gebruikt als een distributielijst, zijn sommige gastgebruikers mogelijk niet geselecteerd om deel te nemen omdat ze contact opnemen met objecten.
Vraag een sponsor om het lidmaatschap van een gast in een groep te controleren
U kunt een sponsor, zoals de eigenaar van een groep, vragen om de behoefte van een gast aan een doorlopend lidmaatschap van een groep te controleren.
Als u een toegangsbeoordeling voor de groep wilt maken, selecteert u de beoordeling om alleen gastgebruikersleden op te nemen. Geef vervolgens een of meer revisoren op. Zie Een toegangsbeoordeling maken van groepen of toepassingen voor meer informatie.
Vraag de beoordelaars feedback te geven. Standaard ontvangen ze elk een e-mail van Microsoft Entra ID met een koppeling naar het toegangsvenster, waar ze de toegang tot groepen of toepassingen bekijken.
Wanneer alle beoordelaars feedback hebben gegeven, kunt u de toegangsbeoordeling stoppen en de wijzigingen toepassen. Zie Een toegangsbeoordeling van groepen of toepassingen voltooien voor meer informatie.
Notitie
U kunt voorkomen dat externe identiteiten zich na 30 dagen aanmelden bij uw tenant en de externe identiteiten uit uw tenant verwijderen. Tijdens deze periode zijn instellingen, resultaten, revisoren of auditlogboeken onder de huidige beoordeling niet zichtbaar of configureerbaar. Zie Externe identiteiten uitschakelen en verwijderen met Microsoft Entra-toegangsbeoordelingen voor meer informatie.
Gasten vragen om hun eigen toegang tot een toepassing te bekijken
U kunt toegangsbeoordelingen gebruiken om ervoor te zorgen dat gebruikers die zijn uitgenodigd voor een bepaalde toepassing toegang blijven hebben. U kunt de gasten zelf eenvoudig vragen om hun eigen behoefte aan toegang te beoordelen.
Als u een toegangsbeoordeling voor de toepassing wilt maken, selecteert u de beoordeling om alleen gasten op te nemen en die gebruikers hun eigen toegang controleren. Zie Een toegangsbeoordeling maken van groepen of toepassingen voor meer informatie.
Vraag elke gast om hun eigen toegang tot de toepassing te controleren. Standaard ontvangt elke gast die een uitnodiging heeft geaccepteerd een e-mail van Microsoft Entra-id. Deze e-mail bevat een koppeling naar de toegangsbeoordeling in het toegangsvenster van uw organisatie. Microsoft Entra ID bevat instructies voor gasten over het controleren van toegang tot groepen of toepassingen.
Wanneer alle beoordelaars feedback hebben gegeven, kunt u de toegangsbeoordeling stoppen en de wijzigingen toepassen. Zie Een toegangsbeoordeling van groepen of toepassingen voltooien voor meer informatie.
Naast gebruikers die hun eigen behoefte aan continue toegang hebben geweigerd, kunt u ook gastgebruikers verwijderen die niet hebben gereageerd. U kunt ook gastgebruikers verwijderen die niet zijn geselecteerd om deel te nemen, met name als ze niet onlangs zijn uitgenodigd. Deze gebruikers hebben hun uitnodiging niet geaccepteerd en hebben dus geen toegang tot de toepassing.
Vraag een sponsor om de toegang van een gast tot een toepassing te bekijken
U kunt een sponsor, zoals de eigenaar van een toepassing, vragen om de noodzaak van de gast voor continue toegang tot de toepassing te controleren.
Als u een toegangsbeoordeling voor de toepassing wilt maken, selecteert u de beoordeling om alleen gasten op te nemen. Geef vervolgens een of meer gebruikers op als revisoren. Zie Een toegangsbeoordeling maken van groepen of toepassingen voor meer informatie.
Vraag de beoordelaars feedback te geven. Standaard ontvangen ze elk een e-mail van Microsoft Entra ID met een koppeling naar het toegangsvenster, waar ze de toegang tot groepen of toepassingen bekijken.
Wanneer alle beoordelaars feedback hebben gegeven, kunt u de toegangsbeoordeling stoppen en de wijzigingen toepassen. Zie Een toegangsbeoordeling van groepen of toepassingen voltooien voor meer informatie.
Vraag gasten om hun behoefte aan toegang te controleren, in het algemeen
In sommige organisaties zijn gasten mogelijk niet op de hoogte van hun groepslidmaatschappen.
Maak een beveiligingsgroep in Microsoft Entra-id met de gasten als leden, als er nog geen geschikte groep bestaat. U kunt bijvoorbeeld een groep maken met een handmatig onderhouden lidmaatschap van gasten. U kunt ook een dynamische groep maken met een naam zoals 'Gasten van Contoso' voor gebruikers in de Contoso-tenant die de waarde userType-kenmerk gast hebben. Houd er rekening mee dat een gastgebruiker die lid is van de groep de andere leden van de groep kan zien.
Als u een toegangsbeoordeling voor die groep wilt maken, selecteert u de revisoren die de leden zelf zijn. Zie Een toegangsbeoordeling maken van groepen of toepassingen voor meer informatie.
Vraag elke gast om hun eigen lidmaatschap te controleren. Standaard ontvangt elke gast die een uitnodiging heeft geaccepteerd een e-mail van Microsoft Entra ID met een koppeling naar de toegangsbeoordeling in het toegangsvenster van uw organisatie. Microsoft Entra ID bevat instructies voor gasten over het controleren van toegang tot groepen of toepassingen.
Nadat de revisoren invoer hebben gegeven, stopt u de toegangsbeoordeling. Zie Een toegangsbeoordeling van groepen of toepassingen voltooien voor meer informatie.
Verwijder gasttoegang voor gasten die zijn geweigerd, hebben de beoordeling niet voltooid of hebben hun uitnodiging niet eerder geaccepteerd. Als sommige gasten contactpersonen zijn die zijn geselecteerd om deel te nemen aan de beoordeling of als ze eerder geen uitnodiging hebben geaccepteerd, kunt u hun accounts uitschakelen via het Microsoft Entra-beheercentrum of PowerShell. Als de gast geen toegang meer nodig heeft en geen contactpersoon is, kunt u het gebruikersobject uit uw directory verwijderen met behulp van het Microsoft Entra-beheercentrum of PowerShell om het gastgebruikersobject te verwijderen.