Overzicht van op rollen gebaseerd toegangsbeheer in Microsoft Entra ID

In dit artikel wordt beschreven hoe u op rollen gebaseerd toegangsbeheer van Microsoft Entra begrijpt. Met Microsoft Entra-rollen kunt u gedetailleerde machtigingen verlenen aan uw beheerders, afhankelijk van het principe van minimale bevoegdheden. Ingebouwde en aangepaste Microsoft Entra-rollen werken op concepten die vergelijkbaar zijn met die in het op rollen gebaseerde toegangsbeheersysteem voor Azure-resources (Azure-rollen). Het verschil tussen deze twee op rollen gebaseerde systemen voor toegangsbeheer is als volgt:

• Microsoft Entra-rollen beheren de toegang tot Microsoft Entra-resources, zoals gebruikers, groepen en toepassingen met behulp van de Microsoft Graph API
• Met Azure-rollen wordt de toegang tot Azure-resources beheerd, zoals virtuele machines of opslag, met behulp van Azure Resource Management

Beide systemen maken op een soortgelijke manier gebruik van roldefinities en roltoewijzingen. Machtigingen voor Microsoft Entra-rollen kunnen echter niet worden gebruikt in aangepaste Azure-rollen en omgekeerd.

Inzicht krijgen in op rollen gebaseerd toegangsbeheer van Microsoft Entra

Microsoft Entra ID ondersteunt twee typen roldefinities:

• Ingebouwde rollen
• Aangepaste rollen

Ingebouwde rollen zijn kant-en-klare-rollen met een vaste set machtigingen. Deze roldefinities kunnen niet worden gewijzigd. Er zijn veel ingebouwde rollen die door Microsoft Entra ID worden ondersteund en de lijst groeit. Microsoft Entra ID biedt ook ondersteuning voor aangepaste rollen om de randen af te ronden en te voldoen aan uw geavanceerde vereisten. Het verlenen van machtigingen met behulp van aangepaste Microsoft Entra-rollen is een proces in twee stappen: het maken van een aangepaste roldefinitie en vervolgens het toewijzen ervan met behulp van een roltoewijzing. Een aangepaste roldefinitie is een verzameling machtigingen die u toevoegt uit een vooraf ingestelde lijst. Deze machtigingen zijn dezelfde machtigingen die worden gebruikt in de ingebouwde rollen.

Zodra u de aangepaste roldefinitie hebt gemaakt (of als u een ingebouwde rol gebruikt), kunt u deze toewijzen aan een gebruiker door een roltoewijzing te maken. Met een roltoewijzing worden machtigingen in een roldefinitie aan de gebruiker verleend voor een opgegeven bereik. Met dit proces in twee stappen kunt u één roldefinitie maken en deze meerdere keren toewijzen voor verschillende bereiken. Met een bereik wordt de set Microsoft Entra-resources gedefinieerd waartoe het rollid toegang heeft. Het meest voorkomende bereik is het bereik voor de hele organisatie (organisatiebreed). Een aangepaste rol kan worden toegewezen voor het organisatiebrede bereik. Dit betekent dat de rolmachtigingen van het rollid gelden voor alle resources in de organisatie. Een aangepaste rol kan ook worden toegewezen voor een objectbereik. Een voorbeeld van een objectbereik is één toepassing. Dezelfde rol kan aan de ene gebruiker worden toegewezen voor alle toepassingen in de organisatie, en vervolgens aan een andere gebruiker met een bereik van alleen de Contoso Expense Reports-app.

Hoe Microsoft Entra ID bepaalt of een gebruiker toegang heeft tot een resource

Hieronder vindt u de stappen op hoog niveau die door Microsoft Entra ID worden gebruikt om te bepalen of u toegang hebt tot een beheerresource. Gebruik deze informatie om problemen met toegang op te lossen.

1. Een gebruiker (of service-principal) verkrijgt een token voor het Microsoft Graph-eindpunt.
2. De gebruiker maakt een API-aanroep naar Microsoft Entra ID via Microsoft Graph met behulp van het uitgegeven token.
3. Afhankelijk van de omstandigheden voert Microsoft Entra ID een van de volgende acties uit:
   • Evalueren van de rollidmaatschappen van de gebruiker op basis van de wids-claim in het toegangstoken van de gebruiker.
   • Ophalen van alle roltoewijzingen die van toepassing zijn op de gebruiker, hetzij rechtstreeks of via groepslidmaatschap, voor de resource waarvoor de actie wordt uitgevoerd.
4. Microsoft Entra-id bepaalt of de actie in de API-aanroep is opgenomen in de rollen die de gebruiker voor deze resource heeft.
5. Als de gebruiker geen rol met de actie heeft in het aangevraagde bereik, wordt er geen toegang verleend. Anders wordt toegang verleend.

Roltoewijzing

Een roltoewijzing is een Microsoft Entra-resource die een roldefinitie koppelt aan een beveiligingsprincipaal in een bepaald bereik om toegang te verlenen tot Microsoft Entra-resources. Toegang wordt verleend door een roltoewijzing te maken en toegang kan worden ingetrokken door een roltoewijzing te verwijderen. De kern van een roltoewijzing bestaat uit drie elementen:

• Beveiligings-principal: Een identiteit die de machtigingen ophaalt. Dit kan een gebruiker, groep of service-principal zijn.
• Roldefinitie: Een verzameling machtigingen.
• Bereik: Een manier om te beperken waar deze machtigingen van toepassing zijn.

U kunt roltoewijzingen maken en de roltoewijzingen weergeven met behulp van het Microsoft Entra-beheercentrum, Microsoft Graph PowerShell of Microsoft Graph API. Azure CLI wordt niet ondersteund voor Roltoewijzingen van Microsoft Entra.

Het volgende diagram toont een voorbeeld van een roltoewijzing. In dit voorbeeld is aan Chris de aangepaste rol App-registratiebeheerder toegewezen voor het bereik van de Contoso Widget Builder-app-registratie. De toewijzing verleent Chris alleen voor deze specifieke app-registratie de machtigingen van de rol App-registratiebeheerder.

Beveiligingsprincipal

Een beveiligingsprincipaal vertegenwoordigt een gebruiker, groep of service-principal die toegang heeft tot Microsoft Entra-resources. Een gebruiker is een persoon die een gebruikersprofiel heeft in Microsoft Entra ID. Een groep is een nieuwe Microsoft 365- of beveiligingsgroep die is ingesteld als een roltoewijzingsgroep. Een service-principal is een identiteit die is gemaakt voor gebruik met toepassingen, gehoste services en geautomatiseerde hulpprogramma's voor toegang tot Microsoft Entra-resources.

Roldefinitie

Een roldefinitie, of rol, is een verzameling machtigingen. Een roldefinitie bevat de bewerkingen die kunnen worden uitgevoerd op Microsoft Entra-resources, zoals maken, lezen, bijwerken en verwijderen. Er zijn twee typen rollen in Microsoft Entra-id:

• Ingebouwde rollen die door Microsoft zijn gemaakt en die niet kunnen worden gewijzigd.
• Aangepaste rollen die door de organisatie zijn gemaakt en beheerd.

Bereik

Een bereik is een manier om de toegestane acties te beperken tot een bepaalde set resources als onderdeel van een roltoewijzing. Als u bijvoorbeeld een aangepaste rol aan een ontwikkelaar wilt toewijzen, maar alleen om een specifieke toepassingsregistratie te beheren, kunt u de specifieke toepassingsregistratie als een bereik opnemen in de roltoewijzing.

Wanneer u een rol toewijst, geeft u een van de volgende typen bereik op:

• Tenant
• Beheereenheid
• Microsoft Entra-resource

Als u een Microsoft Entra-resource opgeeft als een bereik, kan dit een van de volgende zijn:

• Microsoft Entra-groepen
• Bedrijfstoepassingen
• Toepassingsregistraties

Wanneer een rol wordt toegewezen via een containerbereik, zoals de tenant of een Beheer istratieve eenheid, verleent deze machtigingen voor de objecten die ze bevatten, maar niet op de container zelf. Integendeel, wanneer een rol wordt toegewezen over een resourcebereik, verleent deze machtigingen over de resource zelf, maar deze wordt niet verder uitgebreid (met name niet uitgebreid naar de leden van een Microsoft Entra-groep).

Zie Microsoft Entra-rollen toewijzen in verschillende bereiken voor meer informatie.

Opties voor roltoewijzing

Microsoft Entra ID biedt meerdere opties voor het toewijzen van rollen:

• U kunt rollen rechtstreeks toewijzen aan gebruikers. Dit is de standaard manier om rollen toe te wijzen. Zowel ingebouwde als aangepaste Microsoft Entra-rollen kunnen worden toegewezen aan gebruikers, op basis van toegangsvereisten. Zie Microsoft Entra-rollen toewijzen aan gebruikers voor meer informatie.
• Met Microsoft Entra ID P1 kunt u rollentoewijzingsgroepen maken en rollen toewijzen aan deze groepen. Als u rollen toewijst aan een groep in plaats van personen, kunt u gebruikers eenvoudig toevoegen aan of verwijderen uit een rol en consistente machtigingen maken voor alle leden van de groep. Zie Microsoft Entra-rollen toewijzen aan groepen voor meer informatie.
• Met Microsoft Entra ID P2 kunt u Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) gebruiken om Just-In-Time toegang te bieden tot rollen. Met deze functie kunt u tijdgebonden toegang verlenen aan gebruikers die deze functie nodig hebben, in plaats van permanente toegang te verlenen. Het biedt ook gedetailleerde rapportage- en controlemogelijkheden. Zie Microsoft Entra-rollen toewijzen in Privileged Identity Management voor meer informatie.

Licentievereisten

Het gebruik van ingebouwde rollen in Microsoft Entra ID is gratis. Voor het gebruik van aangepaste rollen is een Microsoft Entra ID P1-licentie vereist voor elke gebruiker met een aangepaste roltoewijzing. Zie Algemeen beschikbare functies van de edities Gratis en Premium vergelijken als u een licentie zoekt die bij uw vereisten past.

Volgende stappen

• Informatie over Microsoft Entra-rollen
• Microsoft Entra-rollen toewijzen aan gebruikers
• Een aangepaste rol maken en toewijzen in Microsoft Entra-id