Delen via


Toegangsbeheer beveiligen met behulp van groepen in Microsoft Entra-id

Met Microsoft Entra ID kan het gebruik van groepen de toegang tot resources in een organisatie beheren. Gebruik groepen voor toegangsbeheer om de toegang tot toepassingen te beheren en te minimaliseren. Wanneer groepen worden gebruikt, hebben alleen leden van deze groepen toegang tot de resource. Het gebruik van groepen maakt ook de volgende beheerfuncties mogelijk:

  • Dynamische lidmaatschapsgroepen op basis van kenmerken
  • Externe groepen die zijn gesynchroniseerd vanuit on-premises Active Directory
  • Door de beheerder beheerde of selfservice beheerde groepen

Zie Toegang tot een toepassing beheren voor meer informatie over de voordelen van groepen voor toegangsbeheer.

Tijdens het ontwikkelen van een toepassing, autoriseert u toegang met de groepsclaim. Zie voor meer informatie hoe u groepsclaims configureert voor toepassingen met Microsoft Entra-id.

Tegenwoordig selecteren veel toepassingen een subset van groepen met de securityEnabled vlag die is ingesteld om true schaalproblemen te voorkomen, dus om het aantal groepen dat in het token wordt geretourneerd, te verminderen. Als u de securityEnabled vlag instelt op waar voor een groep, wordt niet gegarandeerd dat de groep veilig wordt beheerd.

Best practices om risico's te beperken

De volgende tabel bevat verschillende aanbevolen beveiligingsprocedures voor beveiligingsgroepen en de mogelijke beveiligingsrisico's die elke praktijk beperkt.

Best practice voor beveiliging Beveiligingsrisico beperkt
Zorg ervoor dat de resource-eigenaar en groepseigenaar dezelfde principal zijn. Toepassingen moeten hun eigen groepsbeheerervaring bouwen en nieuwe groepen maken om de toegang te beheren. Een toepassing kan bijvoorbeeld groepen maken met de Group.Create machtiging en zichzelf toevoegen als eigenaar van de groep. Op deze manier heeft de toepassing controle over de groepen zonder over bevoegdheden te beschikken om andere groepen in de tenant te wijzigen. Wanneer groepseigenaren en resource-eigenaren verschillende entiteiten zijn, kunnen groepseigenaren gebruikers toevoegen aan de groep die geen toegang tot de resource moeten krijgen, maar deze vervolgens onbedoeld kunnen openen.
Bouw een impliciet contract tussen de resource-eigenaar en groepseigenaar. De resource-eigenaar en de groepseigenaar moeten zijn afgestemd op het groepsdoel, het beleid en de leden die aan de groep kunnen worden toegevoegd om toegang te krijgen tot de resource. Dit vertrouwensniveau is niet technisch en is afhankelijk van een menselijk of zakelijk contract. Wanneer groepseigenaren en resource-eigenaren verschillende intenties hebben, kan de groepseigenaar gebruikers toevoegen aan de groep waarvoor de resource-eigenaar geen toegang wilde verlenen. Deze actie kan leiden tot onnodige en mogelijk riskante toegang.
Gebruik privégroepen voor toegangsbeheer. Microsoft 365-groepen worden beheerd door het zichtbaarheidsconcept. Met deze eigenschap bepaalt u het joinbeleid van de groep en de zichtbaarheid van groepsbronnen. Beveiligingsgroepen hebben lid worden van beleidsregels die iedereen toestaan lid te worden of goedkeuring van de eigenaar vereisen. On-premises gesynchroniseerde groepen kunnen ook openbaar of privé zijn. Gebruikers die deelnemen aan een on-premises gesynchroniseerde groep, kunnen ook toegang krijgen tot de cloudresource. Wanneer u een openbare groep gebruikt voor toegangsbeheer, kan elk lid lid worden van de groep en toegang krijgen tot de resource. Het risico op uitbreiding van bevoegdheden bestaat wanneer een openbare groep wordt gebruikt om toegang te verlenen tot een externe resource.
Groeperen nesten. Wanneer u een groep gebruikt voor toegangsbeheer en deze andere groepen heeft als leden, kunnen leden van de subgroepen toegang krijgen tot de resource. In dit geval zijn er meerdere groepseigenaren van de bovenliggende groep en de subgroepen. Uitlijnen met meerdere groepseigenaren voor elk doel van elke groep en het toevoegen van de juiste leden aan deze groepen is complexer en gevoeliger voor onbedoelde toekenning van toegang. Beperk het aantal geneste groepen of gebruik ze helemaal niet, indien mogelijk.

Volgende stappen