Meer informatie over groepen en toegangsrechten in Microsoft Entra ID

Artikel
01/05/2024

Microsoft Entra ID biedt verschillende manieren om de toegang tot resources, toepassingen en taken te beheren. Met Microsoft Entra-groepen kunt u toegang en machtigingen verlenen aan een groep gebruikers in plaats van voor elke afzonderlijke gebruiker. Het beperken van de toegang tot Microsoft Entra-resources tot alleen gebruikers die toegang nodig hebben, is een van de belangrijkste beveiligingsprincipes van Zero Trust.

Dit artikel bevat een overzicht van hoe groepen en toegangsrechten samen kunnen worden gebruikt om het beheer van uw Microsoft Entra-gebruikers eenvoudiger te maken en tegelijkertijd aanbevolen beveiligingsprocedures toe te passen.

Met Microsoft Entra ID kunt u groepen gebruiken om de toegang tot toepassingen, gegevens en resources te beheren. Resources kunnen het volgende zijn:

Onderdeel van de Microsoft Entra-organisatie, zoals machtigingen voor het beheren van objecten via rollen in Microsoft Entra-id
Extern voor de organisatie, zoals voor SaaS-apps (Software as a Service)
Azure-services
SharePoint-sites
On-premises resources

Sommige groepen kunnen niet worden beheerd in Azure Portal:

Groepen die vanuit on-premises Active Directory zijn gesynchroniseerd, kunnen alleen worden beheerd in on-premises Active Directory.
Distributielijsten en beveiligingsgroepen met e-mail worden alleen beheerd in het Exchange-beheercentrum of Microsoft 365-beheercentrum. U moet zich aanmelden bij het Exchange-beheercentrum of Microsoft 365-beheercentrum om deze groepen te beheren.

Wat u moet weten voordat u een groep maakt

Er zijn twee groepstypen en drie typen groepslidmaatschappen. Bekijk de opties om de juiste combinatie voor uw scenario te vinden.

Groepstypen:

Beveiliging: wordt gebruikt voor het beheren van gebruikers- en computertoegang tot gedeelde resources.

U kunt bijvoorbeeld een beveiligingsgroep maken, zodat alle groepsleden dezelfde set beveiligingsmachtigingen hebben. Leden van een beveiligingsgroep kunnen gebruikers, apparaten, service-principals en andere groepen (ook wel geneste groepen genoemd) bevatten die toegangsbeleid en machtigingen definiëren. Eigenaren van een beveiligingsgroep kunnen gebruikers en service-principals bevatten.

Notitie

Wanneer u een bestaande beveiligingsgroep nestt in een andere beveiligingsgroep, hebben alleen leden in de bovenliggende groep toegang tot gedeelde resources en toepassingen. Geneste groepsleden hebben niet hetzelfde toegewezen lidmaatschap als de bovenliggende groepsleden. Zie Groepen beheren voor meer informatie over het beheren van geneste groepen.

Microsoft 365: biedt samenwerkingskansen door groepsleden toegang te geven tot een gedeeld postvak, agenda, bestanden, SharePoint-sites en meer.

Deze optie geeft u ook de mogelijkheid om mensen buiten uw organisatie toegang te geven tot de groep. Leden van een Microsoft 365-groep kunnen alleen gebruikers bevatten. Eigenaren van een Microsoft 365-groep kunnen gebruikers en service-principals bevatten. Raadpleeg Meer Informatie over Office 365-groepen voor meer informatie over Office 365-groepen.

Typen lidmaatschap:

Toegewezen: Hiermee kunt u specifieke gebruikers toevoegen als leden van een groep en unieke machtigingen hebben.
Dynamische gebruiker: Hiermee kunt u dynamische lidmaatschapsregels gebruiken om automatisch leden toe te voegen en te verwijderen. Als de kenmerken van een lid worden gewijzigd, kijkt het systeem naar de dynamische groepsregels voor de map om te zien of het lid voldoet aan de regelvereisten (wordt toegevoegd) of niet meer voldoet aan de regelsvereisten (wordt verwijderd).
Dynamisch apparaat: Hiermee kunt u dynamische groepsregels gebruiken om apparaten automatisch toe te voegen en te verwijderen. Als de kenmerken van een apparaat veranderen, kijkt het systeem naar de dynamische groepsregels voor de map om te zien of het apparaat voldoet aan de regelvereisten (wordt toegevoegd) of niet meer voldoet aan de regelsvereisten (wordt verwijderd).

Belangrijk

U kunt een dynamische groep voor apparaten of gebruikers, maar niet voor beide maken. Het is evenmin mogelijk om een apparaatgroep te maken op basis van kenmerken van de apparaateigenaren. Regels voor apparaatlidmaatschap kunnen alleen verwijzen naar apparaatkenmerken. Zie Een dynamische groep maken en de status controleren voor meer informatie over het maken van een dynamische groep voor gebruikers en apparaten.

Wat u moet weten voordat u toegangsrechten toevoegt aan een groep

Nadat u een Microsoft Entra-groep hebt gemaakt, moet u deze de juiste toegang verlenen. Elke toepassing, resource en service waarvoor toegangsmachtigingen zijn vereist, moeten afzonderlijk worden beheerd, omdat de machtigingen voor de ene mogelijk niet hetzelfde zijn als een andere. Verken toegang met behulp van het principe van minimale bevoegdheden om het risico op aanvallen of een beveiligingsschending te verminderen.

Hoe toegangsbeheer in Microsoft Entra ID werkt

Microsoft Entra ID helpt u toegang te geven tot de resources van uw organisatie door toegangsrechten te verlenen aan één gebruiker of aan een hele Microsoft Entra-groep. Met behulp van groepen kan de eigenaar van de resource of microsoft Entra-directory-eigenaar een set toegangsmachtigingen toewijzen aan alle leden van de groep. De eigenaar van de resource of directory kan ook beheerrechten verlenen aan iemand zoals een afdelingsmanager of helpdeskbeheerder, zodat die persoon leden kan toevoegen en verwijderen. Zie het artikel Groepen beheren voor meer informatie over het beheren van groepseigenaren.

Schermopname van een diagram van Toegangsbeheer voor Microsoft Entra ID..

Manieren om toegangsrechten toe te wijzen

Nadat u een groep hebt gemaakt, moet u beslissen hoe u toegangsrechten toewijst. Verken de manieren om toegangsrechten toe te wijzen om het beste proces voor uw scenario te bepalen.

Directe toewijzing. De resource-eigenaar wijst de gebruiker rechtstreeks toe aan de resource.
Groepstoewijzing. De resource-eigenaar wijst een Microsoft Entra-groep toe aan de resource, waardoor alle groepsleden automatisch toegang krijgen tot de resource. Groepslidmaatschap wordt beheerd door zowel de groepseigenaar als de resource-eigenaar, zodat de eigenaar leden aan de groep kan toevoegen of kan verwijderen. Zie het artikel Groepen beheren voor meer informatie over het beheren van groepslidmaatschap .
Regelgebaseerde toewijzing. De resource-eigenaar maakt een groep en gebruikt een regel om te definiëren welke gebruikers aan een specifieke resource worden toegewezen. De regel is gebaseerd op kenmerken die zijn toegewezen aan afzonderlijke gebruikers. De resource-eigenaar beheert de regel en bepaalt welke kenmerken en waarden vereist zijn om toegang tot de resource toe te staan. Zie Een dynamische groep maken en de status controleren voor meer informatie.
Toewijzing van externe instantie. Toegang is afkomstig van een externe bron, zoals een on-premises directory of een SaaS-app. In dit geval wijst de resource-eigenaar een groep toe om toegang tot de resource te bieden, waarna de externe bron de leden van de groep beheert.

Kunnen gebruikers deelnemen aan groepen zonder dat ze zijn toegewezen?

De groepseigenaar kan gebruikers toestaan om zelf groepen te zoeken waarvan ze lid willen worden, in plaats van ze toe te wijzen. De eigenaar kan ook instellen dat de groep automatisch alle gebruikers accepteert die lid worden of dat goedkeuring is vereist.

Nadat een gebruiker een aanvraag heeft ingediend om lid te worden van een groep, wordt de aanvraag doorgestuurd naar de eigenaar van de groep. Als dit vereist is, kan de eigenaar de aanvraag goedkeuren en wordt de gebruiker op de hoogte gesteld van het groepslidmaatschap. Als u meerdere eigenaren hebt en een van hen wordt afgekeurd, krijgt de gebruiker een melding, maar wordt deze niet toegevoegd aan de groep. Zie Microsoft Entra-id instellen zodat gebruikers kunnen aanvragen om lid te worden van groepen voor meer informatie en instructies voor het aanvragen van gebruikers om lid te worden van groepen.