Meer informatie over groepen en toegangsrechten in Azure Active Directory

Azure Active Directory (Azure AD) biedt verschillende manieren om toegang tot resources, toepassingen en taken te beheren. Met Azure AD groepen kunt u toegang en machtigingen verlenen aan een groep gebruikers in plaats van voor elke afzonderlijke gebruiker. Het beperken van de toegang tot Azure AD resources tot alleen gebruikers die toegang nodig hebben, is een van de belangrijkste beveiligingsprinciplen van Zero Trust. In dit artikel vindt u een overzicht van hoe groepen en toegangsrechten samen kunnen worden gebruikt om het beheren van uw Azure AD gebruikers gemakkelijker te maken, terwijl ook aanbevolen beveiligingsprocedures worden toegepast.

Azure AD kunt u groepen gebruiken om de toegang tot toepassingen, gegevens en resources te beheren. Resources kunnen het volgende zijn:

  • Onderdeel van de Azure AD organisatie, zoals machtigingen voor het beheren van objecten via rollen in Azure AD
  • Extern van de organisatie, zoals voor SaaS-apps (Software as a Service)
  • Azure-services
  • SharePoint-sites
  • On-premises resources

Sommige groepen kunnen niet worden beheerd in de Azure AD-portal:

  • Groepen die vanuit on-premises Active Directory zijn gesynchroniseerd, kunnen alleen worden beheerd in on-premises Active Directory.
  • Distributielijsten en beveiligingsgroepen met e-mail worden alleen beheerd in het Exchange-beheercentrum of Microsoft 365-beheercentrum. U moet zich aanmelden bij het Exchange-beheercentrum of Microsoft 365-beheercentrum om deze groepen te beheren.

Wat u moet weten voordat u een groep maakt

Er zijn twee groepstypen en drie typen groepslidmaatschappen. Bekijk de opties om de juiste combinatie voor uw scenario te vinden.

Groepstypen:

Veiligheid: Wordt gebruikt voor het beheren van gebruikers- en computertoegang tot gedeelde resources.

U kunt bijvoorbeeld een beveiligingsgroep maken, zodat alle groepsleden dezelfde set beveiligingsmachtigingen hebben. Leden van een beveiligingsgroep kunnen gebruikers, apparaten, andere groepen en service-principals bevatten, waarmee toegangsbeleid en machtigingen worden gedefinieerd. Eigenaren van een beveiligingsgroep kunnen gebruikers en service-principals bevatten.

Microsoft 365: Biedt samenwerkingsmogelijkheden door groepsleden toegang te geven tot een gedeeld postvak, agenda, bestanden, SharePoint-sites en meer.

Deze optie geeft u ook de mogelijkheid om mensen buiten uw organisatie toegang te geven tot de groep. Leden van een Microsoft 365-groep kunnen alleen gebruikers opnemen. Eigenaren van een Microsoft 365-groep kunnen gebruikers en service-principals bevatten. Zie Meer informatie over Microsoft 365 Groepen voor meer informatie over Microsoft 365 Groepen.

Lidmaatschapstypen:

  • Toegewezen: Hiermee kunt u specifieke gebruikers toevoegen als leden van een groep en unieke machtigingen hebben.

  • Dynamische gebruiker: Hiermee kunt u dynamische lidmaatschapsregels gebruiken om automatisch leden toe te voegen en te verwijderen. Als de kenmerken van een lid worden gewijzigd, kijkt het systeem naar uw dynamische groepsregels voor de directory om te zien of het lid voldoet aan de regelvereisten (wordt toegevoegd) of niet meer voldoet aan de regelsvereisten (wordt verwijderd).

  • Dynamisch apparaat: Hiermee kunt u dynamische groepsregels gebruiken om automatisch apparaten toe te voegen en te verwijderen. Als de kenmerken van een apparaat veranderen, kijkt het systeem naar uw dynamische groepsregels voor de map om te zien of het apparaat voldoet aan de regelvereisten (wordt toegevoegd) of niet meer voldoet aan de regelsvereisten (wordt verwijderd).

    Belangrijk

    U kunt een dynamische groep voor apparaten of gebruikers, maar niet voor beide maken. Het is evenmin mogelijk om een apparaatgroep te maken op basis van kenmerken van de apparaateigenaren. Regels voor apparaatlidmaatschap kunnen alleen verwijzen naar apparaatkenmerken. Zie Een dynamische groep maken en de status controleren voor meer informatie over het maken van een dynamische groep voor gebruikers en apparaten

Wat u moet weten voordat u toegangsrechten toevoegt aan een groep

Nadat u een Azure AD groep hebt gemaakt, moet u deze de juiste toegang verlenen. Elke toepassing, resource en service waarvoor toegangsmachtigingen zijn vereist, moeten afzonderlijk worden beheerd omdat de machtigingen voor de ene toepassing mogelijk niet hetzelfde zijn als een andere. Toegang verlenen met behulp van het principe van minimale bevoegdheden om het risico op aanvallen of een beveiligingsschending te verminderen.

Hoe toegangsbeheer in Azure AD werkt

Azure AD helpt u toegang te verlenen tot de resources van uw organisatie door toegangsrechten te bieden aan één gebruiker of aan een hele Azure AD groep. Met behulp van groepen kan de resource-eigenaar of Azure AD directory-eigenaar een set toegangsmachtigingen toewijzen aan alle leden van de groep. De eigenaar van de resource of directory kan ook beheerrechten verlenen aan iemand zoals afdelingsmanager of helpdeskbeheerder, zodat die persoon leden kan toevoegen en verwijderen. Zie het artikel Groepen beheren voor meer informatie over het beheren van groepseigenaren .

Diagram van Azure Active Directory-toegangsbeheer.

Manieren om toegangsrechten toe te wijzen

Nadat u een groep hebt gemaakt, moet u bepalen hoe u toegangsrechten toewijst. Verken de manieren om toegangsrechten toe te wijzen om het beste proces voor uw scenario te bepalen.

  • Directe toewijzing. De resource-eigenaar wijst de gebruiker rechtstreeks toe aan de resource.

  • Groepstoewijzing. De resource-eigenaar wijst een Azure AD groep toe aan de resource, waardoor alle groepsleden automatisch toegang krijgen tot de resource. Groepslidmaatschap wordt beheerd door zowel de groepseigenaar als de resource-eigenaar, zodat de eigenaar leden uit de groep kan toevoegen of verwijderen. Zie het artikel Groepen beheren voor meer informatie over het beheren van groepslidmaatschap.

  • Toewijzing op basis van regels. De resource-eigenaar maakt een groep en gebruikt een regel om te definiëren welke gebruikers aan een specifieke resource zijn toegewezen. De regel is gebaseerd op kenmerken die zijn toegewezen aan afzonderlijke gebruikers. De resource-eigenaar beheert de regel en bepaalt welke kenmerken en waarden vereist zijn om toegang tot de resource toe te staan. Zie Een dynamische groep maken en de status controleren voor meer informatie.

  • Toewijzing van externe instantie. Toegang is afkomstig van een externe bron, zoals een on-premises map of een SaaS-app. In dit geval wijst de resource-eigenaar een groep toe om toegang te bieden tot de resource en beheert de externe bron vervolgens de groepsleden.

    Diagram van het overzicht van toegangsbeheer.

Kunnen gebruikers deelnemen aan groepen zonder dat ze zijn toegewezen?

De groepseigenaar kan gebruikers hun eigen groepen laten vinden om lid te worden, in plaats van ze toe te wijzen. De eigenaar kan de groep ook instellen om automatisch alle gebruikers te accepteren die lid worden of goedkeuring vereisen.

Nadat een gebruiker heeft verzocht lid te worden van een groep, wordt de aanvraag doorgestuurd naar de groepseigenaar. Als dit vereist is, kan de eigenaar de aanvraag goedkeuren en wordt de gebruiker op de hoogte gesteld van het groepslidmaatschap. Als u meerdere eigenaren hebt en een van deze niet-goedgekeurd, wordt de gebruiker op de hoogte gesteld, maar wordt deze niet toegevoegd aan de groep. Zie Azure AD instellen zodat gebruikers kunnen aanvragen om lid te worden van groepen voor meer informatie en instructies voor het deelnemen aan groepen.

Volgende stappen