Meer informatie over groepen en toegangsrechten in Microsoft Entra-id

Microsoft Entra-id biedt verschillende manieren om toegang tot resources, toepassingen en taken te beheren. Met Microsoft Entra groepen kunt u toegang en machtigingen verlenen aan een groep gebruikers in plaats van voor elke afzonderlijke gebruiker. Het beperken van de toegang tot Microsoft Entra resources tot alleen gebruikers die toegang nodig hebben, is een van de belangrijkste beveiligingsprincipes van Zero Trust. Dit artikel bevat een overzicht van hoe groepen en toegangsrechten samen kunnen worden gebruikt om het beheer van uw Microsoft Entra gebruikers te vereenvoudigen en tegelijkertijd aanbevolen beveiligingsprocedures toe te passen.

met Microsoft Entra-id kunt u groepen gebruiken om de toegang tot toepassingen, gegevens en resources te beheren. Resources kunnen zijn:

• Onderdeel van de Microsoft Entra organisatie, zoals machtigingen voor het beheren van objecten via rollen in Microsoft Entra-id
• Extern voor de organisatie, zoals voor SaaS-apps (Software as a Service)
• Azure-services
• SharePoint-sites
• On-premises resources

Sommige groepen kunnen niet worden beheerd in de Azure Portal:

• Groepen die vanuit on-premises Active Directory zijn gesynchroniseerd, kunnen alleen worden beheerd in on-premises Active Directory.
• Distributielijsten en beveiligingsgroepen met e-mail worden alleen beheerd in het Exchange-beheercentrum of Microsoft 365-beheercentrum. U moet zich aanmelden bij het Exchange-beheercentrum of Microsoft 365-beheercentrum om deze groepen te beheren.

Wat u moet weten voordat u een groep maakt

Er zijn twee groepstypen en drie typen groepslidmaatschap. Bekijk de opties om de juiste combinatie voor uw scenario te vinden.

Groepstypen:

Veiligheid: Wordt gebruikt voor het beheren van gebruikers- en computertoegang tot gedeelde resources.

U kunt bijvoorbeeld een beveiligingsgroep maken zodat alle groepsleden dezelfde set beveiligingsmachtigingen hebben. Leden van een beveiligingsgroep kunnen gebruikers, apparaten, andere groepen en service-principals zijn, waarmee toegangsbeleid en machtigingen worden gedefinieerd. Eigenaren van een beveiligingsgroep kunnen gebruikers en service-principals bevatten.

Microsoft 365: Biedt samenwerkingsmogelijkheden door groepsleden toegang te geven tot een gedeeld postvak, agenda, bestanden, SharePoint-sites en meer.

Deze optie geeft u ook de mogelijkheid om mensen buiten uw organisatie toegang te geven tot de groep. Leden van een Microsoft 365-groep kunnen alleen gebruikers bevatten. Eigenaren van een Microsoft 365-groep kunnen gebruikers en service-principals bevatten. Raadpleeg Meer Informatie over Office 365-groepen voor meer informatie over Office 365-groepen.

Typen lidmaatschap:

• Toegewezen: Hiermee kunt u specifieke gebruikers toevoegen als leden van een groep en unieke machtigingen hebben.

• Dynamische gebruiker: Hiermee kunt u dynamische lidmaatschapsregels gebruiken om automatisch leden toe te voegen en te verwijderen. Als de kenmerken van een lid veranderen, kijkt het systeem naar uw dynamische groepsregels voor de map om te zien of het lid voldoet aan de regelvereisten (wordt toegevoegd) of niet meer voldoet aan de regelsvereisten (wordt verwijderd).

• Dynamisch apparaat: Hiermee kunt u dynamische groepsregels gebruiken om automatisch apparaten toe te voegen en te verwijderen. Als de kenmerken van een apparaat veranderen, kijkt het systeem naar de dynamische groepsregels voor de map om te zien of het apparaat voldoet aan de regelvereisten (wordt toegevoegd) of niet meer voldoet aan de regelsvereisten (wordt verwijderd).

  Belangrijk

  U kunt een dynamische groep voor apparaten of gebruikers, maar niet voor beide maken. Het is evenmin mogelijk om een apparaatgroep te maken op basis van kenmerken van de apparaateigenaren. Regels voor apparaatlidmaatschap kunnen alleen verwijzen naar apparaatkenmerken. Raadpleeg Een dynamische groep maken en de status controleren voor meer informatie over het maken van een dynamische groep voor gebruikers en apparaten

Wat u moet weten voordat u toegangsrechten toevoegt aan een groep

Nadat u een Microsoft Entra groep hebt gemaakt, moet u deze de juiste toegang verlenen. Elke toepassing, resource en service waarvoor toegangsmachtigingen zijn vereist, moeten afzonderlijk worden beheerd, omdat de machtigingen voor de ene toepassing mogelijk niet hetzelfde zijn als een andere. Toegang verlenen met behulp van het principe van minimale bevoegdheden om het risico op aanvallen of een beveiligingsschending te verminderen.

Hoe toegangsbeheer in Microsoft Entra-id werkt

Microsoft Entra-id helpt u toegang te geven tot de resources van uw organisatie door toegangsrechten te verlenen aan één gebruiker of aan een hele Microsoft Entra groep. Met behulp van groepen kan de resource-eigenaar of Microsoft Entra directory-eigenaar een set toegangsmachtigingen toewijzen aan alle leden van de groep. De resource- of directory-eigenaar kan ook beheerrechten verlenen aan iemand, zoals een afdelingsmanager of een helpdeskbeheerder, zodat die persoon leden kan toevoegen en verwijderen. Zie het artikel Groepen beheren voor meer informatie over het beheren van groepseigenaren .

Manieren om toegangsrechten toe te wijzen

Nadat u een groep hebt gemaakt, moet u bepalen hoe u toegangsrechten toewijst. Verken de manieren om toegangsrechten toe te wijzen om het beste proces voor uw scenario te bepalen.

• Directe toewijzing. De resource-eigenaar wijst de gebruiker rechtstreeks toe aan de resource.

• Groepstoewijzing. De resource-eigenaar wijst een Microsoft Entra groep toe aan de resource, waardoor alle groepsleden automatisch toegang krijgen tot de resource. Groepslidmaatschap wordt beheerd door zowel de groepseigenaar als de resource-eigenaar, zodat de eigenaar leden aan de groep kan toevoegen of kan verwijderen. Zie het artikel Groepen beheren voor meer informatie over het beheren van groepslidmaatschap .

• Regelgebaseerde toewijzing. De resource-eigenaar maakt een groep en gebruikt een regel om te definiëren welke gebruikers aan een specifieke resource worden toegewezen. De regel is gebaseerd op kenmerken die zijn toegewezen aan afzonderlijke gebruikers. De resource-eigenaar beheert de regel en bepaalt welke kenmerken en waarden vereist zijn om toegang tot de resource toe te staan. Zie Een dynamische groep maken en de status controleren voor meer informatie.

• Toewijzing van externe instantie. Toegang is afkomstig van een externe bron, zoals een on-premises directory of een SaaS-app. In dit geval wijst de resource-eigenaar een groep toe om toegang tot de resource te bieden, waarna de externe bron de leden van de groep beheert.

  

Kunnen gebruikers deelnemen aan groepen zonder dat ze zijn toegewezen?

De groepseigenaar kan gebruikers toestaan om zelf groepen te zoeken waarvan ze lid willen worden, in plaats van ze toe te wijzen. De eigenaar kan ook instellen dat de groep automatisch alle gebruikers accepteert die lid worden of dat goedkeuring is vereist.

Nadat een gebruiker een aanvraag heeft ingediend om lid te worden van een groep, wordt de aanvraag doorgestuurd naar de eigenaar van de groep. Als dit vereist is, kan de eigenaar de aanvraag goedkeuren en wordt de gebruiker op de hoogte gesteld van het groepslidmaatschap. Als u meerdere eigenaren hebt en een van deze eigenaren wordt afgekeurd, wordt de gebruiker op de hoogte gesteld, maar wordt deze niet toegevoegd aan de groep. Zie Microsoft Entra-id instellen zodat gebruikers kunnen aanvragen om lid te worden van groepen voor meer informatie en instructies over het aanvragen van gebruikers om lid te worden van groepen.

Volgende stappen

• Microsoft Entra groepen en groepslidmaatschap maken en beheren

• Meer informatie over groepslicenties in Microsoft Entra-id

• Toegang tot SaaS-apps met behulp van groepen beheren

• Dynamische regels voor gebruikers in een groep beheren

• Meer informatie over Privileged Identity Management voor Microsoft Entra rollen