Delen via


Een toegangsbeoordeling maken van groepen en toepassingen in Microsoft Entra ID

Toegang tot groepen en toepassingen voor werknemers en gasten verandert in de loop van de tijd. Beheerders kunnen Microsoft Entra ID gebruiken om toegangsbeoordelingen te maken voor groepsleden of toepassingstoegang om het risico te verminderen dat gepaard gaat met verouderde toegangstoewijzingen.

Eigenaren van Microsoft 365- en beveiligingsgroepen kunnen ook Microsoft Entra ID gebruiken om toegangsbeoordelingen te maken voor groepsleden, mits een gebruiker met ten minste de rol Identity Governance Administrator de instelling inschakelt via het deelvenster Instellingen voor toegangsbeoordelingen. Zie Toegangsbeoordelingen beheren voor meer informatie over deze scenario's.

Bekijk een korte video over het inschakelen van toegangsbeoordelingen.

In dit artikel wordt beschreven hoe u een of meer toegangsbeoordelingen maakt voor groepsleden of toegang tot toepassingen.

Voorwaarden

  • Microsoft Entra ID P2- of Microsoft Entra ID-governance-licenties.
  • Voor het maken van een beoordeling over inactieve gebruikers of met aanbevelingen voor een relatie van gebruiker naar groep is een Microsoft Entra ID-governance licentie vereist.
  • Globale beheerder of identiteitsbeheerbeheerder voor het maken van beoordelingen over groepen of toepassingen.
  • Gebruikers moeten ten minste een beheerder van bevoorrechte rollen zijn om beoordelingen te kunnen maken over groepen die aan rollen kunnen worden toegewezen. Zie Microsoft Entra-groepen gebruiken om roltoewijzingen te beheren voor meer informatie.
  • Eigenaar van Microsoft 365- en beveiligingsgroep.

Zie Licentievereisten voor meer informatie.

Notitie

Na minimale toegang tot bevoegdheden raden we u aan de rol Identity Governance-beheerder te gebruiken.

Als u de toegang tot een toepassing bekijkt, raadpleegt u voordat u de beoordeling maakt het artikel over het voorbereiden van een toegangscontrole van de toegang van gebruikers tot een toepassing om ervoor te zorgen dat de toepassing is geïntegreerd met Microsoft Entra ID in uw tenant.

Notitie

Toegangsbeoordelingen leggen een momentopname van toegang vast aan het begin van elk beoordelingsexemplaren. Wijzigingen die tijdens het beoordelingsproces zijn aangebracht, worden doorgevoerd in de volgende beoordelingscyclus. Met het begin van elk nieuw terugkeerpatroon worden relevante gegevens met betrekking tot de gebruikers, resources die worden beoordeeld en hun respectieve revisoren opgehaald.

Notitie

In een groepsbeoordeling worden geneste groepen automatisch afgevlakt, zodat gebruikers uit geneste groepen worden weergegeven als afzonderlijke gebruikers. Als een gebruiker wordt gemarkeerd voor verwijdering vanwege het lidmaatschap van een geneste groep, wordt deze niet automatisch verwijderd uit de geneste groep, maar alleen van het directe groepslidmaatschap.

Een toegangsbeoordeling met één fase maken

Draagwijdte

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

  2. Blader naar toegangsbeoordelingen voor identiteitsbeheer>.

  3. Selecteer Nieuwe toegangsbeoordeling om een nieuwe toegangsbeoordeling te maken.

    Schermopname van het deelvenster Toegangsbeoordelingen in Identity Governance.

  4. Selecteer in het vak Selecteren wat u wilt controleren welke resource u wilt controleren.

    Schermopname van het maken van een toegangsbeoordeling.

  5. Als u Teams + Groepen hebt geselecteerd, hebt u twee opties:

    • Alle Microsoft 365-groepen met gastgebruikers: selecteer deze optie als u terugkerende beoordelingen wilt maken voor al uw gastgebruikers in al uw Microsoft Teams- en Microsoft 365-groepen in uw organisatie. Dynamische groepen en roltoewijzingsgroepen zijn niet opgenomen. U kunt er ook voor kiezen om afzonderlijke groepen uit te sluiten door groep (en) selecteren die u wilt uitsluiten.

    • Selecteer Teams + groepen: selecteer deze optie als u een eindige set teams of groepen wilt opgeven die u wilt bekijken. Aan de rechterkant wordt een lijst met groepen weergegeven waaruit u kunt kiezen.

      Schermopname van het selecteren van Teams + Groepen.

  6. Als u Toepassingen hebt geselecteerd, selecteert u een of meer toepassingen.

    Schermopname van de interface die wordt weergegeven als u toepassingen hebt geselecteerd in plaats van groepen.

Notitie

Het selecteren van meerdere groepen of toepassingen resulteert in het maken van meerdere toegangsbeoordelingen. Als u bijvoorbeeld vijf groepen selecteert die u wilt controleren, is het resultaat vijf afzonderlijke toegangsbeoordelingen.

  1. U kunt nu een bereik voor de beoordeling selecteren. Uw opties zijn:

    • Alleen gastgebruikers: deze optie beperkt de toegangsbeoordeling tot alleen de Microsoft Entra B2B-gastgebruikers in uw directory.
    • Iedereen: Met deze optie wordt de toegangsbeoordeling beperkt tot alle gebruikersobjecten die aan de resource zijn gekoppeld.

    Notitie

    Als u alle Microsoft 365-groepen met gastgebruikers hebt geselecteerd, kunt u alleen gastgebruikers bekijken.

  2. Of als u groepslidmaatschapsbeoordeling uitvoert, kunt u alleen toegangsbeoordelingen maken voor de inactieve gebruikers in de groep. Schakel in de sectie Gebruikersbereik het selectievakje in naast Inactieve gebruikers (op tenantniveau). Als u het selectievakje inschakelt, is het bereik van de beoordeling alleen gericht op inactieve gebruikers, personen die zich niet interactief of niet interactief hebben aangemeld bij de tenant. Geef vervolgens dagen inactief op met een groot aantal dagen inactief tot 730 dagen (twee jaar). Gebruikers in de groep die inactief zijn voor het opgegeven aantal dagen, zijn de enige gebruikers in de beoordeling.

    Notitie

    Onlangs gemaakte gebruikers worden niet beïnvloed bij het configureren van de inactiviteitstijd. De toegangsbeoordeling controleert of een gebruiker is gemaakt in het tijdsbestek dat is geconfigureerd en gebruikers negeren die ten minste die tijd niet bestaan. Als u bijvoorbeeld de inactiviteitstijd instelt op 90 dagen en een gastgebruiker is gemaakt of minder dan 90 dagen geleden is uitgenodigd, valt de gastgebruiker niet binnen het bereik van de Toegangsbeoordeling. Dit zorgt ervoor dat een gebruiker zich ten minste één keer kan aanmelden voordat deze wordt verwijderd.

  3. Selecteer Volgende: Beoordelingen.

Volgende: Beoordelingen

  1. U kunt een beoordeling met één fase of meerdere fasen maken. Ga hier verder voor één fasebeoordeling. Als u een toegangsbeoordeling met meerdere fasen wilt maken, volgt u de stappen in Een toegangsbeoordeling met meerdere fasen maken

  2. Selecteer in de sectie Revisoren opgeven in het vak Revisoren selecteren een of meer personen om beslissingen te nemen in de toegangsbeoordelingen. U kunt kiezen uit:

    • Groepseigenaar(s): deze optie is alleen beschikbaar wanneer u een beoordeling uitvoert voor een team of groep.
    • Geselecteerde gebruiker(en) of groepen
    • Gebruikers beoordelen hun eigen toegang
    • Managers van gebruikers

    Als u managers van gebruikers of groepseigenaar(s) kiest, kunt u ook een terugvalrevisor opgeven. Revisoren van terugval worden gevraagd om een beoordeling uit te voeren wanneer de gebruiker geen manager heeft opgegeven in de directory of als de groep geen eigenaar heeft.

    Notitie

    In een team- of groepstoegangsbeoordeling worden alleen de groepseigenaren (op het moment dat een beoordeling wordt gestart) beschouwd als revisoren. Als tijdens een beoordeling de lijst met groepseigenaren wordt bijgewerkt, worden nieuwe groepseigenaren niet beschouwd als revisoren en worden oude groepseigenaren nog steeds beschouwd als revisoren. In het geval van een terugkerende beoordeling worden wijzigingen in de lijst met groepseigenaren echter overwogen in het volgende exemplaar van die beoordeling.

    Belangrijk

    Voor toegangsbeoordelingen van PIM for Groups (preview) is het verplicht om bij het selecteren van de groepseigenaar als revisor ten minste één terugvalrevisor toe te wijzen. De beoordeling wijst alleen actieve eigenaar(s) toe als revisor(s). In aanmerking komende eigenaren zijn niet inbegrepen. Als er geen actieve eigenaren zijn wanneer de beoordeling begint, wordt de terugvalrevisor(s) toegewezen aan de beoordeling.

    Schermopname van Nieuwe toegangsbeoordeling.

  3. Geef in de sectie Terugkeerpatroon opgeven de volgende selecties op:

    • Duur (in dagen): hoe lang een beoordeling is geopend voor invoer van revisoren.

    • Begindatum: Wanneer de reeks beoordelingen begint.

    • Einddatum: Wanneer de reeks beoordelingen eindigt. U kunt opgeven dat het nooit eindigt. U kunt ook End selecteren op een specifieke datum of Einde na het aantal exemplaren.

      Schermopname van het kiezen hoe vaak de beoordeling moet plaatsvinden.

  4. Selecteer Volgende: Instellingen.

Notitie

Wanneer u een toegangsbeoordeling maakt, kunt u de begindatum opgeven, maar de begintijd kan enkele uren variëren op basis van systeemverwerking. Als u bijvoorbeeld een toegangsbeoordeling maakt om 03:00 UTC op 09/09 die is ingesteld op uitvoering op 09/12, wordt de beoordeling gepland om 03:00 UTC op de begindatum, maar kan worden vertraagd vanwege de systeemverwerking.

U kunt de begindatum opgeven, maar de begintijd kan enkele uren variëren op basis van systeemverwerking.

Volgende: Instellingen

  1. In de sectie Bij voltooiingsinstellingen kunt u opgeven wat er gebeurt nadat de beoordeling is voltooid.

    Schermopname van bij voltooiingsinstellingen.

    • Resultaten automatisch toepassen op resource: schakel dit selectievakje in als u wilt dat de toegang van geweigerde gebruikers automatisch wordt verwijderd nadat de beoordelingsduur is beëindigd. Als de optie is uitgeschakeld, moet u de resultaten handmatig toepassen wanneer de beoordeling is voltooid. Zie Toegangsbeoordelingen beheren voor meer informatie over het toepassen van de resultaten van de beoordeling.

    • Als revisoren niet reageren: gebruik deze optie om op te geven wat er gebeurt voor gebruikers die niet door een revisor binnen de beoordelingsperiode worden beoordeeld. Deze instelling heeft geen invloed op gebruikers die door een revisor zijn beoordeeld. In de vervolgkeuzelijst ziet u de volgende opties:

      • Geen wijziging: de toegang van een gebruiker blijft ongewijzigd.
      • Toegang verwijderen: hiermee verwijdert u de toegang van een gebruiker.
      • Toegang goedkeuren: hiermee wordt de toegang van een gebruiker goedgekeurd.
      • Aanbevelingen nemen: neemt de aanbeveling van het systeem om de continue toegang van de gebruiker te weigeren of goed te keuren.

      Waarschuwing

      Als de instellingen als revisoren niet reageren is ingesteld op Toegang verwijderen of Aanbevelingen nemen en resultaten automatisch toepassen op de resource is ingeschakeld, kan alle toegang tot deze resource mogelijk worden ingetrokken als de revisoren niet reageren.

    • Actie die moet worden toegepast op geweigerde gastgebruikers: deze optie is alleen beschikbaar als de toegangsbeoordeling alleen gastgebruikers bevat om op te geven wat er gebeurt met gastgebruikers als ze worden geweigerd door een revisor of door de instelling Als revisoren niet reageren .

      • Het lidmaatschap van de gebruiker uit de resource verwijderen: met deze optie wordt de toegang van een gastgebruiker tot de groep of toepassing die wordt gecontroleerd, verwijderd. Ze kunnen zich nog steeds aanmelden bij de tenant en verliezen geen andere toegang.
      • Blokkeer dat gebruikers zich 30 dagen aanmelden en verwijder vervolgens de gebruiker uit de tenant: Met deze optie voorkomt u dat een gastgebruiker zich aanmeldt bij de tenant, ongeacht of deze toegang heeft tot andere resources. Als deze actie fout is uitgevoerd, kunnen beheerders de toegang van de gastgebruiker binnen 30 dagen nadat de gastgebruiker is uitgeschakeld, opnieuw activeren. Als er na 30 dagen geen actie wordt ondernomen voor de uitgeschakelde gastgebruiker, worden ze verwijderd uit de tenant.

    Zie Use Microsoft Entra ID-governance om externe gebruikers die geen toegang meer hebben tot resources in uw organisatie te controleren en te verwijderen voor meer informatie over aanbevolen procedures voor het verwijderen van gastgebruikers die geen toegang meer hebben tot resources.

    Notitie

    Actie die moet worden toegepast op geweigerde gastgebruikers , kan niet worden geconfigureerd voor beoordelingen die zijn gericht op meer dan gastgebruikers. Het is ook niet configureerbaar voor beoordelingen van alle Microsoft 365-groepen met gastgebruikers. Wanneer deze optie niet kan worden geconfigureerd, wordt de standaardoptie voor het verwijderen van het lidmaatschap van een gebruiker uit de resource gebruikt voor geweigerde gebruikers.

  2. Gebruik de optie Aan einde van de beoordeling een melding verzenden naar de optie om meldingen te verzenden naar andere gebruikers of groepen met voltooiingsupdates. Met deze functie kunnen andere belanghebbenden dan de maker van de beoordeling worden bijgewerkt over de voortgang van de beoordeling. Als u deze functie wilt gebruiken, kiest u Gebruiker(en) of groep(en) selecteren en voegt u een andere gebruiker of groep toe waarvoor u de status van voltooiing wilt ontvangen.

  3. Kies in de sectie Beslissingshelpers voor beoordeling inschakelen of u wilt dat uw revisor aanbevelingen ontvangt tijdens het beoordelingsproces:

    1. Als u Geen aanmelding binnen 30 dagen selecteert, worden gebruikers die zich hebben aangemeld tijdens de vorige periode van 30 dagen aanbevolen voor goedkeuring. Gebruikers die zich de afgelopen 30 dagen niet hebben aangemeld, worden aanbevolen voor weigering. Dit interval van 30 dagen is ongeacht of de aanmeldingen interactief zijn of niet. De laatste aanmeldingsdatum voor de opgegeven gebruiker wordt ook samen met de aanbeveling weergegeven.
    2. Als u Een lidmaatschap van gebruiker naar groep selecteert, krijgen revisoren de aanbeveling om toegang voor de gebruikers goed te keuren of te weigeren op basis van de gemiddelde afstand van de gebruiker in de rapportagestructuur van de organisatie. Gebruikers die zich ver van alle andere gebruikers in de groep bevinden, worden beschouwd als een 'lage relatie' en krijgen een aanbeveling voor weigeren in de groepstoegangsbeoordelingen.

    Notitie

    Als u een toegangsbeoordeling maakt op basis van toepassingen, zijn uw aanbevelingen gebaseerd op de intervalperiode van 30 dagen, afhankelijk van wanneer de gebruiker zich voor het laatst bij de toepassing heeft aangemeld in plaats van de tenant.

    Schermopname van de opties voor beslissingshelpers voor revisoren inschakelen.

  4. In de sectie Geavanceerde instellingen kunt u het volgende kiezen:

    • Reden vereist: schakel dit selectievakje in om te vereisen dat de revisor een reden voor goedkeuring of weigering opgeeft.

    • E-mailmeldingen: schakel dit selectievakje in als u wilt dat Microsoft Entra ID e-mailmeldingen verzendt naar revisoren wanneer een toegangsbeoordeling wordt gestart en aan beheerders wanneer een beoordeling is voltooid.

    • Herinneringen: schakel dit selectievakje in als u wilt dat Microsoft Entra ID herinneringen verzendt voor toegangsbeoordelingen die worden uitgevoerd voor alle revisoren. Revisoren ontvangen de herinneringen halverwege de beoordeling, ongeacht of ze hun beoordeling al dan niet hebben voltooid.

    • Aanvullende inhoud voor revisor-e-mail: de inhoud van het e-mailbericht dat naar revisoren wordt verzonden, wordt automatisch gegenereerd op basis van de controlegegevens, zoals de naam van de beoordeling, de resourcenaam en de einddatum. Als u meer informatie wilt doorgeven, kunt u details opgeven, zoals instructies of contactgegevens in het vak. De gegevens die u invoert, worden opgenomen in de uitnodiging en herinneringsmails worden verzonden naar toegewezen revisoren. In de sectie die in de volgende afbeelding is gemarkeerd, ziet u waar deze informatie wordt weergegeven.

      Schermopname van aanvullende inhoud voor revisoren.

  5. Selecteer Volgende: Beoordelen en maken.

    Schermopname van het tabblad Controleren en maken.

Volgende: Beoordelen en maken

  1. Geef de toegangsbeoordeling een naam. Geef desgewenst een beschrijving voor de beoordeling. De naam en beschrijving worden weergegeven aan de revisoren.

  2. Controleer de informatie en selecteer Maken.

Een toegangsbeoordeling met meerdere fasen maken

Met een beoordeling met meerdere fasen kan de beheerder twee of drie sets revisoren definiëren om een beoordeling na elkaar te voltooien. In een beoordeling met één fase nemen alle revisoren binnen dezelfde periode een beslissing en de laatste revisor om een beslissing te nemen, wordt de beslissing toegepast. In een beoordeling met meerdere fasen nemen twee of drie onafhankelijke sets revisoren elk een beslissing binnen hun eigen fase. De fasen zijn opeenvolgend en de volgende fase vindt pas plaats nadat een beslissing in de vorige fase is vastgelegd. Beoordelingen met meerdere fasen kunnen worden gebruikt om de belasting voor revisoren in een later stadium te verminderen, escalatie van revisoren mogelijk te maken of onafhankelijke groepen revisoren te hebben, zijn het eens over beslissingen.

Notitie

Gegevens van gebruikers die zijn opgenomen in toegangsbeoordelingen met meerdere fasen, maken deel uit van de auditrecord aan het begin van de beoordeling. Beheerders kunnen de gegevens op elk gewenst moment verwijderen door de reeks toegangsbeoordeling met meerdere fasen te verwijderen. Zie de sectie AVG van het Microsoft Trust Center en de AVG-sectie van de Service Trust Portal voor algemene informatie over de AVG en de bescherming van gebruikersgegevens.

  1. Nadat u de resource en het bereik van uw beoordeling hebt geselecteerd, gaat u verder met het tabblad Beoordelingen .

  2. Schakel het selectievakje in naast beoordeling met meerdere fasen.

  3. Selecteer onder Beoordeling van de eerste fase de revisoren in de vervolgkeuzelijst naast Revisoren selecteren.

  4. Als u groepseigenaar(s) of managers van gebruikers selecteert, kunt u een terugvalrevisor toevoegen. Als u een terugval wilt toevoegen, selecteert u revisoren voor terugval selecteren en voegt u de gebruikers toe die revisoren van terugval willen zijn.

    Schermopname met controle-instellingen voor meerdere fasen ingeschakeld en controle-instellingen voor meerdere fasen.

  5. Voeg de duur voor de eerste fase toe. Als u de duur wilt toevoegen, typt u een getal in het veld naast De duur van de fase (in dagen). Dit is het aantal dagen dat u wilt dat de eerste fase openstaat voor de revisoren van de eerste fase om beslissingen te nemen.

  6. Selecteer onder Beoordeling tweede fase de revisoren in de vervolgkeuzelijst naast Revisoren selecteren. Deze revisoren worden gevraagd om te beoordelen nadat de duur van de eerste fasebeoordeling is beëindigd.

  7. Voeg indien nodig terugvalrevisoren toe.

  8. Voeg de duur voor de tweede fase toe.

  9. Standaard ziet u twee fasen wanneer u een beoordeling met meerdere fasen maakt. U kunt echter maximaal drie fasen toevoegen. Als u een derde fase wilt toevoegen, selecteert u + Een fase toevoegen en vult u de vereiste velden in.

  10. U kunt besluiten om revisoren van het tweede en derde stadium toe te staan beslissingen te bekijken die in de vorige fase(s) zijn genomen. Als u wilt toestaan dat ze de eerder genomen beslissingen kunnen zien, schakelt u het selectievakje naast Vorige fase(s) beslissingen weergeven in voor later stadium revisoren onder Resultaten weergeven. Laat het selectievakje uitgeschakeld om deze instelling uit te schakelen als u wilt dat uw revisoren onafhankelijk van elkaar kunnen controleren.

    Schermopname van de duur en de instelling voor vorige fasen die zijn ingeschakeld voor beoordeling met meerdere fasen.

  11. De duur van elk terugkeerpatroon wordt ingesteld op de som van de duurdag(en) die u in elke fase hebt opgegeven.

  12. Geef het terugkeerpatroon, de begindatum en de einddatum voor de beoordeling op. Het terugkeertype moet ten minste zo lang zijn als de totale duur van het terugkeerpatroon (de maximale duur voor een terugkeerpatroon per week is 7 dagen).

  13. Als u wilt opgeven welke reviewees van fase naar fase doorgaan, selecteert u een of meer van de volgende opties naast Opgeven van revisies om naar de volgende fase te gaan: Schermopname van het opgeven van de instelling en opties voor revisie in meerdere fasen.

    1. Goedgekeurde reviewees - Alleen reviewees die zijn goedgekeurd, worden verplaatst naar de volgende fase(s).
    2. Geweigerde reviewees - Alleen reviewees die zijn geweigerd, gaan verder naar de volgende fase(s).
    3. Niet-beoordeeld reviewees - Alleen reviewees die niet zijn beoordeeld, gaan verder met de volgende fase(en).
    4. Reviewees gemarkeerd als 'Niet weten' : alleen reviewees gemarkeerd als 'Niet weten' gaan door naar de volgende fase(s).
    5. Alle: iedereen gaat verder met de volgende fase als u wilt dat alle fasen van revisoren een beslissing nemen.
  14. Ga door naar het tabblad Instellingen en voltooi de rest van de instellingen en maak de controle. Volg de instructies in Volgende: Instellingen.

B2B direct verbinden met gebruikers en teams die toegang hebben tot Gedeelde Teams-kanalen in toegangsbeoordelingen opnemen

U kunt toegangsbeoordelingen maken voor B2B-gebruikers die rechtstreeks verbinding maken via gedeelde kanalen in Microsoft Teams. Wanneer u extern samenwerkt, kunt u microsoft Entra-toegangsbeoordelingen gebruiken om ervoor te zorgen dat externe toegang tot gedeelde kanalen actueel blijft. Externe gebruikers in de gedeelde kanalen worden B2B-gebruikers voor directe verbinding genoemd. Lees het artikel B2B direct connect voor meer informatie over gedeelde Teams-kanalen en B2B-gebruikers voor directe verbinding .

Wanneer u een toegangsbeoordeling maakt in een team met gedeelde kanalen, kunnen uw revisoren de noodzaak van toegang tot deze externe gebruikers en Teams in de gedeelde kanalen beoordelen. U kunt de toegang van B2B connect-gebruikers en andere ondersteunde B2B-samenwerkingsgebruikers en niet-B2B-interne gebruikers in dezelfde beoordeling bekijken.

Notitie

Op dit moment zijn B2B-gebruikers en -teams alleen opgenomen in beoordelingen met één fase. Als beoordelingen met meerdere fasen zijn ingeschakeld, worden de B2B-gebruikers en teams niet opgenomen in de toegangsbeoordeling.

B2B-gebruikers en -teams zijn opgenomen in toegangsbeoordelingen van de Microsoft 365-groep met Teams die deel uitmaken van de gedeelde kanalen. Als u de beoordeling wilt maken, moet u ten minste de rol gebruikersbeheerder of identiteitsbeheerbeheerder hebben.

Gebruik de volgende instructies om een toegangsbeoordeling te maken voor een team met gedeelde kanalen:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

  2. Blader naar toegangsbeoordelingen voor identiteitsbeheer>.

  3. Selecteer + Nieuwe toegangsbeoordeling.

  4. Selecteer Teams + Groepen en selecteer vervolgens Teams en groepen selecteren om het bereik Controleren in te stellen. B2B maakt direct verbinding tussen gebruikers en teams en zijn niet opgenomen in beoordelingen van alle Microsoft 365-groepen met gastgebruikers.

  5. Selecteer een team dat gedeelde kanalen heeft gedeeld met 1 of meer B2B-gebruikers of Teams direct verbinden.

  6. Stel het bereik in.

    Schermopname van het instellen van het beoordelingsbereik voor de beoordeling van gedeelde kanalen.

    • Kies Alle gebruikers die u wilt opnemen:
      • Alle interne gebruikers
      • B2B-samenwerkingsgebruikers die lid zijn van het team
      • B2B-gebruikers direct verbinden
      • Teams die toegang hebben tot gedeelde kanalen
    • Of kies gastgebruikers om alleen B2B direct verbinding te maken met gebruikers en Gebruikers van Teams en B2B-samenwerking.
  7. Ga door naar het tabblad Beoordelingen. Selecteer een revisor om de beoordeling te voltooien en geef vervolgens de duur en het terugkeerpatroon controleren op.

    Notitie

    • Als u revisoren selecteren op Gebruikers hun eigen toegang of Managers van gebruikers controleert, kunnen B2B-gebruikers rechtstreeks verbinding maken en Teams hun eigen toegang in uw tenant niet controleren. De eigenaar van het team dat wordt beoordeeld, ontvangt een e-mailbericht met de vraag de eigenaar om de B2B-gebruiker en Teams direct connect te bekijken.
    • Als u Managers van gebruikers selecteert, beoordeelt een geselecteerde terugvalrevisor een gebruiker zonder manager in de thuistenant. Dit omvat B2B-directe verbinding tussen gebruikers en Teams zonder manager.
  8. Ga naar het tabblad Instellingen en configureer aanvullende instellingen. Ga vervolgens naar het tabblad Controleren en Maken om uw toegangsbeoordeling te starten. Zie onze toegangsbeoordeling met één fase maken voor meer informatie over het maken van een controle- en configuratie-instellingen.

Groepseigenaren toestaan toegangsbeoordelingen van hun groepen te maken en te beheren

Fooi

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

  2. Blader naar Instellingen voor toegangsbeoordelingen>voor identiteitsbeheer>.

  3. Stel op de pagina Gemachtigden in die toegangsbeoordelingen kunnen maken en beheren, groepseigenaren toegangsbeoordelingen maken en beheren voor groepen die ze eigenaar zijn van Ja.

    Schermopname van het inschakelen van groepseigenaren om te controleren.

    Notitie

    De instelling is standaard ingesteld op Nee. Als u wilt toestaan dat groepseigenaren toegangsbeoordelingen maken en beheren, wijzigt u de instelling in Ja.

Programmatisch een toegangsbeoordeling maken

U kunt ook een toegangsbeoordeling maken met Behulp van Microsoft Graph of PowerShell.

Als u een toegangsbeoordeling wilt maken met Graph, roept u de Graph API aan om een definitie van het toegangsbeoordelingsschema te maken. De aanroeper moet een gebruiker in een juiste rol zijn met een toepassing met de gedelegeerde AccessReview.ReadWrite.All machtiging of een toepassing met de AccessReview.ReadWrite.All toepassingsmachtiging. Zie het overzicht van api's voor toegangsbeoordelingen en de zelfstudies voor het controleren van leden van een beveiligingsgroep of het bekijken van gasten in Microsoft 365-groepen voor meer informatie.

U kunt ook een toegangsbeoordeling maken in PowerShell met de New-MgIdentityGovernanceAccessReviewDefinition cmdlet vanuit de Microsoft Graph PowerShell-cmdlets voor de module Identity Governance . Zie de voorbeelden voor meer informatie.

Wanneer een toegangsbeoordeling wordt gestart

Nadat u de instellingen voor een toegangsbeoordeling hebt opgegeven en deze hebt gemaakt, wordt de toegangsbeoordeling weergegeven in uw lijst met een indicator van de status.

Schermopname van een lijst met toegangsbeoordelingen en hun status.

Standaard verzendt Microsoft Entra-id een e-mailbericht naar revisoren kort na een eenmalige beoordeling of een terugkeerpatroon van een terugkerende beoordeling. Als u ervoor kiest om microsoft Entra ID de e-mail niet te laten verzenden, moet u de revisoren informeren dat een toegangsbeoordeling wacht totdat ze zijn voltooid. U kunt ze de instructies weergeven voor het controleren van toegang tot groepen of toepassingen. Als uw beoordeling is bedoeld voor gasten om hun eigen toegang te bekijken, laat u hen de instructies zien voor het controleren van de toegang voor uzelf tot groepen of toepassingen.

Als u gasten hebt toegewezen als revisoren en ze hun uitnodiging voor de tenant niet hebben geaccepteerd, ontvangen ze geen e-mail van toegangsbeoordelingen. Ze moeten eerst de uitnodiging accepteren voordat ze kunnen beginnen met beoordelen.

De toegangsbeoordeling bijwerken

Nadat een of meer toegangsbeoordelingen zijn gestart, kunt u de instellingen van uw bestaande toegangsbeoordelingen wijzigen of bijwerken. Hier volgen enkele veelvoorkomende scenario's om rekening mee te houden:

  • Update-instellingen of revisoren: Als een toegangsbeoordeling terugkerend is, zijn er afzonderlijke instellingen onder Huidig en onder Reeks. Als u de instellingen of revisoren onder Current bijwerkt, worden alleen wijzigingen toegepast op de huidige toegangsbeoordeling. Als u de instellingen bijwerkt onder Reeks , worden de instellingen voor alle toekomstige terugkeerpatronen bijgewerkt.

    Schermopname van het bijwerken van de instellingen voor toegangsbeoordeling.

  • Revisoren toevoegen en verwijderen: wanneer u toegangsbeoordelingen bijwerkt, kunt u ervoor kiezen om naast de primaire revisor een terugvalrevisor toe te voegen. Primaire revisoren kunnen worden verwijderd wanneer u een toegangsbeoordeling bijwerkt. Terugvalrevisoren zijn niet standaard verwisselbaar.

    Notitie

    Terugvalrevisoren kunnen alleen worden toegevoegd wanneer het revisortype manager of groepseigenaar is. Primaire revisoren kunnen worden toegevoegd wanneer het revisortype de geselecteerde gebruiker is.

  • Herinner de revisoren eraan: wanneer u toegangsbeoordelingen bijwerkt, kunt u ervoor kiezen om de optie Herinneringen in te schakelen onder Geavanceerde instellingen. Gebruikers ontvangen vervolgens een e-mailmelding op het middelpunt van de beoordelingsperiode, ongeacht of ze de beoordeling al dan niet hebben voltooid.

    Schermopname van het herinneren van revisoren.

Notitie

Zodra de toegangsbeoordeling is gestart, kunt u de API-aanroep contactedReviewers gebruiken om de lijst weer te geven van alle revisoren die hiervan op de hoogte zijn gesteld, of wie meldingen worden uitgeschakeld via e-mail voor een toegangsbeoordeling. Tijdstempels voor wanneer deze gebruikers op de hoogte zijn gesteld, worden ook verstrekt.

Volgende stappen