Een toegangsbeoordeling maken voor groepen en toepassingen in Microsoft Entra ID

  • Artikel

Toegang tot groepen en toepassingen voor werknemers en gasten verandert in de loop der tijd. Beheerders kunnen Microsoft Entra ID gebruiken om toegangsbeoordelingen te maken voor groepsleden of toepassingstoegang om het risico te verminderen dat gepaard gaat met verouderde toegangstoewijzingen.

Eigenaren van Microsoft 365- en beveiligingsgroepen kunnen ook Microsoft Entra ID gebruiken om toegangsbeoordelingen te maken voor groepsleden, zolang een gebruiker in de rol Global Beheer istrator of Identity Governance Beheer istrator de instelling inschakelt via het deelvenster Toegangsbeoordelingen Instellingen. Zie Toegangsbeoordelingen beheren voor meer informatie over deze scenario's.

Bekijk een korte video over het inschakelen van toegangsbeoordelingen.

In dit artikel wordt beschreven hoe u een of meer toegangsbeoordelingen voor groepsleden of toegang tot toepassingen maakt.

Vereisten

  • Microsoft Entra ID P2- of Microsoft Entra ID-governance-licenties.
  • Voor het maken van een beoordeling over inactieve gebruikers of met aanbevelingen voor een relatie van gebruiker naar groep is een Microsoft Entra ID-governance licentie vereist.
  • Globale beheerder of Identity Governance-beheerder voor het maken van beoordelingen over groepen of toepassingen.
  • Gebruikers moeten de rol Globale beheerder hebben of de rol Beheerder met bevoorrechte rol om beoordelingen te maken over rollen toewijsbare groepen. Zie Microsoft Entra-groepen gebruiken om roltoewijzingen te beheren voor meer informatie.
  • Eigenaar van Microsoft 365- en beveiligingsgroep.

Zie Licentievereisten voor meer informatie.

Als u de toegang tot een toepassing bekijkt, raadpleegt u voordat u de beoordeling maakt het artikel over het voorbereiden van een toegangscontrole van de toegang van gebruikers tot een toepassing om ervoor te zorgen dat de toepassing is geïntegreerd met Microsoft Entra ID in uw tenant.

Notitie

Toegangsbeoordelingen leggen een momentopname van toegang vast aan het begin van elk beoordelingsexemplaren. Wijzigingen die tijdens het beoordelingsproces zijn aangebracht, worden doorgevoerd in de volgende beoordelingscyclus. Met het begin van elk nieuw terugkeerpatroon worden relevante gegevens met betrekking tot de gebruikers, resources die worden beoordeeld en hun respectieve revisoren opgehaald.

Een toegangsbeoordeling met één fase maken

Bereik

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.

  2. Blader naar toegangsbeoordelingen voor identiteitsbeheer>.

  3. Selecteer Nieuwe toegangsbeoordeling om een nieuwe toegangsbeoordeling te maken.

    Schermopname van het deelvenster Toegangsbeoordelingen in Identiteitsbeheer.

  4. Selecteer in het vak Selecteren wat u wilt beoordelen welke resource u wilt beoordelen.

    Schermopname waarin u het maken van een toegangsbeoordeling ziet.

  5. Als u Teams en groepen hebt geselecteerd, hebt u twee opties:

    • Alle Microsoft 365-groepen met gastgebruikers: selecteer deze optie als u terugkerende beoordelingen wilt maken voor al uw gastgebruikers in al uw Microsoft Teams- en Microsoft 365-groepen in uw organisatie. Dynamische groepen en groepen met roltoewijzing zijn niet inbegrepen. U kunt er ook voor kiezen om afzonderlijke groepen uit te sluiten door Groep(en) selecteren voor uitsluiting te selecteren.

    • Teams en groepen selecteren: selecteer deze optie als u een eindige set teams of groepen wilt opgeven voor de beoordeling. Aan de rechterkant wordt een lijst met groepen weergegeven waaruit u kunt kiezen.

      Schermopname met de selectie van Teams en groepen.

  6. Als u Toepassingen hebt geselecteerd, selecteert u een of meer toepassingen.

    Schermopname met de interface die wordt weergegeven wanneer u toepassingen in plaats van groepen hebt geselecteerd.

Notitie

Het selecteren van meerdere groepen of toepassingen resulteert in het maken van meerdere toegangsbeoordelingen. Als u bijvoorbeeld vijf groepen selecteert die u wilt beoordelen, is het resultaat vijf afzonderlijke toegangsbeoordelingen.

  1. U kunt nu een bereik voor de beoordeling selecteren. U hebt de volgende opties:

    • Alleen gastgebruikers: deze optie beperkt de toegangsbeoordeling tot alleen de Microsoft Entra B2B-gastgebruikers in uw directory.
    • Iedereen: bij deze optie geldt de toegangsbeoordeling voor alle gebruikersobjecten die aan de resource zijn gekoppeld.

    Notitie

    Als u Alle Microsoft 365-groepen met gastgebruikers hebt geselecteerd, kunt u alleen gastgebruikers beoordelen.

  2. Of als u groepslidmaatschapsbeoordeling uitvoert, kunt u alleen toegangsbeoordelingen maken voor de inactieve gebruikers in de groep. Schakel in de sectie Gebruikersbereik het selectievakje in naast Inactieve gebruikers (op tenantniveau). Als u het selectievakje inschakelt, is het bereik van de beoordeling alleen gericht op inactieve gebruikers, personen die zich niet interactief of niet interactief hebben aangemeld bij de tenant. Geef vervolgens dagen inactief op met een groot aantal dagen inactief tot 730 dagen (twee jaar). Gebruikers in de groep die inactief zijn voor het opgegeven aantal dagen, zijn de enige gebruikers in de beoordeling.

    Notitie

    Onlangs gemaakte gebruikers worden niet beïnvloed bij het configureren van de inactiviteitstijd. De toegangsbeoordeling controleert of een gebruiker is gemaakt in het tijdsbestek dat is geconfigureerd en gebruikers negeren die ten minste die tijd niet bestaan. Als u bijvoorbeeld de inactiviteitstijd instelt op 90 dagen en een gastgebruiker is gemaakt of minder dan 90 dagen geleden is uitgenodigd, valt de gastgebruiker niet binnen het bereik van de Toegangsbeoordeling. Dit zorgt ervoor dat een gebruiker zich ten minste één keer kan aanmelden voordat deze wordt verwijderd.

  3. Selecteer Volgende: Beoordelingen.

Volgende: Beoordelingen

  1. U kunt een beoordeling met één fase of meerdere fasen maken. Ga hier verder voor één fasebeoordeling. Als u een toegangsbeoordeling met meerdere fasen wilt maken, volgt u de stappen in Een toegangsbeoordeling met meerdere fasen maken

  2. Selecteer in de sectie Revisoren opgeven in het vak Revisoren selecteren een of meer personen om beslissingen te nemen in de toegangsbeoordelingen. U kunt kiezen uit:

    • Een of meer groepseigenaren: deze optie is alleen beschikbaar wanneer u een beoordeling uitvoert voor een team of groep.
    • Geselecteerde gebruiker(s) of groep(en)
    • Gebruikers beoordelen hun eigen toegang
    • Managers van gebruikers

    Als u Managers van gebruikers of Een of meer groepseigenaren kiest, kunt u ook een terugvalrevisor opgeven. Een terugvalrevisor wordt gevraagd om een beoordeling uit te voeren wanneer de gebruiker geen manager heeft opgegeven in de directory of als de groep geen eigenaar heeft.

    Notitie

    In een team- of groepstoegangsbeoordeling worden alleen de groepseigenaren (op het moment dat een beoordeling wordt gestart) beschouwd als revisoren. Als tijdens een beoordeling de lijst met groepseigenaren wordt bijgewerkt, worden nieuwe groepseigenaren niet beschouwd als revisoren en worden oude groepseigenaren nog steeds beschouwd als revisoren. In het geval van een terugkerende beoordeling worden wijzigingen in de lijst met groepseigenaren echter overwogen in het volgende exemplaar van die beoordeling.

    Belangrijk

    Voor PIM voor groepen (preview) moet u groepseigenaar(s) selecteren. Het is verplicht om ten minste één terugvalrevisor toe te wijzen aan de beoordeling. De beoordeling wijst alleen actieve eigenaar(s) toe als revisor(s). In aanmerking komende eigenaren zijn niet inbegrepen. Als er geen actieve eigenaren zijn wanneer de beoordeling begint, wordt de terugvalrevisor(s) toegewezen aan de beoordeling.

    Schermopname van Nieuwe toegangsbeoordeling.

  3. Geef in de sectie Terugkeerpatroon van beoordeling opgeven de volgende selecties op:

    • Duur (in dagen): hoe lang een beoordeling is geopend voor invoer van revisoren.

    • Begindatum: wanneer de reeks beoordelingen begint.

    • Einddatum: wanneer de reeks beoordelingen eindigt. U kunt opgeven dat deze nooit eindigt. U kunt ook Eindigen op specifieke datum of Beëindigen na het aantal instanties selecteren.

      Schermopname waarin te zien is hoe vaak de beoordeling plaatsvindt.

  4. Selecteer Volgende: Instellingen.

Volgende: Instellingen

  1. In de sectie Instellingen voor bij voltooiing kunt u opgeven wat er gebeurt nadat de beoordeling is voltooid.

    Schermopname met Instellingen voor bij voltooiing.

    • Resultaten automatisch toepassen op resource: schakel dit selectievakje in als u wilt dat de toegang van geweigerde gebruikers automatisch wordt verwijderd nadat de beoordelingsduur is beëindigd. Als de optie is uitgeschakeld, moet u de resultaten handmatig toepassen wanneer de beoordeling is voltooid. Zie Toegangsbeoordelingen beheren voor meer informatie over het toepassen van de resultaten van de beoordeling.

    • Als revisoren niet reageren: gebruik deze optie om op te geven wat er gebeurt voor gebruikers die niet door een revisor binnen de beoordelingsperiode worden beoordeeld. Deze instelling heeft geen invloed op gebruikers die zijn beoordeeld door een revisor. In de vervolgkeuzelijst ziet u de volgende opties:

      • Geen wijziging: laat de toegang van een gebruiker ongewijzigd.
      • Toegang verwijderen: hiermee wordt de toegang van een gebruiker verwijderd.
      • Toegang goedkeuren: hiermee wordt de toegang van een gebruiker goedgekeurd.
      • Aanbevelingen ophalen: hiermee wordt de aanbeveling van het systeem gebruikt om verdere toegang van de gebruiker te weigeren of goed te keuren.

      Waarschuwing

      Als de instellingen als revisoren niet reageren is ingesteld op Toegang verwijderen of Aanbevelingen nemen en resultaten automatisch toepassen op de resource is ingeschakeld, kan alle toegang tot deze resource mogelijk worden ingetrokken als de revisoren niet reageren.

    • De actie die moet worden toegepast op geweigerde gastgebruikers: deze optie is alleen beschikbaar als de toegangsbeoordeling alleen bestemd is voor gastgebruikers om op te geven wat er gebeurt met gastgebruikers als ze worden geweigerd door een revisor of door de instelling Als revisoren niet reageren.

      • Het lidmaatschap van de gebruiker verwijderen uit de resource: met deze optie wordt de toegang van een geweigerde gastgebruiker tot de groep of toepassing die wordt beoordeeld, verwijderd. Ze kunnen zich nog steeds aanmelden bij de tenant en verliezen geen andere toegang.
      • Gebruiker 30 dagen blokkeren voor aanmelden en gebruiker vervolgens uit de tenant verwijderen: met deze optie wordt geblokkeerd dat een geweigerde gastgebruiker zich kan aanmelden bij de tenant, ongeacht of deze toegang heeft tot andere resources. Als deze actie ten onrechte is uitgevoerd, kunnen beheerders de toegang van de gastgebruiker binnen 30 dagen nadat de gastgebruiker is uitgeschakeld, opnieuw inschakelen. Als er na 30 dagen geen actie is ondernomen voor de uitgeschakelde gastgebruiker, wordt deze verwijderd uit de tenant.

    Zie Use Microsoft Entra ID-governance om externe gebruikers die geen toegang meer hebben tot resources in uw organisatie te controleren en te verwijderen voor meer informatie over aanbevolen procedures voor het verwijderen van gastgebruikers die geen toegang meer hebben tot resources.

    Notitie

    De actie die moet worden toegepast op geweigerde gastgebruikers kan niet worden geconfigureerd voor beoordelingen die zijn gericht op meer dan gastgebruikers. De optie is ook niet configureerbaar voor beoordelingen van alle Microsoft 365-groepen met gastgebruikers. Wanneer configuratie niet mogelijk is, wordt de standaardoptie voor het verwijderen van het lidmaatschap van een gebruiker uit de resource gebruikt voor geweigerde gebruikers.

  2. Gebruik de optie Verzend aan het einde van de beoordeling een melding naar om meldingen met voltooiingsupdates te verzenden naar andere gebruikers of groepen. Met deze functie kunnen andere belanghebbenden dan de maker van de beoordeling worden geïnformeerd over de voortgang van de beoordeling. Als u deze functie wilt gebruiken, kiest u Gebruiker(s) of groep(en) selecteren en voegt u een andere gebruiker of groep toe waarvoor u de status van voltooiing wilt ontvangen.

  3. Kies in de sectie Beslissershulp voor revisoren inschakelen of u wilt dat uw revisor aanbevelingen ontvangt tijdens het beoordelingsproces:

    1. Als u Geen aanmelding binnen 30 dagen selecteert, worden gebruikers die zich tijdens de vorige periode van 30 dagen hebben aangemeld, aanbevolen voor goedkeuring. Gebruikers die zich de afgelopen 30 dagen niet hebben aangemeld, worden aanbevolen voor weigering. Dit interval van 30 dagen is ongeacht of de aanmeldingen interactief waren of niet. Samen met de aanbeveling wordt de laatste aanmeldingsdatum voor de opgegeven gebruiker weergegeven.
    2. Als u (preview)-lidmaatschap van gebruikers naar groep selecteert, krijgen revisoren de aanbeveling om toegang voor de gebruikers goed te keuren of te weigeren op basis van de gemiddelde afstand van de gebruiker in de rapportagestructuur van de organisatie. Gebruikers die zich ver van alle andere gebruikers in de groep bevinden, worden beschouwd als een 'lage relatie' en krijgen een aanbeveling voor weigeren in de groepstoegangsbeoordelingen.

    Notitie

    Als u een toegangsbeoordeling maakt op basis van toepassingen, zijn uw aanbevelingen gebaseerd op de intervalperiode van 30 dagen, afhankelijk van wanneer de gebruiker zich voor het laatst heeft aangemeld bij de toepassing in plaats van de tenant.

    Schermopname met de opties van Beslissershulp voor revisoren inschakelen.

  4. In de sectie Geavanceerde instellingen kunt u het volgende kiezen:

    • Reden vereist: schakel dit selectievakje in om te vereisen dat de revisor een reden voor goedkeuring of weigering opgeeft.

    • E-mailmeldingen: schakel dit selectievakje in als u wilt dat Microsoft Entra ID e-mailmeldingen verzendt naar revisoren wanneer een toegangsbeoordeling wordt gestart en aan beheerders wanneer een beoordeling is voltooid.

    • Herinneringen: schakel dit selectievakje in als u wilt dat Microsoft Entra ID herinneringen verzendt voor toegangsbeoordelingen die worden uitgevoerd voor alle revisoren. Revisoren ontvangen de herinneringen halverwege de beoordeling, ongeacht of ze hun beoordeling al dan niet hebben voltooid.

    • Aanvullende inhoud van e-mailbericht voor revisor: de inhoud van de e-mail die naar revisoren wordt verzonden, wordt automatisch gegenereerd op basis van de beoordelingsgegevens, zoals de beoordelingsnaam, de resourcenaam en de einddatum. Als u meer informatie wilt doorgeven, kunt u in het vak details opgeven, zoals instructies of contactgegevens. De informatie die u invoert, wordt opgenomen in de uitnodiging en er worden herinneringsmails naar toegewezen revisoren verzonden. In de sectie die is gemarkeerd in de volgende afbeelding, ziet u waar deze informatie wordt weergegeven.

      Schermopname van aanvullende inhoud voor revisoren.

  5. Selecteer Volgende: controleren en maken.

    Schermopname van het tabblad Beoordelen en maken.

Volgende: Beoordelen en maken

  1. Geef de toegangsbeoordeling een naam. Geef desgewenst een beschrijving voor de beoordeling op. De naam en beschrijving worden weergegeven voor de revisoren.

  2. Controleer de gegevens en selecteer Maken.

Een toegangsbeoordeling met meerdere fasen maken

Met een beoordeling met meerdere fasen kan de beheerder twee of drie sets revisoren definiëren om de beoordeling na elkaar te voltooien. In een beoordeling met één fase nemen alle revisoren binnen dezelfde periode een beslissing en de laatste revisor om een beslissing te nemen, wordt de beslissing toegepast. In een beoordeling met meerdere fasen nemen twee of drie onafhankelijke sets revisoren elk een beslissing binnen hun eigen fase. De fasen zijn opeenvolgend en de volgende fase vindt pas plaats nadat een beslissing in de vorige fase is vastgelegd. Beoordelingen met meerdere fasen kunnen worden gebruikt om de belasting voor revisoren van een latere fase te verminderen, om te escaleren naar revisoren of om onafhankelijke groepen revisoren samen te laten beslissen.

Notitie

Gegevens van gebruikers die zijn opgenomen in toegangsbeoordelingen met meerdere fasen, maken deel uit van de auditgegevens aan het begin van de beoordeling. Beheerders kunnen de gegevens op elk gewenst moment verwijderen door de toegangsbeoordelingsreeks met meerdere fasen te verwijderen. Zie de AVG-sectie van het Vertrouwenscentrum van Microsoft en de AVG-sectie van de Service Trust Portal voor algemene informatie over de AVG en het beschermen van gebruikersgegevens.

  1. Nadat u de resource en het bereik van uw beoordeling hebt geselecteerd, gaat u verder met het tabblad Beoordelingen.

  2. Schakel het selectievakje in naast beoordeling met meerdere fasen.

  3. Selecteer onder Beoordeling in de eerste fase de revisoren in de vervolgkeuzelijst naast Revisoren selecteren.

  4. Als u Een of meer groepseigenaren of Managers van gebruikers kiest, hebt u de mogelijkheid om een terugvalrevisor toe te voegen. Als u een terugval wilt toevoegen, selecteert u revisoren voor terugval selecteren en voegt u de gebruikers toe die revisoren van terugval willen zijn.

    Schermopname met een ingeschakelde beoordeling met meerdere fasen en instellingen voor een beoordeling met meerdere fasen.

  5. Voeg de duur toe voor de eerste fase. Als u de duur wilt toevoegen, typt u een getal in het veld naast Duur van fase (in dagen). Dit is het aantal dagen dat u wilt dat de eerste fase open staat voor de revisoren van de eerste fase om beslissingen te nemen.

  6. Selecteer onder Beoordeling in de tweede fase de revisoren in de vervolgkeuzelijst naast Revisoren selecteren. Deze revisoren moeten beoordelen nadat de duur van de beoordeling van de eerste fase is beëindigd.

  7. Voeg desgewenst een of meer terugvalrevisoren toe.

  8. Voeg de duur voor de tweede fase toe.

  9. Standaard ziet u twee fasen wanneer u een beoordeling met meerdere fasen maakt. U kunt echter maximaal drie fasen toevoegen. Als u een derde fase wilt toevoegen, selecteert u + Een fase toevoegen en vult u de vereiste velden in.

  10. U kunt besluiten om revisoren van het tweede en derde stadium toe te staan de beslissingen te zien die in de vorige fase(s) zijn genomen. Als u wilt toestaan dat ze de eerder genomen beslissingen kunnen zien, schakelt u het selectievakje naast Vorige fase(s) beslissingen weergeven in voor later stadium revisoren onder Resultaten weergeven. Laat het selectievakje uitgeschakeld om deze instelling uit te schakelen als u wilt dat uw revisoren onafhankelijk van elkaar beoordelen.

    Schermopname waarin de duur te zien is en waarin de instelling voor het weergeven van vorige fasen is ingeschakeld bij een beoordeling met meerdere fasen.

  11. De duur van elk terugkeerpatroon wordt ingesteld op de som van de duurdag(en) die u in elke fase hebt opgegeven.

  12. Geef de beoordelingsinstantie, de begindatum en de einddatum voor de beoordeling op. Het instantietype moet minstens zo lang zijn als de totale duur van de instantie (bijvoorbeeld de maximale duur voor een wekelijkse beoordelingsinstantie is 7 dagen).

  13. Als u wilt opgeven welke reviewees van fase naar fase doorgaan, selecteert u een of meer van de volgende opties naast Opgeven van revisies om naar de volgende fase te gaan: Schermopname van het opgeven van de instelling en opties voor revisie in meerdere fasen.

    1. Goedgekeurde beoordeelden: alleen beoordeelden die zijn goedgekeurd, gaan naar de volgende fase(n).
    2. Geweigerde beoordeelden: alleen beoordeelden die zijn geweigerd, gaan naar de volgende fase(n).
    3. Niet beoordeelde beoordeelden: alleen beoordeelden die niet zijn beoordeeld, gaan naar de volgende fase(n).
    4. Beoordeelden gemarkeerd als "Weet niet": alleen beoordeelden als "Weet niet" gaan door naar de volgende fase(n).
    5. Alle: iedereen gaat naar de volgende fase als u wilt dat revisoren van alle fasen een beslissing nemen.

  14. Ga door naar het tabblad Instellingen en voltooi de rest van de instellingen en maak de beoordeling. Volg de instructies in Volgende: Instellingen.

Neem gebruikers en teams van B2B direct verbinden op die toegang hebben tot gedeelde Teams-kanalen in toegangsbeoordelingen

U kunt toegangsbeoordelingen maken voor gebruikers van B2B direct verbinden via gedeelde kanalen in Microsoft Teams. Wanneer u extern samenwerkt, kunt u microsoft Entra-toegangsbeoordelingen gebruiken om ervoor te zorgen dat externe toegang tot gedeelde kanalen actueel blijft. Externe gebruikers in de gedeelde kanalen worden gebruikers van B2B direct verbinden genoemd. Lees het artikel B2B direct verbinden voor meer informatie over gedeelde kanalen in Teams en gebruikers van B2B direct verbinden.

Wanneer u een toegangsbeoordeling maakt voor een team met gedeelde kanalen, kunnen uw revisoren doorlopende behoefte aan toegang van die externe gebruikers en teams in de gedeelde kanalen beoordelen. U kunt de toegang van gebruikers van B2B verbinden en andere ondersteunde B2B-samenwerkingsgebruikers en niet-B2B interne gebruikers in dezelfde beoordeling beoordelen.

Notitie

Op dit moment worden gebruikers en teams van B2B direct verbinden alleen opgenomen in beoordelingen met één fase. Als beoordelingen met meerdere fasen zijn ingeschakeld, worden de B2B-gebruikers en teams niet opgenomen in de toegangsbeoordeling.

Gebruikers en teams van B2B direct verbinden zijn opgenomen in toegangsbeoordelingen van de Microsoft 365-groep met Teams waarvan de gedeelde kanalen deel uitmaken. Als u de beoordeling wilt maken, moet u een van de volgende beheerders zijn:

  • Globale beheerder
  • Gebruikersbeheerder
  • Identity Governance-beheerder

Gebruik de volgende instructies om een toegangsbeoordeling te maken voor een team met gedeelde kanalen:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.

  2. Blader naar toegangsbeoordelingen voor identiteitsbeheer>.

  3. Selecteer + Nieuwe toegangsbeoordeling.

  4. Selecteer Teams + Groepen en selecteer vervolgens Teams en groepen selecteren om het bereik Controleren in te stellen. B2B maakt direct verbinding tussen gebruikers en teams en zijn niet opgenomen in beoordelingen van alle Microsoft 365-groepen met gastgebruikers.

  5. Selecteer een team dat gedeelde kanalen heeft die worden gedeeld met één of meer gebruikers of teams van B2B direct verbinden.

  6. Stel het bereik in.

    Schermopname waarin het instellen van het beoordelingsbereik voor gedeelde-kanalenbeoordeling te zien is.

    • Kies Alle gebruikers die u wilt opnemen:
      • Alle interne gebruikers
      • B2B-samenwerkingsgebruikers die lid zijn van het team
      • Gebruikers van B2B direct verbinden
      • Teams die toegang hebben tot gedeelde kanalen
    • Of kies Alleen gastgebruikers om alleen gebruikers van B2B direct verbinden en Teams- en B2B-samenwerkingsgebruikers op te nemen.

  7. Ga door naar het tabblad Beoordelingen. Selecteer een revisor om de beoordeling te voltooien en geef vervolgens de duur en het terugkeerpatroon voor de beoordeling op.

    Notitie

    • Als u Revisoren selecteren instelt op Gebruikers beoordelen hun eigen toegang of Managers van gebruikers, kunnen gebruikers en teams van B2B direct verbinden hun eigen toegang in uw tenant niet beoordelen. De eigenaar van het team dat wordt beoordeeld, ontvangt een e-mailbericht waarin de eigenaar wordt gevraagd om de gebruikers en teams van B2B direct verbinden te beoordelen.
    • Als u Managers van gebruikers selecteert, beoordeelt een geselecteerde terugvalrevisor elke gebruiker zonder manager in de starttenant. Dit omvat gebruikers en teams van B2B direct verbinden zonder manager.

  8. Ga naar het tabblad Instellingen en configureer aanvullende instellingen. Ga vervolgens naar het tabblad Beoordelen en maken om uw toegangsbeoordeling te starten. Zie Een toegangsbeoordeling met één fase maken voor meer informatie over het maken van een beoordeling en configuratie-instellingen.

Groepseigenaren toestaan toegangsbeoordelingen van hun groepen te maken en te beheren

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

De vereiste rol is een global Beheer istrator of identity governance Beheer istrator.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.

  2. Blader naar toegangsbeoordelingen voor identiteitsbeheer>Instellingen.>

  3. Stel op de pagina Delegeren wie toegangsbeoordelingen kan maken en beheren de optie Groepseigenaren kunnen toegangsbeoordelingen maken en beheren voor groepen waarvan ze eigenaar zijn in op Ja.

    Schermopname van het inschakelen van groepseigenaren om te beoordelen.

    Notitie

    De waarde is standaard ingesteld op Nee. Als u wilt toestaan dat groepseigenaren toegangsbeoordelingen maken en beheren, wijzigt u de instelling in Ja.

Programmatisch een toegangsbeoordeling maken

U kunt ook een toegangsbeoordeling maken met Behulp van Microsoft Graph of PowerShell.

Als u een toegangsbeoordeling wilt maken met Graph, roept u de Graph API aan om een definitie van het toegangsbeoordelingsschema te maken. De aanroeper moet een gebruiker in een juiste rol zijn met een toepassing met de gedelegeerde AccessReview.ReadWrite.All machtiging of een toepassing met de AccessReview.ReadWrite.All toepassingsmachtiging. Zie het overzicht van api's voor toegangsbeoordelingen en de zelfstudies voor het controleren van leden van een beveiligingsgroep of het bekijken van gasten in Microsoft 365-groepen voor meer informatie.

U kunt ook een toegangsbeoordeling maken in PowerShell met de New-MgIdentityGovernanceAccessReviewDefinition cmdlet vanuit de Microsoft Graph PowerShell-cmdlets voor de module Identity Governance . Zie voor meer informatie de voorbeelden.

Wanneer een toegangsbeoordeling wordt gestart

Nadat u de instellingen voor een toegangsbeoordeling hebt opgegeven en deze hebt gemaakt, wordt de toegangsbeoordeling weergegeven in uw lijst met een indicator van de status.

Schermopname van een lijst toegangsbeoordelingen en hun status.

Standaard verzendt Microsoft Entra-id een e-mailbericht naar revisoren kort na een eenmalige beoordeling of een terugkeerpatroon van een terugkerende beoordeling. Als u ervoor kiest om microsoft Entra ID de e-mail niet te laten verzenden, moet u de revisoren informeren dat een toegangsbeoordeling wacht totdat ze zijn voltooid. U kunt ze de instructies laten zien voor het beoordelen van de toegang voor groepen of toepassingen. Als uw beoordeling is bedoeld voor gasten om hun eigen toegang te beoordelen, laat u hen de instructies zien hoe de eigen toegang kan worden beoordeeld voor groepen of toepassingen.

Als u gasten hebt toegewezen als revisor en ze hun uitnodiging voor de tenant niet hebben geaccepteerd, ontvangen ze geen e-mail van toegangsbeoordelingen. Ze moeten eerst de uitnodiging accepteren voordat ze kunnen beginnen met beoordelen.

De toegangsbeoordeling bijwerken

Nadat een of meer toegangsbeoordelingen zijn gestart, kunt u de instellingen van uw bestaande toegangsbeoordelingen wijzigen of bijwerken. Hier volgen enkele scenario's om te overwegen:

  • Instellingen of revisoren bijwerken: als een toegangsbeoordeling terugkerend is, zijn er afzonderlijke instellingen onder Huidig en onder Reeks. Als u de instellingen of revisoren onder Huidig bijwerkt, worden alleen wijzigingen toegepast op de huidige toegangsbeoordeling. Als u de instellingen onder Reeks bijwerkt, worden de instellingen voor alle toekomstige gevallen bijgewerkt.

    Schermopname van het bijwerken van instellingen voor een toegangsbeoordeling.

  • Revisoren toevoegen en verwijderen: wanneer u toegangsbeoordelingen bijwerkt, kunt u er ook voor kiezen om een terugvalrevisor toe te voegen naast de primaire revisor. Primaire revisoren kunnen worden verwijderd wanneer u een toegangsbeoordeling bijwerkt. Terugvalrevisoren kunnen niet worden verwijderd.

    Notitie

    Terugvalrevisoren kunnen alleen worden toegevoegd wanneer het revisortype een manager of groepseigenaar is. Primaire revisoren kunnen worden toegevoegd wanneer het revisortype de geselecteerde gebruiker is.

  • De revisoren herinneren: wanneer u toegangsbeoordelingen bijwerkt, kunt u ervoor kiezen de optie Herinneringen onder Geavanceerde instellingen in te schakelen. Gebruikers ontvangen vervolgens een e-mailmelding halverwege de beoordelingsperiode, ongeacht of ze de beoordeling al dan niet hebben voltooid.

    Schermopname waarin revisoren een herinnering krijgen.

Volgende stappen