Wat is rechtenbeheer?
Rechtenbeheer is een functie voor identiteitsbeheer waarmee organisaties de levenscyclus van identiteiten en toegang op schaal kunnen beheren door werkstromen voor toegangsaanvragen, toegangstoewijzingen, beoordelingen en verlooptijd te automatiseren.
Mensen in organisaties toegang nodig hebben tot verschillende groepen, toepassingen en SharePoint Online-sites om hun werk uit te voeren. Het beheren van deze toegang is een uitdaging, omdat de vereisten veranderen. Er worden nieuwe toepassingen toegevoegd, of gebruikers hebben meer toegangsrechten nodig. Dit scenario wordt nog complexer wanneer u samenwerkt met externe organisaties. U weet niet altijd wie in de andere organisatie toegang nodig heeft tot de resources van uw organisatie, en zij weten niet welke toepassingen, groepen of sites uw organisatie gebruikt.
Met rechtenbeheer kunt u de toegang tot groepen, toepassingen en SharePoint Online-sites efficiënter beheren voor interne gebruikers, en ook voor gebruikers buiten uw organisatie die toegang nodig hebben tot deze resources.
Waarom rechtenbeheer gebruiken?
Ondernemingsorganisaties hebben vaak te maken met uitdagingen bij het beheren van personeelstoegang tot resources, zoals:
- Gebruikers weten niet altijd welke toegang ze nodig hebben, en zelfs als dat wel het geval is, kan het moeilijk zijn om de juiste personen te vinden die hun toegang moeten goedkeuren
- Zodra gebruikers de toegang tot een resource hebben gevonden en gekregen, kunnen ze die langer behouden dan nodig is voor zakelijke doeleinden
Deze problemen zijn nog groter voor gebruiker die toegang nodig hebben vanaf een andere organisatie, zoals externe gebruikers van toeleveranciers of andere zakelijke partners. Bijvoorbeeld:
- Soms is er niemand die alle specifieke personen binnen een andere organisatie kent die uitgenodigd moeten worden
- Zelfs als ze deze gebruikers kunnen uitnodigen, dan is er soms niemand in die andere organisatie die de toegang van alle gebruikers consistent kan beheren
Rechtenbeheer kan helpen deze uitdagingen aan te pakken. Voor meer informatie over hoe klanten rechtenbeheer hebben gebruikt, kunt u de Division van Medicaid, Storebrand en Avanade-casestudy's lezen. Deze video biedt een overzicht van rechtenbeheer en welke meerwaarde het biedt:
Wat kan ik doen met rechtenbeheer?
Hier zijn enkele mogelijkheden van rechtenbeheer:
- Bepaal wie toegang heeft tot toepassingen, groepen, Teams- en SharePoint-sites, met goedkeuring voor meerdere fasen. En zorg ervoor dat gebruikers niet voor onbepaalde tijd toegang behouden, via tijdgebonden toewijzingen en terugkerende toegangsbeoordelingen.
- Geef gebruikers automatisch toegang tot deze resources, op basis van de eigenschappen van de gebruiker, zoals afdeling of kostenplaats, en verwijder de toegang van een gebruiker wanneer deze eigenschappen worden gewijzigd.
- Niet-beheerders de mogelijkheid geven om toegangspakketten te maken. Deze toegangspakketten bevatten resources die gebruikers kunnen aanvragen en de gedelegeerde beheerders van de toegangspakketten kunnen beleidsregels bepalen over welke gebruikers toegang kunnen aanvragen, wie hun toegang moet goedkeuren en wanneer toegang verloopt.
- Verbonden organisaties selecteren waarvan gebruikers toegang kunnen aanvragen. Wanneer een gebruiker die zich nog niet in uw gebruikerslijst bevindt toegang vraagt, en die krijgt, wordt deze automatisch uitgenodigd voor uw gebruikerslijst en krijgt deze toegang toegewezen. Wanneer hun toegang verloopt, en als ze geen andere toegewezen toegangspakketten hebben, dan kan hun B2B-account in uw gebruikerslijst automatisch verwijderd worden.
Notitie
Als u klaar bent om Rechtenbeheer uit te proberen, kunt u aan de slag gaan met onze zelfstudie om uw eerste toegangspakket te maken.
U kunt ook de veelvoorkomende scenario's lezen of video's bekijken, waaronder
- Rechtenbeheer implementeren in uw organisatie
- Uw gebruik van rechtenbeheer bewaken en schalen
- Delegeren in rechtenbeheer
Wat zijn toegangspakketten en welke resources kan ik ermee beheren?
Rechtenbeheer introduceert het concept van een toegangspakket. Een toegangspakket is een bundel van alle resources met de toegang die een gebruiker nodig heeft om aan een project te werken of een taak uit te voeren. Toegangspakketten kunnen worden gebruikt om de toegang voor uw werknemers te beheren, en ook voor gebruikers die afkomstig zijn van buiten uw organisatie.
Dit zijn de soorten resources waarmee u de toegang van de gebruiker kunt beheren met rechtenbeheer:
- Lidmaatschap van Microsoft Entra-beveiligingsgroepen
- Lidmaatschap van Microsoft 365-groepen en -teams
- Toewijzing aan Microsoft Entra-bedrijfstoepassingen, waaronder SaaS-toepassingen en aangepaste geïntegreerde toepassingen die ondersteuning bieden voor federatie/eenmalige aanmelding en/of inrichting
- Lidmaatschap van SharePoint Online-sites
U kunt ook de toegang tot andere resources beheren die afhankelijk zijn van Microsoft Entra-beveiligingsgroepen of Microsoft 365 Groepen. Bijvoorbeeld:
- U kunt gebruikers licenties geven voor Microsoft 365 met behulp van een Microsoft Entra-beveiligingsgroep in een toegangspakket en het configureren van groepslicenties voor die groep.
- U kunt gebruikers toegang geven tot het beheren van Azure-resources met behulp van een Microsoft Entra-beveiligingsgroep in een toegangspakket en het maken van een Azure-roltoewijzing voor die groep.
- U kunt gebruikers toegang geven tot het beheren van Microsoft Entra-rollen met behulp van groepen die kunnen worden toegewezen aan Microsoft Entra-rollen in een toegangspakket en het toewijzen van een Microsoft Entra-rol aan die groep.
Hoe kan ik controleren wie toegang krijgt?
Met een toegangspakket geeft een beheerder of een gedelegeerde beheerder de resources (groepen, apps en sites) en de rollen op die de gebruikers nodig hebben voor die resources.
Toegangspakketten bestaan ook uit een of meer beleidsregels. Een beleid definieert de regels of richtlijnen voor toewijzing tot een toegangspakket. Elk beleid kan worden gebruikt om ervoor te zorgen dat de juiste gebruikers toegang krijgen tot toewijzingen, en de toegang is tijdgebonden en verloopt als deze niet wordt verlengd.
U kunt beleid hebben voor gebruikers om toegang aan te vragen. In dit soort beleid is een beheerder of toegangspakketbeheerder degene die definieert
- De bestaande gebruikers (meestal werknemers of reeds bestaande gasten) of de partnerorganisaties van externe gebruikers die in aanmerking komen om toegang aan te vragen
- Het goedkeuringsproces en de gebruikers die toegang kunnen goedkeuren of weigeren
- Hoelang een gebruiker toegang heeft zodra deze is goedgekeurd, voor de toewijzing verloopt
U kunt ook beleid hebben voor gebruikers om toegang toe te wijzen, hetzij door een beheerder, automatisch op basis van regels of via levenscycluswerkstromen.
Het volgende diagram toont een voorbeeld van de verschillende elementen in rechtenbeheer. Het toont één catalogus met twee voorbeelden van toegangspakketten.
- Toegangspakket 1 bevat één groep als resource. Toegang wordt bepaald met een beleid dat een groep gebruikers in staat stelt om toegang aan te vragen.
- Toegangspakket 2 bevat een groep, een toepassing en een SharePoint Online-site als resources. Toegang wordt bepaald door twee verschillende beleidsregels. De eerste beleidsregel stel een groep gebruikers in staat om toegang aan te vragen. De tweede beleidsregel stelt gebruikers in een externe gebruikerslijst in staat om toegang aan te vragen.
Wanneer moet ik toegangspakketten gebruiken?
Toegangspakketten zijn geen vervanging voor andere mechanismen om toegang toe te wijzen. Ze zijn het meest geschikt in situaties zoals:
- Toegangsbeleidsdefinities migreren van een bedrijfsrolbeheer van derden naar Microsoft Entra-id.
- Gebruikers hebben tijdgebonden toegang nodig voor een bepaalde taak. U kunt bijvoorbeeld groepslicenties en een dynamische groep gebruiken om ervoor te zorgen dat alle werknemers een Exchange Online-postvak hebben, en vervolgens toegangspakketten gebruiken voor situaties waarbij werknemers aanvullende toegangsrechten nodig hebben. Bijvoorbeeld rechten om afdelingsresources van een andere afdeling te lezen.
- Toegang waarvoor de goedkeuring van de manager van een persoon of andere aangewezen personen is vereist.
- Toegang die automatisch moet worden toegewezen aan personen in een bepaald deel van een organisatie tijdens hun tijd in die functie, maar ook beschikbaar voor personen elders in de organisatie, of in een organisatie van een zakelijke partner, om dit aan te vragen.
- Afdelingen willen hun eigen toegangsbeleid voor hun resources beheren zonder dat IT hierbij betrokken moet worden.
- Twee of meer organisaties werken samen aan een project. Als gevolg hiervan moeten meerdere gebruikers van de ene organisatie worden binnengebracht via Microsoft Entra B2B om toegang te krijgen tot de resources van een andere organisatie.
Hoe kan ik toegang delegeren?
Toegangspakketten worden gedefinieerd in containers die catalogussen worden genoemd. U kunt één catalogus hebben voor al uw toegangspakketten, of mensen aanduiden om hun eigen catalogi te maken en beheren. Een beheerder kan resources toevoegen aan elke catalogus, maar een niet-beheerder kan enkel de resources waarvan ze eigenaar zijn toevoegen aan een catalogus. De eigenaar van een catalogus kan andere gebruikers toevoegen als mede-eigenaars, of als beheerders van een toegangspakket. Deze scenario's worden verder beschreven in het artikel delegering en rollen in rechtenbeheer.
Overzicht van terminologie
Als u meer inzicht wilt krijgen in rechtenbeheer en de bijbehorende documentatie, raadpleeg dan de volgende lijst met termen.
| Termijn | Omschrijving |
|---|---|
| toegangspakket | Een bundel resources die een team of project nodig heeft en die wordt beheerd met beleid. Een toegangspakket bevindt zich altijd in een catalogus. U maakt een nieuw toegangspakket voor een scenario waarin gebruikers toegang moeten aanvragen. |
| toegangsaanvraag | Een verzoek om toegang te krijgen tot de resources in een toegangspakket. Een aanvraag verloopt meestal via een goedkeuringsstroom. Als deze is goedgekeurd, krijgt de gebruiker een toegangspakket toegewezen. |
| toewijzing | Een toewijzing van een toegangspakket aan een gebruiker zorgt ervoor dat de gebruiker over alle resourcerollen van dat toegangspakket beschikt. Op de toewijzing van toegangspakketten zit meestal een tijdslimiet. |
| catalogus | Een container met verwante resources en toegangspakketten. Catalogi worden gebruikt voor delegering, zodat niet-beheerders hun eigen toegangspakketten kunnen maken. Eigenaars van een catalogus kunnen resources die ze bezitten toevoegen aan een catalogus. |
| catalogusmaker | Een groep gebruikers die gemachtigd zijn om nieuwe catalogussen te maken. Wanneer een niet-beheerder die gemachtigd is om een catalogusmaker te zijn een nieuwe catalogus maakt, wordt deze automatisch de eigenaar van die catalogus. |
| verbonden organisatie | Een externe Microsoft Entra-directory of -domein waarmee u een relatie hebt. In een beleid kan worden opgegeven dat de gebruikers van een verbonden organisatie toegang mogen aanvragen. |
| policy | Een set regels die de levenscyclus voor toegang definieert, zoals hoe gebruikers toegang krijgen, wie dit kan goedkeuren en hoelang gebruikers toegang krijgen via een toewijzing. Een beleid is gekoppeld aan een toegangspakket. Een toegangspakket kan bijvoorbeeld twee beleidsregels hebben: één voor werknemers om toegang te vragen en een ander voor externe gebruikers om toegang te vragen. |
| resource | Een asset, zoals een Office-groep, een beveiligingsgroep, een toepassing of een SharePoint Online-site, met een rol waarvoor een gebruiker machtiging kan krijgen. |
| resourcedirectory | Een directory die een of meer resources bevat om te delen. |
| resourcerol | Een verzameling van machtigingen die horen bij en gedefinieerd zijn door een resource. Een groep heeft twee rollen: lid en eigenaar. SharePoint-sites hebben doorgaans drie rollen, maar kunnen andere aangepaste rollen hebben. Toepassingen kunnen aangepaste rollen hebben. |
Licentievereisten
Voor het gebruik van deze functie zijn Microsoft Entra ID-governance abonnementen vereist voor de gebruikers van uw organisatie. Sommige mogelijkheden in deze functie werken mogelijk met een Microsoft Entra ID P2-abonnement. Zie de artikelen van elke mogelijkheid voor meer informatie. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.
Volgende stappen
- Als u geïnteresseerd bent in het Microsoft Entra-beheercentrum om de toegang tot resources te beheren, raadpleegt u zelfstudie: Toegang tot resources beheren - Microsoft Entra.
- Zie Zelfstudie: Toegang tot resources beheren - Microsoft Graph als u Microsoft Graph wilt gebruiken om de toegang tot resources te beheren.
- Algemene scenario's