Wat is rechtenbeheer?
Rechtenbeheer is een functie voor identiteitsbeheer waarmee organisaties de levenscyclus van identiteiten en toegang op schaal kunnen beheren door werkstromen voor toegangsaanvragen, toegangstoewijzingen, beoordelingen en verlooptijd te automatiseren.
Personen in organisaties hebben toegang nodig tot verschillende groepen, toepassingen en SharePoint Online-sites om hun werk uit te voeren. Het beheren van deze toegang is een uitdaging, omdat de vereisten veranderen. Er worden nieuwe toepassingen toegevoegd, of gebruikers hebben meer toegangsrechten nodig. Dit scenario wordt nog complexer wanneer u samenwerkt met externe organisaties. U weet mogelijk niet wie in de andere organisatie toegang nodig heeft tot de resources van uw organisatie en ze weten niet welke toepassingen, groepen of sites uw organisatie gebruikt.
Met rechtenbeheer kunt u de toegang tot groepen, toepassingen en SharePoint Online-sites efficiënter beheren voor interne gebruikers, en ook voor gebruikers buiten uw organisatie die toegang nodig hebben tot deze resources.
Waarom rechtenbeheer gebruiken?
Ondernemingsorganisaties hebben vaak te maken met uitdagingen bij het beheren van personeelstoegang tot resources, zoals:
- Gebruikers weten mogelijk niet welke toegang ze moeten hebben, en zelfs als ze dat doen, kunnen ze problemen hebben met het vinden van de juiste personen om hun toegang goed te keuren
- Zodra gebruikers toegang tot een resource hebben gevonden en ontvangen, kunnen ze langer toegang hebben dan vereist is voor zakelijke doeleinden
Deze problemen zijn nog groter voor gebruiker die toegang nodig hebben vanaf een andere organisatie, zoals externe gebruikers van toeleveranciers of andere zakelijke partners. Voorbeeld:
- Niemand kan alle specifieke personen in de directory's van een andere organisatie kennen om ze uit te nodigen
- Zelfs als ze deze gebruikers konden uitnodigen, kan niemand in die organisatie onthouden om alle gebruikerstoegang consistent te beheren
Rechtenbeheer kan helpen deze uitdagingen aan te pakken. Voor meer informatie over hoe klanten rechtenbeheer hebben gebruikt, kunt u de Division van Medicaid, Storebrand, Nippon Express Co., Ltd en het team digitale beveiliging en tolerantie van Microsoft lezen in casestudy's van Microsoft . Deze video biedt een overzicht van rechtenbeheer en welke meerwaarde het biedt:
Wat kan ik doen met rechtenbeheer?
Hier zijn enkele mogelijkheden van rechtenbeheer:
- Bepaal wie toegang heeft tot toepassingen, groepen, Teams- en SharePoint-sites, met goedkeuring voor meerdere fasen. En zorg ervoor dat gebruikers niet voor onbepaalde tijd toegang behouden, via tijdgebonden toewijzingen en terugkerende toegangsbeoordelingen.
- Geef gebruikers automatisch toegang tot deze resources, op basis van de eigenschappen van de gebruiker, zoals afdeling of kostenplaats, en verwijder de toegang van een gebruiker wanneer deze eigenschappen worden gewijzigd.
- Delegeren aan niet-beheerders de mogelijkheid om toegangspakketten te maken. Deze toegangspakketten bevatten resources die gebruikers kunnen aanvragen en de gedelegeerde beheerders van de toegangspakketten kunnen beleidsregels bepalen over welke gebruikers toegang kunnen aanvragen, wie hun toegang moet goedkeuren en wanneer toegang verloopt.
- Verbonden organisaties selecteren waarvan gebruikers toegang kunnen aanvragen. Wanneer een gebruiker die zich nog niet in uw gebruikerslijst bevindt toegang vraagt, en die krijgt, wordt deze automatisch uitgenodigd voor uw gebruikerslijst en krijgt deze toegang toegewezen. Wanneer hun toegang verloopt, en als ze geen andere toegewezen toegangspakketten hebben, dan kan hun B2B-account in uw gebruikerslijst automatisch verwijderd worden.
Notitie
Als u klaar bent om Rechtenbeheer uit te proberen, kunt u aan de slag gaan met onze zelfstudie om uw eerste toegangspakket te maken.
U kunt ook de veelvoorkomende scenario's lezen of video's bekijken, waaronder
- Rechtenbeheer implementeren in uw organisatie
- Uw gebruik van rechtenbeheer bewaken en schalen
- Delegeren in rechtenbeheer
Wat zijn toegangspakketten en welke resources kan ik ermee beheren?
Rechtenbeheer introduceert het concept van een toegangspakket. Een toegangspakket is een bundel van alle resources met de toegang die een gebruiker nodig heeft om aan een project te werken of een taak uit te voeren. Toegangspakketten kunnen worden gebruikt om de toegang voor uw werknemers te beheren, en ook voor gebruikers die afkomstig zijn van buiten uw organisatie.
Dit zijn de soorten resources waarmee u de toegang van de gebruiker kunt beheren met rechtenbeheer:
- Lidmaatschap van Microsoft Entra-beveiligingsgroepen
- Lidmaatschap van Microsoft 365-groepen en -teams
- Toewijzing aan Microsoft Entra-bedrijfstoepassingen, waaronder SaaS-toepassingen en aangepaste geïntegreerde toepassingen die ondersteuning bieden voor federatie/eenmalige aanmelding en/of inrichting
- Lidmaatschap van SharePoint Online-sites
U kunt ook de toegang tot andere resources beheren die afhankelijk zijn van Microsoft Entra-beveiligingsgroepen of Microsoft 365 Groepen. Voorbeeld:
- U kunt gebruikers licenties geven voor Microsoft 365 met behulp van een Microsoft Entra-beveiligingsgroep in een toegangspakket en het configureren van groepslicenties voor die groep.
- U kunt gebruikers toegang geven tot het beheren van Azure-resources met behulp van een Microsoft Entra-beveiligingsgroep in een toegangspakket en het maken van een Azure-roltoewijzing voor die groep.
- U kunt gebruikers toegang geven tot het beheren van Microsoft Entra-rollen met behulp van groepen die kunnen worden toegewezen aan Microsoft Entra-rollen in een toegangspakket en het toewijzen van een Microsoft Entra-rol aan die groep.
Hoe kan ik controleren wie toegang krijgt?
Met een toegangspakket geeft een beheerder of een gedelegeerde beheerder de resources (groepen, apps en sites) en de rollen op die de gebruikers nodig hebben voor die resources.
Toegangspakketten bestaan ook uit een of meer beleidsregels. Een beleid definieert de regels of kaders voor toewijzing aan het toegangspakket. Elk beleid kan worden gebruikt om ervoor te zorgen dat alleen de juiste gebruikers toegangstoewijzingen kunnen hebben en de toegang is beperkt en verloopt zo niet verlengd.
U kunt beleid hebben voor gebruikers om toegang aan te vragen. In dit soort beleid is een beheerder of toegangspakketbeheerder degene die definieert
- De bestaande gebruikers (meestal werknemers of reeds bestaande gasten) of de partnerorganisaties van externe gebruikers die in aanmerking komen om toegang aan te vragen
- Het goedkeuringsproces en de gebruikers die toegang kunnen goedkeuren of weigeren
- Hoelang een gebruiker toegang heeft zodra deze is goedgekeurd, voor de toewijzing verloopt
U kunt ook beleid hebben voor gebruikers om toegang toe te wijzen, hetzij door een beheerder, automatisch op basis van regels of via levenscycluswerkstromen.
Het volgende diagram toont een voorbeeld van de verschillende elementen in rechtenbeheer. Het toont één catalogus met twee voorbeelden van toegangspakketten.
- Toegangspakket 1 bevat één groep als resource. Toegang wordt bepaald met een beleid dat een groep gebruikers in staat stelt om toegang aan te vragen.
- Toegangspakket 2 bevat een groep, een toepassing en een SharePoint Online-site als resources. Toegang wordt bepaald door twee verschillende beleidsregels. De eerste beleidsregel stel een groep gebruikers in staat om toegang aan te vragen. De tweede beleidsregel stelt gebruikers in een externe gebruikerslijst in staat om toegang aan te vragen.
Wanneer moet ik toegangspakketten gebruiken?
Toegangspakketten zijn geen vervanging voor andere mechanismen om toegang toe te wijzen. Ze zijn het meest geschikt in situaties zoals:
- Toegangsbeleidsdefinities migreren van een bedrijfsrolbeheer van derden naar Microsoft Entra-id.
- Gebruikers hebben tijdgebonden toegang nodig voor een bepaalde taak. U kunt bijvoorbeeld groepslicenties en een dynamische groep gebruiken om ervoor te zorgen dat alle werknemers een Exchange Online-postvak hebben, en vervolgens toegangspakketten gebruiken voor situaties waarbij werknemers aanvullende toegangsrechten nodig hebben. Bijvoorbeeld rechten om afdelingsresources van een andere afdeling te lezen.
- Toegang waarvoor de goedkeuring van de manager van een persoon of andere aangewezen personen is vereist.
- Toegang die automatisch moet worden toegewezen aan personen in een bepaald deel van een organisatie tijdens hun tijd in die functie, maar ook beschikbaar voor personen elders in de organisatie, of in een organisatie van een zakelijke partner, om dit aan te vragen.
- Afdelingen willen hun eigen toegangsbeleid voor hun resources beheren zonder dat IT hierbij betrokken moet worden.
- Twee of meer organisaties werken samen aan een project en als gevolg hiervan moeten meerdere gebruikers van de ene organisatie worden binnengebracht via Microsoft Entra B2B om toegang te krijgen tot de resources van een andere organisatie.
Hoe kan ik toegang delegeren?
Toegangspakketten worden gedefinieerd in containers die catalogussen worden genoemd. U kunt één catalogus hebben voor al uw toegangspakketten, of mensen aanduiden om hun eigen catalogi te maken en beheren. Een beheerder kan resources toevoegen aan elke catalogus, maar een niet-beheerder kan alleen toevoegen aan een catalogus van de resources die ze bezitten. De eigenaar van een catalogus kan andere gebruikers toevoegen als mede-eigenaars, of als beheerders van een toegangspakket. Deze scenario's worden verder beschreven in het artikel delegering en rollen in rechtenbeheer.
Overzicht van terminologie
Als u meer inzicht wilt krijgen in rechtenbeheer en de bijbehorende documentatie, raadpleeg dan de volgende lijst met termen.
Termijn | Omschrijving |
---|---|
toegangspakket | Een bundel resources die een team of project nodig heeft en die wordt beheerd met beleid. Een toegangspakket bevindt zich altijd in een catalogus. U maakt een nieuw toegangspakket voor een scenario waarin gebruikers toegang moeten aanvragen. |
toegangsaanvraag | Een verzoek om toegang te krijgen tot de resources in een toegangspakket. Een aanvraag verloopt meestal via een goedkeuringsstroom. Als deze is goedgekeurd, krijgt de gebruiker een toegangspakket toegewezen. |
toewijzing | Een toewijzing van een toegangspakket aan een gebruiker zorgt ervoor dat de gebruiker over alle resourcerollen van dat toegangspakket beschikt. Op de toewijzing van toegangspakketten zit meestal een tijdslimiet. |
catalogus | Een container met verwante resources en toegangspakketten. Catalogi worden gebruikt voor delegering, zodat niet-beheerders hun eigen toegangspakketten kunnen maken. Eigenaars van een catalogus kunnen resources die ze bezitten toevoegen aan een catalogus. |
catalogusmaker | Een groep gebruikers die gemachtigd zijn om nieuwe catalogussen te maken. Wanneer een niet-beheerder gebruiker die gemachtigd is om een catalogusmaker te zijn een nieuwe catalogus maakt, wordt deze automatisch de eigenaar van die catalogus. |
verbonden organisatie | Een externe Microsoft Entra-directory of -domein waarmee u een relatie hebt. In een beleid kan worden opgegeven dat de gebruikers van een verbonden organisatie toegang mogen aanvragen. |
policy | Een set regels die de levenscyclus voor toegang definieert, zoals hoe gebruikers toegang krijgen, wie dit kan goedkeuren en hoelang gebruikers toegang krijgen via een toewijzing. Een beleid is gekoppeld aan een toegangspakket. Een toegangspakket kan bijvoorbeeld twee beleidsregels hebben: één voor werknemers om toegang te vragen en een ander voor externe gebruikers om toegang te vragen. |
resource | Een asset, zoals een Office-groep, een beveiligingsgroep, een toepassing of een SharePoint Online-site, met een rol waarvoor een gebruiker machtiging kan krijgen. |
resourcedirectory | Een directory die een of meer resources bevat om te delen. |
resourcerol | Een verzameling van machtigingen die horen bij en gedefinieerd zijn door een resource. Een groep heeft twee rollen: lid en eigenaar. SharePoint-sites hebben doorgaans drie rollen, maar kunnen andere aangepaste rollen hebben. Toepassingen kunnen aangepaste rollen hebben. |
Licentievereisten
Voor deze functie zijn Microsoft Entra ID-governance- of Microsoft Entra Suite-abonnementen vereist voor de gebruikers van uw organisatie. Sommige mogelijkheden, binnen deze functie, werken mogelijk met een Microsoft Entra ID P2-abonnement. Zie de artikelen van elke mogelijkheid voor meer informatie. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.
Volgende stappen
- Als u geïnteresseerd bent in het Microsoft Entra-beheercentrum om de toegang tot resources te beheren, raadpleegt u zelfstudie: Toegang tot resources beheren - Microsoft Entra.
- Zie Zelfstudie: Toegang tot resources beheren - Microsoft Graph als u Microsoft Graph wilt gebruiken om de toegang tot resources te beheren.
- Algemene scenario's