Gastentoegang beheren met toegangsbeoordelingen

  • Artikel

Met toegangsbeoordelingen kunt u eenvoudig samenwerking tussen organisatiegrenzen inschakelen met behulp van de Microsoft Entra B2B-functie. Gastgebruikers van andere tenants kunnen worden uitgenodigd door beheerders of door andere gebruikers. Deze mogelijkheid is ook van toepassing op sociale identiteiten, zoals Microsoft-accounts.

U kunt er ook eenvoudig voor zorgen dat gastgebruikers over de juiste toegang beschikken. U kunt de gasten zelf of een besluitvormer vragen om deel te nemen aan een toegangsbeoordeling en (of attest) opnieuw te certificeren bij de toegang van de gasten. De revisoren kunnen hun input geven over de behoefte van elke gebruiker aan continue toegang, op basis van suggesties van Microsoft Entra-id. Wanneer een toegangsbeoordeling is voltooid, kunt u vervolgens wijzigingen aanbrengen en de toegang verwijderen voor gasten die deze niet meer nodig hebben.

Notitie

Dit document is gericht op het controleren van de toegang van gastgebruikers. Zie Gebruikerstoegang beheren met toegangsbeoordelingen als u de toegang van alle gebruikers wilt controleren, en niet alleen van gasten. Als u het lidmaatschap van een gebruiker in een beheerderrol, zoals globale beheerder, wilt beoordelen, raadpleeg dan Een toegangsbeoordeling starten in Microsoft Entra Privileged Identity Management.

Vereisten

  • Microsoft Entra ID P2 of Microsoft Entra ID-governance

Voor meer informatie, licentievereisten.

Een toegangsbeoordeling voor gasten maken en uitvoeren

U moet eerst een van de volgende rollen toegewezen krijgen:

  • globale beheerder
  • Gebruikersbeheerder
  • (Preview) Microsoft 365- of Microsoft Entra-beveiligingsgroepeigenaar van de groep die moet worden beoordeeld

Ga vervolgens naar de pagina Identiteitsbeheer om ervoor te zorgen dat toegangsbeoordelingen gereed zijn voor uw organisatie.

Microsoft Entra ID maakt verschillende scenario's mogelijk voor het beoordelen van gastgebruikers.

U kunt een van de volgende opties bekijken:

  • Een groep in Microsoft Entra-id met een of meer gasten als leden.
  • Een toepassing die is verbonden met Microsoft Entra-id waaraan een of meer gastgebruikers zijn toegewezen.

Wanneer u gastgebruikerstoegang tot Microsoft 365-groepen bekijkt, kunt u afzonderlijk een beoordeling voor elke groep maken of automatische, terugkerende toegangsbeoordelingen van gastgebruikers in alle Microsoft 365-groepen inschakelen. De volgende video biedt meer informatie over terugkerende toegangsbeoordelingen van gastgebruikers:

Vervolgens kunt u beslissen of u elke gast vraagt om hun eigen toegang te controleren of om een of meer gebruikers te vragen om de toegang van elke gast te controleren.

Deze scenario's worden behandeld in de volgende secties.

Gasten vragen om hun eigen lidmaatschap in een groep te controleren

U kunt toegangsbeoordelingen gebruiken om ervoor te zorgen dat gebruikers die zijn uitgenodigd en aan een groep zijn toegevoegd, nog steeds toegang nodig hebben. U kunt gasten eenvoudig vragen hun eigen lidmaatschap van die groep te controleren.

  1. Als u een toegangsbeoordeling voor de groep wilt maken, selecteert u de beoordeling om alleen gastgebruikersleden op te nemen en die leden zelf beoordelen. Zie Een toegangsbeoordeling maken van groepen of toepassingen voor meer informatie.

  2. Vraag elke gast om hun eigen lidmaatschap te controleren. Standaard ontvangt elke gast die een uitnodiging heeft geaccepteerd een e-mail van Microsoft Entra ID met een koppeling naar de toegangsbeoordeling. Microsoft Entra ID bevat instructies voor gasten over het controleren van toegang tot groepen of toepassingen.

  3. Wanneer alle beoordelaars feedback hebben gegeven, kunt u de toegangsbeoordeling stoppen en de wijzigingen toepassen. Zie Een toegangsbeoordeling van groepen of toepassingen voltooien voor meer informatie.

  4. Naast gebruikers die hun eigen behoefte aan continue toegang hebben geweigerd, kunt u ook gebruikers verwijderen die niet hebben gereageerd. Niet-reagerende gebruikers ontvangen mogelijk geen e-mail meer.

  5. Als de groep niet wordt gebruikt voor toegangsbeheer, kunt u ook gebruikers verwijderen die niet zijn geselecteerd om deel te nemen aan de beoordeling omdat ze hun uitnodiging niet hebben geaccepteerd. Niet accepteren kan erop wijzen dat het e-mailadres van de uitgenodigde gebruiker een typefout had. Als een groep wordt gebruikt als een distributielijst, zijn sommige gastgebruikers mogelijk niet geselecteerd om deel te nemen omdat ze contact opnemen met objecten.

Een geautoriseerde gebruiker vragen om het lidmaatschap van een gast in een groep te controleren

U kunt een geautoriseerde gebruiker, zoals de eigenaar van een groep, vragen om de behoefte van een gast aan een doorlopend lidmaatschap van een groep te controleren.

  1. Als u een toegangsbeoordeling voor de groep wilt maken, selecteert u de beoordeling om alleen gastgebruikersleden op te nemen. Geef vervolgens een of meer revisoren op. Zie Een toegangsbeoordeling maken van groepen of toepassingen voor meer informatie.

  2. Vraag de beoordelaars feedback te geven. Standaard ontvangen ze elk een e-mail van Microsoft Entra ID met een koppeling naar het toegangsvenster, waar ze de toegang tot groepen of toepassingen bekijken.

  3. Wanneer alle beoordelaars feedback hebben gegeven, kunt u de toegangsbeoordeling stoppen en de wijzigingen toepassen. Zie Een toegangsbeoordeling van groepen of toepassingen voltooien voor meer informatie.

Gasten vragen om hun eigen toegang tot een toepassing te bekijken

U kunt toegangsbeoordelingen gebruiken om ervoor te zorgen dat gebruikers die zijn uitgenodigd voor een bepaalde toepassing toegang blijven hebben. U kunt de gasten zelf eenvoudig vragen om hun eigen behoefte aan toegang te beoordelen.

  1. Als u een toegangsbeoordeling voor de toepassing wilt maken, selecteert u de beoordeling om alleen gasten op te nemen en die gebruikers hun eigen toegang controleren. Zie Een toegangsbeoordeling maken van groepen of toepassingen voor meer informatie.

  2. Vraag elke gast om hun eigen toegang tot de toepassing te controleren. Standaard ontvangt elke gast die een uitnodiging heeft geaccepteerd een e-mail van Microsoft Entra-id. Deze e-mail bevat een koppeling naar de toegangsbeoordeling in het toegangsvenster van uw organisatie. Microsoft Entra ID bevat instructies voor gasten over het controleren van toegang tot groepen of toepassingen.

  3. Wanneer alle beoordelaars feedback hebben gegeven, kunt u de toegangsbeoordeling stoppen en de wijzigingen toepassen. Zie Een toegangsbeoordeling van groepen of toepassingen voltooien voor meer informatie.

  4. Naast gebruikers die hun eigen behoefte aan continue toegang hebben geweigerd, kunt u ook gastgebruikers verwijderen die niet hebben gereageerd. Niet-reagerende gebruikers ontvangen mogelijk geen e-mail meer. U kunt ook gastgebruikers verwijderen die niet zijn geselecteerd om deel te nemen, met name als ze niet onlangs zijn uitgenodigd. Deze gebruikers hebben hun uitnodiging niet geaccepteerd en hebben dus geen toegang tot de toepassing.

Een geautoriseerde gebruiker vragen om de toegang van een gast tot een toepassing te controleren

U kunt een geautoriseerde gebruiker, zoals de eigenaar van een toepassing, vragen om de behoefte van de gast te controleren op continue toegang tot de toepassing.

  1. Als u een toegangsbeoordeling voor de toepassing wilt maken, selecteert u de beoordeling om alleen gasten op te nemen. Geef vervolgens een of meer gebruikers op als revisoren. Zie Een toegangsbeoordeling maken van groepen of toepassingen voor meer informatie.

  2. Vraag de beoordelaars feedback te geven. Standaard ontvangen ze elk een e-mail van Microsoft Entra ID met een koppeling naar het toegangsvenster, waar ze de toegang tot groepen of toepassingen bekijken.

  3. Wanneer alle beoordelaars feedback hebben gegeven, kunt u de toegangsbeoordeling stoppen en de wijzigingen toepassen. Zie Een toegangsbeoordeling van groepen of toepassingen voltooien voor meer informatie.

Vraag gasten om hun behoefte aan toegang te controleren, in het algemeen

In sommige organisaties zijn gasten mogelijk niet op de hoogte van hun groepslidmaatschappen.

Notitie

Eerdere versies van de portal hebben geen beheerderstoegang door gebruikers met het UserType of Guest toestaan. In sommige gevallen heeft een beheerder in uw directory mogelijk de userType-waarde van een gast gewijzigd in Lid met behulp van PowerShell. Als deze wijziging eerder in uw directory is opgetreden, bevat de vorige query mogelijk niet alle gastgebruikers die historisch beheerderstoegangsrechten hadden. In dit geval moet u het usertype van de gast wijzigen of de gast handmatig opnemen in het groepslidmaatschap.

  1. Maak een beveiligingsgroep in Microsoft Entra-id met de gasten als leden, als er nog geen geschikte groep bestaat. U kunt bijvoorbeeld een groep maken met een handmatig onderhouden lidmaatschap van gasten. U kunt ook een dynamische groep maken met een naam zoals 'Gasten van Contoso' voor gebruikers in de Contoso-tenant die de waarde userType-kenmerk gast hebben. Voor efficiƫntie moet u ervoor zorgen dat de groep voornamelijk gasten is. Selecteer geen groep met lidgebruikers, omdat ledengebruikers niet hoeven te worden beoordeeld. Houd er ook rekening mee dat een gastgebruiker die lid is van de groep de andere leden van de groep kan zien.

  2. Als u een toegangsbeoordeling voor die groep wilt maken, selecteert u de revisoren die de leden zelf zijn. Zie Een toegangsbeoordeling maken van groepen of toepassingen voor meer informatie.

  3. Vraag elke gast om hun eigen lidmaatschap te controleren. Standaard ontvangt elke gast die een uitnodiging heeft geaccepteerd een e-mail van Microsoft Entra ID met een koppeling naar de toegangsbeoordeling in het toegangsvenster van uw organisatie. Microsoft Entra ID bevat instructies voor gasten over het controleren van toegang tot groepen of toepassingen. De gasten die hun uitnodiging niet hebben geaccepteerd, worden weergegeven in de beoordelingsresultaten als 'Niet gewaarschuwd'.

  4. Nadat de revisoren invoer hebben gegeven, stopt u de toegangsbeoordeling. Zie Een toegangsbeoordeling van groepen of toepassingen voltooien voor meer informatie.

  5. U kunt de gastgebruikers Microsoft Entra B2B-accounts automatisch verwijderen als onderdeel van een toegangsbeoordeling wanneer u een toegangsbeoordeling configureert voor Team + Groepen selecteren. Deze optie is niet beschikbaar voor alle Microsoft 365-groepen met gastgebruikers.

Screenshot showing page to create access review.

Als u dit wilt doen, selecteert u Automatisch resultaten toepassen op de resource , omdat hiermee de gebruiker automatisch uit de resource wordt verwijderd. Als revisor niet reageert , moet worden ingesteld op Toegang verwijderen en Actie die van toepassing is op geweigerde gastgebruikers , moet ook worden ingesteld op Blokkeren van aanmelden gedurende 30 dagen, waarna de gebruiker uit de tenant wordt verwijderd.

Hierdoor wordt aanmelding bij het gastgebruikersaccount onmiddellijk geblokkeerd en wordt het Microsoft Entra B2B-account na 30 dagen automatisch verwijderd.

Volgende stappen