Toestemming van gebruiker en beheerder in Microsoft Entra-id

  • Artikel

In dit artikel leert u de basisconcepten en -scenario's rond toestemming van gebruikers en beheerders in Microsoft Entra ID.

Toestemming is een proces waarbij gebruikers machtigingen kunnen verlenen voor een toepassing om toegang te krijgen tot een beveiligde resource. Om het vereiste toegangsniveau aan te geven, vraagt een toepassing de API-machtigingen aan die nodig zijn. Een toepassing kan bijvoorbeeld de machtiging aanvragen om het profiel van een aangemelde gebruiker te zien en de inhoud van het postvak van de gebruiker te lezen.

Toestemming kan op verschillende manieren worden gestart. Gebruikers kunnen bijvoorbeeld om toestemming worden gevraagd wanneer ze zich voor het eerst proberen aan te melden bij een toepassing. Afhankelijk van de machtigingen die ze nodig hebben, is voor sommige toepassingen mogelijk een beheerder vereist die toestemming verleent.

Een gebruiker kan een toepassing machtigen om toegang te krijgen tot bepaalde gegevens in de beveiligde resource, terwijl deze als die gebruiker fungeert. De machtigingen die dit type toegang toestaan, worden 'gedelegeerde machtigingen' genoemd.

Gebruikerstoestemming wordt meestal gestart wanneer een gebruiker zich aanmeldt bij een toepassing. Nadat de gebruiker aanmeldingsreferenties heeft opgegeven, wordt gecontroleerd of er al toestemming is verleend. Als er geen vorige record van gebruikers- of beheerderstoestemming voor de vereiste machtigingen bestaat, wordt de gebruiker omgeleid naar het toestemmingspromptvenster om de toepassing de aangevraagde machtigingen te verlenen.

Gebruikerstoestemming door niet-beheerders is alleen mogelijk in organisaties waarvoor gebruikerstoestemming is toegestaan voor de toepassing en voor de set machtigingen die de toepassing vereist. Als gebruikerstoestemming is uitgeschakeld of als gebruikers geen toestemming mogen geven voor de aangevraagde machtigingen, worden ze niet om toestemming gevraagd. Als gebruikers toestemming mogen geven en ze de aangevraagde machtigingen accepteren, wordt de toestemming vastgelegd en hoeven ze meestal niet opnieuw toestemming te geven voor toekomstige aanmeldingen bij dezelfde toepassing.

Gebruikers hebben controle over hun gegevens. Een bevoegde Beheer istrator kan configureren of niet-beheerders gebruikers toestemming mogen geven voor een toepassing. Deze instelling kan rekening houden met aspecten van de toepassing en de uitgever van de toepassing en de machtigingen die worden aangevraagd.

Als beheerder kunt u kiezen of gebruikerstoestemming is toegestaan. Als u ervoor kiest om toestemming van gebruikers toe te staan, kunt u ook kiezen aan welke voorwaarden moet worden voldaan voordat een toepassing kan worden toegestaan door een gebruiker.

Door te kiezen welke beleidsregels voor toepassingstoestemming voor alle gebruikers van toepassing zijn, kunt u limieten instellen voor wanneer gebruikers toestemming mogen verlenen aan toepassingen en wanneer ze verplicht zijn om beheerdersbeoordeling en goedkeuring aan te vragen. Het Microsoft Entra-beheercentrum biedt de volgende ingebouwde opties:

  • U kunt gebruikerstoestemming uitschakelen. Gebruikers kunnen geen machtigingen verlenen aan toepassingen. Gebruikers blijven zich aanmelden bij toepassingen waarvoor ze eerder toestemming hebben gegeven of aan toepassingen waaraan beheerders namens hen toestemming hebben gegeven, maar ze mogen niet zelf toestemming geven voor nieuwe machtigingen voor toepassingen. Alleen gebruikers die een directoryrol hebben gekregen die de machtiging voor het verlenen van toestemming bevat, kunnen toestemming geven voor nieuwe toepassingen.

  • Gebruikers kunnen toestemming geven voor toepassingen van geverifieerde uitgevers of uw organisatie, maar alleen voor machtigingen die u selecteert. Alle gebruikers kunnen alleen toestemming geven voor toepassingen die zijn gepubliceerd door een geverifieerde uitgever en toepassingen die zijn geregistreerd in uw tenant. Gebruikers kunnen alleen toestemming geven voor de machtigingen die u als lage impact hebt geclassificeerd. U moet machtigingen classificeren om te selecteren voor welke machtigingen gebruikers toestemming mogen geven.

  • Gebruikers kunnen toestemming geven voor alle toepassingen. Met deze optie kunnen alle gebruikers toestemming geven voor machtigingen waarvoor geen beheerderstoestemming is vereist voor elke toepassing.

Voor de meeste organisaties is een van de ingebouwde opties geschikt. Sommige geavanceerde klanten willen mogelijk meer controle over de voorwaarden die bepalen wanneer gebruikers toestemming mogen geven. Deze klanten kunnen aangepast app-toestemmingsbeleid maken en deze beleidsregels configureren om toe te passen op gebruikerstoestemming.

Tijdens beheerderstoestemming kan een bevoegde Beheer istrator een toepassingstoegang verlenen namens andere gebruikers (meestal namens de hele organisatie). Ook tijdens beheerderstoestemming bieden toepassingen of services directe toegang tot een API, die door de toepassing kan worden gebruikt als er geen aangemelde gebruiker is. De specifieke rol die nodig is om beheerderstoestemming te verlenen, verschilt op basis van de aangevraagde machtigingen, die worden beschreven in het artikel met beheerderstoestemming .

Wanneer uw organisatie een licentie of abonnement voor een nieuwe toepassing koopt, wilt u de toepassing proactief instellen, zodat alle gebruikers in de organisatie deze kunnen gebruiken. Om te voorkomen dat gebruikerstoestemming nodig is, kan een beheerder namens alle gebruikers in de organisatie toestemming verlenen voor de toepassing.

Nadat een beheerder namens de organisatie beheerderstoestemming heeft verleend, worden gebruikers meestal niet om toestemming voor die toepassing gevraagd. In bepaalde gevallen kan een gebruiker worden gevraagd om toestemming, zelfs nadat toestemming is verleend door een beheerder. Een voorbeeld hiervan is als een toepassing een andere machtiging aanvraagt die de beheerder nog niet heeft verleend.

Het verlenen van beheerderstoestemming namens een organisatie is een gevoelige bewerking, waardoor de uitgever van de toepassing mogelijk toegang heeft tot aanzienlijke delen van de gegevens van de organisatie of de machtiging om bewerkingen met hoge bevoegdheden uit te voeren. Voorbeelden van dergelijke bewerkingen zijn mogelijk rolbeheer, volledige toegang tot alle postvakken of alle sites en volledige gebruikersimitatie.

Voordat u beheerderstoestemming voor de hele tenant verleent, moet u ervoor zorgen dat u de toepassing en de uitgever van de toepassing vertrouwt voor het toegangsniveau dat u verleent. Als u niet zeker weet wie de toepassing beheert en waarom de toepassing de machtigingen aanvraagt, verleent u geen toestemming.

Zie Een aanvraag voor beheerderstoestemming voor de hele tenant evalueren voor stapsgewijze instructies voor het verlenen van toestemming van een toepassingsbeheerder.

Zie Beheerderstoestemming voor de hele tenant verlenen aan een toepassing voor stapsgewijze instructies voor het verlenen van beheerderstoestemming voor de hele tenant vanuit het Microsoft Entra-beheercentrum.

In plaats van toestemming te verlenen voor een hele organisatie, kan een beheerder ook de Microsoft Graph API gebruiken om toestemming te verlenen aan gedelegeerde machtigingen namens één gebruiker. Zie Toestemming verlenen namens één gebruiker met behulp van PowerShell voor een gedetailleerd voorbeeld dat gebruikmaakt van Microsoft Graph PowerShell.

Gebruikerstoegang tot een toepassing beperken

Gebruikerstoegang tot toepassingen kan nog steeds worden beperkt, zelfs wanneer beheerderstoestemming voor de hele tenant is verleend. Configureer de eigenschappen van de toepassing om gebruikerstoewijzing te vereisen om de gebruikerstoegang tot de toepassing te beperken. Zie Methoden voor het toewijzen van gebruikers en groepen voor meer informatie.

Zie Microsoft Entra ID gebruiken voor toegangsbeheer voor toepassingen voor een breder overzicht, waaronder het afhandelen van andere complexe scenario's.

De werkstroom voor beheerderstoestemming biedt gebruikers een manier om beheerderstoestemming aan te vragen voor toepassingen wanneer ze zelf geen toestemming mogen geven. Wanneer de werkstroom voor beheerderstoestemming is ingeschakeld, krijgen gebruikers een venster 'Goedkeuring vereist' te zien voor het aanvragen van goedkeuring door de beheerder voor toegang tot de toepassing.

Nadat gebruikers de beheerderstoestemmingsaanvraag hebben ingediend, ontvangen de beheerders die zijn aangewezen als revisoren een melding. De gebruikers worden op de hoogte gesteld nadat een revisor heeft gereageerd op hun verzoek. Zie de werkstroom voor beheerderstoestemming configureren voor stapsgewijze instructies voor het configureren van de werkstroom voor beheerderstoestemming met behulp van het Microsoft Entra-beheercentrum.

Nadat de werkstroom voor beheerderstoestemming is ingeschakeld, kunnen gebruikers beheerdersgoedkeuring aanvragen voor een toepassing waarvoor ze niet gemachtigd zijn om toestemming te geven. Dit zijn de stappen in het proces:

  1. Een gebruiker probeert zich aan te melden bij de toepassing.
  2. Er wordt een goedkeuringsbericht weergegeven. De gebruiker typt een reden voor toegang tot de toepassing en selecteert vervolgens Goedkeuring aanvragen.
  3. Een verzonden aanvraag bevestigt dat de aanvraag is ingediend bij de beheerder. Als de gebruiker meerdere aanvragen verzendt, wordt alleen de eerste aanvraag naar de beheerder verzonden.
  4. De gebruiker ontvangt een e-mailmelding wanneer de aanvraag is goedgekeurd, geweigerd of geblokkeerd.

Volgende stappen