Delen via

Implementatiehandleiding voor Microsoft Entra ID Governance voor het toewijzen van werknemerstoegang

  • Artikel

Implementatiescenario's zijn richtlijnen voor het combineren en testen van Microsoft Security-producten en -services. Ontdek hoe mogelijkheden samenwerken om de productiviteit te verbeteren, de beveiliging te versterken en gemakkelijker te voldoen aan nalevings- en regelgevingsvereisten.

De volgende producten en services worden weergegeven in deze handleiding:

Gebruik dit scenario om te bepalen of Microsoft Entra ID Governance nodig is om toegang te maken en toegang te verlenen voor uw organisatie. Meer informatie over hoe u de ervaring van werknemers kunt vereenvoudigen met geautomatiseerde werkstromen, toegangstoewijzingen, toegangsbeoordelingen en vervaldatum.

Tijdlijnen

Tijdlijnen tonen geschatte duur van de leveringsfase en zijn gebaseerd op scenariocomplexiteit. Tijden zijn schattingen en variƫren afhankelijk van de omgeving.

  1. Rechtenbeheer - 1 uur
  2. Beleid voor automatische toewijzing - 1 uur
  3. Aangepaste extensies - 2 uur
  4. Toegangsbeoordelingen - 2 uur

Toegangsaanvragen: werkstromen en goedkeuringen

Rechtenbeheer is een functie voor identiteitsbeheer om de toegang van werknemers tot resources te beheren. Automatiseer werkstromen voor toegangsaanvragen, toegangstoewijzingen, toegangsbeoordelingen en vervaldatum. Gebruikers toegang tot zelfbedieningsbronnen laten aanvragen. Hiervoor definieert u selfservicebeleid en werkstroom:

  • Werkstromen voor goedkeuring in meerdere fasen inschakelen, scheiding van taken afdwingen en terugkerende hercertificering van toegang
  • Aangepaste werkstromen gebruiken voor levenscyclusbeheer van toegang met Azure Logic Apps
  • Tijdgebonden toegang configureren

Implementeer rechtenbeheer

  1. Ga naar Een toegangspakket maken in rechtenbeheer.
  2. Gebruik de instructies om een toegangspakket te maken.
  3. Maak een beleid voor automatische toewijzing.

Scheiding van taken

In rechtenbeheer kunt u beleid configureren voor gebruikersgroepen en toegangspakketten. Omgekeerd kunt u met scheiding van taken aanvragen uitschakelen als een gebruiker is toegewezen aan andere toegangspakketten of als de gebruiker lid is van een incompatibele groep. Rapporten genereren van gebruikers met incompatibele toegangsrechten. Waarschuwingen maken wanneer gebruikers toegang krijgen tot toepassingen.

U kunt leren hoe u de controles voor scheiding van taken instelt voor een toegangspakket.

Een beleid voor automatisch toewijzen maken

In dit gebied van toegangsbeleid verwijst geboorterechttoewijzing naar het automatisch verlenen van resourcetoegang op basis van gebruikerseigenschappen. Het maken van opdrachten werkt op dezelfde manier. Gebruikerseigenschappen komen overeen of komen niet overeen met de lidmaatschapsregels van een beleid. Gebruik regels om de toewijzing van toegangspakketten te bepalen op basis van gebruikerseigenschappen, vergelijkbaar met dynamische groepen. Toewijzingen toevoegen of verwijderen op basis van regelcriteria.

In de volgende schermopname ziet u het dialoogvenster Beleid bewerken, met het tabblad Beleid voor automatisch toewijzen maken .

Schermopname van het tabblad Beleid voor automatische toewijzing maken in het dialoogvenster Beleid bewerken.

Voor meer informatie vindt u meer informatie over groepen en toegangsrechten in Microsoft Entra ID

Zie de volgende video voor meer informatie over beleidstoewijzing.

Aangepaste werkstromen met Azure Logic Apps

Geautomatiseerde werkstromen maken en uitvoeren met Azure Logic Apps, met behulp van de visuele ontwerpfunctie en vooraf gemaakte bewerkingen.

Als u beheerwerkstromen wilt uitbreiden, integreert u Logic Apps met rechtenbeheer:

  • Er wordt een toegangspakketaanvraag gemaakt of goedgekeurd
  • Een toegangspakkettoewijzing wordt toegekend of ingetrokken
  • Veertien dagen voordat een toewijzing van een toegangspakket automatisch verloopt
  • Een dag voordat een toewijzing van een toegangspakket automatisch verloopt

Notitie

Azure-abonnementsbronnen beschikbaar hebben voor planning.

Voorbeelden van aangepaste gebruiksscenario's

  • Aangepaste e-mailmeldingen verzenden
  • Microsoft Teams-melding verzenden
  • Gebruikersgegevens ophalen uit toepassingen
  • Gebruikersgegevens terugschrijven naar externe systemen
  • Een externe web-API aanroepen om acties op externe systemen te activeren
  • Taaksets maken in Microsoft Planner
  • Een tijdelijke toegangspas genereren (TAP)

Aangepaste extensies voor toegangspakketten implementeren

Notitie

Als u aangepaste extensies wilt overwegen, moet u de functionaliteit van Azure Logic Apps begrijpen. Zie de vorige sectie voor meer informatie.

  1. Ga naar Azure Logic Apps activeren met aangepaste extensies in rechtenbeheer.
  2. Gebruik de instructies voor het maken en toevoegen van een aangepaste extensie aan een catalogus.
  3. Bewerk de aangepaste extensie.
  4. Voeg aangepaste extensies toe aan een toegangspakket.

Zie de volgende video voor meer informatie over aangepaste uitbreidingen en toegangspakketten in Microsoft Entra ID Governance.

Hercertificering van Access: Toegangsbeoordelingen

Voor hercertificering van toegang kunt u toegangsrechten controleren met terugkerende toegangsbeoordelingen. Beheer groepslidmaatschap, resourcetoegang en roltoewijzingen, en voldoe ook aan nalevingsvereisten.

Beheerders bepalen het controlebereik en maken vervolgens beoordelingen in toegangsbeoordelingen, Microsoft Entra Enterprise-apps, Privileged Identity Management (PIM) of rechtenbeheer.

Diagram van het maken van een beoordeling voor beheerders.

Het dialoogvenster Nieuwe toegangsbeoordeling wordt weergegeven met het tabblad Beoordelingstype . Zoek opties voor controletype, bereik en andere configuratiedetails.

Revisoren

Beheerders wijzen primaire en terugvalrevisoren toe tijdens het maken van de toegangsbeoordeling. In een e-mailbericht worden revisoren van in behandeling zijnde beoordelingen op de hoogte stellen. U kunt gebruikers toewijzen aan zelfbeoordeling of resource-eigenaren toewijzen om hun resources te controleren. Voor zelfbeoordelingen kunt u bevoegdheden verwijderen als de gebruiker weigert of niet reageert.

Diagram van revisortoewijzingsstappen voor beheerders.

Op het dashboard Mijn toegang worden de goedkeuringen en aanbevelingen van een revisor weergegeven die in behandeling zijn.

Diagram van revisies in behandeling.

Beoordelingen met meerdere fases

Beoordelingen met meerdere fasen verminderen de belasting voor individuele revisoren en helpen bij het bereiken van consensus tussen revisoren. Reservebeoordelaars helpen bij het bepalen van onbeoordeelde beslissingen. De configuratie van de beoordelingsfase omvat het aangeven van het aantal fasen.

Diagram van de toegangstrechter.

Gebruik het dialoogvenster Nieuwe toegangsbeoordeling en het tabblad Beoordelingen om beoordelingsfasen, revisoren, duur en meer te configureren.

Diagram van het dialoogvenster Nieuwe toegangsbeoordeling.

Geautomatiseerde beslissingscriteria

Tijdens de configuratie van de toegangsbeoordeling kunt u verschillende beslissingscriteria aangeven, waaronder hulp van revisoren. Andere opties zijn:

  • Reactie-aanleidingen
  • Account-inactiviteit
  • Vereisten voor reden
  • Waarschuwingen en meldingen

Het dialoogvenster Nieuwe toegangsbeoordeling en het tabblad Instellingen , met opties voor beslissingshulp gemarkeerd.

Schermopname van het dialoogvenster Nieuwe toegangsbeoordeling en het tabblad Instellingen.

Inactieve gebruikersbeoordelingen

Als gebruikers zich niet binnen een bepaalde periode hebben aangemeld bij de tenant, worden ze als inactief beschouwd. Dit gedrag wordt aangepast voor beoordelingen van toepassingstoewijzingen of de laatste activiteit van een gebruiker in een app. Om aan de slag te gaan, definieert u wat inactief betekent voor uw organisatie.

Meer informatie over het detecteren en onderzoeken van inactieve gebruikersaccounts.

Het dialoogvenster Nieuwe toegangsbeoordeling en het tabblad Beoordelingstype , met gemarkeerde opties voor inactiviteit.

Schermopname van het dialoogvenster Nieuwe toegangsbeoordeling en het tabblad Controletype.

Aanbevelingen bekijken

Revisoren kunnen afgeleide aanbevelingen voor machine learning gebruiken om toegangsbeslissingen te nemen. Aanbevelingen detecteren gebruikers-groep affiliatie, op basis van de nabijheid tot de rapportagestructuur. Gebruikers die zich ver van groepsleden bevinden, hebben een lage relatie.

Notitie

Gebruikers-naar-groep-lidmaatschap is beschikbaar voor gebruikers in uw adreslijst. Groepen van meer dan 600 gebruikers worden echter niet ondersteund. Zorg ervoor dat gebruikers een managerkenmerk hebben.

Toegangsbeoordeling voor PIM voor groepen

U kunt gebruikers Just-In-Time-lidmaatschap (JIT) en groepseigendom verlenen met Privileged Identity Management (PIM) voor groepen. Beoordelingen omvatten actieve groepsleden en in aanmerking komende leden.

Meer informatie over het maken van toegangsbeoordelingen voor PIM voor groepen.

Notitie

Toegangsbeoordelingen kunnen maximaal twee jaar inactiviteit bepalen.

Het dialoogvenster Nieuwe toegangsbeoordeling en het dialoogvenster Beoordelingstype met opties voor bereik en meer.

Schermopname van het dialoogvenster 'Nieuwe Toegangsbeoordeling', het tabblad 'Beoordelingstype'.

Rapport van Toegangsbeoordelingsgeschiedenis

Met toegangsbeoordelingen kunnen geautoriseerde gebruikers downloadbare beoordelingsgeschiedenisrapporten maken voor meer inzicht in revisorbeslissingen, tijdsbestekken en meer. Gebruik filters om beoordelingstypen en resultaten op te nemen.

Het dialoogvenster Identiteitsbeheer, in het gebied Beoordelingsgeschiedenis, met de optie Beoordelingsgeschiedenis gemarkeerd.

Toegangsbeoordelingen implementeren

  1. Plan een implementatie van Microsoft Entra-toegangsbeoordeling.
  2. Maak een toegangsbeoordeling van PIM voor groepen.
  3. Voltooi een toegangsbeoordeling van Azure-resource- en Microsoft Entra ID-rollen in PIM.
  4. Maak een toegangsbeoordeling van een toegangspakket in rechtenbeheer.

Aangepaste rapporten maken met Azure Data Explorer

U kunt aangepaste rapporten genereren. Exporteer gegevens van Microsoft Entra ID naar Azure Data Explorer en gebruik KQL (Kusto Query Language) om op maat gemaakte weergaven te maken. U kunt rechtengegevens analyseren, inzichten aanpassen en identiteitsbeheerrapportage optimaliseren. In de volgende video leert u hoe u aangepaste rapporten maakt met Azure Data Explorer:

Toegangspakketten aanvragen

Beheerders gebruiken de Mijn Toegang portal om toegang te configureren en voor gebruikers om toegang (aanvragers) tot resources te controleren of aan te vragen. In de portal Mijn toegang kunnen goedkeurders antwoorden wijzigen die door aanvragers zijn ingediend.

Meer informatie over het aanvragen van een toegangspakket.

Volgende stappen