Lezen in het Engels

Delen via

Meer informatie over groepstypen, lidmaatschapstypen en toegangsbeheer

  • Artikel

Microsoft Entra ID biedt verschillende manieren om de toegang tot resources, toepassingen en taken te beheren. Met Microsoft Entra-groepen kunt u toegang en machtigingen verlenen aan een groep gebruikers in plaats van aan elke afzonderlijke gebruiker. Het beperken van de toegang tot Microsoft Entra-resources tot alleen gebruikers die toegang nodig hebben, is een van de belangrijkste beveiligingsprincipes van Zero Trust.

Dit artikel bevat een overzicht van hoe groepen en toegangsrechten samen kunnen worden gebruikt om het beheer van uw Microsoft Entra-gebruikers eenvoudiger te maken, terwijl ook aanbevolen beveiligingsprocedures worden toegepast.

Notitie

Sommige groepen kunnen niet worden beheerd in Azure Portal of het Microsoft Entra-beheercentrum.

  • Groepen die vanuit on-premises Active Directory worden gesynchroniseerd, kunnen alleen on-premises worden beheerd.
  • Distributielijsten en beveiligingsgroepen met e-mail kunnen alleen worden beheerd in het Exchange-beheercentrum of het Microsoft 365-beheercentrum. U moet zich aanmelden en over de juiste machtigingen beschikken voor dat beheercentrum om deze groepen te beheren.

Overzicht van Microsoft Entra-groepen

Effectief gebruik van groepen kan handmatige taken verminderen, zoals het toewijzen van rollen en machtigingen aan afzonderlijke gebruikers. U kunt rollen toewijzen aan een groep en leden toewijzen aan een groep op basis van hun functie of afdeling. U kunt een beleid voor voorwaardelijke toegang maken dat van toepassing is op een groep en vervolgens het beleid toewijzen aan de groep. Vanwege de mogelijke toepassingen voor groepen is het belangrijk om te begrijpen hoe ze werken en hoe ze worden beheerd.

Groepstypen

U kunt twee typen groepen beheren in het Microsoft Entra-beheercentrum:

  • Beveiligingsgroepen: Wordt gebruikt voor het beheren van de toegang tot gedeelde resources.

    • Leden van een beveiligingsgroep kunnen gebruikers, apparaten, en service principalsbevatten.
    • Groepen kunnen lid zijn van andere groepen, ook wel geneste groepen genoemd. Zie opmerking.
    • Gebruikers en service-principals kunnen de eigenaar van een beveiligingsgroep zijn.

  • Microsoft 365-groepen: Mogelijkheden voor samenwerking bieden.

    • Leden van een Microsoft 365-groep kunnen alleen gebruikers bevatten.
    • Gebruikers en service-principals kunnen eigenaar zijn van een Microsoft 365-groep.
    • Personen buiten uw organisatie kunnen lid zijn van een groep.
    • Voor meer informatie, zie Meer informatie over Microsoft 365 Groepen.

Notitie

Wanneer u een bestaande beveiligingsgroep nestt in een andere beveiligingsgroep, hebben alleen leden in de bovenliggende groep toegang tot gedeelde resources en toepassingen. Zie Groepen beheren voor meer informatie over het beheren van geneste groepen.

Lidmaatschapstypen

  • Toegewezen groepen: Hiermee kunt u specifieke gebruikers toevoegen als leden van een groep en unieke machtigingen hebben.
  • dynamische lidmaatschapsgroep voor gebruikers: Hiermee kunt u regels gebruiken om gebruikers automatisch toe te voegen en te verwijderen als leden. Als de kenmerken van een lid worden gewijzigd, kijkt het systeem naar uw regels voor dynamische lidmaatschapsgroepen voor de directory. Het systeem controleert of het lid voldoet aan de regelvereisten (wordt toegevoegd) of niet meer voldoet aan de regelsvereisten (wordt verwijderd).
  • dynamische lidmaatschapsgroep voor apparaten: Hiermee kunt u regels gebruiken om apparaten automatisch toe te voegen en te verwijderen als leden. Als de kenmerken van een apparaat veranderen, kijkt het systeem naar uw regels voor dynamische lidmaatschapsgroepen voor de directory om te zien of het apparaat voldoet aan de regelvereisten (wordt toegevoegd) of niet meer voldoet aan de regelsvereisten (wordt verwijderd).

Belangrijk

U kunt een dynamische groep voor apparaten of gebruikers, maar niet voor beide maken. Het is evenmin mogelijk om een apparaatgroep te maken op basis van kenmerken van de apparaateigenaren. Regels voor apparaatlidmaatschap kunnen alleen verwijzen naar apparaatkenmerken. Zie Een dynamische groep makenvoor meer informatie.

Toegangsbeheer

Microsoft Entra ID helpt u toegang te geven tot de resources van uw organisatie door toegangsrechten te verlenen aan één gebruiker of groep. Met behulp van groepen kan de eigenaar van de resource of microsoft Entra-directory-eigenaar een set toegangsmachtigingen toewijzen aan alle leden van de groep. De eigenaar van de resource of directory kan ook groepsbeheerrechten verlenen aan iemand zoals een afdelingsmanager of een helpdeskbeheerder, waarmee die persoon leden kan toevoegen en verwijderen. Zie het artikel Groepen beheren voor meer informatie over het beheren van groepseigenaren.

De resources waartoe Microsoft Entra-groepen toegang kunnen beheren, zijn:

  • Onderdeel van uw Microsoft Entra-organisatie, zoals machtigingen voor het beheren van gebruikers, toepassingen, facturering en andere objecten.
  • Buiten uw organisatie, zoals SaaS-apps (Software as a Service) die niet van Microsoft zijn.
  • Azure-services
  • SharePoint-sites
  • On-premises resources

Elke toepassing, resource en service waarvoor toegangsmachtigingen zijn vereist, moeten afzonderlijk worden beheerd, omdat de machtigingen voor de ene mogelijk niet hetzelfde zijn als een andere. Verken toegang met behulp van het principe van minimale bevoegdheden om het risico op aanvallen of een beveiligingsschending te verminderen.

Toewijzingstypen

Nadat u een groep hebt gemaakt, moet u beslissen hoe u de toegang ervan beheert.

  • Directe toewijzing. De resource-eigenaar wijst de gebruiker rechtstreeks toe aan de resource.

  • Groepstoewijzing. De resource-eigenaar wijst een Microsoft Entra-groep toe aan de resource, waardoor alle groepsleden automatisch toegang krijgen tot de resource. Zowel de groepseigenaar als de resource-eigenaar beheren het groepslidmaatschap, zodat eigenaar leden aan de groep kan toevoegen of verwijderen. Zie het artikel Beheerde groepen voor meer informatie over het beheren van groepslidmaatschap.

  • Regelgebaseerde toewijzing. De resource-eigenaar maakt een groep en gebruikt een regel om te definiëren welke gebruikers aan een specifieke resource worden toegewezen. De regel is gebaseerd op kenmerken die zijn toegewezen aan afzonderlijke gebruikers. De resource-eigenaar beheert de regel en bepaalt welke kenmerken en waarden vereist zijn om toegang tot de resource toe te staan. Zie Een dynamische groep makenvoor meer informatie.

  • Toewijzing van externe instantie. Toegang is afkomstig van een externe bron, zoals een on-premises directory of een SaaS-app. In dit geval wijst de resource-eigenaar een groep toe om toegang tot de resource te bieden, waarna de externe bron de leden van de groep beheert.

Aanbevolen procedures voor het beheren van groepen in de cloud

Hier volgen de aanbevolen procedures voor het beheren van groepen in de cloud:

  • Selfservicegroepsbeheer inschakelen: Gebruikers toestaan om groepen te zoeken en eraan deel te nemen of hun eigen Microsoft 365-groepen te maken en te beheren.
    • Stelt teams in staat zichzelf te organiseren terwijl de administratieve lasten voor IT worden verminderd.
    • Pas een groepsnaambeleid toe om het gebruik van beperkte woorden te blokkeren en consistentie te garanderen.
    • Voorkomen dat inactieve groepen blijven hangen door verloopbeleid voor groepen in te schakelen, waardoor ongebruikte groepen automatisch worden verwijderd na een opgegeven periode, tenzij deze worden verlengd door een groepseigenaar.
    • Stel groepen zo in dat ze automatisch alle gebruikers accepteren die lid worden, of goedkeuring vereisen.
    • Zie Selfservicegroepsbeheer instellen in Microsoft Entra IDvoor meer informatie.
  • Gebruik vertrouwelijkheidslabels: Vertrouwelijkheidslabels gebruiken om Microsoft 365-groepen te classificeren en te beheren op basis van hun beveiligings- en nalevingsbehoeften.
  • Lidmaatschap automatiseren met dynamische groepen: dynamische lidmaatschapsregels implementeren om gebruikers en apparaten automatisch toe te voegen aan of te verwijderen uit groepen op basis van kenmerken zoals afdeling, locatie of functie.
    • Minimaliseert handmatige updates en vermindert het risico dat de toegang blijft hangen.
    • Deze functie is van toepassing op Microsoft 365-groepen en -beveiligingsgroepen.
  • periodieke toegangsbeoordelingen uitvoeren: Gebruik de mogelijkheden van Microsoft Entra Identity Governance om regelmatige toegangsbeoordelingen te plannen.
  • Lidmaatschap beheren met toegangspakketten: Toegangspakketten maken met Microsoft Entra Identity Governance om het beheer van meerdere groepslidmaatschappen te stroomlijnen. Toegangspakketten kunnen:
    • Goedkeuringswerkstromen voor lidmaatschap opnemen
    • Criteria definiëren voor het verlopen van toegang
    • Een gecentraliseerde manier bieden om toegang te verlenen, te beoordelen en in te trekken in groepen en toepassingen
    • Zie Een toegangspakket maken in rechtenbeheer voor meer informatie
  • Meerdere groepseigenaren toewijzen: Wijs ten minste twee eigenaren toe aan een groep om continuïteit te garanderen en afhankelijkheden van één persoon te verminderen.
  • Licenties op basis van groepen gebruiken: groepslicenties vereenvoudigt het inrichten van gebruikers en zorgt voor consistente licentietoewijzingen.
  • Op rollen gebaseerd toegangsbeheer (RBAC) afdwingen: Rollen toewijzen om te bepalen wie groepen kan beheren.

Verwante inhoud