Delen via

Controlemechanismen voor scheiding van taken configureren voor een toegangspakket in rechtenbeheer

  • Artikel

In rechtenbeheer kunt u meerdere beleidsregels configureren, met verschillende instellingen voor elke gebruikerscommunity die toegang nodig heeft via een toegangspakket. Werknemers hebben bijvoorbeeld alleen goedkeuring van de manager nodig om toegang te krijgen tot bepaalde apps, maar gasten die afkomstig zijn van andere organisaties, kunnen vereisen dat zowel een sponsor als een afdelingsmanager van het resourceteam goedkeurt. In een beleid voor gebruikers die zich al in de directory bevinden, kunt u een bepaalde groep gebruikers opgeven die toegang kan aanvragen. U kunt echter een vereiste hebben om te voorkomen dat een gebruiker overmatige toegang krijgt. Om aan deze vereiste te voldoen, wilt u verder beperken wie toegang kan aanvragen op basis van de toegang die de aanvrager al heeft.

Met de scheiding van taakinstellingen voor een toegangspakket kunt u configureren dat een gebruiker die lid is van een beveiligingsgroep of die al een toewijzing aan het ene toegangspakket heeft, geen ander toegangspakket kan aanvragen.

Ervaring in Mijn toegang bij aanvragen van incompatibele toegang

Scenario's voor controle op scheiding van taken

U hebt bijvoorbeeld een toegangspakket, Marketingcampagne, waartoe personen in uw organisatie en andere organisaties toegang kunnen aanvragen, om te werken met de marketingafdeling van uw organisatie terwijl die campagne loops. Aangezien werknemers van de marketingafdeling al toegang moeten hebben tot dat marketingcampagnemateriaal, wilt u niet dat werknemers van de marketingafdeling toegang tot dat toegangspakket aanvragen. U kunt ook al een dynamische lidmaatschapsbeveiligingsgroep hebben, medewerkers van de afdeling Marketing, met alle marketingmedewerkers erin. U kunt aangeven dat het toegangspakket niet compatibel is met de dynamische lidmaatschapsgroep. Als een medewerker van een marketingafdeling dan op zoek is naar een toegangspakket om aan te vragen, kan deze geen toegang aanvragen tot het toegangspakket Marketingcampagne.

Op dezelfde manier kunt u een toepassing hebben met twee app-rollen, Western Sales en Eastern Sales, die verkoopregio's vertegenwoordigen en u ervoor wilt zorgen dat een gebruiker slechts één verkoopgebied tegelijk kan hebben. Als u twee toegangspakketten hebt, één toegangspakket Western Territory met de rol Western Sales en het andere toegangspakket Eastern Territory dat de rol Eastern Sales geeft, kunt u het volgende configureren:

  • het toegangspakket Westelijk gebied heeft het pakket Oostelijk gebied als incompatibel, en
  • het toegangspakket Oostelijk gebied heeft het pakket Westelijk gebied als incompatibel.

Als u Microsoft Identity Manager of andere on-premises identiteitsbeheersystemen hebt gebruikt voor het automatiseren van toegang voor on-premises apps, kunt u deze systemen ook integreren met rechtenbeheer. Als u de toegang tot geïntegreerde Microsoft Entra-apps beheert via rechtenbeheer en wilt voorkomen dat gebruikers incompatibele toegang hebben, kunt u configureren dat een toegangspakket niet compatibel is met een beveiligingsgroep. Dit kan een AD-beveiligingsgroep zijn, die uw on-premises identiteitsbeheersysteem via Microsoft Entra Connect naar Microsoft Entra ID verzendt. Deze controle zorgt ervoor dat een gebruiker geen toegangspakket kan aanvragen als dat toegangspakket toegangspakket geeft dat niet compatibel is met toegang die de gebruiker in on-premises apps heeft.

Vereisten

Als u rechtenbeheer wilt gebruiken en gebruikers wilt toewijzen aan toegangspakketten, moet u een van de volgende licenties hebben:

  • Microsoft Entra ID P2 of Microsoft Entra ID Governance
  • Licentie voor Enterprise Mobility + Security (EMS) E5

Een ander toegangspakket of groepslidmaatschap configureren als incompatibel voor het aanvragen van toegang tot een toegangspakket

Volg deze stappen om de lijst van incompatibele groepen of andere toegangspakketten te wijzigen voor een bestaand toegangspakket:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Aanbeveling

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en access-pakketbeheer.

  2. Blader naar ID-beheer>Rechtenbeheer>Toegangspakket.

  3. Open op de pagina Access-pakketten het toegangspakket dat gebruikers aanvragen.

  4. Selecteer de optie Scheiding van taken in het menu links.

  5. De lijst op het tabblad Incompatibele toegangspakketten is van andere toegangspakketten. Als een gebruiker al een toewijzing aan een toegangspakket in die lijst heeft, mag deze gebruiker dit toegangspakket niet aanvragen.

  6. Als u wilt voorkomen dat gebruikers die al een andere toegangspakkettoewijzing hebben dit toegangspakket aanvragen, selecteer dan Toegangspakket toevoegen en selecteer het toegangspakket waaraan de gebruiker al is toegewezen. Dat toegangspakket wordt vervolgens toegevoegd aan de lijst met toegangspakketten op het tabblad Niet-compatibele toegangspakketten .

    Configuratie van incompatibele toegangspakketten

  7. Als u wilt voorkomen dat gebruikers met een bestaand groepslidmaatschap dit toegangspakket aanvragen, selecteert u Groep toevoegen en selecteert u de groep waarvoor de gebruiker al is ingeschakeld. Deze groep wordt vervolgens toegevoegd aan de lijst met groepen op het tabblad Incompatibele groepen .

  8. Als u wilt dat de gebruikers die aan dit toegangspakket zijn toegewezen, dat toegangspakket niet kan aanvragen, omdat elke niet-compatibele toegangspakketrelatie unidirectioneel is, wijzigt u dit toegangspakket en voegt u dit toegangspakket toe als niet compatibel. U wilt bijvoorbeeld dat gebruikers met het toegangspakket Westelijk Gebied geen toegangspakket voor het Oostelijk Gebied kunnen aanvragen, en gebruikers met het toegangspakket Oostelijk Gebied geen toegangspakket voor het Westelijk Gebied kunnen aanvragen. Als u eerst op het toegangspakket westelijk gebied het toegangspakket oostelijk gebied als incompatibel hebt toegevoegd, wijzig dan vervolgens het toegangspakket oostelijk gebied en voeg het toegangspakket westelijk gebied toe als niet compatibel.

Programmatisch incompatibele toegangspakketten configureren via Graph

U kunt de groepen en andere toegangspakketten configureren die niet compatibel zijn met een toegangspakket met behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All machtiging of een toepassing met de EntitlementManagement.ReadWrite.All toepassingsmachtiging kan de API aanroepen om de incompatibele groepen en toegangspakketten van een toegangspakket toe te voegen, te verwijderen en weer te geven.

Incompatibele toegangspakketten configureren via Microsoft PowerShell

U kunt ook de groepen en andere toegangspakketten configureren die niet compatibel zijn met een toegangspakket in PowerShell met de cmdlets uit de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 1.16.0 of hoger.

Dit volgende script illustreert het gebruik van het v1.0 profiel van Graph om een relatie te maken om een ander toegangspakket aan te geven als niet compatibel.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$otherapid = "11112222-bbbb-3333-cccc-4444dddd5555"

$params = @{
   "@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $otherapid
}
New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $apid -BodyParameter $params

Andere toegangspakketten weergeven die zijn geconfigureerd als incompatibel met deze

Volg deze stappen om de lijst van andere toegangspakketten weer te geven waarvan is aangegeven dat ze incompatibel zijn met een bestaand toegangspakket:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Aanbeveling

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en access-pakketbeheer.

  2. Blader naar ID-beheer>Rechtenbeheer>Toegangspakket.

  3. Open het toegangspakket op de pagina Access-pakketten.

  4. Selecteer de optie Scheiding van taken in het menu links.

  5. Selecteer op Incompatibel met.

Gebruikers identificeren die al incompatibele toegang hebben tot een ander toegangspakket

Als u incompatibele toegangsinstellingen hebt geconfigureerd voor een toegangspakket waaraan al gebruikers zijn toegewezen, kunt u een lijst downloaden met gebruikers die die extra toegang hebben. Gebruikers die ook een toewijzing aan het incompatibele toegangspakket hebben, kunnen geen toegang opnieuw aanvragen.

Volg deze stappen om de lijst weer te geven van gebruikers die zijn toegewezen aan twee toegangspakketten.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Aanbeveling

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en access-pakketbeheer.

  2. Blader naar ID-beheer>Rechtenbeheer>Toegangspakket.

  3. Open op de pagina Access-pakketten het toegangspakket waarin u een ander toegangspakket hebt geconfigureerd als niet compatibel.

  4. Selecteer de optie Scheiding van taken in het menu links.

  5. Als er in de tabel een niet-nulwaarde is in de kolom Aanvullende toegang voor het tweede toegangspakket, wordt aangegeven dat er een of meer gebruikers zijn met toewijzingen.

    Schermopname van een toegangspakket dat is gemarkeerd als niet compatibel met bestaande toegangstoewijzingen.

  6. Selecteer dat aantal om de lijst met incompatibele toewijzingen weer te geven.

  7. Als u wilt, kunt u de knop Downloaden selecteren om die lijst met toewijzingen op te slaan als een CSV-bestand.

Gebruikers identificeren die incompatibele toegang hebben tot een ander toegangspakket

Als u instellingen voor incompatibele toegang configureert voor een toegangspakket waaraan al gebruikers zijn toegewezen, kunnen alle gebruikers die ook zijn toegewezen aan het incompatibele toegangspakket of groepen niet opnieuw toegang aanvragen.

Volg deze stappen om de lijst weer te geven van gebruikers die zijn toegewezen aan twee toegangspakketten.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Aanbeveling

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en access-pakketbeheer.

  2. Blader naar ID-beheer>Rechtenbeheer>Toegangspakket.

  3. Open het toegangspakket waarin u incompatibele toewijzingen configureert.

  4. Selecteer Toewijzingen in het menu links.

  5. Zorg dat in het veld Status de status Geleverd is geselecteerd.

  6. Selecteer de knop Downloaden en sla het resulterende CSV-bestand op als het eerste bestand met een lijst van toewijzingen.

  7. Selecteer id-beheer in de navigatiebalk.

  8. Selecteer in Toegangspakketten in het menu links en open vervolgens het toegangspakket dat u wilt aangeven als incompatibel.

  9. Selecteer Toewijzingen in het menu links.

  10. Zorg dat in het veld Status de status Geleverd is geselecteerd.

  11. Selecteer de knop Downloaden en sla het resulterende CSV-bestand op als het tweede bestand met een lijst van toewijzingen.

  12. Gebruik een spreadsheetprogramma zoals Excel om de twee bestanden te openen.

  13. Gebruikers die in beide bestanden worden vermeld, hebben al bestaande incompatibele toewijzingen.

Programmatisch gebruikers identificeren die al incompatibele toegang hebben

U kunt toewijzingen voor een toegangspakket ophalen met behulp van Microsoft Graph, afgestemd op alleen gebruikers die ook zijn toegewezen aan een ander toegangspakket. Een gebruiker met een administratieve rol met een applicatie die de gedelegeerde machtiging EntitlementManagement.Read.All of EntitlementManagement.ReadWrite.All heeft, kan de API aanroepen om aanvullende toegang op te sommen.

Gebruikers identificeren die al incompatibele toegang hebben met behulp van PowerShell

Om een query uit te voeren op gebruikers die zijn toegewezen aan een toegangspakket, gebruikt u de Get-MgEntitlementManagementAssignment cmdlet vanuit de Microsoft Graph PowerShell-cmdlets voor de module Identity Governance versie 2.1.0 of hoger.

Als u bijvoorbeeld twee toegangspakketten hebt, één met de id 00aa00aa-bb11-cc22-dd33-44ee44ee44ee en de andere met de id 11bb11bb-cc22-dd33-ee44-55ff55ff55ff, kunt u de gebruikers ophalen die zijn toegewezen aan het eerste toegangspakket en deze vervolgens vergelijken met de gebruikers die zijn toegewezen aan het tweede toegangspakket. U kunt ook de gebruikers rapporteren die toewijzingen hebben die zijn geleverd aan beide, met behulp van een PowerShell-script vergelijkbaar met het volgende:

$c = Connect-MgGraph -Scopes "EntitlementManagement.Read.All"

$ap_w_id = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$ap_e_id = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$apa_w_filter = "accessPackage/id eq '" + $ap_w_id + "' and state eq 'Delivered'"
$apa_e_filter = "accessPackage/id eq '" + $ap_e_id + "' and state eq 'Delivered'"
$apa_w = @(Get-MgEntitlementManagementAssignment -Filter $apa_w_filter -ExpandProperty target -All)
$apa_e = @(Get-MgEntitlementManagementAssignment -Filter $apa_e_filter -ExpandProperty target -All)
$htt = @{}; foreach ($e in $apa_e) { if ($null -ne $e.Target -and $null -ne $e.Target.Id) {$htt[$e.Target.Id] = $e} }
foreach ($w in $apa_w) { if ($null -ne $w.Target -and $null -ne $w.Target.Id -and $htt.ContainsKey($w.Target.Id)) { write-output $w.Target.Email } }

Meerdere toegangspakketten configureren voor overschrijvingsscenario's

Als een toegangspakket is geconfigureerd als niet compatibel, kan een gebruiker die is toegewezen aan dat niet-compatibele toegangspakket het toegangspakket niet aanvragen en kan een beheerder geen nieuwe toewijzing maken die incompatibel is.

Als het toegangspakket Productieomgeving bijvoorbeeld het pakket Ontwikkelomgeving als incompatibel heeft gemarkeerd en een gebruiker is toegewezen aan het toegangspakket Ontwikkelomgeving, kan de toegangspakketbeheerder voor Productieomgeving geen toewijzing voor die gebruiker maken aan de Productieomgeving. Om door te gaan met die toewijzing, moet eerst de bestaande toewijzing van de gebruiker aan het toegangspakket Ontwikkelomgeving worden verwijderd.

Als er een uitzonderlijke situatie is waarbij de regels voor taakscheiding mogelijk moeten worden overschreven, dan kan het configureren van een extra toegangspakket dat de gebruikers met overlappende toegangsrechten vastlegt, de uitzonderlijke aard van die toewijzingen duidelijk maken voor de goedkeurders, beoordelaars en auditors.

Als er bijvoorbeeld een scenario is waarin sommige gebruikers gelijktijdig toegang moeten hebben tot zowel productie- als implementatieomgevingen, kunt u een nieuw toegangspakket Productie- en ontwikkelomgeving maken. Als resourcerollen kan dit toegangspakket enkele van de resourcerollen van het toegangspakket Productieomgeving hebben en enkele van de resourcerollen van het toegangspakket Ontwikkelomgeving.

Als de motivatie voor de incompatibele toegang is dat de rollen van een resource problematisch zijn, kan die resource worden weggelaten uit het gecombineerde toegangspakket. In dat geval is expliciete beheerderstoewijzing van een gebruiker aan de rol van de resource vereist. Als dat een toepassing van derden of uw eigen toepassing is, kunt u het toezicht garanderen door deze roltoewijzingen te bewaken met behulp van de werkmap Activiteit van toewijzing van toepassingsrollen die in de volgende sectie wordt beschreven.

Afhankelijk van uw governanceprocessen kan dat gecombineerde toegangspakket als beleid hebben:

  • een direct toewijzingsbeleid, zodat alleen een toegangspakketbeheerder interactie met het toegangspakket heeft, of
  • een gebruiker kan toegangsbeleid aanvragen, zodat een gebruiker kan aanvragen, met mogelijk een extra goedkeuringsfase

Dit beleid kan als levenscyclusinstellingen een kortere verloopperiode in dagen hebben dan een beleid voor andere toegangspakketten, of vaker toegangsbeoordelingen vereisen, met regelmatig toezicht, zodat gebruikers de toegang niet langer behouden dan nodig is.

Toegangsopdrachten bewaken en rapporteren

U kunt Azure Monitor-werkmappen gebruiken om inzicht te krijgen in hoe gebruikers hun toegang hebben verkregen.

  1. Configureer de Microsoft Entra-id om controlegebeurtenissen naar Azure Monitor te verzenden.

  2. In de werkmap genaamd Toegangspakketactiviteit wordt elke gebeurtenis met betrekking tot een bepaald toegangspakket weergegeven.

    Toegangspakketgebeurtenissen weergeven

  3. Om te zien of er wijzigingen zijn in toepassingsroltoewijzingen voor een toepassing die niet zijn gemaakt vanwege toegangspakkettoewijzingen, kunt u de werkmap genaamd Activiteit van toewijzing van toepassingsrollen selecteren. Als u ervoor kiest om rechtenactiviteit weg te laten, worden alleen wijzigingen in toepassingsrollen weergegeven die niet door rechtenbeheer zijn gemaakt. U ziet bijvoorbeeld een rij als een globale beheerder een gebruiker rechtstreeks aan een toepassingsrol had toegewezen.

    App-roltoewijzingen weergeven

Volgende stappen