Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Rechtenbeheer is een functie voor identiteitsbeheer waarmee organisaties de levenscyclus van identiteiten en toegang op schaal kunnen beheren door werkstromen voor toegangsaanvragen, toegangstoewijzingen, beoordelingen en verlooptijd te automatiseren.
Personen in organisaties hebben toegang nodig tot verschillende groepen, toepassingen en SharePoint Online-sites om hun werk uit te voeren. Het beheren van deze toegang is een uitdaging, omdat de vereisten veranderen. Nieuwe applicaties worden toegevoegd of identiteiten hebben meer toegangsrechten nodig. Dit scenario wordt nog complexer wanneer u samenwerkt met externe organisaties. U weet mogelijk niet wie in de andere organisatie toegang nodig heeft tot de resources van uw organisatie en ze weten niet welke toepassingen, groepen of sites uw organisatie gebruikt.
Rechtenbeheer kan je helpen de toegang tot groepen, applicaties en SharePoint Online-sites voor interne identiteiten efficiënter te beheren, en ook voor identiteiten buiten je organisatie die toegang tot die bronnen nodig hebben. Je kunt ook recht beheer in preview gebruiken om groepen, API-rechten en rollen toe te wijzen aan agent-ID's.
Waarom rechtenbeheer gebruiken?
Ondernemingsorganisaties hebben vaak te maken met uitdagingen bij het beheren van personeelstoegang tot resources, zoals:
- Identiteiten weten misschien niet welke toegang zij, hun directe medewerkers of de agenten die zij sponsoren zouden moeten hebben, en zelfs als ze dat wel weten, kunnen ze moeite hebben de juiste personen te vinden om hun toegang goed te keuren
- Zodra de toegang tot middelen is ontdekt en toegewezen, kunnen de identiteiten de toegang langer behouden dan nodig is voor hun zakelijke behoeften
Deze problemen worden versterkt bij identiteiten die toegang nodig hebben van een andere organisatie, zoals externe identiteiten afkomstig van supply chain-organisaties of andere zakenpartners. Voorbeeld:
- Niemand kan alle specifieke personen in de directory's van een andere organisatie kennen om ze uit te nodigen
- Zelfs als ze deze identiteiten konden uitnodigen, zou niemand in die organisatie zich herinneren om alle identiteitstoegang consequent te beheren
Rechtenbeheer kan helpen deze uitdagingen aan te pakken. Om meer te weten te komen over hoe klanten gebruikmaken van entitlement management, kunt u de casestudy's van de Mississippi Division of Medicaid, Storebrand en het Digital Security and Resilience-team bij Microsoft lezen. Deze video biedt een overzicht van rechtenbeheer en welke meerwaarde het biedt:
Wat kan ik doen met rechtenbeheer?
Hier zijn enkele mogelijkheden van rechtenbeheer:
- Bepalen wie toegang kan krijgen tot toepassingen, groepen, Teams, SharePoint-sites, SAP IAG-toegangsrechten en andere resources, met goedkeuring in meerdere fasen en ervoor zorgen dat identiteiten niet voor onbepaalde tijd toegang behouden via tijdgebonden toewijzingen en terugkerende toegangsbeoordelingen.
- Geef identiteiten automatisch toegang tot die bronnen, gebaseerd op identiteitseigenschappen zoals afdeling of kostencentrum, en verwijder de toegang van een identiteit wanneer die eigenschappen veranderen.
- Geef agent-ID's toegang tot benodigde middelen en laat sponsors van de agent-ID's ervoor zorgen dat toegang alleen wordt behouden wanneer dat nodig is.
- Delegeren aan niet-beheerders de mogelijkheid om toegangspakketten te maken. Deze toegangspakketten bevatten resources die identiteiten kunnen opvragen, en de beheerders van gedelegeerde toegangspakketten kunnen beleidsregels definiëren met regels waarvoor identiteiten kunnen opvragen, wie hun toegang moet goedkeuren en wanneer de toegang verloopt.
- Selecteer verbonden organisaties waarvan de identiteiten toegang kunnen aanvragen. Wanneer een identiteit die nog niet in je directory staat toegang aanvraagt en wordt goedgekeurd, wordt hij automatisch uitgenodigd in je directory en krijgt hij toegang toegewezen. Wanneer hun toegang verloopt, en als ze geen andere toegewezen toegangspakketten hebben, dan kan hun B2B-account in uw gebruikerslijst automatisch verwijderd worden.
Notitie
Als u klaar bent om Rechtenbeheer te proberen, kunt u aan de slag met onze zelfstudie om uw eerste toegangspakket te maken.
U kunt ook de veelvoorkomende scenario's lezen of video's bekijken, waaronder
- Rechtenbeheer implementeren in uw organisatie
- Uw gebruik van rechtenbeheer bewaken en schalen
- Delegeren in rechtenbeheer
Wat zijn toegangspakketten en welke resources kan ik ermee beheren?
Rechtenbeheer introduceert het concept van een toegangspakket. Een toegangspakket is een bundel van alle middelen met de toegang die een identiteit nodig heeft om aan een project te werken of zijn taak uit te voeren. Toegangspakketten kunnen worden gebruikt om toegang te regelen voor interne identiteiten, en ook voor identiteiten die van buiten uw organisatie afkomstig zijn.
Hier zijn de soorten bronnen waartoe je de toegang van identiteiten kunt beheren, met entitlement management:
- Lidmaatschap van Microsoft Entra-beveiligingsgroepen
- Lidmaatschap van Microsoft 365-groepen en -teams
- Toewijzing aan Microsoft Entra-bedrijfstoepassingen, waaronder SaaS-toepassingen en aangepaste geïntegreerde toepassingen die ondersteuning bieden voor federatie/eenmalige aanmelding en/of inrichting
- Lidmaatschap van SharePoint Online-sites
- API-permissies, voor agenten met agent-ID's of service principals, in preview als onderdeel van Microsoft Entra Agent ID
- SAP IAG-bedrijfsrollen en andere toegangsrechten, in preview
U kunt ook de toegang tot andere resources beheren die afhankelijk zijn van Microsoft Entra-beveiligingsgroepen of Microsoft 365 Groepen. Voorbeeld:
- Je kunt identiteiten licenties geven voor Microsoft 365 door een Microsoft Entra-beveiligingsgroep in een toegangspakket te gebruiken en groepsgebaseerde licenties voor die groep te configureren.
- Je kunt identiteiten toegang geven om Azure-resources te beheren door een Microsoft Entra-beveiligingsgroep in een toegangspakket te gebruiken en een Azure-roltoewijzing voor die groep aan te maken.
- Je kunt identiteiten toegang geven om Microsoft Entra-rollen te beheren door groepen te gebruiken die aan Microsoft Entra-rollen kunnen worden toegewezen in een toegangspakket en een Microsoft Entra-rol aan die groep toe te wijzen.
Hoe kan ik controleren wie toegang krijgt?
Bij een toegangspakket vermeldt een beheerder of gedelegeerde toegangspakketmanager de resources (groepen, apps en sites, Microsoft Entra-rollen en API-machtigingen) en de rollen die de identiteiten voor die resources nodig hebben.
Toegangspakketten bestaan ook uit een of meer beleidsregels. Een beleid definieert de regels of kaders voor toewijzing aan het toegangspakket. Elk beleid kan worden gebruikt om ervoor te zorgen dat alleen de juiste identiteiten toegangstoewijzingen krijgen, en de toegang is tijdsbeperkt om te verlopen als deze niet wordt verlengd.
Je kunt beleidsregels instellen voor identiteiten om toegang aan te vragen. In dit soort beleid is een beheerder of toegangspakketbeheerder degene die definieert
- Ofwel de reeds bestaande identiteiten (meestal werknemers of reeds uitgenodigde gasten), of de partnerorganisaties van externe identiteiten die in aanmerking komen om toegang te vragen
- Het goedkeuringsproces en de identiteiten die toegang kunnen goedkeuren of weigeren
- De duur van de toegangstoewijzing van een identiteit, eenmaal goedgekeurd, voordat de toewijzing verloopt
Je kunt ook beleidsregels hebben voor identiteiten die toegang krijgen, hetzij door een administrator, automatisch op basis van regels, of via levenscyclusworkflows.
Het volgende diagram toont een voorbeeld van de verschillende elementen in rechtenbeheer. Het toont één catalogus met twee voorbeelden van toegangspakketten.
- Toegangspakket 1 bevat één groep als resource. Toegang wordt gedefinieerd met een beleid dat het mogelijk maakt dat een set identiteiten in de map toegang kan aanvragen.
- Toegangspakket 2 bevat een groep, een toepassing en een SharePoint Online-site als resources. Toegang wordt bepaald door twee verschillende beleidsregels. Het eerste beleid stelt een set identiteiten in de map in staat om toegang aan te vragen. Het tweede beleid stelt identiteiten in een externe map in staat om toegang aan te vragen.
Wanneer moet ik toegangspakketten gebruiken?
Toegangspakketten zijn geen vervanging voor andere mechanismen om toegang toe te wijzen. Ze zijn het meest geschikt in situaties zoals:
- Toegangsbeleidsdefinities migreren van een bedrijfsrolbeheer van derden naar Microsoft Entra-id.
- Identiteiten hebben tijdsbeperkte toegang nodig voor een bepaalde taak. U kunt bijvoorbeeld groepslicenties en een dynamische groep gebruiken om ervoor te zorgen dat alle werknemers een Exchange Online-postvak hebben, en vervolgens toegangspakketten gebruiken voor situaties waarbij werknemers aanvullende toegangsrechten nodig hebben. Bijvoorbeeld rechten om afdelingsresources van een andere afdeling te lezen.
- Toegang waarvoor de goedkeuring van de manager van een persoon of andere aangewezen personen is vereist.
- Toegang die automatisch moet worden toegewezen aan personen in een bepaald deel van een organisatie tijdens hun tijd in die functie, maar ook beschikbaar voor personen elders in de organisatie, of in een organisatie van een zakelijke partner, om dit aan te vragen.
- Afdelingen willen hun eigen toegangsbeleid voor hun resources beheren zonder dat IT hierbij betrokken moet worden.
- Twee of meer organisaties werken samen aan een project, en daardoor moeten meerdere identiteiten van één organisatie via Microsoft Entra B2B worden binnengehaald om toegang te krijgen tot de bronnen van een andere organisatie.
Hoe kan ik toegang delegeren?
Toegangspakketten worden gedefinieerd in containers die catalogussen worden genoemd. U kunt één catalogus hebben voor al uw toegangspakketten, of mensen aanduiden om hun eigen catalogi te maken en beheren. Een beheerder kan resources toevoegen aan elke catalogus, maar een niet-beheerder kan alleen toevoegen aan een catalogus van de resources die ze bezitten. Een cataloguseigenaar kan andere identiteiten toevoegen als catalogusmede-eigenaren of als toegangspakketbeheerders. Deze scenario's worden verder beschreven in het artikel delegering en rollen in rechtenbeheer.
Overzicht van terminologie
Als u meer inzicht wilt krijgen in rechtenbeheer en de bijbehorende documentatie, raadpleeg dan de volgende lijst met termen.
| Termijn | Omschrijving |
|---|---|
| toegangspakket | Een bundel resources die een team of project nodig heeft en die wordt beheerd met beleid. Een toegangspakket bevindt zich altijd in een catalogus. Je zou een nieuw toegangspakket aanmaken voor een scenario waarin identiteiten zelf toegang moeten aanvragen. |
| toegangsaanvraag | Een verzoek om toegang te krijgen tot de resources in een toegangspakket. Een aanvraag verloopt meestal via een goedkeuringsstroom. Indien goedgekeurd, ontvangt de aanvragende identiteit een toegangspakkettoewijzing. |
| toewijzing | Een toewijzing van een toegangspakket aan een identiteit zorgt ervoor dat de identiteit alle resource-rollen van dat toegangspakket heeft. Op de toewijzing van toegangspakketten zit meestal een tijdslimiet. |
| catalogus | Een container met verwante resources en toegangspakketten. Catalogi worden gebruikt voor delegering, zodat niet-beheerders hun eigen toegangspakketten kunnen maken. Eigenaars van een catalogus kunnen resources die ze bezitten toevoegen aan een catalogus. Catalogi kunnen een bevoegdheidsniveaustandard of een catalogus met reguliere resources hebben, of privileged waar deze resources bevat die verhoogde machtigingen verlenen. |
| catalogusmaker | Een verzameling identiteiten die gemachtigd zijn om nieuwe catalogi aan te maken. Wanneer een niet-beheerder identiteit die gemachtigd is om catalogusmaker te zijn een nieuwe catalogus aanmaakt, wordt hij automatisch eigenaar van die catalogus. |
| verbonden organisatie | Een externe Microsoft Entra-directory of -domein waarmee u een relatie hebt. De identiteiten van een verbonden organisatie kunnen in een beleid worden gespecificeerd als toegestaan om toegang aan te vragen. |
| beleid | Een set regels die de toegangslevenscyclus definiëren, zoals hoe identiteiten toegang krijgen, wie kan goedkeuren en hoe lang ze toegang hebben via een toewijzing. Een beleid is gekoppeld aan een toegangspakket. Een toegangspakket kan bijvoorbeeld twee beleidsregels hebben - één voor medewerkers om toegang aan te vragen en een tweede voor externe identiteiten om toegang te vragen. |
| hulpbron | Een asset, zoals een Office-groep, een beveiligingsgroep, een applicatie of een SharePoint Online-site, met een rol waarvoor een identiteit rechten kan krijgen. |
| resourcedirectory | Een directory die een of meer resources bevat om te delen. |
| resourcerol | Een verzameling van machtigingen die horen bij en gedefinieerd zijn door een resource. Een groep heeft twee rollen: lid en eigenaar. SharePoint-sites hebben doorgaans drie rollen, maar kunnen andere aangepaste rollen hebben. Toepassingen kunnen aangepaste rollen hebben. |
Licentievereisten
Voor deze functie zijn Microsoft Entra ID-governance- of Microsoft Entra Suite-abonnementen vereist voor de gebruikers van uw organisatie. Sommige mogelijkheden, binnen deze functie, werken mogelijk met een Microsoft Entra ID P2-abonnement. Zie de artikelen van elke mogelijkheid voor meer informatie. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.
Licentievereisten voor het toewijzen van agenten om toegang te krijgen tot pakketten (preview)
Belangrijk
Microsoft Entra Agent ID maakt deel uit van Microsoft Agent 365, nu beschikbaar in Frontier, het Microsoft Early Access-programma voor de nieuwste AI-innovaties. Zie Microsoft Entra Agent-id voor meer informatie.
Volgende stappen
- Als u geïnteresseerd bent in het Microsoft Entra-beheercentrum om de toegang tot resources te beheren, raadpleegt u zelfstudie: Toegang tot resources beheren - Microsoft Entra.
- Zie Zelfstudie: Toegang tot resources beheren - Microsoft Graph als u Microsoft Graph wilt gebruiken om de toegang tot resources te beheren.
- Algemene scenario's