Delen via


Privileged Identity Management (PIM) voor groepen

Met Microsoft Entra ID kunt u gebruikers Just-In-Time-lidmaatschap en eigendom van groepen verlenen via Privileged Identity Management (PIM) voor groepen. Groepen kunnen worden gebruikt om de toegang tot verschillende scenario's te beheren, waaronder Microsoft Entra-rollen, Azure-rollen, Azure SQL, Azure Key Vault, Intune, andere toepassingsrollen en toepassingen van derden.

Wat is PIM voor groepen?

PIM for Groups maakt deel uit van Microsoft Entra Privileged Identity Management, samen met PIM voor Microsoft Entra-rollen en PIM voor Azure-resources. MET PIM for Groups kunnen gebruikers het eigendom of lidmaatschap van een Microsoft Entra-beveiligingsgroep of Microsoft 365-groep activeren. Groepen kunnen worden gebruikt voor het beheren van toegang tot verschillende scenario's, waaronder Microsoft Entra-rollen, Azure-rollen, Azure SQL, Azure Key Vault, Intune, andere toepassingsrollen en toepassingen van derden.

Met PIM for Groups kunt u beleidsregels gebruiken die vergelijkbaar zijn met beleidsregels die u gebruikt in PIM voor Microsoft Entra-rollen en PIM voor Azure-resources: u kunt goedkeuring vereisen voor lidmaatschap of eigendomsactivering, meervoudige verificatie afdwingen, reden vereisen, maximale activeringstijd beperken en meer. Elke groep in PIM for Groups heeft twee beleidsregels: een voor de activering van lidmaatschap en een andere voor activering van het eigendom in de groep. Tot januari 2023 werd PIM for Groups de functie Privileged Access Groups genoemd.

Notitie

Voor groepen die worden gebruikt voor het verhogen van Microsoft Entra-rollen, raden we u aan een goedkeuringsproces te vereisen voor in aanmerking komende lidtoewijzingen. Toewijzingen die zonder goedkeuring kunnen worden geactiveerd, kunnen u kwetsbaar maken voor een beveiligingsrisico van beheerders met minder bevoegdheden. De helpdeskbeheerder heeft bijvoorbeeld toestemming om de wachtwoorden van een in aanmerking komende gebruiker opnieuw in te stellen.

Wat zijn rollentoewijzingsgroepen van Microsoft Entra?

Wanneer u met Microsoft Entra-id werkt, kunt u een Microsoft Entra-beveiligingsgroep of Microsoft 365-groep toewijzen aan een Microsoft Entra-rol. Dit is alleen mogelijk met groepen die zijn gemaakt als roltoewijsbaar.

Zie Een groep maken die kan worden toegewezen aan rollen in Microsoft Entra voor meer informatie over rollen toewijsbare groepen van Microsoft Entra.

Roltoewijzingsgroepen profiteren van extra beveiligingen vergeleken met niet-roltoewijzingsgroepen:

  • Roltoewijzingsgroepen : alleen de globale beheerder, bevoorrechte rolbeheerder of de groepseigenaar kan de groep beheren. Bovendien kunnen geen andere gebruikers de referenties wijzigen van de gebruikers die (actieve) leden van de groep zijn. Met deze functie voorkomt u dat een beheerder een hogere bevoorrechte rol krijgt zonder een aanvraag- en goedkeuringsprocedure te doorlopen.
  • Niet-roltoewijsbare groepen : verschillende Microsoft Entra-rollen kunnen deze groepen beheren, waaronder Exchange-beheerders, groepsbeheerders, gebruikersbeheerders, enzovoort. Daarnaast kunnen microsoft Entra-rollen de referenties wijzigen van de gebruikers die (actief) lid zijn van de groep, waaronder verificatiebeheerders, helpdeskbeheerders, gebruikersbeheerders, enzovoort.

Zie ingebouwde Microsoft Entra-rollen en hun machtigingen voor meer informatie over ingebouwde Microsoft Entra-rollen.

Microsoft Entra role-assignable group feature is not part of Microsoft Entra Privileged Identity Management (Microsoft Entra PIM). Zie Microsoft Entra ID-governance basisprincipes van licenties voor meer informatie over licenties.

Relatie tussen roltoewijzingsgroepen en PIM voor groepen

Groepen in Microsoft Entra-id kunnen worden geclassificeerd als toewijsbaar voor rollen of niet-roltoewijzing. Daarnaast kan elke groep worden ingeschakeld of niet worden ingeschakeld voor gebruik met Microsoft Entra Privileged Identity Management (PIM) voor groepen. Dit zijn onafhankelijke eigenschappen van de groep. Elke Microsoft Entra-beveiligingsgroep en elke Microsoft 365-groep (behalve dynamische lidmaatschapsgroepen en groepen die zijn gesynchroniseerd vanuit een on-premises omgeving) kan worden ingeschakeld in PIM voor Groepen. De groep hoeft geen roltoewijzingsbare groep te zijn om in PIM voor groepen in te schakelen.

Als u een Microsoft Entra-rol wilt toewijzen aan een groep, moet deze rol kunnen worden toegewezen. Zelfs als u niet van plan bent om een Microsoft Entra-rol toe te wijzen aan de groep, maar de groep toegang biedt tot gevoelige resources, is het nog steeds raadzaam om de groep te maken als toewijsbaar voor rollen. Dit komt door extra beveiligingen die door rollen kunnen worden toegewezen groepen: zie 'Wat zijn microsoft Entra-groepen die kunnen worden toegewezen aan rollen?' in de bovenstaande sectie.

Belangrijk

Tot januari 2023 was het vereist dat elke bevoegde toegangsgroep (voorheen naam voor deze functie PIM voor groepen) roltoewijzingsgroep moest zijn. Deze beperking wordt momenteel verwijderd. Daarom is het nu mogelijk om meer dan 500 groepen per tenant in TE schakelen in PIM, maar maximaal 500 groepen kunnen rollen toewijzen.

Groep gebruikers in aanmerking maken voor de Microsoft Entra-rol

Er zijn twee manieren om een groep gebruikers in aanmerking te laten komen voor de Microsoft Entra-rol:

  1. Maak actieve toewijzingen van gebruikers aan de groep en wijs de groep vervolgens toe aan een rol die in aanmerking komt voor activering.
  2. Maak actieve toewijzing van een rol aan een groep en wijs gebruikers toe om in aanmerking te komen voor groepslidmaatschap.

Als u een groep gebruikers met Just-In-Time-toegang wilt bieden tot Microsoft Entra-rollen met machtigingen in SharePoint, Exchange of Security & Microsoft Purview-nalevingsportal (bijvoorbeeld de rol Exchange-beheerder), moet u actieve toewijzingen van gebruikers aan de groep maken en vervolgens de groep toewijzen aan een rol die in aanmerking komt voor activering (optie 1 hierboven). Als u ervoor kiest om een groep actief toe te wijzen aan een rol en gebruikers toe te wijzen die in plaats daarvan in aanmerking komen voor groepslidmaatschap, kan het veel tijd duren voordat alle machtigingen van de rol zijn geactiveerd en klaar zijn voor gebruik.

Privileged Identity Management en groep nesten

In Microsoft Entra ID kunnen groepen die aan rollen kunnen worden toegewezen, geen andere groepen erin genest hebben. Zie Microsoft Entra-groepen gebruiken om roltoewijzingen te beheren voor meer informatie. Dit is van toepassing op actief lidmaatschap: één groep kan geen actief lid zijn van een andere groep die aan de rol kan worden toegewezen.

Een groep kan een in aanmerking komend lid van een andere groep zijn, zelfs als een van deze groepen kan worden toegewezen aan rollen.

Als een gebruiker een actief lid van groep A is en Groep A een in aanmerking komend lid van groep B is, kan de gebruiker het lidmaatschap van groep B activeren. Deze activering is alleen bedoeld voor de gebruiker waarvoor de activering is aangevraagd. Dit betekent niet dat de hele groep A een actief lid van groep B wordt.

Privileged Identity Management en app-inrichting

Als de groep is geconfigureerd voor het inrichten van apps, activeert de activering van het groepslidmaatschap het inrichten van groepslidmaatschap (en gebruikersaccount zelf als deze nog niet eerder is ingericht) voor de toepassing met behulp van het SCIM-protocol.

We hebben een functionaliteit die inrichting direct activeert nadat het groepslidmaatschap is geactiveerd in PIM. De inrichtingsconfiguratie is afhankelijk van de toepassing. Over het algemeen raden we u aan ten minste twee groepen toe te wijzen aan de toepassing. Afhankelijk van het aantal rollen in uw toepassing kunt u ervoor kiezen om extra 'bevoorrechte groepen' te definiëren:

Groep Doel Leden Groepslidmaatschap Rol toegewezen in de toepassing
Alle gebruikersgroep Zorg ervoor dat alle gebruikers die toegang tot de toepassing nodig hebben, voortdurend worden ingericht voor de toepassing. Alle gebruikers die toegang nodig hebben tot de toepassing. Actief Geen of een rol met beperkte bevoegdheden
Bevoorrechte groep Just-In-Time-toegang bieden tot bevoorrechte rol in de toepassing. Gebruikers die Just-In-Time-toegang moeten hebben tot bevoorrechte rollen in de toepassing. In aanmerking komend Bevoorrechte rol

Belangrijkste overwegingen

  • Hoe lang duurt het om een gebruiker in te richten voor de toepassing?
    • Wanneer een gebruiker wordt toegevoegd aan een groep in Microsoft Entra ID buiten het activeren van hun groepslidmaatschap met behulp van Microsoft Entra Privileged Identity Management (PIM):
      • Het groepslidmaatschap wordt tijdens de volgende synchronisatiecyclus ingericht in de toepassing. De synchronisatiecyclus wordt elke 40 minuten uitgevoerd.
    • Wanneer een gebruiker zijn groepslidmaatschap activeert in Microsoft Entra PIM:
      • Het groepslidmaatschap wordt in 2 tot 10 minuten ingericht. Wanneer er een hoge frequentie van aanvragen tegelijk is, worden aanvragen beperkt met een snelheid van vijf aanvragen per 10 seconden.
      • Voor de eerste vijf gebruikers binnen een periode van tien seconden die hun groepslidmaatschap activeren voor een specifieke toepassing, wordt groepslidmaatschap binnen 2-10 minuten ingericht in de toepassing.
      • Voor de zesde gebruiker en hoger binnen een periode van 10 seconden die het groepslidmaatschap voor een specifieke toepassing activeert, wordt groepslidmaatschap ingericht voor de toepassing in de volgende synchronisatiecyclus. De synchronisatiecyclus wordt elke 40 minuten uitgevoerd. De beperkingslimieten zijn per bedrijfstoepassing.
  • Als de gebruiker geen toegang heeft tot de benodigde groep in de doeltoepassing, controleert u de PIM-logboeken en inrichtingslogboeken om ervoor te zorgen dat het groepslidmaatschap is bijgewerkt. Afhankelijk van hoe de doeltoepassing is ontworpen, kan het extra tijd duren voordat het groepslidmaatschap van kracht wordt in de toepassing.
  • Met Behulp van Azure Monitor kunnen klanten waarschuwingen maken voor fouten.

Volgende stappen