Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Entra-toegangsbeoordelingen ondersteunen maximaal drie beoordelingsfasen, waarin meerdere typen revisoren betrokken zijn bij het bepalen wie nog steeds toegang nodig heeft tot bedrijfsresources. Deze beoordelingen kunnen betrekking hebben op lidmaatschap van groepen of teams, toegang tot toepassingen, toewijzingen aan bevoorrechte rollen of toegang tot pakkettoewijzingen. Wanneer controlebeheerders de beoordeling configureren voor automatische toepassing van beslissingen, wordt de toegang aan het einde van de beoordelingsperiode ingetrokken voor geweigerde gebruikers.
Use cases voor beoordelingen met meerdere fasen
Met toegangsbeoordelingen met meerdere fasen kunnen u en uw organisatie complexe werkstromen inschakelen om te voldoen aan hercertificerings- en controlevereisten die meerdere revisoren vragen om toegang te bevestigen voor gebruikers in een bepaalde volgorde. Het helpt u ook efficiëntere beoordelingen te ontwerpen voor uw resource-eigenaren en auditors door het aantal beslissingen te verminderen waarvoor elke revisor verantwoordelijk is. Met deze methode kunt u andere niet-aaneengesloten, afzonderlijke beoordelingen voor dezelfde resource combineren in één toegangsbeoordeling.
Hier volgen enkele scenario's die u kunt overwegen:
- Bereik consensus over meerdere sets revisoren: laat twee doelgroepen van revisoren onafhankelijk de toegang tot een resource controleren. U kunt beoordelingen zodanig configureren dat beide fasen van revisoren akkoord moeten gaan met Goedgekeurd zonder elkaars beslissingen te zien.
- Wijs alternatieve beoordelaars toe om hun oordeel te geven over niet-bekeken beslissingen: laat de eigenaar van de resource eerst toegang tot hun resource bevestigen. Vervolgens gaan gebruikers waarvoor geen beslissing is vastgelegd, naar een revisor in het tweede stadium, zoals de manager van de gebruiker of een controleteam, die de niet-besloten aanvragen controleert.
- Beperk de belasting voor revisoren in latere fasen: Je kunt beoordelingen zo configureren dat gebruikers die in een eerder stadium zijn afgewezen, niet worden beoordeeld door latere fasen, zodat revisoren in latere fasen alleen een gefilterde lijst te zien krijgen. Gebruik dit scenario om gebruikers te filteren om te beoordelen, fase per fase.
Consensus bereiken voor meerdere sets revisoren
Het bereiken van quorum op de juiste toegang voor gebruikers kan lastig zijn. Voor middelen waartoe veel gebruikers toegang hebben, of voor een diverse groep gebruikers die moeten worden beoordeeld, is het met name moeilijk voor elke individuele beoordelaar om de juiste keuzes te maken voor alle beoordeelden. Het bereiken van consensus door maximaal drie verschillende revisorgroepen de mogelijkheid te geven om beslissingen vast te leggen en door te laten zien wat de eerdere revisoren hebben gezegd, helpt consensus te bereiken over wie toegang tot de resource moet hebben.
Een voorbeeld hiervan is een beoordeling die bestaat uit drie fasen die het groepslidmaatschap bepalen voor een groep die de toegang tot een resource regelt. In de controle-instellingen kiest de beheerder ervoor om geen beslissingen van eerdere revisoren weer te geven. Met deze configuratie kan elke beoordelingsdoelgroep, bijvoorbeeld de manager van de gebruiker, de groepseigenaar en een beveiligingsmedewerker, onafhankelijk van elkaar de toegang controleren. De drie fasen zijn afgestemd op de toenemende belangrijkheid van het gewicht van het publiek van de beoordelaars, waarbij beslissingen van de laatste groep beoordelaars mogelijke beslissingen van eerdere beoordelingsfasen overschrijven.
De configuratie voor dit scenario ziet er als volgt uit:
| Kenmerk | Configuratie |
|---|---|
| Beoordeling met meerdere fasen | Ingeschakeld |
| Beoordelaars van de eerste fase | Managers van gebruikers |
| Revisoren van het tweede stadium | Groepseigenaren |
| Revisoren van derde fase | Gebruiker(en) of groep(en) selecteren – 'Contoso auditors group' |
| Beslissingen van de vorige fase(s) weergeven aan beoordelaars in latere fasen. | Ingeschakeld |
| Reviewees die naar de volgende fase gaan | Alles selecteren |
| Als revisoren niet reageren | Toegang intrekken |
Alternatieve revisoren toewijzen om in te wegen bij niet-bekeken beslissingen
Voor scenario's waarin het nodig is om beslissingen vast te leggen en ervoor te zorgen dat de toegang behouden blijft voor de juiste personen, kunt u met meertrapsbeoordelingen een deel van de beoordelaars naar de volgende fase laten doorgaan, die mogelijk een tweede beoordelingspubliek nodig heeft voor dubbele controle of besluitvorming. Gebruik dit patroon om ervoor te zorgen dat er minder niet-beoordeelde gebruikers of gebruikers zijn gemarkeerd als Onbekend, door deze gebruikers naar een andere fase te verplaatsen en een andere groep beoordelaars beslissingen te laten nemen.
Een voorbeeld hiervan is een beoordeling die twee fasen bevat die de toegang tot een toepassing bepalen. In de controle-instellingen kiest de beoordelingsbeheerder ervoor om vorige fase(s) beslissingen weer te geven voor latere faserevisoren. Voor beoordeelden die naar de volgende fase gaan, worden de beslissingen die bevestiging nodig hebben toegevoegd om ervoor te zorgen dat alle beoordeelden een beslissing hebben. Selecteer beoordeelden die zijn gemarkeerd als 'Weet ik niet' en Niet-beoordeelde beoordeelden, zodat beoordelaars in een later stadium alleen de onbesliste of onzekere beoordeelden zien om de juiste toegang te behouden.
| Kenmerk | Configuratie |
|---|---|
| Beoordeling met meerdere fasen | Ingeschakeld |
| Beoordelaars van de eerste fase | Gebruiker(en) of groep(en) selecteren: de eigenaar(s) van de toepassingen |
| Revisoren van het tweede stadium | Managers van gebruikers |
| Beslissingen van de vorige fase(s) weergeven aan beoordelaars in latere fasen. | Uitgeschakeld |
| Reviewees die naar de volgende fase gaan | Selecteer Niet-beoordeelde beoordeelden en Beoordeelden gemarkeerd als 'Weet ik niet' |
| Als revisoren niet reageren | Toegang goedkeuren |
De werklast verminderen voor beoordelaars in latere fasen
Voor beoordelingen die veel reviewees kunnen bevatten of gebruikers die moeten worden beoordeeld en getest, kunt u vereisen dat alle eindgebruikers zelf attesteren voordat ze in een latere fase door een resource-eigenaar of hun manager worden beoordeeld. Met dit model kunt u beoordeelden van fase naar fase filteren, en alleen diegenen doorlaten die zichzelf hebben goedgekeurd.
Revisoren in latere fasen, zoals managers van gebruikers of de eigenaar van de bron, zien alleen de verkorte lijst met beoordeelden, degenen die eerder zijn goedgekeurd. Het aantal personen dat beoordeeld wordt, vermindert met elke fase. Alleen de gebruikers die zijn goedgekeurd via alle drie de fasen behouden de toegang.
Een voorbeeld hiervan is een beoordeling van een groep die een IT-uitzondering verleent, die een beheerder regelmatig wil controleren. Omdat deze uitzondering populair is, worden gebruikers gevraagd eerst te reageren, en alleen gebruikers die hebben gereageerd dat ze nog steeds de uitzondering nodig hebben, worden voortgezet naar de tweede fase, waar hun manager besluit. Alleen als de gebruiker en de manager de uitzondering goedkeuren, krijgen de IT-eigenaren voor de uitzondering toegang tot de lijst van gebruikers die de uitzondering nog steeds nodig hebben en willen, en bekijken zij een beperkte lijst van personen die beoordeeld moeten worden.
| Kenmerk | Configuratie |
|---|---|
| Beoordeling met meerdere fasen | Ingeschakeld |
| Beoordelaars van de eerste fase | Gebruikers beoordelen hun eigen toegang |
| Revisoren van het tweede stadium | Managers van gebruikers |
| Revisoren van derde fase | Groepseigenaar(s) |
| Beslissingen van de vorige fase(s) weergeven aan beoordelaars in latere fasen. | Uitgeschakeld |
| Reviewees die naar de volgende fase gaan | Goedgekeurde beoordelingspersonen selecteren |
| Als revisoren niet reageren | Toegang verwijderen |
Beoordelingen van gastgebruikers
Gastgebruikersbeoordelingen helpen organisaties die Microsoft Entra B2B gebruiken voor samenwerking. De toegang van deze gastgebruikers moet regelmatig worden gecontroleerd om te controleren of deze gastgebruikers nog steeds de juiste toegang hebben en dat samenwerking nog steeds gewenst is, dus het intrekken van toegang of het opschonen van gastgebruikersaccounts die niet meer nodig zijn, is mogelijk.
Dit scenario kan worden geconfigureerd met beoordelingen met meerdere fasen, vergelijkbaar met de manier waarop het scenario 'Reduce burden on later stage reviewers' werkt. Vraag eerst gastgebruikers om hun blijvende interesse en behoefte aan samenwerking zelf te evalueren en te bevestigen, inclusief de vereiste om een zakelijke rechtvaardiging te verstrekken. Alleen zelf goedgekeurde gasten worden in een later stadium voortgezet, waarbij een sponsor of andere werknemer continue toegang of samenwerking goedkeurt of weigert.
Voor beoordelingen van gastgebruikers kunt u ook overwegen om alleen de instelling Inactieve gebruikers (op tenantniveau) te gebruiken. Hiermee wordt de controle ingesteld op inactieve externe gebruikers die zich niet hebben aangemeld bij de resourcetenant in het aantal opgegeven dagen.
In scenario's voor gastgebruikers ondersteunt Access Reviews een extra configuratieoptie: Actie die moet worden toegepast op geweigerde gastgebruikers, wat kan leiden tot:
- Het lidmaatschap van de gebruiker uit de resource verwijderen
- Blokkeren dat de gebruiker zich 30 dagen aanmeldt en vervolgens de gebruiker uit de tenant verwijdert
Afhankelijk van uw beoordelingsbehoeften kunnen gastgebruikers die niet reageren op de beoordelingsaanvraag of verdere samenwerking weigeren, automatisch uit uw tenant worden verwijderd. Dit resulteert in een geblokkeerd B2B-gastgebruikersaccount gedurende 30 dagen na het verwijderen van een account.
| Kenmerk | Configuratie |
|---|---|
| Alleen inactieve gebruikers (op tenantniveau) | 180 dagen |
| Beoordeling met meerdere fasen | Ingeschakeld |
| Beoordelaars van de eerste fase | Gebruikers beoordelen hun eigen toegang |
| Revisoren van het tweede stadium | Groepseigenaar(s) |
| Beslissingen van de vorige fase(s) weergeven aan beoordelaars in latere fasen. | Uitgeschakeld |
| Reviewees die naar de volgende fase gaan | Goedgekeurde beoordelingspersonen selecteren |
| Als revisoren niet reageren | Toegang verwijderen |
| Actie die moet worden toegepast op geweigerde gastgebruikers | Blokkeren dat de gebruiker zich 30 dagen aanmeldt en vervolgens de gebruiker uit de tenant verwijdert |
Notitie
De instelling 'Actie die moet worden toegepast op geweigerde gastgebruikers' is alleen zichtbaar in het beoordelingsproces als de taal van de Toegangsbeoordeling is geconfigureerd als alleen gastgebruikers.
Duur van beoordelingsfasen
Beoordelingsbeheerders definiëren de duur van elke beoordelingsfase en daarom hoeveel tijd revisoren in hun fase nodig hebben om hun beslissingen vast te leggen. Elke fase kan zodanig worden geconfigureerd dat deze een eigen duur heeft, om te voldoen aan de beschikbaarheid en verwachting van revisoren.
Elke beoordelingsfase blijft gedurende de gehele tijdsperiode open voor revisoren om beslissingen toe te voegen. Reviewbeheerders kunnen een actieve fase stoppen en de algehele beoordeling automatisch naar de volgende beoordelingsfase doorvoeren op de overzichtspagina van de beoordelaar door Huidige fase stoppen te selecteren.
Toepassing van resultaten
Microsoft Entra-toegangsbeoordelingen kunnen beslissingen over toegang tot een resource toepassen door niet langer benodigde gebruikers uit de resource te verwijderen. Beslissingen worden altijd toegepast aan het einde van de beoordelingsperiode of wanneer een beoordelingsbeheerder de beoordeling handmatig beëindigt. Automatische toepassing van resultaten wordt gedefinieerd door de controlebeheerder met de resultaten automatisch toepassen op de resource-instelling of handmatig via de knop Resultaten toepassen op de overzichtspagina van de controle.
Beslissingen worden verzameld door revisoren voor elke fase. De instelling Reviewees die naar de volgende fase gaan definieert welke reviewees revisoren in latere fasen zullen zien en vraagt hen beslissingen te registreren. Alleen aan het einde van de algehele beoordeling worden beslissingen op de resource toegepast.
Voor alle beslissingen wordt aan het einde van de beoordeling de laatste beslissing toegepast die voor de beoordeelde is vastgelegd. Beslissingen die voor Jane in de eerste fase van de beoordeling zijn genomen, kunnen in fase twee en drie worden overschreven door beoordelaars van latere stadia.
Als de instelling Reviewees naar de volgende fase zo is ingesteld dat slechts een subset van de beoordelaars doorgaat naar latere fasen, kan het zijn dat beslissingen die in de eerste fase worden genomen, worden toegepast aan het einde van de beoordeling. Als de beoordelingsbeheerder een beoordeling in drie fasen heeft geconfigureerd en alleen Geweigerde en Niet beoordeelde beoordelden wil laten doorgaan naar de volgende fasen, dan zal Jane, als zij in de eerste fase is goedgekeurd, niet doorgaan naar de latere fasen. Haar goedkeuringsbeslissing wordt vastgelegd en aan het einde van de beoordeling toegepast.