Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Rechtenbeheer is een identiteitsbeheer functie waarmee organisaties identiteiten en access levenscyclus op schaal kunnen beheren door access aanvraagwerkstromen, access toewijzingen, beoordelingen en vervaldatums te automatiseren.
Personen in organisaties hebben toegang nodig tot verschillende groepen, toepassingen en SharePoint Online-sites om hun werk uit te voeren. Het beheren van deze access is lastig, naarmate de vereisten veranderen. Nieuwe toepassingen worden toegevoegd of identiteiten hebben meer access rechten nodig. Dit scenario wordt nog complexer wanneer u samenwerkt met externe organisaties. Mogelijk weet u niet wie in de andere organisatie access nodig heeft voor de resources van uw organisatie en weten ze niet welke toepassingen, groepen of sites uw organisatie gebruikt.
Met rechtenbeheer kunt u de toegang tot groepen, toepassingen en SharePoint Online-sites efficiënter beheren voor interne identiteiten, en ook voor identiteiten buiten uw organisatie die toegang nodig hebben tot deze resources. Je kunt ook recht beheer in preview gebruiken om groepen, API-rechten en rollen toe te wijzen aan agent-ID's.
Waarom rechtenbeheer gebruiken?
Ondernemingsorganisaties hebben vaak te maken met uitdagingen bij het beheren van werknemers access aan resources, zoals:
- Identiteiten weten mogelijk niet wat access ze, hun direct ondergeschikten of de agenten die ze sponsoren, en zelfs als ze dat doen, kunnen ze moeite hebben met het vinden van de juiste personen om hun access
- Zodra de access aan resources is gedetecteerd en toegewezen, kunnen de identiteiten langer access dan nodig is voor hun bedrijfsbehoeften
Deze problemen worden samengesteld voor identiteiten die access van een andere organisatie nodig hebben, zoals externe identiteiten die afkomstig zijn van toeleveringsketenorganisaties of andere zakenpartners. Voorbeeld:
- Niemand kan alle specifieke personen in de directory's van een andere organisatie kennen om ze uit te nodigen
- Zelfs als ze deze identiteiten konden uitnodigen, kan niemand in die organisatie zich herinneren om alle identiteiten te beheren access consistent
Rechtenbeheer kan helpen deze uitdagingen aan te pakken. Lees de Mississippi Division of Medicaid, Storebrand en Digital Security and Resilience team in Microsoft casestudy's voor meer informatie over hoe klanten rechtenbeheer gebruiken. Deze video biedt een overzicht van rechtenbeheer en welke meerwaarde het biedt:
Wat kan ik doen met rechtenbeheer?
Hier zijn enkele mogelijkheden van rechtenbeheer:
- Bepalen wie toegang kan krijgen tot toepassingen, groepen, Teams, SharePoint sites, SAP IAG-toegangsrechten en andere resources, met goedkeuring in meerdere fasen en ervoor zorgen dat identiteiten niet voor onbepaalde tijd toegang behouden via tijdgebonden toewijzingen en terugkerende toegangsbeoordelingen.
- Geef identiteiten automatisch access aan deze resources, op basis van identiteitseigenschappen zoals afdeling of kostenplaats, en verwijder de access van een identiteit wanneer deze eigenschappen worden gewijzigd.
- Geef agent-id's access aan benodigde resources en laat sponsors van de agent-id's ervoor zorgen dat access alleen wordt onderhouden terwijl dit vereist is.
- Delegeren aan niet-beheerders de mogelijkheid om access pakketten te maken. Deze access-pakketten bevatten resources die identiteiten kunnen aanvragen en de gedelegeerde access pakketbeheerders kunnen beleidsregels definiëren met regels waarvoor identiteiten kunnen aanvragen, die hun access moeten goedkeuren en wanneer access verloopt.
- Selecteer verbonden organisaties waarvan de identiteiten access kunnen aanvragen. Wanneer een identiteit die zich nog niet in uw adreslijst bevindt, access aanvraagt en wordt goedgekeurd, worden deze automatisch uitgenodigd in uw adreslijst en toegewezen access. Wanneer hun access verloopt, kunnen hun B2B-account in uw directory automatisch worden verwijderd als ze geen andere access pakkettoewijzingen hebben.
Notitie
Als u klaar bent om Rechtenbeheer te proberen, kunt u get started met onze tutorial om uw eerste access-pakket te maken.
U kunt ook de veelvoorkomende scenario's lezen of video's bekijken, waaronder
- Rechtenbeheer implementeren in uw organisatie
- Uw gebruik van rechtenbeheer bewaken en schalen
- Delegeren in rechtenbeheer
Wat zijn access pakketten en welke resources kan ik ermee beheren?
Rechtenbeheer introduceert het concept van een access-pakket. Een access-pakket is een bundel van alle resources met de access een identiteit moet werken aan een project of hun taak moeten uitvoeren. Access pakketten kunnen worden gebruikt om access te beheren voor interne identiteiten en ook voor identiteiten die afkomstig zijn van buiten uw organisatie.
Hier volgen de typen resources waarop u de access van identiteiten kunt beheren, met rechtenbeheer:
- Lidmaatschap van Microsoft Entra beveiligingsgroepen
- Lidmaatschap van Microsoft 365 Groepen en Teams
- Toewijzing aan Microsoft Entra bedrijfstoepassingen, waaronder SaaS-toepassingen en aangepaste geïntegreerde toepassingen die ondersteuning bieden voor federatie/eenmalige aanmelding en/of inrichting
- Lidmaatschap van SharePoint Online-sites
- API-machtigingen, voor agents met agent-id's of service-principals, in preview als onderdeel van Microsoft Entra Agent-ID
- SAP IAG-bedrijfsrollen en andere access-rechten, in preview
U kunt ook de toegang tot andere resources beheren die afhankelijk zijn van Microsoft Entra beveiligingsgroepen of Microsoft 365 Groepen. Voorbeeld:
- U kunt identiteitenlicenties geven voor Microsoft 365 met behulp van een Microsoft Entra-beveiligingsgroep in een toegangspakket en licenties op basis van groepen voor die groep configureren.
- U kunt identiteiten toegang geven tot het beheren van Azure resources met behulp van een Microsoft Entra beveiligingsgroep in een toegangspakket en het maken van een Azure roltoewijzing voor die groep.
- U kunt identiteiten toegang geven om Microsoft Entra rollen te beheren met behulp van groepen die kunnen worden toegewezen aan Microsoft Entra rollen in een toegangspakket en een Microsoft Entra-rol toewijzen aan die groep.
How do I bepalen wie er access krijgt?
Met een toegangspakket bevat een beheerder of gedelegeerd toegangspakketbeheer de resources (groepen, apps en sites, Microsoft Entra rollen en API-machtigingen) en de rollen die de identiteiten nodig hebben voor deze resources.
Access pakketten bevatten ook een of meer beleid. Een beleid definieert de regels of kaders voor toewijzing aan het access-pakket. Elk beleid kan worden gebruikt om ervoor te zorgen dat alleen de juiste identiteiten access toewijzingen kunnen hebben en de access is beperkt tot verlopen als deze niet worden vernieuwd.
U kunt beleidsregels voor identiteiten hebben om access aan te vragen. In dit soort beleidsregels definieert een beheerder of access package manager
- De reeds bestaande identiteiten (meestal werknemers of reeds uitgenodigde gasten) of de partnerorganisaties van externe identiteiten die in aanmerking komen om access aan te vragen
- Het goedkeuringsproces en de identiteiten die access kunnen goedkeuren of weigeren
- De duur van de access toewijzing van een identiteit, na goedkeuring, voordat de toewijzing verloopt
U kunt ook beleidsregels voor identiteiten toewijzen access, ofwel by een beheerder, automatisch op basis van regels of via levenscycluswerkstromen.
Het volgende diagram toont een voorbeeld van de verschillende elementen in rechtenbeheer. Er wordt één catalogus met twee voorbeeldpakketten access weergegeven.
- Access pakket 1 bevat één groep als resource. Access wordt gedefinieerd met een beleid waarmee een set identiteiten in de directory access kan worden aangevraagd.
- Access-pakket 2 bevat een groep, een toepassing en een SharePoint Online-site als resources. Access wordt gedefinieerd met twee verschillende beleidsregels. Met het eerste beleid kan een set identiteiten in de directory access aanvragen. Met het tweede beleid kunnen identiteiten in een externe directory access aanvragen.
Wanneer moet ik access pakketten gebruiken?
Access pakketten vervangen geen andere mechanismen voor access toewijzing. Ze zijn het meest geschikt in situaties zoals:
- Toegangsbeleidsdefinities migreren van een derde partij enterprise-rolbeheer naar Microsoft Entra ID.
- Identiteiten hebben tijdsgebonden access nodig voor een bepaalde taak. U kunt bijvoorbeeld groepslicenties en een dynamische groep gebruiken om ervoor te zorgen dat alle werknemers een Exchange Online postvak hebben en vervolgens toegangspakketten gebruiken voor situaties waarin werknemers meer toegangsrechten nodig hebben. Bijvoorbeeld rechten om afdelingsresources van een andere afdeling te lezen.
- Access waarvoor de goedkeuring van de manager van een persoon of andere aangewezen personen is vereist.
- Access die automatisch moeten worden toegewezen aan personen in een bepaald deel van een organisatie tijdens hun tijd in die functie, maar ook beschikbaar zijn voor personen elders in de organisatie, of in een organisatie van een zakelijke partner, om dit aan te vragen.
- Afdelingen willen hun eigen access beleid voor hun resources beheren zonder dat it-afdeling hierbij betrokken is.
- Twee of meer organisaties werken samen aan een project en als gevolg hiervan moeten meerdere identiteiten van de ene organisatie worden binnengebracht via Microsoft Entra B2B om toegang te krijgen tot de resources van een andere organisatie.
How do I access delegeren?
Access pakketten worden gedefinieerd in containers met de naam catalogs. U kunt één catalogus hebben voor al uw access pakketten, of u kunt personen aanwijzen om hun eigen catalogi te maken en er eigenaar van te zijn. Een beheerder kan resources toevoegen aan elke catalogus, maar een niet-beheerder kan alleen toevoegen aan een catalogus van de resources die ze bezitten. Een cataloguseigenaar kan andere identiteiten toevoegen als mede-eigenaren van catalogussen of als access pakketbeheerders. Deze scenario's worden verder beschreven in het artikel delegering en rollen in rechtenbeheer.
Overzicht van terminologie
Als u meer inzicht wilt krijgen in rechtenbeheer en de bijbehorende documentatie, raadpleeg dan de volgende lijst met termen.
| Termijn | Omschrijving |
|---|---|
| access pakket | Een bundel resources die een team of project nodig heeft en wordt beheerd met beleid. Een access-pakket is altijd opgenomen in een catalogus. U maakt een nieuw access-pakket voor een scenario waarin identiteiten access zelf moeten aanvragen. |
| access aanvraag | Een aanvraag om de resources in een access-pakket te access. Een aanvraag verloopt meestal via een goedkeuringsstroom. Indien goedgekeurd, ontvangt de aanvragende identiteit een access pakkettoewijzing. |
| toewijzing | Een toewijzing van een access-pakket aan een identiteit zorgt ervoor dat de identiteit alle resourcerollen van dat access pakket heeft. Access pakkettoewijzingen hebben doorgaans een tijdslimiet voordat ze verlopen. |
| catalogus | Een container met gerelateerde resources en access pakketten. Catalogi worden gebruikt voor delegering, zodat niet-beheerders hun eigen access pakketten kunnen maken. Eigenaars van een catalogus kunnen resources die ze bezitten toevoegen aan een catalogus. |
| catalogusmaker | Een verzameling identiteiten die gemachtigd zijn om nieuwe catalogi aan te maken. Wanneer een niet-beheerder identiteit die gemachtigd is om catalogusmaker te zijn een nieuwe catalogus aanmaakt, wordt hij automatisch eigenaar van die catalogus. |
| verbonden organisatie | Een externe Microsoft Entra directory of domein waarmee u een relatie hebt. De identiteiten van een verbonden organisatie kunnen worden opgegeven in een beleid als toegestaan om access aan te vragen. |
| beleid | Een set regels waarmee de access levenscyclus wordt gedefinieerd, zoals hoe identiteiten worden access, wie kan goedkeuren en hoe lang ze access via een toewijzing hebben. Een beleid is gekoppeld aan een access-pakket. Een access-pakket kan bijvoorbeeld twee beleidsregels hebben: één voor werknemers om access aan te vragen en een seconde voor externe identiteiten om access aan te vragen. |
| hulpbron | Een asset, zoals een Office-groep, een beveiligingsgroep, een toepassing of een SharePoint Online-site, met een rol waaraan een identiteit machtigingen kan worden verleend. |
| resourcedirectory | Een directory die een of meer resources bevat om te delen. |
| resourcerol | Een verzameling van machtigingen die horen bij en gedefinieerd zijn door een resource. Een groep heeft twee rollen: lid en eigenaar. SharePoint sites hebben doorgaans drie rollen, maar kunnen andere aangepaste rollen hebben. Toepassingen kunnen aangepaste rollen hebben. |
Licentievereisten
Voor deze functie zijn Microsoft Entra Id-governance of Microsoft Entra Suite abonnementen vereist voor de gebruikers van uw organisatie. Sommige mogelijkheden, binnen deze functie, werken mogelijk met een Microsoft Entra ID P2-abonnement. Zie de artikelen van elke mogelijkheid voor meer informatie. Zie Microsoft Entra Id-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.
Licentievereisten voor het toewijzen van agents aan access pakketten (preview)
Microsoft Entra Agent-ID maakt deel uit van Microsoft Agent 365. Beide zijn beschikbaar via het Frontier-programma in Microsoft 365. Voor toegang tot deze functies moet u een licentie voor Microsoft 365 Copilot hebben en Frontier voor uw gebruikers hebben ingeschakeld.
Volg de handleiding Frontier getting started of gebruik de volgende stappen om te controleren of Frontier is ingeschakeld:
- Meld u aan bij de Microsoft 365-beheercentrum als een Billing Administrator.
- Blader naar Copilot>Settings>Gebruiker-toegang>Copilot Frontier en controleer of deze is ingeschakeld voor gebruikers. Als u deze opties niet ziet, neemt u contact op met de beheerder om uw Microsoft 365 Copilot licentie te controleren.
Volgende stappen
- Als u de Microsoft Entra-beheercentrum wilt gebruiken om de toegang tot resources te beheren, raadpleegt u Tutorial: Toegang tot resources beheren - Microsoft Entra.
- Als u Microsoft Graph wilt gebruiken om de toegang tot resources te beheren, raadpleegt u Tutorial: toegang tot resources beheren - Microsoft Graph
- Algemene scenario's