Delen via

Externe toegang beveiligen met groepen in Microsoft Entra ID en Microsoft 365

  • Artikel

Groepen maken deel uit van een strategie voor toegangsbeheer. U kunt Microsoft Entra-beveiligingsgroepen en Microsoft 365 Groepen gebruiken als basis voor het beveiligen van de toegang tot resources. Gebruik groepen voor de volgende mechanismen voor toegangsbeheer:

Groepen hebben de volgende rollen:

  • Groepseigenaren : groepsinstellingen en het bijbehorende lidmaatschap beheren
  • Leden : machtigingen en toegang overnemen die aan de groep zijn toegewezen
  • Gasten – zijn leden buiten uw organisatie

Voordat u begint

Dit artikel is nummer 4 in een reeks van 10 artikelen. We raden u aan de artikelen op volgorde te bekijken. Ga naar de sectie Volgende stappen om de hele reeks weer te geven.

Groepsstrategie

Als u een groepsstrategie wilt ontwikkelen om externe toegang tot uw resources te beveiligen, moet u rekening houden met het gewenste beveiligingspostuur.

Meer informatie: Uw beveiligingspostuur voor externe toegang bepalen

Groep maken

Bepaal wie machtigingen krijgt om groepen te maken: beheerders, werknemers en/of externe gebruikers. Bekijk de volgende scenario's:

Uitnodigingen voor groepen

Als onderdeel van de groepsstrategie kunt u overwegen wie personen kan uitnodigen of toevoegen aan groepen. Groepsleden kunnen andere leden toevoegen of groepseigenaren kunnen leden toevoegen. Bepaal wie er kan worden uitgenodigd. Standaard kunnen externe gebruikers worden toegevoegd aan groepen.

Gebruikers toewijzen aan groepen

Gebruikers worden handmatig toegewezen aan groepen, op basis van gebruikerskenmerken in hun gebruikersobject of gebruikers worden toegewezen op basis van andere criteria. Gebruikers worden dynamisch toegewezen aan groepen op basis van hun kenmerken. U kunt bijvoorbeeld gebruikers toewijzen aan groepen op basis van:

  • Functie of afdeling
  • Partnerorganisatie waartoe ze behoren
    • Handmatig of via verbonden organisaties
  • Type lid of gastgebruiker
  • Deelname aan een project
    • Handmatig
  • Locatie

Dynamische groepen hebben gebruikers of apparaten, maar niet beide. Als u gebruikers wilt toewijzen aan de dynamische groep, voegt u query's toe op basis van gebruikerskenmerken. De volgende schermopname bevat query's waarmee gebruikers aan de groep worden toegevoegd als ze afdelingsleden van financiën zijn.

Schermopname van opties en vermeldingen onder Dynamische lidmaatschapsregels.

Meer informatie: Een dynamische groep maken of bijwerken in Microsoft Entra-id

Groepen gebruiken voor één functie

Wanneer u groepen gebruikt, is het belangrijk dat ze één functie hebben. Als een groep wordt gebruikt om toegang te verlenen tot resources, gebruikt u deze niet voor een ander doel. We raden een naamconventie voor beveiligingsgroepen aan waarmee het doel duidelijk wordt:

  • Secure_access_finance_apps
  • Team_membership_finance_team
  • Location_finance_building

Groepstypen

U kunt Microsoft Entra-beveiligingsgroepen en -Microsoft 365 Groepen maken in Azure Portal of de Microsoft 365-beheer-portal. Gebruik een van beide groepstypen voor het beveiligen van externe toegang.

Overwegingen Handmatige en dynamische Microsoft Entra-beveiligingsgroepen Microsoft 365 Groups
De groep bevat Gebruikers
Groepen
Service-principals
Apparaten		 Alleen gebruikers
Waar de groep wordt gemaakt Azure Portal
Microsoft 365-portal, als e-mail is ingeschakeld)
Powershell
Microsoft Graph
Portal voor eindgebruikers		 Microsoft 365-portal
Azure Portal
PowerShell
Microsoft Graph
In Microsoft 365-toepassingen
Wie maakt standaard Beheerders
Gebruikers		 Beheerders
Gebruikers
Wie wordt standaard toegevoegd Interne gebruikers (tenantleden) en gastgebruikers Tenantleden en gasten van een organisatie
Toegang wordt verleend aan Resources waaraan deze is toegewezen. Aan groepen gerelateerde resources:
(Groepspostvak, site, team, chats en andere Microsoft 365-resources)
Andere resources waaraan een groep wordt toegevoegd
Kan worden gebruikt met Voorwaardelijke toegang
rechtenbeheer
groepslicenties		 Voorwaardelijke toegang
rechtenbeheer
vertrouwelijkheidslabels

Notitie

Gebruik Microsoft 365 Groepen om een set Microsoft 365-resources te maken en te beheren, zoals een team en de bijbehorende sites en inhoud.

Microsoft Entra-beveiligingsgroepen

Microsoft Entra-beveiligingsgroepen kunnen gebruikers of apparaten hebben. Gebruik deze groepen om de toegang tot:

  • Azure-resources
    • Microsoft 365 Apps
    • Aangepaste apps
    • SaaS-apps (Software as a Service), zoals Dropbox ServiceNow
  • Azure-gegevens en -abonnementen
  • Azure-services

Microsoft Entra-beveiligingsgroepen gebruiken om het volgende toe te wijzen:

Meer informatie:

Notitie

Gebruik beveiligingsgroepen om maximaal 1500 toepassingen toe te wijzen.

Schermopname van vermeldingen en opties onder Nieuwe groep.

Beveiligingsgroep met e-mail

Als u een beveiligingsgroep met e-mail wilt maken, gaat u naar de Microsoft 365-beheercentrum. Schakel een beveiligingsgroep in voor e-mail tijdens het maken. U kunt deze later niet inschakelen. U kunt de groep niet maken in Azure Portal.

Hybride organisaties en Microsoft Entra-beveiligingsgroepen

Hybride organisaties hebben een infrastructuur voor on-premises en een Microsoft Entra-id. Hybride organisaties die Gebruikmaken van Active Directory kunnen on-premises beveiligingsgroepen maken en synchroniseren met de cloud. Daarom kunnen alleen gebruikers in de on-premises omgeving worden toegevoegd aan de beveiligingsgroepen.

Belangrijk

Bescherm uw on-premises infrastructuur tegen inbreuk. Zie, Microsoft 365 beveiligen tegen on-premises aanvallen.

Microsoft 365 Groups

Microsoft 365 Groepen is de lidmaatschapsservice voor toegang in Microsoft 365. Ze kunnen worden gemaakt vanuit Azure Portal of de Microsoft 365-beheercentrum. Wanneer u een Microsoft 365-groep maakt, verleent u toegang tot een groep resources voor samenwerking.

Meer informatie:

rollen Microsoft 365 Groepen

  • Groepseigenaren
    • Leden toevoegen of verwijderen
    • Gesprekken verwijderen uit het gedeelde Postvak IN
    • Groepsinstellingen wijzigen
    • De naam van de groep wijzigen
    • De beschrijving of afbeelding bijwerken
  • Leden
  • Gasten
    • Zijn leden van buiten uw organisatie
    • Enkele limieten voor functionaliteit in Teams hebben

Instellingen voor Microsoft 365-groepen

Selecteer e-mailalias, privacy en of de groep voor teams moet worden ingeschakeld.

Voeg na de installatie leden toe en configureer instellingen voor e-mailgebruik, enzovoort.

Volgende stappen

Gebruik de volgende reeks artikelen voor meer informatie over het beveiligen van externe toegang tot resources. U wordt aangeraden de vermelde bestelling te volgen.

  1. Uw beveiligingspostuur bepalen voor externe toegang met Microsoft Entra-id

  2. De huidige status van externe samenwerking in uw organisatie ontdekken

  3. Een beveiligingsplan maken voor externe toegang tot resources

  4. Externe toegang beveiligen met groepen in Microsoft Entra ID en Microsoft 365 (u bent hier)

  5. Overgang naar beheerde samenwerking met Microsoft Entra B2B-samenwerking

  6. Externe toegang beheren met Microsoft Entra-rechtenbeheer

  7. Externe toegang tot resources beheren met beleid voor voorwaardelijke toegang

  8. Externe toegang tot resources in Microsoft Entra-id beheren met vertrouwelijkheidslabels

  9. Externe toegang tot Microsoft Teams, SharePoint en OneDrive voor Bedrijven beveiligen met Microsoft Entra-id

  10. Lokale gastaccounts converteren naar Microsoft Entra B2B-gastaccounts