Delen via


Microsoft Entra-implementatiescenario - Onboarding voor werknemers en gasten, identiteit en toegang tot levenscyclusbeheer voor al uw apps

De Microsoft Entra-implementatiescenario's bieden gedetailleerde richtlijnen voor het combineren en testen van deze Microsoft Entra Suite-producten:

In deze handleidingen beschrijven we scenario's waarin de waarde van de Microsoft Entra Suite wordt getoond en hoe de mogelijkheden samenwerken.

Overzicht van scenario

In deze handleiding beschrijven we hoe u Microsoft Entra Suite-producten configureert voor een scenario waarin de fictieve organisatie Contoso nieuwe externe werknemers wil inhuren en hen veilige en naadloze toegang biedt tot de benodigde apps en resources. Ze willen externe gebruikers (zoals partners, leveranciers of klanten) uitnodigen en samenwerken en hen toegang geven tot relevante apps en resources.

Contoso gebruikt Microsoft Entra geverifieerde ID om digitale bewijzen van identiteit en status te verifiëren voor nieuwe externe werknemers (op basis van personeelsgegevens) en externe gebruikers (op basis van e-mailuitnodigingen). Digitale portemonnees slaan identiteitsbewijs en -status op om toegang tot apps en resources toe te staan. Als extra beveiligingsmaatregel kan Contoso de identiteit verifiëren met gezichtsherkenning van Face Check op basis van de afbeelding waarin de referentie wordt opgeslagen.

Ze gebruiken Microsoft Entra ID-governance om toegangspakketten te maken en te verlenen voor werknemers en externe gebruikers op basis van verifieerbare referenties.

  • Voor werknemers baseren ze toegangspakketten op functie en afdeling. Toegangspakketten omvatten cloud- en on-premises apps en resources waartoe werknemers toegang nodig hebben.
  • Voor externe medewerkers baseren ze toegangspakketten op uitnodiging om externe gebruikersrollen en -machtigingen te definiëren. De toegangspakketten omvatten alleen apps en resources waartoe externe gebruikers toegang nodig hebben.

Werknemers en externe gebruikers kunnen toegangspakketten aanvragen via een selfserviceportal waar ze digitale proofs bieden als identiteitsverificatie. Met eenmalige aanmelding en meervoudige verificatie bieden Microsoft Entra-accounts en werknemers en externe gebruikers toegang tot apps en resources die hun toegangspakketten bevatten. Contoso verifieert referenties en verleent toegangspakketten zonder handmatige goedkeuringen of inrichting.

Contoso maakt gebruik van Microsoft Entra ID Protection en voorwaardelijke toegang om accounts te bewaken en te beschermen tegen riskante aanmeldingen en gebruikersgedrag. Ze dwingen de juiste toegangsbeheer af op basis van locatie, apparaat en risiconiveau.

Vereisten configureren

Als u de oplossing wilt implementeren en testen, configureert u de vereisten die in deze sectie worden beschreven.

Microsoft Entra geverifieerde ID configureren

Voor dit scenario voert u deze vereiste stappen uit om Microsoft Entra geverifieerde ID te configureren met Snelle installatie (preview):

  1. Registreer een aangepast domein (vereist voor snelle installatie) door de stappen in het artikel Uw aangepaste domein toevoegen te volgen.

  2. Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.

    • Selecteer Geverifieerde id.
    • Selecteer Setup.
    • Selecteer Aan de slag.
  3. Als u meerdere domeinen hebt geregistreerd voor uw Microsoft Entra-tenant, selecteert u de domeinen die u wilt gebruiken voor geverifieerde id.

  4. Nadat het installatieproces is voltooid, ziet u een standaardwerkplaatsreferentie die beschikbaar is om werknemers van uw tenant te bewerken en aan te bieden op hun pagina Mijn account .

    Schermopname van geverifieerde id, overzicht.

  5. Meld u aan bij mijn account van de testgebruiker met hun Microsoft Entra-referenties. Selecteer Mijn geverifieerde id ophalen om een geverifieerde werkplekreferentie uit te geven.

    Schermopname van Mijn account, Overzicht met een rood beletselteken met het besturingselement Mijn geverifieerde id ophalen gemarkeerd.

Vertrouwde externe organisatie (B2B) toevoegen

Volg deze vereiste stappen om een vertrouwde externe organisatie (B2B) toe te voegen voor het scenario.

  1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar >de toegangsinstellingen voor externe identiteiten voor meerdere tenants.> Selecteer Organisatie-instellingen.

  3. Selecteer Organisatie toevoegen.

  4. Voer de volledige domeinnaam van de organisatie (of tenant-id) in.

  5. Selecteer de organisatie in de zoekresultaten. Selecteer Toevoegen.

  6. Bevestig de nieuwe organisatie (die de toegangsinstellingen overneemt van de standaardinstellingen) in organisatie-instellingen.

    Schermopname van organisatie-instellingen met rode vakken met de markering Overgenomen van de standaardinstelling in de kolommen Voor binnenkomende toegang en uitgaande toegang.

Catalogus maken

Volg deze stappen om een rechtenbeheercatalogus voor het scenario te maken.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

  2. Blader naar catalogussen voor rechtenbeheer voor identiteitsbeheer>>.

  3. Selecteer +Nieuwe catalogus.

    Schermopname van Nieuwe toegangsbeoordeling, Bedrijfstoepassingen, Alle toepassingen, Identiteitsbeheer, Nieuwe catalogus.

  4. Voer een unieke naam en beschrijving in voor de catalogus. Aanvragers zien deze informatie in de details van een toegangspakket.

  5. Als u alleen toegangspakketten in deze catalogus wilt maken voor interne gebruikers, selecteert u Ingeschakeld voor externe gebruikers>Nee.

    Schermopname van Nieuwe catalogus met Nee geselecteerd voor het besturingselement Ingeschakeld voor externe gebruikers.

  6. Open in Catalogus de catalogus waaraan u resources wilt toevoegen. Selecteer Resources+Resources> toevoegen.

  7. Selecteer Type en vervolgens Groepen en Teams, Toepassingen of SharePoint-sites.

  8. Selecteer een of meer resources van het type dat u wilt toevoegen aan de catalogus. Selecteer Toevoegen.

Toegangspakketten maken

Als u de oplossing wilt implementeren en testen, configureert u de toegangspakketten die in deze sectie worden beschreven.

Toegangspakket voor externe gebruikers (intern)

Volg deze stappen om een toegangspakket te maken in rechtenbeheer met geverifieerde id voor externe (interne) gebruikers.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

  2. Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.

  3. Selecteer Nieuw toegangspakket.

  4. Geef voor Basisinformatie het toegangspakket een naam (zoals Finance Apps for Remote Users). Geef de catalogus op die u eerder hebt gemaakt.

  5. Selecteer voor resourcerollen een resourcetype (bijvoorbeeld Groepen en Teams, Toepassingen, SharePoint-sites). Selecteer een of meer resources.

  6. Selecteer in Rol de rol waaraan u gebruikers wilt toewijzen voor elke resource.

    Schermopname van Resources-rollen met een rood vak met de kolom Rol gemarkeerd.

  7. Selecteer Voor aanvragen de optie Voor gebruikers in uw adreslijst.

  8. Selecteer in Gebruikers en groepen selecteren de optie Voor gebruikers in uw adreslijst. Selecteer + Gebruikers en groepen toevoegen. Selecteer een bestaande groep die bevoegd is om het toegangspakket aan te vragen.

  9. Schuif naar vereiste geverifieerde id's.

  10. Selecteer + Verlener toevoegen. Selecteer een verlener in het Microsoft Entra geverifieerde ID-netwerk. Zorg ervoor dat u een verlener selecteert uit een bestaande geverifieerde identiteit in de portemonnee van de gast.

  11. Optioneel: Geef bij Goedkeuring op of gebruikers goedkeuring vereisen wanneer ze het toegangspakket aanvragen.

  12. Optioneel: Selecteer vragen in requestor-informatie. Voer een vraag in (ook wel de weergavetekenreeks genoemd) die u de aanvrager wilt vragen. Als u lokalisatieopties wilt toevoegen, selecteert u Lokalisatie toevoegen.

  13. Geef voor levenscyclus op wanneer de toewijzing van een gebruiker aan het toegangspakket verloopt. Geef op of gebruikers hun toewijzingen kunnen uitbreiden. Voor Verlooptijd stelt u de vervaldatum van access-pakkettoewijzingen in op De datum, het aantal dagen, het aantal uren of nooit.

  14. Selecteer Ja in Toegangsbeoordelingen.

  15. Selecteer bij Beginnen op de huidige datum. Stel de beoordelingsfrequentie in op Kwartaal. Stel de duur (in dagen) in op 21.

Toegangspakket voor gasten (B2B)

Volg deze stappen om een toegangspakket te maken in rechtenbeheer met geverifieerde id voor gasten (B2B).

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

  2. Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.

  3. Selecteer Nieuw toegangspakket.

  4. Geef voor Basisinformatie het toegangspakket een naam (zoals Finance Apps for Remote Users). Geef de catalogus op die u eerder hebt gemaakt.

  5. Selecteer voor resourcerollen een resourcetype (bijvoorbeeld Groepen en Teams, Toepassingen, SharePoint-sites). Selecteer een of meer resources.

  6. Selecteer in Rol de rol waaraan u gebruikers wilt toewijzen voor elke resource.

    Schermopname van Resources-rollen met een rood vak met de kolom Rol gemarkeerd.

  7. Selecteer Voor aanvragen de optie Voor gebruikers die zich niet in uw adreslijst bevinden.

  8. Selecteer Specifieke verbonden organisaties. Als u een keuze wilt maken uit een lijst met verbonden organisaties die u eerder hebt toegevoegd, selecteert u Map toevoegen.

  9. Voer de naam of domeinnaam in om te zoeken naar een eerder verbonden organisatie.

  10. Schuif naar vereiste geverifieerde id's.

  11. Selecteer + Verlener toevoegen. Selecteer een verlener in het Microsoft Entra geverifieerde ID-netwerk. Zorg ervoor dat u een verlener selecteert uit een bestaande geverifieerde identiteit in de portemonnee van de gast.

  12. Optioneel: Geef bij Goedkeuring op of gebruikers goedkeuring vereisen wanneer ze het toegangspakket aanvragen.

  13. Optioneel: Selecteer vragen in requestor-informatie. Voer een vraag in (ook wel de weergavetekenreeks genoemd) die u de aanvrager wilt vragen. Als u lokalisatieopties wilt toevoegen, selecteert u Lokalisatie toevoegen.

  14. Geef voor levenscyclus op wanneer de toewijzing van een gebruiker aan het toegangspakket verloopt. Geef op of gebruikers hun toewijzingen kunnen uitbreiden. Voor Verlooptijd stelt u de vervaldatum van access-pakkettoewijzingen in op De datum, het aantal dagen, het aantal uren of nooit.

  15. Selecteer Ja in Toegangsbeoordelingen.

  16. Selecteer bij Beginnen op de huidige datum. Stel de beoordelingsfrequentie in op Kwartaal. Stel de duur (in dagen) in op 21.

  17. Selecteer Specifieke revisoren. Selecteer Zelfbeoordeling.

    Schermopname van nieuw toegangspakket.

Beleid voor voorwaardelijke toegang op basis van aanmeldingsrisico's maken

  1. Meld u als beheerder voor voorwaardelijke toegang aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar het beleid voor voorwaardelijke toegang>beveiligen.>

  3. Selecteer Nieuw beleid.

  4. Voer een beleidsnaam in, zoals Protect-toepassingen voor externe gebruikers met een hoog risico.

  5. Voor toewijzingen selecteert u Gebruikers.

    1. Voor Opnemen selecteert u een externe gebruikersgroep of selecteert u alle gebruikers.
    2. Voor Uitsluiten selecteert u Gebruikers en groepen. Selecteer de toegang tot noodgevallen of break-glass-accounts van uw organisatie.
    3. Selecteer Gereed.
  6. Selecteer voor Cloud-apps of -acties>Opnemen de toepassingen waarop dit beleid moet worden toegepast.

  7. Voor aanmeldingsrisico's voor voorwaarden>stelt u Configureren in op Ja. Selecteer Hoog en Gemiddeld voor het niveau van het aanmeldingsrisico waarvoor dit beleid van toepassing is.

    1. Selecteer Gereed.
  8. Voor Toegangsbeheer>verlenen.

    1. Selecteer Toegang>verlenen Meervoudige verificatie vereisen.
  9. Selecteer voor sessie de aanmeldingsfrequentie. Selecteer elke keer.

  10. Bevestig de instellingen. Selecteer Beleid inschakelen.

    Schermopname van beleid voor voorwaardelijke toegang, nieuw aanmeldingsrisico. Een rood vak benadrukt gebruikersrisico en aanmeldingsrisico.

Toegangspakket aanvragen

Nadat u een toegangspakket met een geverifieerde id-vereiste hebt geconfigureerd, kunnen eindgebruikers die binnen het bereik van het beleid vallen, toegang aanvragen in hun Mijn toegangsportal . Terwijl goedkeurders aanvragen voor goedkeuring controleren, kunnen ze de claims zien van de geverifieerde referenties die aanvragers presenteren.

  1. Meld u als externe gebruiker of gast aan myaccess.microsoft.combij .

  2. Zoek naar het toegangspakket dat u eerder hebt gemaakt (zoals Finance Apps for Remote Users). U kunt door de vermelde pakketten bladeren of de zoekbalk gebruiken. Selecteer Aanvraag.

  3. Het systeem geeft een informatiebanner weer met een bericht zoals: Als u toegang tot dit toegangspakket wilt aanvragen, moet u uw verifieerbare referenties presenteren. Selecteer Request Access. Als u Microsoft Authenticator wilt starten, scant u de QR-code met uw telefoon. Deel uw referenties.

    Schermopname van Mijn toegang, Beschikbaar, Toegangspakketten, Geverifieerde id presenteren, QR-code.

  4. Nadat u uw referenties hebt gedeeld, gaat u verder met de goedkeuringswerkstroom.

  5. Optioneel: volg de instructies voor het simuleren van risicodetecties in Microsoft Entra ID Protection . Mogelijk moet u meerdere keren proberen om het gebruikersrisico te verhogen tot gemiddeld of hoog.

  6. Probeer toegang te krijgen tot de toepassing die u eerder hebt gemaakt voor het scenario om geblokkeerde toegang te bevestigen. Mogelijk moet u maximaal één uur wachten op het afdwingen van blokkeren.

  7. Gebruik aanmeldingslogboeken om geblokkeerde toegang te valideren door het beleid voor voorwaardelijke toegang dat u eerder hebt gemaakt. Open niet-interactieve aanmeldingslogboeken van de ZTNA Network Access Client - Private application. Bekijk logboeken van de naam van de Private Access-toepassing die u eerder hebt gemaakt als resourcenaam.