Delen via


Een toegangsbeoordeling maken voor groepen en toepassingen in Microsoft Entra ID

Toegang tot groepen en toepassingen voor werknemers en gasten verandert in de loop der tijd. Beheerders kunnen Microsoft Entra ID gebruiken om toegangsbeoordelingen te maken voor groepsleden of toepassingstoegang om het risico te verminderen dat gepaard gaat met verouderde toegangstoewijzingen.

Eigenaren van Microsoft 365- en beveiligingsgroepen kunnen ook Microsoft Entra ID gebruiken om toegangsbeoordelingen te maken voor groepsleden, mits een gebruiker met ten minste de rol Identity Governance Administrator de instelling inschakelt via het deelvenster Instellingen voor toegangsbeoordelingen. Zie Toegangsbeoordelingen beheren voor meer informatie over deze scenario's.

Bekijk een korte video over het inschakelen van toegangsbeoordelingen.

In dit artikel wordt beschreven hoe u een of meer toegangsbeoordelingen voor groepsleden of toegang tot toepassingen maakt.

Vereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID Governance- of Microsoft Entra Suite-licenties vereist. Zie basisprincipes van Microsoft Entra ID Governance-licentiesom de juiste licentie voor uw vereisten te vinden.

Als u de toegang tot een toepassing bekijkt, raadpleegt u voordat u de beoordeling maakt het artikel over het voorbereiden van een toegangscontrole van de toegang van gebruikers tot een toepassing om ervoor te zorgen dat de toepassing is geïntegreerd met Microsoft Entra ID in uw tenant.

Notitie

Toegangsbeoordelingen leggen een momentopname van de toegangsrechten vast aan het begin van elke beoordelingsinstantie. Wijzigingen die tijdens het beoordelingsproces zijn aangebracht, worden doorgevoerd in de volgende beoordelingscyclus. Bij het begin van elke nieuwe herhaling worden relevante gegevens met betrekking tot de gebruikers, de te beoordelen resources en hun respectieve beoordelaars opgehaald.

Notitie

In een groepsbeoordeling worden geneste groepen automatisch afgevlakt, zodat gebruikers uit geneste groepen worden weergegeven als afzonderlijke gebruikers. Als een gebruiker wordt gemarkeerd voor verwijdering vanwege het lidmaatschap van een geneste groep, wordt deze niet automatisch verwijderd uit de geneste groep, maar alleen van het directe groepslidmaatschap.

Een toegangsbeoordeling met één fase maken

Bereik

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

  2. Blader naar Identiteitsbeheer>Toegangsbeoordelingen.

  3. Selecteer Nieuwe toegangsbeoordeling om een nieuwe toegangsbeoordeling te maken.

    Schermopname van het deelvenster Toegangsbeoordelingen in Identiteitsbeheer.

  4. Selecteer in het vak Selecteren wat u wilt beoordelen welke resource u wilt beoordelen.

    Schermopname waarin u het maken van een toegangsbeoordeling ziet.

  5. Als u Teams en groepen hebt geselecteerd, hebt u twee opties:

    • Alle Microsoft 365-groepen met gastgebruikers: selecteer deze optie als u terugkerende beoordelingen wilt maken voor al uw gastgebruikers in al uw Microsoft Teams- en Microsoft 365-groepen in uw organisatie. Dynamische groepen en groepen met roltoewijzing zijn niet inbegrepen. U kunt er ook voor kiezen om afzonderlijke groepen uit te sluiten door Groep(en) selecteren voor uitsluiting te selecteren.

    • Teams en groepen selecteren: selecteer deze optie als u een eindige set teams of groepen wilt opgeven voor de beoordeling. Aan de rechterkant wordt een lijst met groepen weergegeven waaruit u kunt kiezen.

      Schermopname met de selectie van Teams en groepen.

  6. Als u Toepassingen hebt geselecteerd, selecteert u een of meer toepassingen.

    Schermopname met de interface die wordt weergegeven wanneer u toepassingen in plaats van groepen hebt geselecteerd.

Notitie

Het selecteren van meerdere groepen of toepassingen resulteert in het maken van meerdere toegangsbeoordelingen. Als u bijvoorbeeld vijf groepen selecteert die u wilt beoordelen, is het resultaat vijf afzonderlijke toegangsbeoordelingen.

  1. U kunt nu een bereik voor de beoordeling selecteren. U hebt de volgende opties:

    • Alleen gastgebruikers: deze optie beperkt de toegangsbeoordeling tot alleen de Microsoft Entra B2B-gastgebruikers in uw directory.
    • Iedereen: bij deze optie geldt de toegangsbeoordeling voor alle gebruikersobjecten die aan de resource zijn gekoppeld.

    Notitie

    Als u Alle Microsoft 365-groepen met gastgebruikers hebt geselecteerd, kunt u alleen gastgebruikers beoordelen.

  2. Of als u groepslidmaatschapsbeoordeling uitvoert, kunt u alleen toegangsbeoordelingen maken voor de inactieve gebruikers in de groep. Schakel in de sectie Gebruikersbereik het selectievakje in naast Inactieve gebruikers (op tenantniveau). Als u het selectievakje aanvinkt, richt de beoordeling zich alleen op inactieve gebruikers, personen die zich interactief of niet-interactief niet hebben aangemeld bij de tenant. Geef vervolgens dagen inactief op met een groot aantal dagen inactief tot 730 dagen (twee jaar). Gebruikers in de groep die inactief zijn voor het opgegeven aantal dagen, zijn de enige gebruikers in de beoordeling.

    Notitie

    Onlangs gemaakte gebruikers worden niet beïnvloed bij het configureren van de inactiviteitstijd. De toegangsbeoordeling controleert of een gebruiker is aangemaakt binnen het ingestelde tijdsbestek en laat gebruikers buiten beschouwing die nog niet zo lang bestaan. Als u bijvoorbeeld de inactiviteitstijd instelt op 90 dagen en een gastgebruiker is gemaakt of minder dan 90 dagen geleden is uitgenodigd, valt de gastgebruiker niet binnen het bereik van de Toegangsbeoordeling. Dit zorgt ervoor dat een gebruiker zich ten minste één keer kan aanmelden voordat deze wordt verwijderd.

  3. Selecteer Volgende: Beoordelingen.

Volgende: Beoordelingen

  1. U kunt een beoordeling met één fase of meerdere fasen maken. Ga hier verder voor één fasebeoordeling. Als u een toegangsbeoordeling met meerdere fasen wilt maken, volgt u de stappen in Een toegangsbeoordeling met meerdere fasen maken

  2. Selecteer in de sectie Revisoren opgeven in het vak Revisoren selecteren een of meer personen om beslissingen te nemen in de toegangsbeoordelingen. U kunt kiezen uit:

    • Een of meer groepseigenaren: deze optie is alleen beschikbaar wanneer u een beoordeling uitvoert voor een team of groep.
    • Geselecteerde gebruiker(s) of groep(en)
    • Gebruikers beoordelen hun eigen toegang
    • Managers van gebruikers

    Als u Managers van gebruikers of Een of meer groepseigenaren kiest, kunt u ook een terugvalrevisor opgeven. Een terugvalrevisor wordt gevraagd om een beoordeling uit te voeren wanneer de gebruiker geen manager heeft opgegeven in de directory of als de groep geen eigenaar heeft.

    Notitie

    In een team- of groepstoegangsbeoordeling worden alleen de groepseigenaren (op het moment dat een beoordeling wordt gestart) beschouwd als revisoren. Als tijdens een beoordeling de lijst met groepseigenaren wordt bijgewerkt, worden nieuwe groepseigenaren niet beschouwd als revisoren en worden oude groepseigenaren nog steeds beschouwd als revisoren. In het geval van een terugkerende beoordeling worden wijzigingen in de lijst met groepseigenaren echter overwogen in het volgende exemplaar van die beoordeling.

    Belangrijk

    Voor toegangsbeoordelingen van PIM for Groups (preview) is het verplicht om bij het selecteren van de groepseigenaar als revisor ten minste één terugvalrevisor toe te wijzen. De beoordeling wijst alleen actieve eigenaar(s) toe als revisor(s). In aanmerking komende eigenaren zijn niet inbegrepen. Als er geen actieve eigenaren zijn wanneer de beoordeling begint, wordt de terugvalrevisor(s) toegewezen aan de beoordeling.

    Schermopname die Nieuwe toegangsevaluatie toont.

  3. Geef in de sectie Terugkeerpatroon van beoordeling opgeven de volgende selecties op:

    • Duur (in dagen): hoe lang een beoordeling openstaat voor input van beoordelaars.

    • Begindatum: wanneer de reeks beoordelingen begint.

    • Einddatum: wanneer de reeks beoordelingen eindigt. U kunt opgeven dat deze nooit eindigt. U kunt ook Eindigen op een specifieke datum of Beëindigen na een aantal keer selecteren.

      Schermopname waarin te zien is hoe vaak de beoordeling plaatsvindt.

  4. Selecteer Volgende: Instellingen.

Notitie

Wanneer u een toegangsbeoordeling maakt, kunt u de begindatum opgeven, maar de begintijd kan enkele uren variëren op basis van systeemverwerking. Als u bijvoorbeeld een toegangsbeoordeling maakt om 03:00 UTC op 09/09 die is ingesteld op uitvoering op 09/12, wordt de beoordeling gepland om 03:00 UTC op de begindatum, maar kan worden vertraagd vanwege de systeemverwerking.

U kunt de begindatum opgeven, maar de begintijd kan enkele uren variëren op basis van systeemverwerking.

Volgende: Instellingen

  1. In de sectie Instellingen voor bij voltooiing kunt u opgeven wat er gebeurt nadat de beoordeling is voltooid.

    Schermopname met instellingen bij voltooiing.

    • Resultaten automatisch toepassen op resource: schakel dit selectievakje in als u wilt dat de toegang van geweigerde gebruikers automatisch wordt verwijderd nadat de beoordelingsduur is beëindigd. Als de optie is uitgeschakeld, moet u de resultaten handmatig toepassen wanneer de beoordeling is voltooid. Zie Toegangsbeoordelingen beheren voor meer informatie over het toepassen van de resultaten van de beoordeling.

    • Als revisoren niet reageren: gebruik deze optie om op te geven wat er gebeurt voor gebruikers die niet door een revisor binnen de beoordelingsperiode worden beoordeeld. Deze instelling heeft geen invloed op gebruikers die zijn beoordeeld door een revisor. In de vervolgkeuzelijst ziet u de volgende opties:

      • Geen wijziging: laat de toegang van een gebruiker ongewijzigd.
      • Toegang verwijderen: hiermee wordt de toegang van een gebruiker verwijderd.
      • Toegang goedkeuren: hiermee wordt de toegang van een gebruiker goedgekeurd.
      • Aanbevelingen ophalen: hiermee wordt de aanbeveling van het systeem gebruikt om verdere toegang van de gebruiker te weigeren of goed te keuren.

      Waarschuwing

      Als de instellingen als revisoren niet reageren is ingesteld op Toegang verwijderen of Aanbevelingen nemen en resultaten automatisch toepassen op de resource is ingeschakeld, kan alle toegang tot deze resource mogelijk worden ingetrokken als de revisoren niet reageren.

    • De actie die moet worden toegepast op geweigerde gastgebruikers: deze optie is alleen beschikbaar als de toegangsbeoordeling alleen bestemd is voor gastgebruikers om op te geven wat er gebeurt met gastgebruikers als ze worden geweigerd door een revisor of door de instelling Als revisoren niet reageren.

      • Het lidmaatschap van de gebruiker verwijderen uit de resource: met deze optie wordt de toegang van een geweigerde gastgebruiker tot de groep of toepassing die wordt beoordeeld, verwijderd. Ze kunnen zich nog steeds aanmelden bij de tenant en verliezen geen andere toegang.
      • Gebruiker 30 dagen blokkeren voor aanmelden en gebruiker vervolgens uit de tenant verwijderen: met deze optie wordt geblokkeerd dat een geweigerde gastgebruiker zich kan aanmelden bij de tenant, ongeacht of deze toegang heeft tot andere resources. Als deze actie ten onrechte is uitgevoerd, kunnen beheerders de toegang van de gastgebruiker binnen 30 dagen nadat de gastgebruiker is uitgeschakeld, opnieuw inschakelen. Als er na 30 dagen geen actie is ondernomen voor de uitgeschakelde gastgebruiker, wordt deze verwijderd uit de tenant.

    Zie Use Microsoft Entra ID Governance om externe gebruikers die geen toegang meer hebben tot resources in uw organisatie te controleren en te verwijderen voor meer informatie over de aanbevolen procedures voor het verwijderen van gastgebruikers die geen toegang meer hebben tot resources in uw organisatie.

    Notitie

    De actie die moet worden toegepast op geweigerde gastgebruikers kan niet worden geconfigureerd voor beoordelingen die zijn gericht op meer dan gastgebruikers. De optie is ook niet configureerbaar voor beoordelingen van alle Microsoft 365-groepen met gastgebruikers. Wanneer configuratie niet mogelijk is, wordt de standaardoptie voor het verwijderen van het lidmaatschap van een gebruiker uit de resource gebruikt voor geweigerde gebruikers.

  2. Gebruik de optie Verzend aan het einde van de beoordeling een melding naar om meldingen met voltooiingsupdates te verzenden naar andere gebruikers of groepen. Met deze functie kunnen andere belanghebbenden dan de maker van de beoordeling worden geïnformeerd over de voortgang van de beoordeling. Als u deze functie wilt gebruiken, kiest u Gebruiker(s) of groep(en) selecteren en voegt u een andere gebruiker of groep toe waarvoor u de status van voltooiing wilt ontvangen.

  3. Kies in de sectie Beslissershulp voor revisoren inschakelen of u wilt dat uw revisor aanbevelingen ontvangt tijdens het beoordelingsproces:

    1. Als u Geen aanmelding binnen 30 dagen selecteert, worden gebruikers die zich tijdens de vorige periode van 30 dagen hebben aangemeld, aanbevolen voor goedkeuring. Gebruikers die zich de afgelopen 30 dagen niet hebben aangemeld, worden aanbevolen voor weigering. Dit interval van 30 dagen is ongeacht of de aanmeldingen interactief waren of niet. Samen met de aanbeveling wordt de laatste aanmeldingsdatum voor de opgegeven gebruiker weergegeven.
    2. Als u Gebruiker-naar-groep-lidmaatschap selecteert, krijgen reviewers de aanbeveling om toegang voor gebruikers goed te keuren of te weigeren op basis van de gemiddelde afstand van de gebruiker binnen de organisatiestructuur van rapportages. Gebruikers die zich ver van alle andere gebruikers in de groep bevinden, worden beschouwd als een 'lage affiniteit' en krijgen een aanbeveling tot weigeren in de groeps toegangsbeoordelingen.

    Notitie

    Als u een toegangsbeoordeling maakt op basis van toepassingen, zijn uw aanbevelingen gebaseerd op de intervalperiode van 30 dagen, afhankelijk van wanneer de gebruiker zich voor het laatst heeft aangemeld bij de toepassing in plaats van de tenant.

    Schermopname die de opties toont waarmee revisoren beslissingshulpmiddelen kunnen inschakelen.

  4. In de sectie Geavanceerde instellingen kunt u het volgende kiezen:

    • Reden vereist: schakel dit selectievakje in om te vereisen dat de revisor een reden voor goedkeuring of weigering opgeeft.

    • E-mailmeldingen: schakel dit selectievakje in als u wilt dat Microsoft Entra ID e-mailmeldingen verzendt naar revisoren wanneer een toegangsbeoordeling wordt gestart en aan beheerders wanneer een beoordeling is voltooid.

    • Herinneringen: schakel dit selectievakje in als u wilt dat Microsoft Entra ID herinneringen verzendt voor toegangsbeoordelingen die worden uitgevoerd voor alle revisoren. Revisoren ontvangen de herinneringen halverwege de beoordeling, ongeacht of ze hun beoordeling al dan niet hebben voltooid.

    • Aanvullende inhoud van e-mailbericht voor revisor: de inhoud van de e-mail die naar revisoren wordt verzonden, wordt automatisch gegenereerd op basis van de beoordelingsgegevens, zoals de beoordelingsnaam, de resourcenaam en de einddatum. Als u meer informatie wilt doorgeven, kunt u in het vak details opgeven, zoals instructies of contactgegevens. De informatie die u invoert, wordt opgenomen in de uitnodiging en er worden herinneringsmails naar toegewezen revisoren verzonden. In de sectie die is gemarkeerd in de volgende afbeelding, ziet u waar deze informatie wordt weergegeven.

      Schermopname van aanvullende inhoud voor revisoren.

  5. Selecteer Volgende: Review + Maken.

    Schermopname van het tabblad Beoordelen en maken.

Volgende: Beoordelen en maken

  1. Geef de toegangsbeoordeling een naam. Geef optioneel een beschrijving van de beoordeling. De naam en beschrijving worden weergegeven voor de revisoren.

  2. Controleer de gegevens en selecteer Maken.

Een toegangsbeoordeling met meerdere fasen maken

Met een beoordeling met meerdere fasen kan de beheerder twee of drie sets revisoren definiëren om de beoordeling na elkaar te voltooien. In een eenfase-beoordeling nemen alle beoordelaars binnen dezelfde periode een beslissing en wordt de beslissing van de laatste beoordelaar toegepast. In een beoordeling met meerdere fasen nemen twee of drie onafhankelijke sets revisoren elk een beslissing binnen hun eigen fase. De fasen zijn opeenvolgend en de volgende fase vindt pas plaats nadat een beslissing in de vorige fase is vastgelegd. Beoordelingen met meerdere fasen kunnen worden gebruikt om de belasting voor revisoren van een latere fase te verminderen, voor escalatie naar revisoren, of om onafhankelijke groepen revisoren het eens te laten worden over beslissingen.

Notitie

Gegevens van gebruikers die zijn opgenomen in toegangsbeoordelingen met meerdere fasen, maken deel uit van de auditgegevens aan het begin van de beoordeling. Beheerders kunnen de gegevens op elk gewenst moment verwijderen door de toegangsbeoordelingsreeks met meerdere fasen te verwijderen. Zie de AVG-sectie van het Vertrouwenscentrum van Microsoft en de AVG-sectie van de Service Trust Portal voor algemene informatie over de AVG en het beschermen van gebruikersgegevens.

  1. Nadat u de resource en het bereik van uw beoordeling hebt geselecteerd, gaat u verder met het tabblad Beoordelingen.

  2. Schakel het selectievakje in naast beoordeling met meerdere fasen.

  3. Selecteer onder Beoordeling in de eerste fase de revisoren in de vervolgkeuzelijst naast Revisoren selecteren.

  4. Als u Een of meer groepseigenaren of Managers van gebruikers kiest, hebt u de mogelijkheid om een terugvalrevisor toe te voegen. Om een terugval toe te voegen, selecteert u revisoren voor terugval selecteren en voegt u de gebruikers toe die u wilt toevoegen als revisoren voor terugval.

    Schermopname met een ingeschakelde beoordeling met meerdere fasen en instellingen voor een beoordeling met meerdere fasen.

  5. Voeg de duur toe voor de eerste fase. Als u de duur wilt toevoegen, typt u een getal in het veld naast Duur van fase (in dagen). Dit is het aantal dagen dat u wilt dat de eerste fase open staat voor de revisoren van de eerste fase om beslissingen te nemen.

  6. Selecteer onder Beoordeling in de tweede fase de revisoren in de vervolgkeuzelijst naast Revisoren selecteren. Deze revisoren moeten beoordelen nadat de duur van de beoordeling van de eerste fase is beëindigd.

  7. Voeg desgewenst een of meer terugvalrevisoren toe.

  8. Voeg de duur voor de tweede fase toe.

  9. Standaard ziet u twee fasen wanneer u een beoordeling met meerdere fasen maakt. U kunt echter maximaal drie fasen toevoegen. Als u een derde fase wilt toevoegen, selecteert u + Een fase toevoegen en vult u de vereiste velden in.

  10. U kunt besluiten om revisoren van het tweede en derde stadium toe te staan beslissingen te bekijken die in de vorige fase(s) zijn genomen. Als u hen in staat wilt stellen de eerder genomen beslissingen te bekijken, vinkt u het selectievakje aan naast Vorige fase(s) beslissingen zichtbaar maken voor revisoren van latere stadia onder Beoordelingsresultaten weergeven. Laat het selectievakje uitgeschakeld om deze instelling uit te schakelen als u wilt dat uw revisoren onafhankelijk van elkaar beoordelen.

    Schermopname waarin de duur te zien is en waarin de instelling voor het weergeven van vorige fasen is ingeschakeld bij een beoordeling met meerdere fasen.

  11. De duur van elke herhaling wordt ingesteld op de som van de dagen van de duur die u in elke fase hebt opgegeven.

  12. Geef de herhalingsfrequentie van de beoordeling, de begindatum, en de einddatum voor de beoordeling op. Het herhalingstype moet ten minste zo lang zijn als de totale duur van de herhaling (dat wil zeggen, de maximale duur voor een wekelijkse beoordelingsherhaling is 7 dagen).

  13. Als u wilt aangeven welke beoordeelden van fase naar fase doorgaan, selecteert u een of meer van de volgende opties naast Opgeven van beoordeelden om naar de volgende fase te gaan: Schermopname die de instelling voor het specificeren van beoordeelden en opties voor meerfasige beoordeling toont.

    1. Goedgekeurde beoordeelden: alleen beoordeelden die zijn goedgekeurd, gaan naar de volgende fase(n).
    2. Geweigerde beoordeelden: alleen beoordeelden die zijn geweigerd, gaan naar de volgende fase(n).
    3. Niet beoordeelde beoordeelden: alleen beoordeelden die niet zijn beoordeeld, gaan naar de volgende fase(n).
    4. Beoordeelden gemarkeerd als "Weet niet": alleen beoordeelden als "Weet niet" gaan door naar de volgende fase(n).
    5. Alle: iedereen gaat naar de volgende fase als u wilt dat revisoren van alle fasen een beslissing nemen.
  14. Ga door naar het tabblad Instellingen en voltooi de rest van de instellingen en maak de beoordeling. Volg de instructies in Volgende: Instellingen.

Neem gebruikers en teams die via B2B rechtstreeks verbinding maken en toegang hebben tot gedeelde Teams-kanalen op in toegangsbeoordelingen.

U kunt toegangsbeoordelingen maken voor gebruikers van B2B direct-verbinding via gedeelde kanalen in Microsoft Teams. Wanneer u extern samenwerkt, kunt u microsoft Entra-toegangsbeoordelingen gebruiken om ervoor te zorgen dat externe toegang tot gedeelde kanalen actueel blijft. Externe gebruikers in de gedeelde kanalen heten B2B direct connect-gebruikers. Lees het artikel B2B direct verbinden voor meer informatie over gedeelde kanalen in Teams en gebruikers van B2B direct verbinden.

Wanneer u een toegangsbeoordeling maakt voor een team met gedeelde kanalen, kunnen uw revisoren doorlopende behoefte aan toegang van die externe gebruikers en teams in de gedeelde kanalen beoordelen. U kunt de toegang van gebruikers van B2B verbinden en andere ondersteunde B2B-samenwerkingsgebruikers en niet-B2B interne gebruikers in dezelfde beoordeling beoordelen.

Notitie

Op dit moment worden gebruikers en teams van B2B direct verbinden alleen opgenomen in beoordelingen met één fase. Indien beoordelingen met meerdere fasen zijn ingeschakeld, worden de B2B direct connect gebruikers en teams niet opgenomen in de toegangsbeoordeling.

Gebruikers en teams van B2B Direct Connect zijn opgenomen in toegangsbeoordelingen van de Microsoft 365-groep die gebruikmaakt van Teams, waartoe de gedeelde kanalen behoren. Als u de beoordeling wilt maken, moet u ten minste de rol gebruikersbeheerder of identiteitsbeheerbeheerder hebben.

Gebruik de volgende instructies om een toegangsbeoordeling te maken voor een team met gedeelde kanalen:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

  2. Blader naar Identiteitsbeheer>Toegangsbeoordelingen.

  3. Klik op + Nieuwe toegang beoordelen.

  4. Selecteer Teams + Groepen en selecteer vervolgens Teams + groepen selecteren om het controlebereik in te stellen. Gebruikers en teams van B2B direct connect worden niet opgenomen in beoordelingen van alle Microsoft 365-groepen met gastgebruikers.

  5. Selecteer een team met gedeelde kanalen die zijn gedeeld met één of meer B2B direct connect-gebruikers of teams.

  6. Stel het bereik in.

    Schermopname waarin het instellen van het beoordelingsbereik voor gedeelde-kanalenbeoordeling te zien is.

    • Kies Alle gebruikers die u wilt opnemen:
      • Alle interne gebruikers
      • B2B-samenwerkingsgebruikers die lid zijn van het team
      • Gebruikers van B2B directe verbinding
      • Teams die toegang hebben tot gedeelde kanalen
    • Of kies Alleen gastgebruikers om alleen gebruikers van B2B direct verbinden en Teams- en B2B-samenwerkingsgebruikers op te nemen.
  7. Ga door naar het tabblad Beoordelingen. Selecteer een revisor om de beoordeling te voltooien en geef vervolgens de duur en het terugkeerpatroon voor de beoordeling op.

    Notitie

    • Als u Revisoren selecteren instelt op Gebruikers beoordelen hun eigen toegang of Managers van gebruikers, kunnen B2B direct connect-gebruikers en Teams hun eigen toegang binnen uw tenant niet beoordelen. De eigenaar van het team dat wordt beoordeeld, ontvangt een e-mailbericht waarin de eigenaar wordt gevraagd om de gebruikers en teams van B2B direct verbinden te beoordelen.
    • Als u Managers of users selecteert, zal een geselecteerde terugvalrecensent elke gebruiker zonder manager in de hoofdtenant beoordelen. Dit omvat B2B direct connect-gebruikers en Teams zonder manager.
  8. Ga naar het tabblad Instellingen en configureer aanvullende instellingen. Ga vervolgens naar het tabblad Beoordelen en maken om uw toegangsbeoordeling te starten. Zie Een toegangsbeoordeling met één fase maken voor meer informatie over het maken van een beoordeling en configuratie-instellingen.

Groepseigenaren toestaan toegangsbeoordelingen van hun groepen te maken en te beheren

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

  2. Blader naar Identiteitsbeheer>Toegangsbeoordelingen>Instellingen.

  3. Stel op de pagina Delegeren wie toegangsbeoordelingen kan maken en beheren de optie Groepseigenaren kunnen toegangsbeoordelingen maken en beheren voor groepen waarvan ze eigenaar zijn in op Ja.

    Schermopname van het inschakelen van groepseigenaren om te beoordelen.

    Notitie

    De waarde is standaard ingesteld op Nee. Als u wilt toestaan dat groepseigenaren toegangsbeoordelingen maken en beheren, wijzigt u de instelling in Ja.

Programmatisch een toegangsbeoordeling maken

U kunt ook een toegangsbeoordeling maken met behulp van Microsoft Graph of PowerShell.

Als u een toegangsbeoordeling wilt maken met Graph, roept u de Graph API aan om een definitie van het toegangsbeoordelingsschema te maken. De aanroeper moet een gebruiker in een juiste rol zijn met een toepassing met de gedelegeerde AccessReview.ReadWrite.All machtiging of een toepassing met de AccessReview.ReadWrite.All toepassingsmachtiging. Zie het overzicht van api's voor toegangsbeoordelingen en de zelfstudies voor het controleren van leden van een beveiligingsgroep of het bekijken van gasten in Microsoft 365-groepen voor meer informatie.

U kunt ook een toegangsbeoordeling maken in PowerShell met de New-MgIdentityGovernanceAccessReviewDefinition cmdlet vanuit de Microsoft Graph PowerShell-cmdlets voor de module Identity Governance . Zie voor meer informatie de voorbeelden.

Wanneer een toegangsbeoordeling wordt gestart

Nadat u de instellingen voor een toegangsbeoordeling hebt opgegeven en deze hebt gemaakt, wordt de toegangsbeoordeling weergegeven in uw lijst met een indicator van de status.

Schermopname van een lijst toegangsbeoordelingen en hun status.

Standaard verzendt Microsoft Entra ID een e-mail naar revisoren kort nadat een eenmalige beoordeling of het herhalingspatroon van een terugkerende beoordeling begint. Als u ervoor kiest om Microsoft Entra ID de e-mail niet te laten verzenden, moet u de beoordelaars informeren dat een toegangsbeoordeling op hen wacht om te worden voltooid. U kunt ze de instructies laten zien voor het beoordelen van de toegang voor groepen of toepassingen. Als uw beoordeling is bedoeld voor gasten om hun eigen toegang te beoordelen, laat u hen de instructies zien hoe de eigen toegang kan worden beoordeeld voor groepen of toepassingen.

Als u gasten hebt toegewezen als beoordelaar en zij hun uitnodiging voor de tenant niet hebben geaccepteerd, ontvangen ze geen e-mail van het toegangsbeoordelingssysteem. Ze moeten eerst de uitnodiging accepteren voordat ze kunnen beginnen met beoordelen.

De toegangsbeoordeling bijwerken

Nadat een of meer toegangsbeoordelingen zijn gestart, kunt u de instellingen van uw bestaande toegangsbeoordelingen wijzigen of bijwerken. Hier volgen enkele scenario's om te overwegen:

  • Instellingen of revisoren bijwerken: als een toegangsbeoordeling terugkerend is, zijn er afzonderlijke instellingen onder Huidig en onder Reeks. Als u de instellingen of revisoren onder Huidig bijwerkt, worden alleen wijzigingen toegepast op de huidige toegangsbeoordeling. Als u de instellingen onder Reeks bijwerkt, worden de instellingen voor alle toekomstige gevallen bijgewerkt.

    Schermopname van het bijwerken van instellingen voor een toegangsbeoordeling.

  • Revisoren toevoegen en verwijderen: wanneer u toegangsbeoordelingen bijwerkt, kunt u er ook voor kiezen om een terugvalrevisor toe te voegen naast de primaire revisor. Primaire revisoren kunnen worden verwijderd wanneer u een toegangsbeoordeling bijwerkt. Terugvalrevisoren kunnen niet worden verwijderd.

    Notitie

    Terugvalrevisoren kunnen alleen worden toegevoegd wanneer het revisortype een manager of groepseigenaar is. Primaire revisoren kunnen worden toegevoegd wanneer het revisortype de geselecteerde gebruiker is.

  • De revisoren herinneren: wanneer u toegangsbeoordelingen bijwerkt, kunt u ervoor kiezen de optie Herinneringen onder Geavanceerde instellingen in te schakelen. Gebruikers ontvangen vervolgens een e-mailmelding halverwege de beoordelingsperiode, ongeacht of ze de beoordeling al dan niet hebben voltooid.

    Schermopname waarin revisoren een herinnering krijgen.

Notitie

Zodra de toegangsbeoordeling is gestart, kunt u de contactedReviewers API-aanroep gebruiken om de lijst weer te geven van alle reviewers die hiervan op de hoogte zijn gesteld, of wie via e-mail op de hoogte zou worden gesteld als meldingen zijn uitgeschakeld voor een toegangsbeoordeling. Tijdstempels voor wanneer deze gebruikers op de hoogte zijn gesteld, worden ook verstrekt.

Volgende stappen