Delen via


Organisatiebeleid implementeren voor het beheren van toegang tot toepassingen die zijn geïntegreerd met Microsoft Entra-id

In de vorige secties hebt u uw governancebeleid gedefinieerd voor een toepassing en die toepassing geïntegreerd met Microsoft Entra-id. In deze sectie configureert u de functies voor voorwaardelijke toegang en rechtenbeheer van Microsoft Entra om doorlopende toegang tot uw toepassingen te beheren. U stelt vast

  • Beleid voor voorwaardelijke toegang, voor hoe een gebruiker zich verifieert bij Microsoft Entra ID voor een toepassing die is geïntegreerd met Microsoft Entra ID voor eenmalige aanmelding
  • Beleid voor rechtenbeheer, voor de wijze waarop een gebruiker toewijzingen verkrijgt en bijhoudt voor toepassingsrollen en lidmaatschap in groepen
  • Beleid voor toegangsbeoordeling, voor hoe vaak groepslidmaatschappen worden beoordeeld

Zodra deze beleidsregels zijn geïmplementeerd, kunt u vervolgens het doorlopende gedrag van Microsoft Entra-id bewaken als gebruikers aanvragen en toegang krijgen tot de toepassing.

Beleid voor voorwaardelijke toegang implementeren voor afdwingen van eenmalige aanmelding

In deze sectie stelt u het beleid voor voorwaardelijke toegang vast dat binnen het bereik valt om te bepalen of een geautoriseerde gebruiker zich kan aanmelden bij de app, op basis van factoren zoals de verificatiesterkte van de gebruiker of de apparaatstatus.

Voorwaardelijke toegang is alleen mogelijk voor toepassingen die afhankelijk zijn van Microsoft Entra ID voor eenmalige aanmelding (SSO). Als de toepassing niet kan worden geïntegreerd voor eenmalige aanmelding, gaat u verder in de volgende sectie.

  1. Upload zo nodig het TOU-document (gebruiksrechtovereenkomst). Als u wilt dat gebruikers een gebruiksrechtterm (TOU) accepteren voordat ze toegang krijgen tot de toepassing, maakt en uploadt u het tou-document zodat het kan worden opgenomen in een beleid voor voorwaardelijke toegang.
  2. Controleer of gebruikers gereed zijn voor meervoudige verificatie van Microsoft Entra. We raden u aan microsoft Entra-meervoudige verificatie te vereisen voor bedrijfskritieke toepassingen die zijn geïntegreerd via federatie. Voor deze toepassingen moet er een beleid zijn dat vereist dat de gebruiker voldoet aan een vereiste voor meervoudige verificatie voordat de Microsoft Entra-id hen toestaat zich aan te melden bij de toepassing. Sommige organisaties kunnen ook de toegang per locatie blokkeren of vereisen dat de gebruiker toegang heeft vanaf een geregistreerd apparaat. Als er al geen geschikt beleid is dat de benodigde voorwaarden voor verificatie, locatie, apparaat en tou bevat, voegt u vervolgens een beleid toe aan uw implementatie van voorwaardelijke toegang.
  3. Breng het webeindpunt van de toepassing binnen het bereik van het juiste beleid voor voorwaardelijke toegang. Als u een bestaand beleid voor voorwaardelijke toegang hebt dat is gemaakt voor een andere toepassing die onderhevig is aan dezelfde governancevereisten, kunt u dat beleid ook bijwerken zodat dit ook van toepassing is op deze toepassing, om te voorkomen dat er een groot aantal beleidsregels is. Zodra u de updates hebt doorgevoerd, controleert u of het verwachte beleid wordt toegepast. U kunt zien welke beleidsregels van toepassing zijn op een gebruiker met het Wat als-hulpprogramma voor voorwaardelijke toegang.
  4. Maak een terugkerende toegangsbeoordeling als gebruikers tijdelijke beleidsuitsluitingen nodig hebben. In sommige gevallen is het mogelijk om beleid voor voorwaardelijke toegang onmiddellijk af te dwingen voor elke geautoriseerde gebruiker. Sommige gebruikers hebben bijvoorbeeld mogelijk geen geschikt geregistreerd apparaat. Als het nodig is om een of meer gebruikers uit te sluiten van het beleid voor voorwaardelijke toegang en toegang te verlenen, configureert u vervolgens een toegangsbeoordeling voor de groep gebruikers die zijn uitgesloten van beleid voor voorwaardelijke toegang.
  5. Documenteer de levensduur van het token en de sessie-instellingen van de toepassing. Hoelang een gebruiker die de toegang heeft geweigerd, een federatieve toepassing kan blijven gebruiken, is afhankelijk van de eigen sessielevensduur van de toepassing en de levensduur van het toegangstoken. De sessielevensduur voor een toepassing is afhankelijk van de toepassing zelf. Zie configureerbare tokenlevensduur voor meer informatie over het beheren van de levensduur van toegangstokens.

Beleid voor rechtenbeheer implementeren voor het automatiseren van toegangstoewijzing

In deze sectie configureert u Microsoft Entra-rechtenbeheer zodat gebruikers toegang kunnen aanvragen tot de rollen van uw toepassing of naar groepen die door de toepassing worden gebruikt. Als u deze taken wilt uitvoeren, moet u de rol Globale beheerder, Identiteitsbeheerbeheerder hebben of worden gedelegeerd als catalogusmaker en de eigenaar van de toepassing.

Notitie

Na toegang tot minimale bevoegdheden raden we u aan hier de rol Identity Governance-beheerder te gebruiken.

  1. Toegangspakketten voor beheerde toepassingen moeten zich in een aangewezen catalogus bevinden. Als u nog geen catalogus hebt voor uw toepassingsbeheerscenario, maakt u een catalogus in Microsoft Entra-rechtenbeheer. Als u meerdere catalogi wilt maken, kunt u een PowerShell-script gebruiken om elke catalogus te maken.
  2. Vul de catalogus met de benodigde resources. Voeg de toepassing en eventuele Microsoft Entra-groepen toe waarop de toepassing afhankelijk is, als resources in die catalogus. Als u veel resources hebt, kunt u een PowerShell-script gebruiken om elke resource toe te voegen aan een catalogus.
  3. Maak een toegangspakket voor elke rol of groep die gebruikers kunnen aanvragen. Maak voor elk van de toepassingen en voor elk van hun toepassingsrollen of -groepen een toegangspakket met die rol of groep als resource. In deze fase van het configureren van deze toegangspakketten configureert u het eerste toegangspakkettoewijzingsbeleid in elk toegangspakket als beleid voor directe toewijzing, zodat alleen beheerders toewijzingen kunnen maken. Stel in dit beleid de vereisten voor toegangsbeoordeling in voor bestaande gebruikers, indien van toepassing, zodat ze de toegang niet voor onbepaalde tijd behouden. Als u veel toegangspakketten hebt, kunt u een PowerShell-script gebruiken om elk toegangspakket in een catalogus te maken.
  4. Configureer toegangspakketten om scheiding van taakvereisten af te dwingen. Als u scheiding van takenvereisten hebt, configureert u de incompatibele toegangspakketten of bestaande groepen voor uw toegangspakket. Als voor uw scenario de mogelijkheid is vereist om een scheiding van taken te overschrijven, kunt u ook extra toegangspakketten instellen voor deze overschrijvingsscenario's.
  5. Voeg toewijzingen van bestaande gebruikers, die al toegang hebben tot de toepassing, toe voor de toegangspakketten. Wijs voor elk toegangspakket bestaande gebruikers van de toepassing toe in die bijbehorende rol, of leden van die groep, aan het toegangspakket en het bijbehorende beleid voor directe toewijzing. U kunt een gebruiker rechtstreeks toewijzen aan een toegangspakket via het Microsoft Entra-beheercentrum of bulksgewijs via Graph of PowerShell.
  6. Maak aanvullende beleidsregels zodat gebruikers toegang kunnen aanvragen. Maak in elk toegangspakket extra beleid voor de toewijzing van toegangspakketten voor gebruikers, om toegang aan te vragen. Configureer de goedkeuringsvereisten en vereisten voor terugkerende toegangsbeoordelingen in dit beleid.
  7. Maak terugkerende toegangsbeoordelingen voor andere groepen die worden gebruikt voor de toepassing. Als er groepen zijn die worden gebruikt voor de toepassing, maar die geen resourcerollen voor een toegangspakket zijn, maakt u toegangsbeoordelingen voor het lidmaatschap van deze groepen.

Rapporten over toegang weergeven

Microsoft Entra ID en Microsoft Entra ID-governance met Azure Monitor biedt verschillende rapporten om u te helpen begrijpen wie toegang heeft tot een toepassing en of ze die toegang gebruiken.

Controleren om rechtenbeheerbeleid en toegang zo nodig aan te passen

Gebruik met regelmatige tussenpozen, zoals wekelijks, maandelijks of elk kwartaal, op basis van het volume aan wijzigingen in de toewijzing van toepassingstoegang voor uw toepassing, het Microsoft Entra-beheercentrum om ervoor te zorgen dat toegang wordt verleend overeenkomstig het beleid. U kunt er ook voor zorgen dat de geïdentificeerde gebruikers voor goedkeuring en beoordeling nog steeds de juiste personen voor deze taken zijn.

  • Let op toewijzingen van toepassingsrollen en wijzigingen in groepslidmaatschap. Als u Microsoft Entra-id hebt geconfigureerd voor het verzenden van het auditlogboek naar Azure Monitor, gebruikt u de Application role assignment activity in Azure Monitor om toepassingsroltoewijzingen te bewaken en te rapporteren die niet zijn gemaakt via rechtenbeheer. Als er rechtstreeks roltoewijzingen zijn gemaakt door een toepassingseigenaar, neemt u contact met deze toepassingseigenaar op om te bepalen of de toewijzing is geautoriseerd. Als de toepassing afhankelijk is van Microsoft Entra-beveiligingsgroepen, controleert u bovendien ook op wijzigingen in deze groepen.

  • Let ook op gebruikers aan wie rechtstreeks toegang is verleend in de toepassing. Als aan de volgende voorwaarden wordt voldaan, is het mogelijk dat een gebruiker toegang krijgt tot een toepassing zonder deel uit te maken van Microsoft Entra-id, of zonder dat deze wordt toegevoegd aan het gebruikersaccountarchief van de toepassing door Microsoft Entra-id:

    • De toepassing heeft een lokaal gebruikersaccountarchief in de app
    • Het gebruikersaccountarchief bevindt zich in een database of in een LDAP-adreslijst
    • De toepassing is niet alleen afhankelijk van Microsoft Entra ID voor eenmalige aanmelding.

    Voor een toepassing met de eigenschappen in de vorige lijst moet u regelmatig controleren of gebruikers alleen zijn toegevoegd aan het lokale gebruikersarchief van de toepassing via Microsoft Entra-inrichting. Als gebruikers die rechtstreeks in de toepassing zijn gemaakt, contact opnemen met de eigenaar van de toepassing om te bepalen of deze toewijzing is geautoriseerd.

  • Zorg ervoor dat fiatteurs en revisoren up-to-date blijven. Zorg er voor elk toegangspakket dat u in de vorige sectie hebt geconfigureerd, voor dat het beleid voor toegangspakkettoewijzing over de juiste fiatteurs en revisoren beschikt. Werk deze beleidsregels bij als de fiatteurs en revisoren die eerder zijn geconfigureerd, niet meer aanwezig zijn in de organisatie of zich in een andere rol bevinden.

  • Controleer of revisoren beslissingen nemen tijdens een beoordeling. Controleer of terugkerende toegangsbeoordelingen voor deze toegangspakketten correct worden voltooid, om ervoor te zorgen dat revisoren deelnemen en beslissingen nemen om de voortdurende behoefte aan toegang van de gebruiker goed te keuren of te weigeren.

  • Controleer of (ongedaan maken van) inrichting werken zoals verwacht. Als u het inrichten van gebruikers eerder hebt geconfigureerd voor de toepassing, wordt de inrichting van de geweigerde gebruikers vanuit de toepassing gestart wanneer de resultaten van een beoordeling worden toegepast of wanneer de toewijzing van een gebruiker aan een toegangspakket verloopt. U kunt het proces van het ongedaan maken van de inrichting van gebruikers controleren. Als inrichting een fout met de toepassing aangeeft, kunt u het inrichtingslogboek downloaden om te onderzoeken of er een probleem is met de toepassing.

  • Werk de Microsoft Entra-configuratie bij met eventuele wijzigingen in rollen of groepen in de toepassing. Als de toepassingsbeheerder nieuwe app-rollen toevoegt in het manifest, bestaande rollen bijwerkt of afhankelijk is van extra groepen, moet u de toegangspakketten en toegangsbeoordelingen bijwerken om rekening te houden met deze nieuwe rollen of groepen.

Volgende stappen