Overzicht van op rollen gebaseerd toegangsbeheer in Microsoft Entra-id

In dit artikel wordt beschreven hoe u op rollen gebaseerd toegangsbeheer van Microsoft Entra begrijpt. Met Microsoft Entra-rollen kunt u gedetailleerde machtigingen verlenen aan uw beheerders, afhankelijk van het principe van minimale bevoegdheden. Ingebouwde en aangepaste rollen van Microsoft Entra werken op concepten die vergelijkbaar zijn met die in het op rollen gebaseerde toegangsbeheersysteem voor Azure-resources (Azure-rollen). Het verschil tussen deze twee op rollen gebaseerde toegangscontrolesystemen is:

• Microsoft Entra-rollen beheren de toegang tot Microsoft Entra-resources, zoals gebruikers, groepen en toepassingen met behulp van de Microsoft Graph API
• Azure-rollen beheren de toegang tot Azure-resources, zoals virtuele machines of opslag met behulp van Azure Resource Management

Beide systemen bevatten op vergelijkbare wijze gebruikte roldefinities en roltoewijzingen. Machtigingen voor Microsoft Entra-rollen kunnen echter niet worden gebruikt in aangepaste Azure-rollen en omgekeerd.

Inzicht krijgen in op rollen gebaseerd toegangsbeheer van Microsoft Entra

Microsoft Entra ID ondersteunt twee typen roldefinities:

• ingebouwde rollen
• Aangepaste rollen

Ingebouwde rollen zijn out-of-box-rollen met een vaste set machtigingen. Deze roldefinities kunnen niet worden gewijzigd. Er zijn veel ingebouwde rollen die door Microsoft Entra ID worden ondersteund en de lijst groeit. Om de randen af te ronden en te voldoen aan uw geavanceerde vereisten, ondersteunt Microsoft Entra ID ook aangepaste rollen. Het verlenen van machtigingen met aangepaste Microsoft Entra-rollen is een proces in twee stappen waarbij u een aangepaste roldefinitie maakt en deze vervolgens toewijst met behulp van een roltoewijzing. Een aangepaste roldefinitie is een verzameling machtigingen die u toevoegt vanuit een vooraf ingestelde lijst. Deze machtigingen zijn dezelfde machtigingen die worden gebruikt in de ingebouwde rollen.

Zodra u uw aangepaste roldefinitie hebt gemaakt (of een ingebouwde rol gebruikt), kunt u deze toewijzen aan een gebruiker door een roltoewijzing te maken. Een roltoewijzing verleent de gebruiker de machtigingen in een roldefinitie op een opgegeven bereik. Met dit proces in twee stappen kunt u één roldefinitie maken en deze vaak toewijzen aan verschillende bereiken. Een scope definieert de set van Microsoft Entra-resources waartoe het lid van de rol toegang heeft. Het meest voorkomende bereik is organisatiebreed. Aan een aangepaste rol kan een organisatiebreed bereik worden toegewezen, wat betekent dat het lid van de rol de rolrechten heeft voor alle resources binnen de organisatie. Een aangepaste rol kan ook worden toegewezen binnen het bereik van een object. Een voorbeeld van een objectbereik is één toepassing. Dezelfde rol kan worden toegewezen aan één gebruiker voor alle toepassingen in de organisatie en vervolgens aan een andere gebruiker met alleen het bereik van de app Contoso Expense Reports.

Hoe Microsoft Entra ID bepaalt of een gebruiker toegang heeft tot een resource

Hieronder vindt u de stappen op hoog niveau die door Microsoft Entra ID worden gebruikt om te bepalen of u toegang hebt tot een beheerresource. Gebruik deze informatie om toegangsproblemen op te lossen.

1. Een gebruiker (of service-principal) verkrijgt een token voor het Microsoft Graph-eindpunt.
2. De gebruiker maakt een API-aanroep naar Microsoft Entra ID via Microsoft Graph met behulp van het uitgegeven token.
3. Afhankelijk van de omstandigheden voert Microsoft Entra ID een van de volgende acties uit:
   • Evalueert de rollidmaatschappen van de gebruiker op basis van de wids claim in het toegangstoken van de gebruiker.
   • Hiermee haalt u alle roltoewijzingen op die van toepassing zijn op de gebruiker, rechtstreeks of via groepslidmaatschap, op de resource waarvoor de actie wordt uitgevoerd.
4. Microsoft Entra-id bepaalt of de actie in de API-aanroep is opgenomen in de rollen die de gebruiker voor deze resource heeft.
5. Als de gebruiker geen rol heeft met de actie op het aangevraagde bereik, wordt geen toegang verleend. Anders wordt toegang verleend.

Roltoewijzing

Een roltoewijzing is een Microsoft Entra-resource die een roldefinitie koppelt aan een beveiligingsprincipaal op een bepaald bereik om toegang te verlenen tot Microsoft Entra-resources. Toegang wordt verleend door een roltoewijzing te maken en de toegang wordt ingetrokken door een roltoewijzing te verwijderen. In de kern bestaat een roltoewijzing uit drie elementen:

• Beveiligingsprincipaal: een identiteit die de machtigingen krijgt. Dit kan een gebruiker, groep of service-principal zijn.
• Roldefinitie: een verzameling machtigingen.
• Bereik: een manier om te beperken waar deze machtigingen van toepassing zijn.

U kunt roltoewijzingen maken en de roltoewijzingen weergeven met behulp van het Microsoft Entra-beheercentrum, Microsoft Graph PowerShellof Microsoft Graph API. Azure CLI wordt niet ondersteund voor roltoewijzingen via Microsoft Entra.

In het volgende diagram ziet u een voorbeeld van een roltoewijzing. In dit voorbeeld is aan Chris de aangepaste rol van App-registratiebeheerder toegewezen binnen het bereik van de app-registratie van Contoso Widget Builder. De toewijzing verleent Chris de machtigingen van de rol App-registratiebeheerder voor alleen deze specifieke app-registratie.

Beveiligingsprincipaal

Een beveiligingsprincipaal vertegenwoordigt een gebruiker, groep of service-principal die toegang heeft tot Microsoft Entra-resources. Een gebruiker is een persoon die een gebruikersprofiel heeft in Microsoft Entra ID. Een groep is een nieuwe Microsoft 365- of beveiligingsgroep die is ingesteld als een roltoewijzingsgroep. Een service-principal is een identiteit die is gemaakt voor gebruik met toepassingen, gehoste services en geautomatiseerde hulpprogramma's voor toegang tot Microsoft Entra-resources.

Roldefinitie

Een roldefinitie of rol is een verzameling machtigingen. Een roldefinitie bevat de bewerkingen die kunnen worden uitgevoerd op Microsoft Entra-resources, zoals maken, lezen, bijwerken en verwijderen. Er zijn twee typen rollen in Microsoft Entra-id:

• Ingebouwde rollen die zijn gemaakt door Microsoft die niet kunnen worden gewijzigd.
• Aangepaste rollen die zijn gemaakt en beheerd door uw organisatie.

Draagwijdte

Een bereik is een manier om de toegestane acties te beperken tot een bepaalde set van middelen als onderdeel van een roltoewijzing. Als u bijvoorbeeld een aangepaste rol wilt toewijzen aan een ontwikkelaar, maar alleen voor het beheren van een specifieke toepassingsregistratie, kunt u de specifieke toepassingsregistratie opnemen als een bereik in de roltoewijzing.

Wanneer u een rol toewijst, geeft u een van de volgende typen bereik op:

• Huurder
• beheereenheid
• Microsoft Entra-resource

Als u een Microsoft Entra-resource opgeeft als scope, kan dit een van de volgende zijn:

• Microsoft Entra-groepen
• Bedrijfstoepassingen
• Applicatieregistraties

Wanneer een rol over een containerbereik wordt toegewezen, zoals een tenant of een beheereenheid, verleent dit machtigingen over de objecten die zij bevatten, maar niet op de container zelf. Integendeel, wanneer een rol wordt toegewezen binnen een resourcescope, verleent het machtigingen over de resource zelf, maar deze reiken niet verder (met name niet tot de leden van een Microsoft Entra groep).

Zie Microsoft Entra-rollen toewijzenvoor meer informatie.

Opties voor roltoewijzing

Microsoft Entra ID biedt meerdere opties voor het toewijzen van rollen:

• U kunt rollen rechtstreeks toewijzen aan gebruikers. Dit is de standaard manier om rollen toe te wijzen. Zowel ingebouwde als aangepaste Microsoft Entra-rollen kunnen worden toegewezen aan gebruikers, op basis van toegangsvereisten. Voor meer informatie, zie Microsoft Entra-rollen toewijzen.
• Met Microsoft Entra ID P1 kunt u rollentoewijzingsgroepen maken en rollen toewijzen aan deze groepen. Als u rollen toewijst aan een groep in plaats van personen, kunt u gebruikers eenvoudig toevoegen aan of verwijderen uit een rol en consistente machtigingen maken voor alle leden van de groep. Voor meer informatie, zie Microsoft Entra-rollen toewijzen.
• Met Microsoft Entra ID P2 kunt u Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) gebruiken om Just-In-Time toegang te bieden tot rollen. Met deze functie kunt u tijdgebonden toegang verlenen aan gebruikers die deze functie nodig hebben, in plaats van permanente toegang te verlenen. Het biedt ook gedetailleerde rapportage- en controlemogelijkheden. Zie Microsoft Entra-rollen toewijzen in Privileged Identity Managementvoor meer informatie.

Licentievereisten

Het gebruik van ingebouwde rollen in Microsoft Entra ID is gratis. Voor het gebruik van aangepaste rollen is een Microsoft Entra ID P1-licentie vereist voor elke gebruiker met een aangepaste roltoewijzing. Zie Algemeen beschikbare functies van de gratis en Premium-edities vergelijkenom de juiste licentie voor uw vereisten te vinden.

Volgende stappen

• Inzicht in Microsoft Entra-rollen
• Microsoft Entra-rollen toewijzen
• Microsoft Entra-forum