Beschrijven Microsoft Entra ID-governance

  • 4 minuten

Microsoft Entra ID-governance kunt u de behoefte van uw organisatie aan beveiliging en productiviteit van werknemers verdelen met de juiste processen en zichtbaarheid. Naarmate de rollen van werknemers binnen een organisatie veranderen, kunt u Microsoft Entra ID-governance gebruiken om ervoor te zorgen dat de juiste personen automatisch de juiste toegang hebben tot de juiste resources, met automatisering van identiteits- en toegangsproces, delegatie aan bedrijfsgroepen en meer zichtbaarheid.

Id-governance biedt organisaties de mogelijkheid om de volgende taken uit te voeren:

  • De identiteitslevenscyclus beheren.
  • De levenscyclus van de toegang beheren.
  • Beveiligde bevoegde toegang voor beheer.

Deze acties kunnen worden uitgevoerd voor werknemers, zakenpartners en leveranciers, en voor services en toepassingen, zowel on-premises als in de cloud.

Het is bedoeld om organisaties te helpen bij het oplossen van deze vier belangrijke vragen:

  • Welke gebruikers moeten toegang hebben tot welke resources?
  • Wat doen gebruikers met die toegang?
  • Beschikt de organisatie over effectieve beheeropties voor het beheren van toegang?
  • Kunnen auditors controleren of de beheeropties werken?

Identiteitslevenscyclus

Het beheren van de identiteitslevenscyclus van gebruikers vormt het hart van identiteitsbeheer.

Bij het plannen van identiteitslevenscyclusbeheer voor werknemers, bijvoorbeeld, modelleren veel organisaties het proces 'deelnemen, verplaatsen en verlaten'. Wanneer een persoon voor het eerst deelneemt aan een organisatie, wordt er een nieuwe digitale identiteit gemaakt als deze nog niet beschikbaar is. Wanneer een persoon zich verplaatst tussen organisatiegrenzen, moeten er mogelijk meer toegangsautorisaties worden toegevoegd of verwijderd aan hun digitale identiteit. Wanneer een persoon vertrekt, moet de toegang mogelijk worden verwijderd en is de identiteit mogelijk niet meer vereist, behalve voor controledoeleinden.

In het volgende diagram ziet u een vereenvoudigde versie van de identiteitslevenscyclus.

Diagram met de identiteitslevenscyclus voor werknemers. De levenscyclus wordt weergegeven als een cirkel die begint zonder toegang, gevolgd door lid te worden van de organisatie en vervolgens over te stappen op een nieuwe rol en vervolgens de organisatie te verlaten. De cyclus herhaalt zich.

Voor veel organisaties is deze identiteitslevenscyclus voor werknemers gekoppeld aan de weergave van die gebruiker in een HR-systeem (Human Resources), zoals Workday of SuccessFactors. Het HR-systeem is gezaghebbend voor het verstrekken van de huidige lijst met werknemers en sommige van hun eigenschappen, zoals naam of afdeling. Organisaties moeten het proces voor het maken van een identiteit automatiseren voor een nieuwe werknemer die is gebaseerd op een signaal van hun HR-systeem, zodat de werknemer productief kan zijn op dag 1.

In Microsoft Entra ID-governance kunt u de identiteitslevenscyclus van gebruikers automatiseren met behulp van:

  • Binnenkomende inrichting vanuit hr-bronnen van uw organisatie om automatisch gebruikersidentiteiten te onderhouden in zowel Microsoft Entra-id als Active Directory.
  • Werkstromen voor levenscyclus voor het automatiseren van werkstroomtaken die worden uitgevoerd op bepaalde belangrijke gebeurtenissen, zoals voordat een nieuwe werknemer wordt gepland om aan de slag te gaan in de organisatie, wanneer ze de status wijzigen tijdens hun tijd in de organisatie en wanneer ze de organisatie verlaten.
  • Beleid voor automatische toewijzing in rechtenbeheer om groepslidmaatschappen, toepassingsrollen en SharePoint-siterollen van een gebruiker toe te voegen en te verwijderen op basis van wijzigingen in de kenmerken van de gebruiker. Informatie over rechtenbeheer wordt behandeld in een volgende eenheid.
  • Gebruikersinrichting voor het maken, bijwerken en verwijderen van gebruikersaccounts in andere toepassingen, met connectors voor honderden cloud- en on-premises toepassingen.

Over het algemeen gaat het beheren van de levenscyclus van een identiteit over het bijwerken van de toegang die gebruikers nodig hebben, via integratie met een HR-systeem of via toepassingen voor het inrichten van gebruikers.

De toegangslevenscyclus

De levenscyclus van toegang is het proces van het beheren van de toegang gedurende de hele levensduur van de organisatie van de gebruiker. Gebruikers hebben verschillende toegangsniveaus nodig vanaf het punt waarop ze lid worden van een organisatie wanneer ze deze verlaten. In verschillende fasen daartussen hebben ze toegangsrechten nodig voor verschillende resources, afhankelijk van hun rol en verantwoordelijkheden.

Organisaties hebben een proces nodig waarmee de toegang wordt beheerd nadat deze oorspronkelijk is ingericht voor een gebruiker toen de identiteit van die gebruiker werd gemaakt. Daarnaast moeten bedrijfsorganisaties efficiënt kunnen schalen om het toegangsbeleid en de beheeropties doorlopend te kunnen ontwikkelen en afdwingen.

Met Microsoft Entra ID-governance kunnen IT-afdelingen bepalen welke toegangsrechten gebruikers moeten hebben over verschillende resources en welke afdwingingscontroles nodig zijn.

Organisaties kunnen het levenscyclusproces voor toegang automatiseren via technologieën zoals dynamische groepen. Met dynamische groepen kunnen beheerders regels op basis van kenmerken maken om het lidmaatschap van groepen te bepalen. Wanneer kenmerken van een gebruiker of apparaat worden gewijzigd, evalueert het systeem alle dynamische groepsregels in een directory om te zien of de wijziging ertoe zou leiden dat gebruikers worden toegevoegd of verwijderd uit een groep. Als een gebruiker of apparaat voldoet aan een regel voor een groep, worden deze toegevoegd als lid van die groep. Als ze niet meer voldoen aan de regel, worden ze verwijderd.

Met rechtenbeheer kunnen organisaties definiëren hoe gebruikers toegang aanvragen in verschillende pakketten van groep- en teamlidmaatschappen, app-rollen en SharePoint Online-rollen, en scheiding van taken controleren op toegangsaanvragen afdwingen.

Organisaties kunnen regelmatig toegangsrechten controleren met behulp van terugkerende Microsoft Entra-toegangsbeoordelingen voor opnieuw certificeren van toegang.

Levenscyclus voor bevoegde toegang

Het bewaken van bevoegde toegang is een belangrijk onderdeel van identiteitsbeheer. Wanneer werknemers, leveranciers en contractanten beheerdersrechten krijgen toegewezen, moet er een governanceproces zijn vanwege het potentieel voor misbruik.

Microsoft Entra Privileged Identity Management (PIM) biedt extra besturingselementen die zijn afgestemd op het beveiligen van toegangsrechten. PIM helpt u bij het minimaliseren van het aantal personen dat toegang heeft tot resources in Microsoft Entra ID, Azure en andere Microsoft-onlineservices. PIM biedt een uitgebreide set besturingselementen voor governance om de resources van uw bedrijf te beveiligen.

Diagram met de levenscyclus van identiteitstoegangsrechten. De levenscyclus wordt weergegeven als een cirkel die begint zonder dat een beheerder een eerste beheerdersrol heeft gevolgd, vervolgens een tweede beheerdersrol en vervolgens IT verlaat.