Delegatie configureren met behulp van beheereenheden

  • 7 minuten

Beheereenheden zijn Microsoft Entra ID-resources die containers kunnen zijn voor andere Microsoft Entra-resources. Een beheereenheid kan alleen gebruikers, groepen en apparaten bevatten.

Beheereenheden beperken de machtigingen voor een rol tot elk deel van uw organisatie dat u definieert. U kunt bijvoorbeeld via beheereenheden de rol Helpdeskbeheerder delegeren aan regionale ondersteuningsspecialisten, zodat deze alleen de gebruikers beheren in de regio die zij ondersteunen. U kunt beheereenheden beheren met behulp van Azure Portal, PowerShell-cmdlets en -scripts of Microsoft Graph.

Wat is een beheereenheid?

In Microsoft Entra ID, met behulp van één tenant als u een gebruiker een beheerdersrol toewijst, zijn ze nu een beheerder voor elke gebruiker in de tenant. Denk altijd na over het beveiligingsprincipe van minimale bevoegdheden, het is altijd de beste manier om administratieve verantwoordelijkheden te verlenen. Beheereenheden zijn containers die zijn gemaakt om deze uitdaging op te lossen in Microsoft Entra-id. Als u wilt dat een gebruikersbeheerder alleen een specifieke set gebruikers en groepen kan beheren. Zeg dat u alleen gebruikers in het onderzoeksafdeling van een ziekenhuis wilt beheren. U kunt een beheereenheid instellen. Binnen die beheereenheid zou u de gebruikers en groepen voor het onderzoeksteam toevoegen, vervolgens zou u een specifieke gebruiker toevoegen aan de rol Gebruikersbeheerder binnen de beheereenheid, hen beheerder voor onderzoek aanroepen. Admin-for-research zou de gebruikers in de beheereenheid kunnen beheren, maar niet in de hele tenant, wat helpt om het principe van minimale bevoegdheden te bereiken.

Welke beheerdersrollen zijn beschikbaar voor een beheereenheid?

U kunt gebruikers in de volgende rollen hebben om uw beheereenheid te beheren:

  • Verificatiebeheerder
  • Groepsbeheerder
  • Helpdeskbeheerder
  • Licentiebeheerder
  • Wachtwoordbeheerder
  • Gebruikersbeheerder

Notitie

Als u bekend bent met on-premises Active Directory, is deze mogelijkheid afgehandeld door organisatie-eenheden (OE's) in uw directory in te stellen en uw gebruikers toe te voegen aan de organisatie-eenheid.

Plan uw beheereenheden

U kunt beheereenheden gebruiken om Microsoft Entra-resources logisch te groeperen. Het kan zijn dat een organisatie waarvan de IT-afdeling over de hele wereld is verspreid beheereenheden maakt waarmee de relevante geografische grenzen worden gedefinieerd. In een ander scenario waarin een wereldwijde organisatie suborganisaties heeft die semi-autonoom hun activiteiten uitvoeren, kunnen beheereenheden een weerspiegeling vormen van de suborganisaties.

De criteria voor het maken van beheereenheden worden bepaald door de unieke vereisten van een organisatie. Beheereenheden zijn een veelgebruikte manier om structuur aan te brengen in Microsoft 365-services. Het wordt aanbevolen om bij het voorbereiden van uw beheereenheden rekening te houden met het gebruik ervan in Microsoft 365-services. U kunt beheereenheden optimaal benutten wanneer u veelgebruikte resources in Microsoft 365 kunt koppelen in een beheereenheid.

Het maken van beheereenheden in de organisatie doorloopt doorgaans de volgende fasen:

  1. Initiële acceptatie: uw organisatie begint met het maken van beheereenheden op basis van initiële criteria en het aantal beheereenheden neemt toe naarmate de criteria worden verfijnd.
  2. Verwijderen: Nadat de criteria zijn gedefinieerd, worden beheereenheden verwijderd die niet meer nodig zijn.
  3. Stabilisatie: Uw organisatiestructuur wordt gedefinieerd en het aantal beheereenheden zal op korte termijn niet aanzienlijk veranderen.

Beheer delegeren in Microsoft Entra-id

Met de groei van de organisatie komt complexiteit. Een veelvoorkomend antwoord is het verminderen van een deel van de werkbelasting van toegangsbeheer met Microsoft Entra-beheerdersrollen. U kunt de minst mogelijke bevoegdheden toewijzen aan gebruikers om toegang te krijgen tot hun apps en hun taken uit te voeren. Zelfs als u de rol globale beheerder niet toewijst aan elke eigenaar van de toepassing, plaatst u verantwoordelijkheden voor toepassingsbeheer op de bestaande globale beheerders. Er zijn veel redenen waarom een organisatie overstapt op een meer gedecentraliseerd beheer.

In Microsoft Entra ID kunt u machtigingen voor het maken en beheren van toepassingen delegeren op de volgende manieren:

  • Beperken wie toepassingen kan maken en de toepassingen kan beheren die ze maken. Standaard kunnen alle gebruikers in Microsoft Entra ID toepassingsregistraties registreren en alle aspecten van toepassingen beheren die ze maken. U kunt beperken tot alleen geselecteerde personen die toestemming hebben.
  • Een of meer eigenaren toewijzen aan een toepassing. Een eenvoudige manier om iemand de mogelijkheid te geven om alle aspecten van de Configuratie van Microsoft Entra-id's voor een specifieke toepassing te beheren.
  • Het toewijzen van een ingebouwde beheerdersrol die toegang verleent tot het beheren van de configuratie in Microsoft Entra ID voor alle toepassingen. De aanbevolen manier om IT-experts toegang te verlenen tot het beheren van brede toepassingsconfiguratiemachtigingen zonder toegang te verlenen tot het beheren van andere onderdelen van Microsoft Entra ID die niet gerelateerd zijn aan de toepassingsconfiguratie.
  • Maak een aangepaste rol om specifieke machtigingen te definiëren. Wijs vervolgens de rol toe aan een gebruiker om een beperkte eigenaar toe te wijzen. U kunt ook toewijzen aan het adreslijstbereik - alle toepassingen - als een beperkte beheerder.

Wanneer u toegang verleent, gebruikt u een van de bovenstaande methoden om twee redenen. Ten eerste vermindert het delegeren van de mogelijkheid om beheertaken uit te voeren de overhead van globale beheerders. Ten tweede verbetert het gebruik van beperkte machtigingen uw beveiligingspostuur en vermindert u het potentieel voor onbevoegde toegang.

Plan voor delegatie

Er wordt gewerkt aan het ontwikkelen van een delegatiemodel dat aansluit bij uw behoeften. Het ontwikkelen van een delegatiemodel is een iteratief ontwerpproces en we raden u aan deze stappen uit te voeren:

  • De rollen definiëren die u nodig hebt
  • App-beheer delegeren
  • De mogelijkheid verlenen om toepassingen te registreren
  • Eigendom van app delegeren
  • Een beveiligingsplan ontwikkelen
  • Accounts voor noodgevallen instellen
  • Uw beheerdersrollen beveiligen
  • Bevoorrechte uitbreiding tijdelijk maken

Rollen definiëren

Bepaal de Active Directory-taken die worden uitgevoerd door beheerders en hoe ze worden toegewezen aan rollen. Elke taak moet worden geëvalueerd op frequentie, urgentie en moeilijkheidsgraad. Deze criteria zijn essentiële aspecten van de taakdefinitie omdat deze bepalen of een machtiging moet worden gedelegeerd:

  • Taken die u regelmatig uitvoert, hebben een beperkt risico en zijn eenvoudig te voltooien, zijn uitstekende kandidaten voor delegatie.
  • Taken die u zelden doet, maar mogelijk risico lopen in de hele organisatie en vereisen dat hoge vaardigheidsniveaus zorgvuldig worden overwogen voordat u delegeert. In plaats daarvan kunt u tijdelijk een account uitbreiden naar de vereiste rol of de taak opnieuw toewijzen.

App-beheer delegeren

De verspreiding van apps binnen uw organisatie kan uw delegatiemodel belasten. Als het de last voor toepassingstoegangsbeheer voor de globale beheerder plaatst, is het waarschijnlijk dat het model de overhead verhoogt zodra de tijd gaat. Als u personen de rol globale beheerder hebt verleend voor zaken als het configureren van bedrijfstoepassingen, kunt u ze nu offloaden naar de volgende rollen met minder bevoegdheden. Dit helpt om uw beveiligingspostuur te verbeteren en vermindert het potentieel voor ongelukkige fouten. De meest bevoorrechte toepassingsbeheerdersrollen zijn:

  • De rol Toepassingsbeheerder, die de mogelijkheid verleent om alle toepassingen in de directory te beheren, waaronder registraties, instellingen voor eenmalige aanmelding, gebruikers- en groepstoewijzingen en -licenties, toepassingsproxy instellingen en toestemming. De mogelijkheid om voorwaardelijke toegang te beheren, valt hier niet onder.
  • De rol Cloudtoepassingsbeheerder, die alle mogelijkheden van de toepassingsbeheerder verleent, behalve dat deze geen toegang verleent tot toepassingsproxy-instellingen (omdat deze geen on-premises machtiging heeft).

App-registratie delegeren

Standaard kunnen alle gebruikers toepassingsregistraties maken. Om selectief de mogelijkheid te verlenen om toepassingsregistraties te maken:

  • Gebruikers kunnen toepassingen registreren op Nee in gebruikersinstellingen
  • De gebruiker toewijzen aan de rol Toepassingsontwikkelaar

Als u selectief toestemming wilt geven om een toepassing toegang te geven tot gegevens:

  • Instellen dat gebruikers toestemming kunnen geven voor toepassingen die namens hen toegang hebben tot bedrijfsgegevens op Nee in gebruikersinstellingen onder Enterprise-apps
  • De gebruiker toewijzen aan de rol Toepassingsontwikkelaar

Wanneer een toepassingsontwikkelaar een nieuwe toepassingsregistratie maakt, worden deze automatisch toegevoegd als de eerste eigenaar.

Eigendom van app delegeren

Voor nog nauwkeurigere overdracht van app-toegang kunt u het eigendom toewijzen aan afzonderlijke bedrijfstoepassingen. U verbetert de bestaande ondersteuning voor het toewijzen van eigenaren van toepassingsregistratie. Het eigendom wordt toegewezen op basis van een toepassing per onderneming in het scherm Bedrijfstoepassingen. Het voordeel is dat eigenaren alleen de bedrijfstoepassingen kunnen beheren waarvan ze eigenaar zijn. U kunt bijvoorbeeld een eigenaar toewijzen voor de Salesforce-toepassing en die eigenaar kan de toegang tot en configuratie voor Salesforce en geen andere toepassingen beheren. Een bedrijfstoepassing kan veel eigenaren hebben en een gebruiker kan de eigenaar zijn van veel bedrijfstoepassingen. Er zijn twee rollen voor app-eigenaar:

  • De rol Eigenaar van bedrijfstoepassing verleent de mogelijkheid om de bedrijfstoepassingen te beheren waarvan de gebruiker eigenaar is, inclusief instellingen voor eenmalige aanmelding, gebruikers- en groepstoewijzingen en het toevoegen van meer eigenaren. Het biedt geen mogelijkheid om toepassingsproxy instellingen of voorwaardelijke toegang te beheren.
  • De rol Eigenaar van toepassingsregistratie verleent de mogelijkheid om toepassingsregistraties te beheren voor de app waarvan de gebruiker eigenaar is, inclusief het toepassingsmanifest en het toevoegen van andere eigenaren.

Een beveiligingsplan ontwikkelen

Microsoft Entra ID biedt een uitgebreide handleiding voor het plannen en uitvoeren van een beveiligingsplan voor uw Microsoft Entra-beheerdersrollen, het beveiligen van bevoegde toegang voor hybride en cloudimplementaties.

Accounts voor noodgevallen instellen

Als u de toegang tot uw archief voor identiteitsbeheer wilt behouden wanneer er zich een probleem voordoet, bereidt u accounts voor noodtoegang voor op basis van beheerdersaccounts voor noodtoegang maken.

Uw beheerdersrollen beveiligen

Aanvallers die controle krijgen over bevoegde accounts kunnen enorme schade aanrichten. Beveilig deze accounts altijd eerst. Gebruik de functie Standaardinstellingen voor beveiliging die beschikbaar is voor alle Microsoft Entra-organisaties. Met standaardinstellingen voor beveiliging wordt meervoudige verificatie afgedwongen voor bevoegde Microsoft Entra-accounts.