Toegang tot een toepassing beheren

Doorlopend toegangsbeheer, gebruiksevaluatie en rapportage blijven een uitdaging nadat een app is geïntegreerd in het identiteitssysteem van uw organisatie. In veel gevallen moeten IT-Beheer istrators of helpdesks een actieve rol spelen bij het beheren van de toegang tot uw apps. Soms wordt de toewijzing uitgevoerd door een algemeen of afdelings IT-team. Vaak is de toewijzingsbeslissing bedoeld om te worden gedelegeerd aan de besluitvormer van het bedrijf, waarvoor goedkeuring is vereist voordat IT de toewijzing uitvoert.

Andere organisaties investeren in integratie met een bestaand geautomatiseerd identiteits- en toegangsbeheersysteem, zoals op rollen gebaseerd toegangsbeheer (RBAC) of op kenmerken gebaseerd toegangsbeheer (ABAC). Zowel de integratie- als regelontwikkeling zijn meestal gespecialiseerd en duur. Bewaking of rapportage over beide beheerbenaderingen is een eigen afzonderlijke, kostbare en complexe investering.

Hoe helpt Microsoft Entra ID?

Microsoft Entra ID ondersteunt uitgebreid toegangsbeheer voor geconfigureerde toepassingen, waardoor organisaties eenvoudig het juiste toegangsbeleid kunnen bereiken, variërend van automatische toewijzing op basis van kenmerken (ABAC- of RBAC-scenario's) via delegatie en inclusief beheerdersbeheer. Met Microsoft Entra ID kunt u eenvoudig complexe beleidsregels bereiken, meerdere beheermodellen voor één toepassing combineren en zelfs beheerregels voor toepassingen met dezelfde doelgroepen hergebruiken.

Met Microsoft Entra ID is rapportage over gebruik en toewijzing volledig geïntegreerd, waardoor beheerders eenvoudig kunnen rapporteren over de toewijzingsstatus, toewijzingsfouten en zelfs gebruik.

Gebruikers en groepen toewijzen aan een app

Microsoft Entra-toepassingstoewijzing is gericht op twee primaire toewijzingsmodi:

  • Afzonderlijke toewijzing Een IT-beheerder met directory global Beheer istrator-machtigingen kan afzonderlijke gebruikersaccounts selecteren en hen toegang verlenen tot de toepassing.

  • Toewijzing op basis van groepen (hiervoor is Microsoft Entra ID P1 of P2 vereist) Een IT-beheerder met globale Beheer istrator-machtigingen kan een groep toewijzen aan de toepassing. De toegang van specifieke gebruikers wordt bepaald door of ze lid zijn van de groep op het moment dat ze toegang proberen te krijgen tot de toepassing. Met andere woorden, een beheerder kan effectief een toewijzingsregel maken met de mededeling dat een huidig lid van de toegewezen groep toegang heeft tot de toepassing. Met deze toewijzingsoptie kunnen beheerders profiteren van een van de opties voor groepsbeheer van Microsoft Entra, waaronder dynamische groepen op basis van kenmerken, externe systeemgroepen (bijvoorbeeld on-premises Active Directory of Workday) of Beheer istrator beheerde of selfservice-beheerde groepen. Eén groep kan eenvoudig worden toegewezen aan meerdere apps, zodat toepassingen met toewijzingsaffiniteit toewijzingsregels kunnen delen, waardoor de algehele beheercomplexiteit wordt verminderd.

    Notitie

    Geneste groepslidmaatschappen worden momenteel niet ondersteund voor toewijzing op basis van groepen aan toepassingen.

Met deze twee toewijzingsmodi kunnen beheerders elke gewenste aanpak voor toewijzingsbeheer bereiken.

Gebruikerstoewijzing vereisen voor een app

Met bepaalde typen toepassingen hebt u de mogelijkheid om gebruikers toe te wijzen aan de toepassing. Hierdoor voorkomt u dat iedereen zich aanmeldt, behalve de gebruikers die u expliciet aan de toepassing toewijst. De volgende typen toepassingen ondersteunen deze optie:

  • Toepassingen die zijn geconfigureerd voor federatieve eenmalige aanmelding (SSO) met op SAML gebaseerde verificatie
  • toepassingsproxy toepassingen die gebruikmaken van Microsoft Entra Pre-Authentication
  • Toepassingen, die zijn gebouwd op het Microsoft Entra-toepassingsplatform die gebruikmaken van OAuth 2.0/OpenID Connect-verificatie nadat een gebruiker of beheerder toestemming heeft gegeven voor die toepassing. Bepaalde bedrijfstoepassingen bieden meer controle over wie zich mag aanmelden.

Wanneer gebruikerstoewijzing is vereist, kunnen alleen de gebruikers die u aan de toepassing toewijst (via directe gebruikerstoewijzing of op basis van groepslidmaatschap) zich aanmelden. Ze hebben toegang tot de app in de Mijn apps-portal of via een directe koppeling.

Wanneer gebruikerstoewijzing niet vereist is, zien niet-toegewezen gebruikers de app niet op hun Mijn apps, maar kunnen ze zich nog steeds aanmelden bij de toepassing zelf (ook wel door SP geïnitieerde aanmelding genoemd) of kunnen ze de URL voor gebruikerstoegang gebruiken op de pagina Eigenschappen van de toepassing (ook wel door IDP geïnitieerde aanmelding genoemd). Zie Een toepassing configureren voor meer informatie over het vereisen van configuraties voor gebruikerstoewijzingen

Deze instelling heeft geen invloed op het al dan niet weergeven van een toepassing op Mijn apps. Toepassingen worden weergegeven op de Mijn apps toegangsvensters van gebruikers zodra u een gebruiker of groep aan de toepassing hebt toegewezen.

Notitie

Wanneer een toepassing toewijzing vereist, is gebruikerstoestemming voor die toepassing niet toegestaan. Dit geldt zelfs als de toestemming van een gebruiker voor die app anders zou zijn toegestaan. Zorg ervoor dat u beheerderstoestemming voor de hele tenant verleent aan apps waarvoor toewijzing is vereist.

Voor sommige toepassingen is de optie om gebruikerstoewijzing te vereisen niet beschikbaar in de eigenschappen van de toepassing. In deze gevallen kunt u PowerShell gebruiken om de eigenschap appRoleAssignmentRequired in te stellen op de service-principal.

De gebruikerservaring bepalen voor toegang tot apps

Microsoft Entra ID biedt verschillende aanpasbare manieren om toepassingen te implementeren voor eindgebruikers in uw organisatie:

  • Microsoft Entra Mijn apps
  • Startprogramma voor Microsoft 365-toepassingen
  • Directe aanmelding bij federatieve apps (service-pr)
  • Dieptekoppelingen naar federatieve apps, op basis van wachtwoorden, of bestaande apps

U kunt bepalen of gebruikers die zijn toegewezen aan een bedrijfs-app deze kunnen zien in Mijn apps en het startprogramma voor Microsoft 365-toepassingen.

Voorbeeld: Complexe toepassingstoewijzing met Microsoft Entra-id

Overweeg een toepassing zoals Salesforce. In veel organisaties wordt Salesforce voornamelijk gebruikt door de marketing- en verkoopteams. Vaak hebben leden van het marketingteam zeer bevoorrechte toegang tot Salesforce, terwijl leden van het verkoopteam beperkte toegang hebben. In veel gevallen heeft een brede populatie informatiewerkers de toegang tot de toepassing beperkt. Uitzonderingen op deze regels bemoeilijken zaken. Het is vaak het voorrecht van de marketing- of verkoopleiders om een gebruiker toegang te verlenen of hun rollen onafhankelijk van deze algemene regels te wijzigen.

Met Microsoft Entra ID kunnen toepassingen zoals Salesforce vooraf worden geconfigureerd voor eenmalige aanmelding (SSO) en geautomatiseerde inrichting. Zodra de toepassing is geconfigureerd, kan een Beheer istrator de eenmalige actie ondernemen om de juiste groepen te maken en toe te wijzen. In dit voorbeeld kan een beheerder de volgende toewijzingen uitvoeren:

  • Dynamische groepen kunnen worden gedefinieerd om automatisch alle leden van de marketing- en verkoopteams te vertegenwoordigen met behulp van kenmerken zoals afdeling of rol:

    • Alle leden van marketinggroepen worden toegewezen aan de rol 'marketing' in Salesforce
    • Alle leden van verkoopteamgroepen worden toegewezen aan de rol 'verkoop' in Salesforce. Een verdere verfijning kan meerdere groepen gebruiken die regionale verkoopteams vertegenwoordigen die zijn toegewezen aan verschillende Salesforce-rollen.
  • Als u het uitzonderingsmechanisme wilt inschakelen, kan er een selfservicegroep worden gemaakt voor elke rol. De groep 'Salesforce-marketingonderzondering' kan bijvoorbeeld worden gemaakt als selfservicegroep. De groep kan worden toegewezen aan de salesforce-marketingrol en het marketingleiderschapsteam kan eigenaar worden gemaakt. Leden van het marketingleidersteam kunnen gebruikers toevoegen of verwijderen, een deelnamebeleid instellen of zelfs verzoeken van individuele gebruikers goedkeuren of weigeren om lid te worden. Dit mechanisme wordt ondersteund door een geschikte ervaring voor informatiewerkers die geen gespecialiseerde training nodig heeft voor eigenaren of leden.

In dit geval worden alle toegewezen gebruikers automatisch ingericht voor Salesforce. Omdat ze worden toegevoegd aan verschillende groepen, wordt hun roltoewijzing bijgewerkt in Salesforce. Gebruikers kunnen Salesforce detecteren en openen via Mijn apps, Office-webclients of door naar hun aanmeldingspagina van Salesforce te gaan. Beheer istrators kunnen eenvoudig de gebruiks- en toewijzingsstatus bekijken met behulp van Microsoft Entra ID-rapportage.

Beheer istrators kunnen worden gebruikt Voorwaardelijke toegang van Microsoft Entra voor het instellen van toegangsbeleid voor specifieke rollen. Deze beleidsregels kunnen omvatten of toegang is toegestaan buiten de bedrijfsomgeving en zelfs meervoudige verificatie of apparaatvereisten om toegang te krijgen in verschillende gevallen.

Toegang tot Microsoft-toepassingen

Microsoft-toepassingen (zoals Exchange, SharePoint, Yammer, enzovoort) worden iets anders toegewezen en beheerd dan SaaS-toepassingen van derden of andere toepassingen die u integreert met Microsoft Entra ID voor eenmalige aanmelding.

Er zijn drie belangrijke manieren waarop een gebruiker toegang kan krijgen tot een door Microsoft gepubliceerde toepassing.

  • Voor toepassingen in de Microsoft 365- of andere betaalde suites krijgen gebruikers rechtstreeks toegang via licentietoewijzing aan hun gebruikersaccount of via een groep met behulp van onze mogelijkheid voor groepslicentietoewijzing.

  • Voor toepassingen die Door Microsoft of een derde partij vrijelijk worden gepubliceerd voor iedereen die ze mogen gebruiken, kunnen gebruikers toegang krijgen via toestemming van de gebruiker. De gebruikers melden zich aan bij de toepassing met hun Microsoft Entra-werk- of schoolaccount en staan toe dat deze toegang heeft tot een beperkt aantal gegevens in hun account.

  • Voor toepassingen die Door Microsoft of een derde partij vrijelijk worden gepubliceerd voor iedereen die ze mogen gebruiken, kunnen gebruikers ook toegang krijgen via beheerderstoestemming. Dit betekent dat een beheerder heeft vastgesteld dat de toepassing kan worden gebruikt door iedereen in de organisatie, zodat ze zich aanmelden bij de toepassing met een Global Beheer istrator-account en toegang verlenen aan iedereen in de organisatie.

Sommige toepassingen combineren deze methoden. Bepaalde Microsoft-toepassingen maken bijvoorbeeld deel uit van een Microsoft 365-abonnement, maar vereisen nog steeds toestemming.

Gebruikers hebben toegang tot Microsoft 365-toepassingen via hun Office 365-portals. U kunt Microsoft 365-toepassingen ook weergeven of verbergen in de Mijn apps met de zichtbaarheidsknop office 365 in de gebruikersinstellingen van uw adreslijst.

Net als bij zakelijke apps kunt u gebruikers toewijzen aan bepaalde Microsoft-toepassingen via het Microsoft Entra-beheercentrum of met behulp van PowerShell.

Volgende stappen