Azure AD Rollen en Rechten: Rollen toewijzen & Beheren voor Gebruikers & Groepen. Ben je een IT-beheerder die meer wil weten over Azure AD-rollen en hun betekenis bij het toewijzen en beheren van rechten voor gebruikers en groepen?
Het is cruciaal om elk concept te leren om de relatie te begrijpen tussen Azure AD-rollen, gebruikers, groepen en rechten.
Vervolgens leggen we Azure AD-rollen uit, die het volgende niveau vertegenwoordigen in de relatie “rol-gebruikersgroep-toestemming”.
Om alle concepten samen te brengen, bespreekt het artikel hoe gebruikers en groepen rechten erven wanneer rollen aan hen worden toegewezen.
Ten slotte biedt het gedetailleerde instructies over hoe Azure AD-rollen aan gebruikers of groepen toe te wijzen met behulp van verschillende methoden.
Azure AD-gebruikers, Groepen en Groepslidmaatschappen
Het basisniveau van toestemming in Azure AD wordt “Identiteit” genoemd, wat alles omvat wat is geauthenticeerd. Voorbeelden van identiteiten zijn: gebruikers met gebruikersnamen, wachtwoorden en toepassingen of servers die authenticatie vereisen.
Dit artikel richt zich op Identiteit als een gebruiker die is geauthenticeerd.
Zodra een gebruiker is geauthenticeerd, krijgen ze toegang tot resources via autorisatie. Daarom hebben gebruikers toestemming nodig om gemachtigd te worden om toegang te krijgen tot resources.
Bij het maken van een gebruiker, verleent Azure AD hen automatisch standaardmachtigingen.
Een beheerder wijst echter aanvullende machtigingen toe aan de gebruiker door gebruik te maken van een Azure AD rol. Machtigingen kunnen ook aan gebruikers worden toegewezen door ze toe te voegen aan een groep.
Het wordt beschouwd als best practice om machtigingen aan gebruikers toe te wijzen via een groep in plaats van rechtstreeks aan de gebruiker.
Dit is waar groepen in Azure Active Directory van pas komen. In Azure AD beheren groepen gebruikers die toegang nodig hebben tot dezelfde bronnen.
Zodra je een groep hebt gemaakt, erven alle gebruikers die eraan zijn toegevoegd de toegewezen machtigingen via Azure AD rollen.
Het is essentieel om op te merken dat er 2 soorten groepen zijn voor het beheren van machtigingen in Azure AD: beveiligingsgroepen en Microsoft 365 groepen.
Je gebruikt een beveiligingsgroep om machtigingen toe te wijzen en rollen aan de leden ervan toe te wijzen. Tijdens het proces van groepscreatie moet je echter de beveiligingsgroep instellen als rol-toewijsbaar om rollen eraan toe te wijzen.
Eenmaal gemaakt, kun je deze instelling niet meer wijzigen.
Daarentegen zijn Microsoft 365-groepen ontworpen voor samenwerkingsdoeleinden. Leden van een Microsoft 365-groep hebben toegang tot gedeelde postvakken, teams, bestanden en andere samenwerkingsmogelijkheden.
Rollen en machtigingen in Azure Active Directory
Rolgebaseerde toegangsbeheer (RBAC) vormt de basis van de beveiliging van Azure AD. Ongeveer 60 ingebouwde rollen worden gebruikt om machtigingen toe te wijzen en te beheren.
Om een uitgebreide lijst van deze rollen en hun respectievelijke rechten te vinden, raadpleeg de “Alle rollen” sectie op de Azure AD ingebouwde rollen pagina.
Bovendien heeft elke rol een vooraf gedefinieerde set van rechten. Om rechten die geassocieerd zijn met een Azure AD rol aan een object toe te wijzen, zoals een gebruiker of een groep, moet u de rol aan het object toewijzen.
Voer deze toewijzing uit op de “Rol en beheerders” pagina binnen het Azure Active Directory portaal of via de “Toegewezen rollen” node van een Azure AD object.
Rollen kunnen direct toegewezen worden aan gebruikers of groepen. Echter, dynamische groepen staan het automatisch toewijzen van rollen toe op basis van gedefinieerde voorwaarden.
Relaties Tussen Azure AD Rollen en Groepsrechten
Groepen beheren meerdere gebruikers die toegang nodig hebben tot dezelfde Azure AD bronnen. Echter, groepen hebben functionaliteiten die verder gaan dan dat.
Bijvoorbeeld, groepen worden gebruikt om licenties toe te wijzen en apps te implementeren voor hun leden. Bovendien kunnen deze groepen beheerdersrollen delegeren, behalve voor Azure AD Globale Administrator.
Zoek een lijst van beheerdersrollen die u kunt toewijzen met behulp van groepen.
Gebruik verder groepen om machtigingen toe te wijzen aan SharePoint sites of externe SaaS apps.
Onthoud dat het toewijzen van rollen aan groepen een Azure AD Premium P1-licentie vereist. Bovendien vereist het uitvoeren van de taak ook de rol van “Bevoegde Rol Administrator”.
Ook biedt Azure dynamische groepen die worden gebruikt voor roltoewijzingen.
Dynamische groepen wijzen automatisch groepslidmaatschappen toe aan gebruikers die voldoen aan de dynamische groep zoekcriteria gedefinieerd voor de groep. Dit geautomatiseerde proces bespaart aanzienlijke administratieve tijd voor grote organisaties in vergelijking met handmatige groepstoewijzingen.
Hoe Azure AD-rollen toewijzen aan gebruikers en groepen
Volg een van de onderstaande methoden om Azure AD-rollen toe te wijzen aan gebruikers of groepen.
Allereerst, meld u aan bij het Azure-portal via portal.azure.com. Zoek en open “Azure Active Directory.”
Methode 1 van 3: Rollen toewijzen aan gebruikers of groepen vanuit de interface “Rollen en beheerders”
De meest handige manier om Azure AD-rollen toe te wijzen is via de interface “Rollen en beheerders” in het Azure Active Directory-portaal.
Volg deze stappen:
1. In het Azure Active Directory-menu, klik op “Rollen en beheerders.”
2. Vervolgens, zodra de pagina “Rollen en beheerders” opent, klik op de Azure AD-rol die je wilt toewijzen en verleen machtigingen aan Active Directory en groepen. Om een rol sneller te vinden, zoek ernaar.
3. Klik op “Toewijzingen toevoegen” op de toewijzingspagina van de rol. Op deze pagina worden ook alle gebruikers en groepen vermeld die momenteel deze rol toegewezen hebben gekregen.
4. Zodra de pagina “Toewijzingen toevoegen” opent, klik op de link “Geen leden geselecteerd”. Tenslotte, op de “Selecteer een lid”, kies alle gebruikers en groepen die je de rol wilt toewijzen en klik op Selecteren.
Merk op dat het flyout alleen groepen weergeeft die in aanmerking komen voor roltoewijzing.
Gebruik de zoekfunctionaliteit om gebruikers en groepen te vinden en vermijd door te scrollen.
Methode 2 van 3: Wijs Azure AD-rollen toe vanuit de Gebruikersinterface
Een andere methode om Azure AD-rollen toe te wijzen aan gebruikers is door de pagina van het Azure Active Directory-portaal van de gebruiker te openen. Hier zijn de stappen:
1. Klik op het “Gebruikers” menu op het Azure Active Directory Portal. Kies vervolgens een gebruiker door erop te klikken.
2. Zodra de gebruiker opent, klik op “Toegewezen rollen.” Klik vervolgens op “+ Toewijzing toevoegen.”
3. Selecteer vervolgens de Azure AD-rol waarvan u wilt dat de gebruiker de machtigingen erft uit de vervolgkeuzelijst “Rol selecteren”. Nadat u de rol heeft geselecteerd, klikt u op Volgende.
4. Als u ten slotte over de Privileged Identity Management (PIM)-licentie beschikt, wordt op de laatste pagina de optie “Toewijzingstype” weergegeven. De optie “Maximale toegestane in aanmerking komende duur” is ook beschikbaar voor PIM.
Selecteer uw instellingen en klik op Toewijzen.
Methode 2 van 3: Wijs Azure AD-rollen toe vanuit de groepsinterface
Om Azure AD-rollen toe te wijzen aan toewijsbare rollen groepen, volgt u de onderstaande stappen:
1. Klik op “Groepen” op het Azure Active Directory-portal.
2. Azure AD geeft alle groepen weer. U kunt echter alleen rollen toewijzen aan groepen waarvoor deze functie is ingeschakeld.
Om dus groepen te zien die zijn ingeschakeld voor roltoewijzing, klikt u op “Beheerweergave” en selecteert u “Kolommen bewerken”.
3. Vink het selectievakje “Rollen toewijzen toegestaan” aan in het kolommenu en klik op Opslaan. U kunt ook “Object-id,” “Lidmaatschapstype,” “E-mail” en “Bron” uitvinken om het aantal kolommen te verminderen.
Deze kolommen zijn standaard aangevinkt. Echter, de kolom “Rollen toewijzen toegestaan” is standaard niet aangevinkt.
4. Nadat u de pagina hebt ingeschakeld om weer te geven of een groep rol-toewijsbaar is, selecteert u de juiste groep.
Onthoud dat als u een groep opent waarbij deze functie niet was ingeschakeld tijdens de creatie, het geen Azure AD-rollen zal weergeven.
5. Zodra de groep is geopend, klikt u op “Toegewezen rollen” in het menu, en klik vervolgens op “Toewijzingen toevoegen.”
6. Kies een rol uit de vervolgkeuzelijst “Selecteer rol” en klik op Volgende. Tenslotte, selecteer roltoewijzingsopties en klik op Toewijzen.
Wijs Azure AD-rollen toe via Dynamische Groepen
Ook staat Azure AD het gebruik van dynamische groepen toe om automatisch Azure AD-rollen toe te wijzen aan gebruikers.
Hier zijn de stappen om een dynamische Azure AD-groep te maken die automatisch rollen toewijst aan haar leden.
1. Op de Groepen pagina van het Azure Active Directory portaal, klik op “Nieuwe groep.”
2. Wanneer de pagina “Nieuwe groep” wordt geopend, geef de groep een naam en selecteer het dynamische toewijzingstype uit de vervolgkeuzelijst “Lidmaatschapstype”. Als “Dynamische gebruiker” of “Dynamisch apparaat” wordt geselecteerd, wordt de koppeling “Dynamische query toevoegen” weergegeven.
Zorg ervoor dat de schakelaar “Azure AD-rollen kunnen worden toegewezen” is ingeschakeld.
3. Klik op de koppeling “Dynamische query toevoegen” om een dynamische query te maken die gebruikers automatisch aan de groep toevoegt.
4. Wanneer de pagina “Dynamische lidmaatschapsregels” wordt geopend, klik op “bewerken” en maak vervolgens uw query. Leer hoe u dynamische query’s kunt maken voor groepslidmaatschappen.
5. Voer op de flyout “Regelsyntax bewerken” uw regel in en klik op OK. Klik vervolgens op Opslaan op de pagina Dynamische lidmaatschapsquery.
I built a simple rule that adds users to my group by user’s department.
6. Controleer tot slot de instellingen op de pagina ‘Nieuwe groep’ en klik op Maken.
Om te controleren of uw dynamische regel werkt, opent u de groep en klikt u op het menu ‘Leden’. Als uw regel juist is en sommige gebruikers aan de criteria voldoen, moeten ze dynamisch aan de groep worden toegevoegd.
Nadat u de dynamische groep hebt gemaakt, wijs Azure AD-rollen toe aan de groep. Na deze stappen zullen alle gebruikers die dynamisch aan de groep worden toegevoegd, automatisch de machtigingen van de aan de groep toegewezen rollen erven.
Azure AD-rollen en -machtigingen: Toewijzen & Beheren van rollen voor gebruikers & groepen Conclusie
In conclusie, dit artikel onderzocht de essentiële aspecten van Azure AD-rollen en -machtigingen. In het bijzonder richt het zich op hoe u effectief rollen kunt toewijzen en beheren voor gebruikers en groepen.
We hebben de concepten van Azure AD-gebruikers, groepen en groepslidmaatschappen uitgelegd, met nadruk op hun belang bij roltoewijzingen. We hebben ook de rollen en machtigingen-framework in Azure Active Directory bekeken.
Het artikel benadrukt de relaties tussen Azure AD-rollen en groepsmachtigingen.
Bovendien is er aangegeven hoe u 3 methoden kunt gebruiken om Azure AD-rollen toe te wijzen aan gebruikers en groepen. Methode 1 betrof het gebruik van de “Rollen en admins” interface, terwijl Methode 2 handelde over het toewijzen van rollen vanuit gebruikers en groepsinterfaces.
We overwogen ook om dynamische groep-lidmaatschap te gebruiken als de 3 methode om Azure AD-rollen toe te wijzen aan gebruikers.
Door deze methoden te begrijpen en gebruik te maken van de kracht van Azure AD, kunnen beheerders efficiënt rollen toewijzen en beheren om ervoor te zorgen dat gebruikers en groepen binnen hun organisaties de juiste toegang en machtigingen hebben.
Source:
https://infrasos.com/azure-ad-roles-and-permissions-assign-manage-roles-for-users-groups/