Open YouTube

Create, configure, and manage identities | AZ-104 | Episode 3

Microsoft Learndutchenpublicupdated

Read in about 4 minutes instead of watching 38 minutes.

Introductie en identiteiten

  1. De module behandelt het maken, configureren en beheren van gebruikers- en groepsidentiteiten binnen identity governance voor AZ-104.
  2. De focus ligt op gebruikers, apparaten, groepen en de beschikbare typen identiteiten in Microsoft Entra ID.

Wachtwoorden en gebruikersaccounts

  1. Traditioneel werden gebruikersaccounts vaak lokaal beheerd met Active Directory Domain Services, wat leidde tot veel accounts en wachtwoorden per persoon.
  2. Minder accounts maken wachtwoordbeheer eenvoudiger en verkleinen de kans dat gebruikers wachtwoorden opschrijven.
  3. De aanbevolen aanpak is lengte boven complexiteit: een lange wachtzin is doorgaans sterker en beter beheerbaar dan een kort complex wachtwoord.
  4. Een wachtzin kan worden aangepast met hoofdletters, cijfers of speciale tekens om aan wachtwoordbeleid te voldoen.

Gasten en tenants

  1. In plaats van tijdelijke externe accounts lokaal aan te maken, kunnen organisaties gebruikers uitnodigen als gast in hun tenant.
  2. Elke Azure-tenant heeft een één-op-éénrelatie met een Entra ID-directory.
  3. De Azure-portal en het Entra-beheercentrum kunnen worden gebruikt voor identiteitsbeheer; het Entra-beheercentrum is eenvoudiger voor beheerders die alleen identiteiten beheren.
  4. B2C-identiteiten kunnen afkomstig zijn van consumentproviders zoals Microsoft-, Google- of Facebook-accounts.
  5. Bij B2B worden gebruikers uit andere tenants uitgenodigd; authenticatie blijft bij de thuisorganisatie, terwijl autorisatie in de ontvangende tenant wordt beheerd.

Groepen en licenties

  1. Groepen vallen vooral uiteen in security groups en Microsoft 365-groepen.
  2. Groepslidmaatschap kan handmatig toegewezen zijn of dynamisch worden bepaald op basis van gebruikers- of apparaatkenmerken.
  3. Dynamische groepslidmaatschappen vereisen specifieke Entra ID-licenties, zoals P1 of P2.
  4. Privileged Identity Management en toegangsbeoordelingen kunnen helpen om groepslidmaatschappen periodiek te controleren en onnodige toegang te verwijderen.

Tenantnamen en domeinen

  1. Alle Azure-tenants hebben standaard een onmicrosoft.com-naam.
  2. Organisaties kunnen aangepaste domeinnamen registreren en verifiëren zodat gebruikers met hun eigen domein kunnen aanmelden.
  3. Een tenant bevat zowel resourcebeheer als identiteitsbeheer; de directory is onderdeel van de tenant, niet hetzelfde als de volledige tenant.

Apparaten en objecten

  1. Naast klassieke domeingekoppelde Windows-apparaten ondersteunt Entra ID ook moderne scenario's zoals iOS, Android, macOS, Linux en BYOD.
  2. Er is verschil tussen apparaten joinen en registreren: joinen geeft sterkere beheerscontrole, registreren lichtere controle.
  3. Groepen zijn bedoeld om objecten schaalbaar te beheren, in plaats van rechten rechtstreeks aan individuele gebruikers toe te kennen.

Geneste groepen en dynamiek

  1. Een hiërarchische groepsstructuur maakt het mogelijk dat één groepslidmaatschap automatisch toegang via meerdere bovenliggende groepen oplevert.
  2. Dynamische regels kunnen gebruikers automatisch in groepen plaatsen op basis van kenmerken zoals locatie, afdeling of functie.
  3. Als een gebruikerskenmerk verandert, kan de gebruiker automatisch uit de oude groep worden verwijderd en via nieuwe kenmerken in andere groepen terechtkomen.
  4. Groepsnesten helpt schaal te bouwen omdat rollen en organisatiestructuren stabieler zijn dan individuele gebruikers.

Beveiliging en ACL's

  1. Access control lists bevatten entries die bepalen welke gebruikers of groepen toegang hebben tot objecten zoals shares, mappen, printers of bestanden.
  2. Bij aanmelden bevat een token de SID's van de gebruiker en groepslidmaatschappen; de Local Security Authority vergelijkt die met de ACL.
  3. Onderliggende objecten erven standaard machtigingen van hun bovenliggende objecten.
  4. Achtergebleven SID's van verwijderde accounts kunnen een beveiligingsrisico vormen, omdat rechten nog op objecten kunnen blijven staan.
  5. Door toegang aan groepen toe te kennen en gebruikers alleen in of uit groepen te halen, vermijd je beheer op individueel gebruikersniveau en beperk je risico's.

Portaaldemonstratie

  1. De demonstratie gebruikt portal.azure.com en de Entra ID-blade om gebruikers en groepen te beheren.
  2. Een gastgebruiker wordt uitgenodigd via een persoonlijk Outlook-adres met een optioneel bericht en weergavenaam.
  3. Bij het maken van groepen kan worden gekozen tussen een security group en een Microsoft 365-groep.
  4. Security groups kunnen voor beveiligingstoewijzing worden gebruikt en eventueel mailmogelijkheden hebben; Microsoft 365-groepen zijn gericht op mail- en samenwerkingsfunctionaliteit.
  5. Een dynamische groepsregel plaatst gebruikers in een groep wanneer hun functie en afdeling aan de voorwaarden voldoen.
  6. Door de functie en afdeling van een gebruiker aan te passen, wordt hij dynamisch toegevoegd aan de juiste groep en via nesting aan bovenliggende groepen.

Afronding

  1. De module vat samen hoe gebruikers direct in een tenant worden gemaakt of via B2B/B2C worden uitgenodigd.
  2. Het aanbevolen model gebruikt groepen, groepsnesten en dynamische lidmaatschappen om latere machtigingen en RBAC beter te beheren.
  3. Groepslidmaatschappen kunnen zowel gebruikers als apparaten bevatten.

Actiepunten

  1. Gebruik lange wachtzinnen in plaats van korte complexe wachtwoorden wanneer het beleid dit toestaat.
  2. Implementeer vanaf het begin een schaalbaar groepsmodel met geneste groepen in plaats van rechten rechtstreeks aan individuele gebruikers toe te kennen.
  3. Gebruik een change-controlproces wanneer iemand toegang tot extra resources aanvraagt.
  4. Verwijder achtergebleven SID's uit de omgeving om beveiligingsrisico's te voorkomen.
  5. Bekijk andere video's in de cursus of leer verder via Microsoft Learn.