Create, configure, and manage identities | AZ-104 | Episode 3
Microsoft LearndutchenpublicupdatedRead in about 4 minutes instead of watching 38 minutes.
Introductie en identiteiten
- De module behandelt het maken, configureren en beheren van gebruikers- en groepsidentiteiten binnen identity governance voor AZ-104.
- De focus ligt op gebruikers, apparaten, groepen en de beschikbare typen identiteiten in Microsoft Entra ID.
Wachtwoorden en gebruikersaccounts
- Traditioneel werden gebruikersaccounts vaak lokaal beheerd met Active Directory Domain Services, wat leidde tot veel accounts en wachtwoorden per persoon.
- Minder accounts maken wachtwoordbeheer eenvoudiger en verkleinen de kans dat gebruikers wachtwoorden opschrijven.
- De aanbevolen aanpak is lengte boven complexiteit: een lange wachtzin is doorgaans sterker en beter beheerbaar dan een kort complex wachtwoord.
- Een wachtzin kan worden aangepast met hoofdletters, cijfers of speciale tekens om aan wachtwoordbeleid te voldoen.
Gasten en tenants
- In plaats van tijdelijke externe accounts lokaal aan te maken, kunnen organisaties gebruikers uitnodigen als gast in hun tenant.
- Elke Azure-tenant heeft een één-op-éénrelatie met een Entra ID-directory.
- De Azure-portal en het Entra-beheercentrum kunnen worden gebruikt voor identiteitsbeheer; het Entra-beheercentrum is eenvoudiger voor beheerders die alleen identiteiten beheren.
- B2C-identiteiten kunnen afkomstig zijn van consumentproviders zoals Microsoft-, Google- of Facebook-accounts.
- Bij B2B worden gebruikers uit andere tenants uitgenodigd; authenticatie blijft bij de thuisorganisatie, terwijl autorisatie in de ontvangende tenant wordt beheerd.
Groepen en licenties
- Groepen vallen vooral uiteen in security groups en Microsoft 365-groepen.
- Groepslidmaatschap kan handmatig toegewezen zijn of dynamisch worden bepaald op basis van gebruikers- of apparaatkenmerken.
- Dynamische groepslidmaatschappen vereisen specifieke Entra ID-licenties, zoals P1 of P2.
- Privileged Identity Management en toegangsbeoordelingen kunnen helpen om groepslidmaatschappen periodiek te controleren en onnodige toegang te verwijderen.
Tenantnamen en domeinen
- Alle Azure-tenants hebben standaard een onmicrosoft.com-naam.
- Organisaties kunnen aangepaste domeinnamen registreren en verifiëren zodat gebruikers met hun eigen domein kunnen aanmelden.
- Een tenant bevat zowel resourcebeheer als identiteitsbeheer; de directory is onderdeel van de tenant, niet hetzelfde als de volledige tenant.
Apparaten en objecten
- Naast klassieke domeingekoppelde Windows-apparaten ondersteunt Entra ID ook moderne scenario's zoals iOS, Android, macOS, Linux en BYOD.
- Er is verschil tussen apparaten joinen en registreren: joinen geeft sterkere beheerscontrole, registreren lichtere controle.
- Groepen zijn bedoeld om objecten schaalbaar te beheren, in plaats van rechten rechtstreeks aan individuele gebruikers toe te kennen.
Geneste groepen en dynamiek
- Een hiërarchische groepsstructuur maakt het mogelijk dat één groepslidmaatschap automatisch toegang via meerdere bovenliggende groepen oplevert.
- Dynamische regels kunnen gebruikers automatisch in groepen plaatsen op basis van kenmerken zoals locatie, afdeling of functie.
- Als een gebruikerskenmerk verandert, kan de gebruiker automatisch uit de oude groep worden verwijderd en via nieuwe kenmerken in andere groepen terechtkomen.
- Groepsnesten helpt schaal te bouwen omdat rollen en organisatiestructuren stabieler zijn dan individuele gebruikers.
Beveiliging en ACL's
- Access control lists bevatten entries die bepalen welke gebruikers of groepen toegang hebben tot objecten zoals shares, mappen, printers of bestanden.
- Bij aanmelden bevat een token de SID's van de gebruiker en groepslidmaatschappen; de Local Security Authority vergelijkt die met de ACL.
- Onderliggende objecten erven standaard machtigingen van hun bovenliggende objecten.
- Achtergebleven SID's van verwijderde accounts kunnen een beveiligingsrisico vormen, omdat rechten nog op objecten kunnen blijven staan.
- Door toegang aan groepen toe te kennen en gebruikers alleen in of uit groepen te halen, vermijd je beheer op individueel gebruikersniveau en beperk je risico's.
Portaaldemonstratie
- De demonstratie gebruikt portal.azure.com en de Entra ID-blade om gebruikers en groepen te beheren.
- Een gastgebruiker wordt uitgenodigd via een persoonlijk Outlook-adres met een optioneel bericht en weergavenaam.
- Bij het maken van groepen kan worden gekozen tussen een security group en een Microsoft 365-groep.
- Security groups kunnen voor beveiligingstoewijzing worden gebruikt en eventueel mailmogelijkheden hebben; Microsoft 365-groepen zijn gericht op mail- en samenwerkingsfunctionaliteit.
- Een dynamische groepsregel plaatst gebruikers in een groep wanneer hun functie en afdeling aan de voorwaarden voldoen.
- Door de functie en afdeling van een gebruiker aan te passen, wordt hij dynamisch toegevoegd aan de juiste groep en via nesting aan bovenliggende groepen.
Afronding
- De module vat samen hoe gebruikers direct in een tenant worden gemaakt of via B2B/B2C worden uitgenodigd.
- Het aanbevolen model gebruikt groepen, groepsnesten en dynamische lidmaatschappen om latere machtigingen en RBAC beter te beheren.
- Groepslidmaatschappen kunnen zowel gebruikers als apparaten bevatten.
Actiepunten
- Gebruik lange wachtzinnen in plaats van korte complexe wachtwoorden wanneer het beleid dit toestaat.
- Implementeer vanaf het begin een schaalbaar groepsmodel met geneste groepen in plaats van rechten rechtstreeks aan individuele gebruikers toe te kennen.
- Gebruik een change-controlproces wanneer iemand toegang tot extra resources aanvraagt.
- Verwijder achtergebleven SID's uit de omgeving om beveiligingsrisico's te voorkomen.
- Bekijk andere video's in de cursus of leer verder via Microsoft Learn.