Accounts delen met Microsoft Entra-id
Overzicht
In Microsoft Entra ID, onderdeel van Microsoft Entra, moeten organisaties soms één gebruikersnaam en wachtwoord gebruiken voor meerdere personen, wat vaak gebeurt in de volgende gevallen:
- Wanneer u toepassingen opent waarvoor een uniek aanmeldings- en wachtwoord is vereist voor elke gebruiker, ongeacht of on-premises apps of cloudservices voor consumenten (bijvoorbeeld sociale mediaaccounts voor bedrijven).
- Bij het maken van omgevingen voor meerdere gebruikers. Mogelijk hebt u één lokaal account met verhoogde bevoegdheden en wordt gebruikt voor het uitvoeren van kerninstallatie-, beheer- en herstelactiviteiten. Bijvoorbeeld het lokale Global Beheer istrator-account voor Microsoft 365 of het hoofdaccount in Salesforce.
Normaal gesproken worden deze accounts gedeeld door de referenties (gebruikersnaam en wachtwoord) te distribueren naar de juiste personen of door ze op te slaan op een gedeelde locatie waar meerdere vertrouwde agents toegang tot deze accounts hebben.
Het traditionele model voor delen heeft verschillende nadelen:
- Als u toegang tot nieuwe toepassingen inschakelt, moet u referenties distribueren naar iedereen die toegang nodig heeft.
- Voor elke gedeelde toepassing is mogelijk een eigen unieke set gedeelde referenties vereist, waardoor gebruikers meerdere sets referenties moeten onthouden. Wanneer gebruikers veel referenties moeten onthouden, neemt het risico toe dat ze gebruikmaken van riskante procedures. (bijvoorbeeld het opschrijven van wachtwoorden).
- U kunt niet zien wie toegang heeft tot een toepassing.
- U kunt niet zien wie toegang heeft tot een toepassing.
- Wanneer u de toegang tot een toepassing wilt verwijderen, moet u de referenties bijwerken en opnieuw distribueren naar iedereen die toegang nodig heeft tot die toepassing.
Microsoft Entra-account delen
Microsoft Entra ID biedt een nieuwe benadering voor het gebruik van gedeelde accounts waarmee deze nadelen worden geëlimineerd.
De Microsoft Entra-beheerder configureert welke toepassingen een gebruiker kan openen met behulp van de Toegangsvenster en het kiezen van het type eenmalige aanmelding dat het meest geschikt is voor die toepassing. Met een van deze typen, eenmalige aanmelding op basis van een wachtwoord, kan Microsoft Entra ID fungeren als een soort 'broker' tijdens het aanmeldingsproces voor die app.
Gebruikers melden zich eenmaal aan met hun organisatieaccount. Dit account is hetzelfde dat ze regelmatig gebruiken voor toegang tot hun bureaublad of e-mail. Ze kunnen alleen toepassingen detecteren en openen waaraan ze zijn toegewezen. Met gedeelde accounts kan deze lijst met toepassingen een willekeurig aantal gedeelde referenties bevatten. De eindgebruiker hoeft de verschillende accounts die ze mogelijk gebruiken, niet te onthouden of op te schrijven.
Gedeelde accounts vergroten niet alleen het toezicht en verbeteren de bruikbaarheid, ze verbeteren ook uw beveiliging. Gebruikers met machtigingen voor het gebruik van de referenties zien het gedeelde wachtwoord niet, maar krijgen eerder machtigingen om het wachtwoord te gebruiken als onderdeel van een beheerde verificatiestroom. Verder bieden sommige toepassingen voor wachtwoord-SSO u de mogelijkheid om Microsoft Entra-id te gebruiken om periodiek wachtwoorden te implementeren (bijwerken). Het systeem maakt gebruik van grote, complexe wachtwoorden, waardoor de accountbeveiliging toeneemt. De beheerder kan eenvoudig toegang verlenen of intrekken voor een toepassing, weet wie toegang heeft tot het account en wie er in het verleden toegang heeft tot het account.
Microsoft Entra ID ondersteunt gedeelde accounts voor enterprise Mobility Suite (EMS) of Microsoft Entra ID P1- of P2-licentieabonnementen voor alle typen toepassingen voor eenmalige aanmelding met een wachtwoord. U kunt accounts delen voor duizenden vooraf geïntegreerde toepassingen in de toepassingsgalerie en uw eigen toepassing voor wachtwoordauthentificering toevoegen met aangepaste SSO-apps.
Microsoft Entra-functies waarmee het delen van accounts mogelijk is, zijn onder andere:
- Eenmalige aanmelding met wachtwoord
- Agent voor eenmalige aanmelding met wachtwoord
- Groepstoewijzing
- Aangepaste wachtwoord-apps
- Dashboard/rapporten voor app-gebruik
- Portals voor eindgebruikerstoegang
- App-proxy
- Azure Marketplace
Een account delen
Als u Microsoft Entra ID wilt gebruiken om een account te delen, moet u het volgende doen:
- Een toepassings-app-galerie of aangepaste toepassing toevoegen
- De toepassing configureren voor eenmalige aanmelding met een wachtwoord (SSO)
- Groepstoewijzing gebruiken en de optie selecteren om een gedeelde referentie in te voeren
U kunt uw gedeelde account ook veiliger maken met Multi-Factor Authentication (MFA) (meer informatie over het beveiligen van toepassingen met Microsoft Entra-id) en u kunt de mogelijkheid delegeren om te beheren wie toegang heeft tot de toepassing met behulp van selfservicegroepsbeheer van Microsoft Entra.