Office 365 Identity & Access: Gebruikers en machtigingen beheren

Handleidingen

Office 365 Identiteit & Toegang: Gebruikers & Toestemmingen Beheren. Dit artikel toont hoe je gebruikersaccounts en toestemmingen beheert in Office 365 met behulp van Identiteit en Toegangsbeheer tools.

We beginnen met het verkennen van een overzicht van Office 365 Identiteit en Toegang Beheer oplossingen. In deze sectie bespreken we hoe je verschillende soorten gebruikers kunt aanmaken en ze toegang kunt verlenen tot bronnen in Office 365 Identiteit en Toegangsbeheer. 

In het bijzonder richt deze sectie zich op het aanmaken van interne en externe gebruikers met Microsoft 365, Azure AD Portal, of Azure AD PowerShell. Daarnaast tonen we hoe je deze drie tools kunt gebruiken om gebruikers toegang te verlenen tot noodzakelijke bronnen.

Verder omvat het beheren van gebruikersaccounts en machtigingen het opnieuw instellen van gebruikerswachtwoorden. Dit artikel bespreekt daarom hoe je wachtwoorden voor Office 365-gebruikers opnieuw kunt instellen met behulp van de drie methoden.

Lees ook Bescherming tegen phishingaanvallen in Office 365

Overzicht van Identity and Access Management voor Office 365

De Identity and Access Management (IAM) tool van Office 365 stelt beheerders in staat om gebruikersaccounts en machtigingen te beheren. Microsoft 365 biedt 2 soorten gebruikers: intern en extern. 

Interne gebruikers maken deel uit van de organisatie, terwijl externe gebruikers tot een andere organisatie behoren die aan de Office 365-tenant is toegevoegd voor samenwerkingsdoeleinden.

Zodra je een interne of externe gebruiker hebt aangemaakt, verleen je ze toegang tot middelen via rollen of groepen. Om toegang te verlenen via rollen, voeg je de gebruiker toe aan de rol.

Wanneer u gebruikers toegang tot bronnen verleent via groepsledenmaatschappij, is het aanbevolen om de gebruikers toe te voegen aan de groep. Vervolgens voegt u de groep toe aan het toepasselijke Azure AD-rol.

Deze aanpak zorgt ervoor dat de gebruikers de toegangsrechten die zijn toegekend aan de groep erfden.

Merk op dat u eerst roltoewijzing moet inschakelen bij het maken van de groep om groepen toe te voegen aan rollen. Echter, als u deze instelling inschakelt, is het permanent voor de groep.

Als alternatief kunt u een ingebouwde roltoewijzingsgroep toewijzen en vervolgens gebruikers aan de groep toevoegen.

Lees ook Hoe u Rollenbasierte Toegangsbeheer in Office 365 implementeert

Methode 1:

Gebruik het M365-portaal om gebruikersaccounts en toegangsrechten te beheren met Office 365 Identiteit en Toegangsbeheer

Bijkomend bieden we stapsgewijze richtlijnen aan voor het maken van een Microsoft 365 groep, het toevoegen van gebruikers aan de groep en het toewijzen van een gebruiker of groep aan een rol.

Stap 1 Optie 2: Maak Office 365 interne gebruikers in het Microsoft 365-portaal.

1. Om het beheer van gebruikers en machtigingen in Microsoft 365 te starten, ga naar admin.microsoft.com met een account dat de juiste machtigingen heeft.

2. Ga vervolgens naar de pagina Actieve gebruikers. Klik op het navigatiemenu-icoon (indien nog niet uitgevouwen) en selecteer “Actieve gebruikers” uit de Gebruikers-sectie.

3. Op de pagina “Actieve gebruikers” klik je op “Gebruikers toevoegen” om het proces voor het maken van nieuwe gebruikers te starten. Dit leidt je door het proces om de benodigde gebruikersgegevens toe te voegen en, indien nodig, licenties en rollen toe te wijzen.

Ook Lezen Hoe de Activiteitenlogboeken van Office 365 te Monitoren voor Verbeterde Beveiliging

Stap 1 Optie 2: Externe Gebruikers van Office 365 Maken in het Microsoft 365 Portaal

Om ervoor te zorgen dat andere gebruikers de agenda van de externe gebruiker aan hun eigen agenda kunnen toevoegen, wordt aanbevolen om de gebruiker eerst toe te voegen als een Mail Contact voor de gebruiker in Exchange Online voordat je een externe gebruiker maakt in Microsoft 365.

In mijn ervaring kunnen andere gebruikers problemen ondervinden bij het toevoegen van de agenda van de externe gebruiker aan hun eigen agenda als je deze stap overslaat.

Echter, als interne gebruikers de externe gebruiker niet aan hun agenda hoeven toe te voegen, kun je deze stap overslaan en doorgaan naar fase 2 hieronder:Fase 1: voeg een Mail Contact toe voor de gebruiker in Exchange Online (optioneel).

Fase 1: voeg een e-mailcontact toe voor de gebruiker in Exchange Online (optioneel).

Om de Exchange Online Contacts pagina te openen, melden u aan bij admin.exchange.microsoft.com met uw beheercredentials. Na het inloggen verschuift u naar de pagina Recipients -> Contacts.

Voer uiteindelijk “Een e-mailcontact toevoegen” uit en volg de stappen tot het voltooien. Ik heb mijn Gmail-account toegevoegd om een demo te kunnen gebruiken.

Fase 2: voeg het e-mailcontact toe als gastgebruiker.

Meld u aan bij admin.microsoft.com en navigeer naar de sectie “Gastgebruikers” binnen het tabblad Users. Klik dan op “Gastgebruiker toevoegen” om het toevoegen van een nieuwe gastgebruiker te starten.

De actie opent de Azure AD “Nieuwe gebruiker” pagina in een nieuw browser tabblad. Op de Azure AD pagina kiest u de optie Gebruiker uitnodigen, voegt u de vereiste informatie toe en klikt u op de knop Uitnodigen.

Om hun account te activeren, moet de externe gebruiker hun e-mail van Microsoft controleren en het in de boodschap gegeven koppeling volgen.

Lees ook Gebruiken van condities toegangscontracten om de veiligheid van Office 365 te verhogen

Stap 2 Optie 1: Gegevensaccounts toewijzen via rollen in het Office 365 Portal

Om rollen aan gebruikers in Office 365 toe te wijzen, navigeer naar het Microsoft 365-portaal en volg de instructies die hieronder staan.

Toewijzen van interne en externe gebruikers aan rollen in Microsoft 365.

1. Klik in het menu op Rollen en klik vervolgens op Rollentoewijzingen.

2. Klik daarna op de Azure AD rol om een gebruiker toe te wijzen, bijvoorbeeld “Helpdeskbeheerder.”

3. Klik op het vliegentoetsbalkje van de rol en selecteer dan de Gebruikers tab. Kies vervolgens de “Gebruikers toevoegen” knop. Selecteer de Gebruikers die u wilt toewijzen aan de rol en klik op Toevoegen.

Controleer nadat ze toegevoegd zijn de tab “Toewijzen” om te zien of ze succesvol toegevoegd zijn.

Ook lezen Bekijk Office 365 Gebruikersrapporten

Stap 2 Optie 2: Gegevensaccounts Toewijzen via Groepen in Microsoft 365 Portaal

Om gebruikers toegang te geven via groepen, volg een twee-stapsproces.

Eerst de gebruikers aan de groep toevoegen. Vervolgens de groep toewijzen aan een rol via de rolbeheerinterface.

Zoals eerder vermeld, moet bij het maken van de groep de optie om rollen aan groepen toe te wijzen worden geselecteerd. Maak daarom een groep aan en schakel de functie voor roltoewijzing in tijdens het creatieproces om groepen te gebruiken voor het toewijzen van gebruikersrollen.

1. Om dit te doen, in het Microsoft 365-portaal, “Teams & groups” uitvouwen en vervolgens “Actieve teams & groups” selecteren.

2. Vervolgens, om de workflow “Een groep toevoegen” te openen, op Een groep toevoegen klikken.

Bij het maken van een nieuwe groep, kunt u gebruikers aan de groep toevoegen in de “Leden” sectie van de workflow. Bovendien kunt u het selectievakje “beheerdersrol toewijzen aan deze groep toestaan” in de “Instellingen” sectie aanvinken.

Zie voor de configuratie de tweede schermafbeelding hieronder.

3. Om rollen aan een groep toe te wijzen, het menu navigeren, Rollen uitvouwen en op Roltoewijzingen klikken.

4. Na het klikken op Roltoewijzingen, de Azure AD rol selecteren die u aan de groep wilt toewijzen, zoals “Helpdesk-beheerder.”

5. Vervolgens, in het rolvenster, op het tabblad Toegewezen klikken. Klik daarna op “Groepen toevoegen.”

6. U kiest uiteindelijk de groepen die u wilt toewijzen aan de rol en klikt u op Toevoegen.

Als u groepen aan de rol toevoegt, kijk dan op de “Toegewezen” tab om te bevestigen dat ze succesvol toegevoegd zijn.

Lees ook Top 10 Beste IAM-tools – Identity Access Management (Pros Contras)

Resetten van het wachtwoord van een Office 365-gebruiker in het Microsoft 365-portaal

1. Om een gebruikerswachtwoord in het Microsoft 365-portaal te resetten, expandeer het “Gebruikers”-menu in het navigatiepaneel. Selecteer vervolgens “Actieve gebruikers” en houd de cursor over de gebruiker-account die een wachtwoord reset nodig heeft.

2. Klik op het sleutelteken dat verschijnt als u de cursor over het account houdt. Dit start het proces om het wachtwoord te resetten.

3. Selecteer uiteindelijk de gewenste opties op het “Wachtwoord resetten”-scherm en klik op “Wachtwoord resetten.” Het Microsoft 365-portaal toont een bevestigingsmelding met het nieuwe wachtwoord.

Ook lezen Controleer Azure AD-auditlogs voor gebruikersaanmeldingen (succesmislukkingen)

Methode 2:

Gebruik Azure AD Portal om gebruikersaccounts en machtigingen te beheren met Office 365 IAM

 Deze portal biedt een scala aan functies en tools waarmee beheerders gebruikersaccounts kunnen beheren, zoals machtigingen configureren en meer. In dit gedeelte worden de cruciale stappen voor het beheren van gebruikersaccounts in de Azure AD portal onderzocht.

Stap 1 Optie 1: Maak Office 365 interne gebruikers aan in de Azure AD Portal

1. Log eerst in op portal.azure.com en ga naar de optie Gebruikers in het menu. 

2. Klik vervolgens op “+Toevoegen” en selecteer Gebruiker. Kies tot slot de Maak gebruiker sjabloon, verstrek de benodigde gegevens en klik op Creëren.

Ook lezen New-MgGroupMemberByRef – Gebruikers toevoegen aan Azure AD-groep met behulp van Powershell

Stap 1 Optie 2: Maak Office 365 externe gebruikers aan in de Azure AD Portal

Eerder heb ik aanbevolen om een mailcontactpersoon toe te voegen voor de gebruiker voordat je een externe gebruiker aanmaakt. Dit wordt aanbevolen als je interne gebruikers de agenda van de externe gebruiker aan hun eigen agenda moeten toevoegen.

Om een mailcontactpersoon aan te maken, meld je aan bij de Exchange Online-contactpagina op admin.exchange.microsoft.com. Navigeer na het aanmelden naar de pagina Ontvangers -> Contactpersonen. Klik vervolgens op “Een mailcontactpersoon toevoegen” en volg de vereiste stappen.

Om een uitnodiging te sturen naar een externe gebruiker in Azure AD na het voltooien van de optionele stap hierboven, volg je deze stappen:

1. Volg eerst de richtlijn “Stap 1 van 2” totdat je bij Stap 2 bent.

2. Selecteer vervolgens de sjabloon Gebruiker uitnodigen. Vul tot slot de vereiste informatie in en klik op Uitnodigen.

Zodra je de bovenstaande stappen hebt voltooid, ontvangt de gebruiker een e-mail van Microsoft.

Hierin staat een link om hun Azure AD-registratie te voltooien. De gebruiker moet op de link klikken om het proces te voltooien.

Ook lezen Get-MgUser – Zoek Azure AD-gebruikers en filter met PowerShell-script

Stap 2 Optie 1: Gebruikersaccounts machtigingen verlenen via rollen in Azure AD-portal

1. Nadat je een gebruiker hebt aangemaakt, gebruik je het Azure AD-portal om rollen toe te wijzen aan de gebruiker. Klik op “Rollen en beheerders” in het Azure Active Directory-menu om deze taak uit te voeren. 

2. Kies vervolgens de rol die je aan de gebruiker wilt toewijzen. Gebruik de zoekfunctie indien nodig. 

3. Klik daarna op “+ Toewijzingen toevoegen” om het proces af te ronden.

Ook lezen Hoe je wachtwoordterugzetten inschakelt op Azure AD Connect

Stap 2 Optie 2: Gebruikersaccounts machtigingen verlenen via groepen in Azure AD-portal

In stap 3 van 1 hierboven hebben we getoond hoe u rollen toegewezen kunt aan gebruikers via Azure AD rollen. Echter, een potentiële betere methode is het toewijzen van gebruikersrollen gebaseerd op groepsleden.

Volg deze stappen om de taken in Azure AD af te ronden:

Eerstens, maak een groep aan en schakel deze in om toegekend te kunnen worden aan AD rollen. Tweeënds, voeg de gebruikers toe als leden van de nieuwe groep.

Tot slot, toewijsd de rollen die u aan de gebruikers wilt toewijzen door de rollen toe te wijzen aan de Azure AD groep.

Hier zijn de praktische stappen:

1. Klik op “Groepen” in het menu, en klik dan op “Nieuwe groep”.

2. Schakel “Azure AD rollen zijn toegekend aan de groep” in, selecteer de opties in de afbeelding hieronder, en klik op “Create” om de groep te maken.

Vervolgens, volg de stappen hieronder om gebruikers aan de groep toe te voegen en het toe te wijzen aan een rol:

3. Klik op de groep in het Groepenknoppunt, klik vervolgens op “Leden” op de groeps pagina. Klik vervolgens op “+ Toevoegen van leden” om gebruikers aan de Azure ADgroep toe te voegen.

Om de groep toe te wijzen aan Azure Active Directory-rollen, klik op “Rollen en beheerders” in het Azure Active Directory-menu. Selecteer vervolgens de rol die je aan de groep wilt toewijzen. Klik tot slot op “+ Toewijzingen toevoegen”.


Ook lezen Hoe te verbinden met Office 365 met Powershell

Wachtwoord van Office 365-gebruiker opnieuw instellen in Azure AD-portal

Beheerders moeten wachtwoorden kunnen resetten om gebruikersaccounts en machtigingen te beheren met behulp van de Identity- en Toegangsbeheeroplossingen van Office 365. Daarom is het goed om te weten dat wachtwoorden van gebruikers kunnen worden gereset in de Azure AD-portal.

1. Klik op de Gebruikers-node om een account van een gebruiker opnieuw in te stellen in de Azure Active Directory-portal.

Gebruik de zoekfunctionaliteit om de gebruiker te selecteren. Voltooi vervolgens het proces door te klikken op “Wachtwoord resetten” boven de gegevens van de gebruiker.

Ook lezen Hoe te controleren of MFA is ingeschakeld in Office 365 voor gebruikers

Methode 3:

Gebruik PowerShell om gebruikersaccounts en machtigingen te beheren met Office 365 Identity and Access Management

Laten we nu overgaan naar de derde en laatste methode, waarbij we PowerShell gebruiken om dezelfde taak uit te voeren.

Ten eerste moeten we de PowerShell modules installeren die nodig zijn voor de taken die voorhanden zijn.

Stap 1: Installeer de vereiste modules: AzureAD, ExchangePowerShell, Az.Accounts en Az.Resources

1. Open PowerShell als beheerder. Zoek PowerShell, klik vervolgens op “Uitvoeren als administrator.”

2. Voer na het openen van PowerShell als beheerder het volgende commando uit om een nieuwe instantie te openen die commando’s uitgevoerd vanuit gedownloade modules.

powershell.exe -ExecutionPolicy "RemoteSigned"

3. Vervolgens, om de benodigde PowerShell-modules te installeren, voert u de volgende opdrachten uit. De eerste opdracht installeert de modules, terwijl de tweede ze importeert in uw huidige PowerShell-sessie.

Install-Module AzureAD, ExchangeOnlineManagement, Az.Accounts, Az.Resources
Import-Module AzureAD, ExchangeOnlineManagement, Az.Resources, Az.Accounts

Ook lezen Leden van Active Directory-groep ophalen en exporteren naar CSV met behulp van PowerShell

Stap 2 Optie 1: Interne gebruikers van Office 365 maken in PowerShell

1. Maak verbinding met uw Azure AD-tenant door deze opdracht uit te voeren. Hierdoor zal PowerShell uw aanmeldingsgegevens opvragen. 

Connect-AzureAD

2. Zodra u verbonden bent, voert u de volgende opdrachten uit om een nieuwe Office 365-gebruiker te maken.  

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "enter password here"
New-AzureADUser -DisplayName "M365 PowerShell" -PasswordProfile $PasswordProfile -UserPrincipalName "[email protected]" -AccountEnabled $true -MailNickName "M365PowerShell"

Ook lezen Get-AzureADAuditSignInLogs – Zoek aanmeldingslogs van de afgelopen 30 dagen met PowerShell

Stap 2 Optie 2: Externe gebruikers van Office 365 maken in PowerShell

Zoals vermeld in de vorige twee methoden, kan een externe gebruiker worden toegevoegd door hen eerst aan te maken als een mail contact, wat een optionele stap is.

Als uw interne gebruikers de agenda van de externe gebruiker aan hun eigen agenda moeten toevoegen, volg dan de stappen 1 tot 2 om een mailcontact toe te voegen met behulp van PowerShell. U kunt ook direct naar stap 3 gaan.

1. Om verbinding te maken met Exchange Online in de PowerShell-console die werd geopend in stap 2 optie 1, voert u de onderstaande opdracht uit en voert u uw aanmeldingsgegevens in wanneer daarom wordt gevraagd door PowerShell.  

Connect-ExchangeOnline

2. Voeg een mailcontact toe voor de externe gebruiker die u wilt uitnodigen met behulp van deze opdracht. Pas delen van de opdracht aan naar uw behoeften. 

New-MailContact -Name "Victor Gmaail PowerShell" -ExternalEmailAddress "enter user's email here"

3. Verstuur vervolgens de uitnodiging door de opgegeven opdracht uit te voeren: pas de parameters aan voordat u de opdracht uitvoert. 

New-AzureADMSInvitation -InvitedUserEmailAddress email@externaldomain.com -SendInvitationMessage $True -InviteRedirectUrl "http://myapps.microsoft.com"

Ook lezen Wat is 0xc000006a – Gebruikersaanmelding Verkeerd gespeld of verkeerd wachtwoord

Stap 3 optie 1: Gebruikersaccounts machtigingen geven via rollen in PowerShell

Voer de volgende commando’s uit om een gebruiker aan een rol toe te wijzen. Pas de commando’s aan om aan uw vereisten te voldoen.

I have included comments in the script to explain each command. 

#step 1: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: Get the ID of the role you want to assign the user
$roleDefinitionid = (Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'").Id
#step 3: assign the user the role
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $userid

#stap 1: verkrijg het ID van de gebruiker die u aan een rol wilt toevoegen:

#stap 2: Verkrijg het ID van de rol die u aan de gebruiker wilt toewijzen

#step 1: Create a role-assignable group in Azure Active Directory - skip this step if you have an existing role assignable group
$group = New-AzureADMSGroup -DisplayName "InfraSOS_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "InfraSOShelpdeskadministrators" -IsAssignableToRole $true
#step 2: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 3: add the user to the AAD group
Add-AzureADGroupMember -ObjectId $group.id -RefObjectId $userid
#step 4: add azure AD group to an azure AD role
New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $group.id

#stap 3: wijs de gebruiker de rol toe

Stap 3 Optie 2: Gebruikersrechten toekennen via groepen in PowerShell

Voer de commando’s in het onderstaande script uit om een rol aan een gebruiker toe te wijzen via zijn groepslidmaatschap.

#step 1: get the ID of the user you want to reset its password:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: set a new password for the user
#step 3: reset the passord.
Set-AzureADUserPassword -ObjectId  $userid -Password $password -ForceChangePasswordNextLogin $true

#Stap 1: Maak een rol toewijsbare groep in Azure Active Directory – sla deze stap over als u al een rol toewijsbare groep hebt

#Stap 2: Haal het ID op van de gebruiker die u aan een rol wilt toevoegen:

#Stap 3: Voeg de gebruiker toe aan de AAD-groep

#Stap 4: Voeg de Azure AD-groep toe aan een Azure AD-rol

Lees ook: SSPR: Azure Active Directory Self-Service wachtwoordherstel inschakelen

Office 365-gebruikerswachtwoord resetten in PowerShell

Source:
https://infrasos.com/office-365-identity-access-manage-user-accounts-permissions/