Handmatig toegangsbeheer kost IT-teams te veel tijd en laat beveiligingsgaten bestaan. Entra ID Governance automatiseert de volledige joiner-mover-leaver cyclus met Lifecycle Workflows, Access Reviews, Entitlement Management en PIM, en geeft beheerders aantoonbare controle over wie toegang heeft tot wat.
Elke organisatie kent het probleem. Een nieuwe medewerker start op maandag maar heeft pas woensdag toegang tot alle benodigde systemen. Een collega die van afdeling wisselt behoudt maandenlang de rechten van zijn vorige rol. En bij iemand die vertrekt duurt het soms weken voordat alle accounts zijn afgesloten en licenties zijn vrijgemaakt. Toegangsbeheer blijft in veel organisaties een handmatig, foutgevoelig proces dat te veel IT-tijd kost en een reëel beveiligingsrisico vormt.
Microsoft Entra ID Governance biedt een geïntegreerde aanpak voor dit probleem. Het bundelt vier tools: Lifecycle Workflows, Access Reviews, Entitlement Management en Privileged Identity Management (PIM). Samen automatiseren ze de volledige levenscyclus van digitale toegang, van de eerste werkdag van een medewerker tot het moment waarop het account definitief wordt afgesloten.
Lifecycle Workflows zijn geautomatiseerde processen die worden gestart op basis van HR-triggers, zoals een startdatum, een functieverandering of een uitdiensttredingsdatum. Een typische joiner-workflow stuurt een welkomstmail, voegt de gebruiker toe aan de juiste beveiligingsgroepen en Teams-kanalen, en activeert de nodige licenties, allemaal zonder tussenkomst van IT. De enige voorwaarde is dat de HR-gegevens beschikbaar zijn in Entra ID, direct of via een connector met een systeem zoals SAP SuccessFactors, Workday of een eigen HR-koppeling.
De mover-workflow doet hetzelfde bij een functieverandering. Een collega die van sales naar finance overstapt verliest automatisch de sales-groepen en krijgt de finance-toegang, inclusief de bijbehorende SharePoint-sites en Power BI-rapporten. De leaver-workflow is minstens zo belangrijk: een vooraf ingestelde periode vóór de einddatum worden accounts uitgeschakeld en e-mail doorgestuurd naar de manager, en na afloop van de offboardingperiode worden accounts definitief verwijderd. Dit hoeft niemand meer handmatig bij te houden.
Toegangscreep is een veelvoorkomend probleem. Medewerkers die van afdeling wisselen, langdurige projectdeelnemers en externe partijen die toegang houden lang nadat het project is afgerond, zorgen ervoor dat groepslidmaatschappen en applicatierechten zich opstapelen. Na twee jaar is het in veel organisaties onduidelijk wie daadwerkelijk recht heeft op welke toegang.
Access Reviews lossen dit op met periodieke beoordelingsronden die door de juiste personen worden uitgevoerd: de manager, de resourceeigenaar of de gebruiker zelf. Een review loopt gedurende een ingestelde periode, de beoordelaar bevestigt of trekt toegang in per gebruiker, en Entra ID verwerkt de beslissingen automatisch. Wie niet reageert, verliest standaard zijn toegang of wordt handmatig afgehandeld, dat is instelbaar. Het resultaat is een gestructureerd en aantoonbaar opschoonproces dat bij een audit of certificeringstraject direct kan worden overlegd.
In een traditionele opzet vraagt een medewerker toegang tot systeem A, beveiligingsgroep B en SharePoint-site C in drie afzonderlijke servicedesk-tickets. Entitlement Management bundelt dit in zogenoemde access packages: een pakket dat alle benodigde rechten voor een functie of project groepeert, inclusief een goedkeuringsworkflow, een tijdslimiet en eventueel een afhankelijkheid van een andere rol of groepslidmaatschap.
Een praktisch voorbeeld: een projectmanager die tijdelijk toegang nodig heeft tot de financiële rapportage kan via de Entra-selfserviceportal een access package aanvragen. De financieel verantwoordelijke keurt goed, de toegang wordt voor drie maanden verleend, en vervalt daarna automatisch. Geen mailketens, geen vergeten licenties, en een volledige audit trail die altijd opvraagbaar is.
Permanente Global Administrator-rechten in een tenant zijn een aanzienlijk beveiligingsrisico. Wordt zo'n account gecompromitteerd, dan heeft een aanvaller onbeperkte toegang tot de volledige omgeving. Privileged Identity Management (PIM) pakt dit aan door adminrollen in te stellen als 'in aanmerking komend' in plaats van permanent actief. Een beheerder activeert zijn Global Admin-rol op het moment dat hij die nodig heeft, voor maximaal enkele uren, met een motivering en optioneel een manager-goedkeuring. Buiten die periode is de rol niet actief.
PIM registreert elke activatie: wie, wanneer, voor hoelang en met welke reden. Dat maakt PIM ook waardevol voor compliancedoeleinden. Aanbestedingen, ISO 27001-certificering en cyberverzekeraars vragen steeds vaker om bewijs dat beheertoegang gecontroleerd en tijdelijk is. PIM levert die rapportage kant-en-klaar.
De vier tools vereisen Entra ID P2 of de aparte Microsoft Entra ID Governance-licentie. Entra ID P2 is inbegrepen in Microsoft 365 E5 en in de Microsoft 365 E3-bundel gecombineerd met Enterprise Mobility + Security E3. Voor organisaties die al op E5 of E5 Security zitten, zijn alle governance-tools al beschikbaar zonder extra licentie. Voor andere licentiecombinaties is de Governance-add-on de aangewezen route.
Het loont om de huidige licentiesamenstelling goed in kaart te brengen voordat u extra licenties aanschaft. In veel gevallen zijn tools als PIM al beschikbaar maar simpelweg nog niet geactiveerd.
De meest effectieve volgorde is de volgende. Stap één: activeer PIM voor alle accounts met verhoogde rechten, dit heeft de grootste directe beveiligingswinst. Stap twee: richt Lifecycle Workflows in voor joiner en leaver, zodat onboarding en offboarding geautomatiseerd zijn. Stap drie: start Access Reviews voor de meest kritieke groepen en applicaties. Stap vier: rol Entitlement Management uit voor de functies of projecten met het hoogste volume aan toegangsverzoeken.
Dit hoeft niet allemaal tegelijk. Een gefaseerde aanpak over drie tot zes maanden maakt de implementatie beheersbaar en zorgt dat gebruikers en managers gewend raken aan de nieuwe werkwijze. Wilt u weten welke governance-tools al beschikbaar zijn in uw huidige licentie en hoe u de implementatie het best kunt aanpakken? Neem contact op met Zarioh voor een inventarisatiegesprek.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
