Inleiding
Gebruikersrechten stellen je in staat te controleren welke gebruikers toegang hebben tot middelen, zoals gegevens en toepassingen, maar het specificeert ook welke taken gebruikers kunnen uitvoeren. We raden aan om rechten toe te wijzen op basis van groepen, maar dit is niet altijd even eenvoudig als het klinkt.
In dit artikel bespreken we hoe je je gebruikersgroepen in Workspace 365 kunt krijgen, de drie belangrijkste toegangslevels, de verschillende soorten rollen en wat deze inhouden. Verder gaan we in op standaardrechten en hoe je conflicten tussen rechten kunt vermijden.
Synchroniseer gebruikersgroepen
Groepen zijn een handige manier om dezelfde rechten toe te kennen of in te trekken voor meerdere gebruikers tegelijk, in plaats van individueel voor elk lid van de groep, zonder de rechten aan te passen.
Er zijn twee opties om je gebruikersgroepen in de Workspace-omgeving te krijgen:
(Aanbevolen) Importeer gebruikersgroepen automatisch van Microsoft Entra ID (voorheen Azure AD) naar Workspace 365:
Geautomatiseerde gebruikersvoorziening via SCIM. (Aanbevolen)
Geautomatiseerde gebruikersvoorziening via onze Azure AD synctool.
Maak gebruikersgroepen handmatig aan. (Mogelijk, maar sterk afgeraden)
Toegangslevels en hun zichtbaarheid
Zodra je gebruikersgroepen zijn ingesteld, kun je toegangsrechten verlenen op drie niveaus:
Niveau 1: Gedeelde ruimte(s) - standaard heeft iedereen toegang
Niveau 2: Gedeelde tegelgroep(en) - standaard heeft niemand toegang
Niveau 3: Apps/tegel(s) - standaard heeft iedereen toegang*
*Alle gebruikers hebben rechten voor de standaardapps in Workspace, zoals de Documenten-app, E-mailapp en Online Editor-apps. Voor deze standaardapps kunnen geen rechten worden ingesteld. Voor niet-standaardapps moeten rechten worden toegekend.
Als Workspace-beheerder kun je gedeelde ruimtes (1) aanmaken. Je kunt de zichtbaarheid van deze gedeelde ruimtes bepalen; zichtbaar voor iedereen of alleen voor geselecteerde gebruikers en/of groepen. Wanneer de gedeelde ruimte is aangemaakt, voeg je gedeelde tegelgroepen (2) toe. Binnen deze gedeelde tegelgroepen kun je toepassingen en tegels (3) toevoegen. Je kunt bepalen wie toegang heeft tot gedeelde tegelgroepen binnen deze gedeelde ruimtes en toegang tot specifieke apps/tegels binnen de gedeelde tegelgroepen beheren.
We raden aan om rechten zo hoog mogelijk in te stellen, dus op gedeelde ruimtes en gedeelde tegelgroepen, op basis van gebruikersgroepen. Bijvoorbeeld, geef de communicatieafdeling/-medewerkers eigenaarsrechten voor de gedeelde tegelgroep die de Hub bevat, zodat ze aankondigingen en/of kennisitems kunnen beheren en creëren.
Deze toegangslevels zijn alleen zichtbaar voor gebruikers wanneer ze expliciet toegang hebben gekregen van de beheerder. Met andere woorden, gebruikers zullen geen gedeelde ruimtes, gedeelde tegelgroepen en/of tegels zien waartoe ze geen toegang hebben gekregen, zelfs als deze door de Workspace-beheerder naar gebruikers zijn gepusht.
Toestemmingen verleend aan toegangsniveau(s) | Zichtbaarheid naar gebruikers |
Gedeelde ruimte (niveau 1) |
|
Gedeelde ruimte (niveau 1) Gedeelde tegelgroep (niveau 2) |
|
Gedeelde ruimte (niveau 1) Gedeelde tegelgroep (niveau 2) App/tegel (niveau 3) |
|
Rollen
Naast het instellen van de gewenste rechten op elk toegangslevel, kun je rollen definiëren. Een rol is een identificator die gebruikt kan worden om rechten te associëren met toepassingen, waarmee gebruikers worden opgenomen of uitgesloten van het uitvoeren van specifieke taken in Workspace.
Van meeste naar minste rechten kun je iemand de rol van Workspace-beheerder, Eigenaar, Editor of Gebruiker geven.
Rollen & Rechten
Je wilt de rechten van gebruikers beperken tot wat strikt noodzakelijk is om hun werk te doen.
Hieronder staan de Workspace-rollen en hun bijbehorende rechten samengevat. Bekijk de tabel en beslis welke rol geschikt is om toe te kennen.
Rol | Rechten |
Workspace-beheerder | Beheerders hebben alle rechten binnen de Workspace en kunnen daarom alle functies en aspecten van de Workspace beheren. Je moet altijd minstens één actieve beheerder in je Workspace-omgeving hebben. Een actieve beheerder is ook een vereiste om noodtoegang aan te vragen. Voor meer informatie, ga naar: Hoe maak je iemand een (primaire) beheerder.
|
Applicatie eigenaar | Alleen de beheerder kan de rol "eigenaar" toewijzen Specifieke applicaties beheren:
|
Eigenaar - gedeelde tegel groepen |
|
Eigenaar-
Hub categorie
|
|
Editor -
Hub categorie
|
|
Gebruiker |
|
Groepsbeheer & standaardrechten
Nu je begrijpt wat elke Workspace-rol inhoudt, is het belangrijk om te weten hoe je de bijbehorende rechten kunt toewijzen. We raden aan om dit op basis van groepen te doen.
Gebruikersgroepen kunnen automatisch worden gesynchroniseerd van Microsoft Entra ID naar Workspace met behulp van onze Azure AD synctool of de Azure SCIM API. Wijs eerst standaardrechten toe. Als je alles instelt op 'Toestaan' of 'niet ingesteld', kun je vervolgens doorgaan naar 'groepsbeheer' en daar de editor- of eigenaarsrechten per gebruiker (groep) beheren. 'Niet ingesteld' is automatisch 'Weigeren'. Maak bijvoorbeeld teamleiders eigenaar van de gedeelde tegelgroepen van hun team.
standaardrechten: beheer de standaardrechten voor je Workspace-omgeving
Groepsbeheer: beheer rechten voor individuele groepen
Lijstweergave: toont een lijst van alle groepen met naam, aantal gebruikers en beschrijving
Visuele weergave: toont een visualisatie van de groepshiërarchie
Machtigingsniveaus
Er zijn drie groepsmachtingsniveaus: 'Niet ingesteld', 'Toestaan' en 'Weigeren'.
Om machtingsconflicten te voorkomen, houd er rekening mee dat groepsbeheer voorrang heeft op de standaardrechten. Echter, ‘Weigeren’ overschrijft alles en is altijd ‘Weigeren’ voor alle groepen. Om dit te verduidelijken, bekijk het onderstaande stroomschema en de tabel.
Voorbeeldscenario's
Scenario 1
Sarah is lid van de 'Communicatie' groep.
Je stelt de volgende machtigingen in voor 'Aankondigingen en categorieën maken en beheren':
Groepsmachtigingen: 'Niet ingesteld'.
Groepsbeheer: 'Toestaan' voor de Communicatiegroep.
Als resultaat mag Sarah aankondigingen en categorieën maken en beheren, omdat ze lid is van de Communicatiegroep die op 'Toestaan' is ingesteld. In dit scenario heeft Groepsbeheer voorrang op de standaardrechten.
Scenario 2
Sarah is lid van de 'Communicatie' groep.
Je stelt de volgende machtigingen in voor 'Aankondigingen en categorieën maken en beheren':
Groepsmachtigingen: 'Niet ingesteld'.
Groepsbeheer: 'Niet ingesteld' voor de Communicatiegroep.
Als resultaat mag Sarah geen aankondigingen en categorieën maken en beheren, omdat 'Niet ingesteld' automatisch 'Weigeren' is, tenzij je 'Toestaan' had gekozen voor de Communicatiegroep in Groepsbeheer.
Scenario 3
Sarah is lid van de 'Communicatie' en 'HR' groep.
Je stelt de volgende machtigingen in voor 'Aankondigingen en categorieën maken en beheren':
Groepsmachtigingen: 'Toestaan'.
Groepsbeheer: 'Toestaan' voor de Communicatiegroep, maar 'Weigeren' voor de HR-groep.
Als resultaat mag Sarah geen aankondigingen en categorieën maken en beheren, omdat ze lid is van de HR-groep die op 'Weigeren' is ingesteld.
Scenario 4
Sarah is lid van de 'Communicatie' en 'HR' groep.
Je stelt de volgende machtigingen in voor 'Aankondigingen en categorieën maken en beheren':
Groepsmachtigingen: 'Weigeren'.
Groepsbeheer: 'Toestaan' voor de Communicatiegroep, maar 'Niet ingesteld' voor de HR-groep.
Als resultaat mag Sarah geen aankondigingen en categorieën maken en beheren, omdat 'Weigeren' in Groepsmachtigingen alles overschrijft.