top of page
Zoeken

Meer gasten in je omgeving | Wat nu? Een van de mogelijkheden

  • Foto van schrijver: Evi van der Velden
    Evi van der Velden
  • 6 aug 2025
  • 3 minuten om te lezen

Dit keer een blog gericht aan de beheerder van IT-omgevingen.


Ruim een maand geleden heeft Microsoft (automatisch) de B2B integratie tussen Entra ID en SharePoint en Teams geactiveerd. Ik vertelde hierover op een Collabdays, zie mijn eerdere post.


Nu ruim een maand later heb je het misschien al gemerkt; meer gasten in je omgeving.

Dat brengt risico’s met zich mee, niet alleen risico’s vanuit beheeroogpunt; hebben gasten onnodig toegang tot informatie? Maar ook vanuit functioneel oogpunt; je kent wel de situatie dat je jezelf afvraagt of iemand je bericht wel heeft ontvangen en dan kom je erachter dat je het niet direct naar die persoon een bericht hebt gestuurd, maar naar het gastaccount (waar deze medewerker maar incidenteel op kijkt). Het plaatje geeft je vast meer duidelijkheid.


Kortom, wij (als IT-beheerders) zullen iets aan het beheren van gasten moeten doen. In deze blog een van de mogelijkheden om dit vorm te geven, met de hulp van ‘Access Review’ als onderdeel van Microsoft Entra ID Governance.


Nog even terug naar de basis; waarom worden er eigenlijk meer gasten aangemaakt?

Vanaf afgelopen 1 juli heeft Microsoft de B2B integratie tussen SharePoint/OneDrive en Entra ID geactiveerd. Wat dit betekent voor de praktijk leg ik graag uit aan de hand van een voorbeeld;


Voor 1 juli

Op het moment dat er een bestand met Maarten werd gedeeld werd het ‘management’ van deze externen (voorheen) afgehandeld door SharePoint/OneDrive. Dit betekent dat er geen gast werd aangemaakt in Entra ID, ook werd er geen MFA afgedwongen (op het moment dat dit stond afgedwongen vanuit Conditional Access).



Vanaf 1 juli

Wordt al het ‘management’ van externen gedaan door Entra ID. Dit betekent dat er altijd, ook als er enkel een bestand/map vanuit SharePoint/OneDrive wordt gedeeld een gast in Entra ID wordt aangemaakt. MFA wordt, mits geconfigureerd, altijd afgedwongen.



Een idee over een aanpak; aan de slag met twee Access Reviews

Vanuit Microsoft Entra ID Governance heb je de mogelijkheid om Access Reviews aan te maken. In mijn ogen zul je er twee moeten aanmaken, om op een juiste manier met je gasten om te gaan; een voor de gasten die onderdeel zijn van een Microsoft 365 groep (vaak een team) en een voor alle inactieve gasten (ook die zijn ontstaan tijdens enkel het delen van een bestand of map).


Een access review aanmaken voor gasten als lid van een Microsoft 365 groep (vaak een team)

Wil je de exacte stappen voor het aanmaken van een Access Review, zie dan de deze documentatie; https://learn.microsoft.com/en-us/entra/id-governance/create-access-review#create-a-single-stage-access-review


Maak een Access Review aan met de volgende belangrijkste kenmerken;

·       Review Scope; Teams en Microsoft 365 groepen

·       Scope; enkel gastgebruikers

·       Specific reviewer; groep eigenaren

·       Bij geen reactie; geen actie



Resultaat van deze Access Review; eigenaren van een team krijgen de vraag of gasten nog wel langer toegang nodig hebben tot een Microsoft 365 groep, vaak een team.


Een Access Review voor alle gasten die inactief zijn

Mijn uitgangspunt; gasten die al X dagen inactief, hebben geen toegang meer nodig tot je Microsoftomgeving.


Deze is bedoeld voor (inactieve) gastgebruikers die geen onderdeel zijn van een Microsoft 365 groep. Vaak zijn deze ontstaan door het delen van een bestand of map, of ze zijn uitgenodigd door een IT beheerder.


Eigenlijk hanteer je hetzelfde principe als bij de eerdere Access Review. Enkel maak je een dynamisch groep aan met alle gastgebruikers uit je omgeving erin. Daarnaast heeft de Access Review de volgende belangrijkste kenmerken;

·       Review Scope; aangemaakt dynamische groep met alle gastgebruikers

·       Reviewer; selecteer een IT User (verplicht maar deze hoeft niks te doen)

·       Als een reviewer niet reageert; toegang & gast verwijderen

·       De dagen inactiviteit; 60 of 90 dagen



Resultaat van deze Access Review; alle gasten met X dagen inactiviteit worden opgeruimd.


Er zijn ook mogelijkheden om een groep te maken met gasten zonder toegang tot resources zoals Microsoft 365 groeps. Dit is een mooie optie maar deze is complexer als je kijkt naar inrichting. Wil je hier toch mee aan de slag? Dan helpt deze Github je verder; access-reviews-samples/ExternalIdentityUse at master · microsoft/access-reviews-samples · GitHub



Dit is maar een van de ideeën om met de hoeveelheid gasten in je Entra ID om te gaan. Nu ben ik benieuwd, hebben jullie hier een andere aanpak in gekozen? Of is er nog geen aanpak binnen jullie organisatie/voor jullie klanten?

 
 
 

Opmerkingen

1713771151961.jpg

Wie ben ik? 

👋🏼 daar, ik ben Evi! ‘Jouw go-to person’ om de Microsoft 365 chaos om te zetten in briljante oplossingen. Met mijn veelzijdige achtergrond en een voorliefde voor diversiteit in werk, vertaal ik klantbehoeften naar mooie resultaten. Van beleidsvorming tot technische realisatie, ik regel het met plezier!
 

Mijn (persoonlijke) doel: mijn kennis meer delen met de community; door spreken en blogs! 💬📝

Vraag je je af waar de naam EviPoint vandaan komt? Het is eigenlijk een slimme twist op;

SharePoint - Share + Evi = EviPoint 
Met Evipoint deel ik mijn duidelijke kijk op Microsoft, zodat samenwerken eenvoudiger en overzichtelijker wordt. 

bottom of page