Microsoft Entra Account Discovery dicht hiaten in identity-zichtbaarheid

Inleiding

Identity governance werkt alleen wanneer beheerders kunnen zien wie al toegang heeft. Microsoft pakt dat probleem aan met Account Discovery in Microsoft Entra ID Governance, een nieuwe functie in openbare preview die is ontworpen om bestaande accounts binnen gekoppelde SaaS- en on-premises-apps zichtbaar te maken.

Dit is belangrijk omdat veel applicaties al lang vóór de invoering van moderne governance-controles zijn uitgerold. Daardoor erven organisaties vaak onbeheerde toegang, verweesde accounts en directe app-toewijzingen die buiten Conditional Access, access reviews en lifecycle-beleid vallen.

Wat is nieuw

Account Discovery maakt verbinding met een doelapplicatie, haalt gebruikersaccounts en eigenschappen op en vergelijkt die met identiteiten in Microsoft Entra met behulp van configureerbare match-attributen zoals:

• User principal name
• E-mailadres

Vervolgens controleert het of gekoppelde gebruikers al zijn toegewezen aan de enterprise application in Entra en genereert het een discover-rapport met drie classificaties:

• Matched and assigned: Gebruikers bestaan in Entra en zijn al toegewezen aan de app
• Matched but unassigned: Gebruikers bestaan in Entra, maar toegang is direct in de applicatie verleend
• Orphaned or local accounts: Er bestaat geen overeenkomende Entra-identiteit voor het app-account

Dit geeft IT-teams snel een basisbeeld van welke accounts al onder governance vallen en welke nog herstelmaatregelen vereisen.

Waarom dit belangrijk is voor beheerders

Voor identity- en security-teams is het grootste voordeel zichtbaarheid vóór het afdwingen van beleid. Tijdens app-onboarding kunnen beheerders Account Discovery gebruiken om gebruikers te vinden die al toegang hebben via legacy-processen, handmatige provisioning of directe aanmelding.

Microsofts voorbeeld gebruikt Salesforce, waar discovery het volgende kan tonen:

• Werknemers met geldige identiteiten maar zonder Entra-app-toewijzing
• Lokale of verweesde accounts die mogelijk verwijderd of onderzocht moeten worden
• Service- en testaccounts die afzonderlijke beoordeling vereisen

Zodra die zijn geïdentificeerd, kunnen beheerders legitieme gebruikers onderbrengen in Entitlement Management-access packages en approvals, vervalregels en terugkerende access reviews toepassen. Ze kunnen ook lokale accounts onderzoeken die MFA en Conditional Access mogelijk omzeilen.

Doorlopende governance en volgende stappen

Account Discovery is niet alleen bedoeld voor de eerste onboarding. Microsoft positioneert het ook als een doorlopend governance-controlepunt om afwijkingen in de loop van de tijd te detecteren, zoals:

• Nieuwe lokale accounts die buiten goedgekeurde workflows zijn aangemaakt
• Gemiste offboarding-gevallen
• Tijdelijke contractor- of testaccounts die langer actief blijven dan verwacht

Wat IT-teams nu moeten doen

• Beoordeel welke enterprise applications legacy- of handmatig beheerde toegang hebben
• Voer Account Discovery uit tijdens de onboarding van nieuw beheerde apps
• Gebruik de bevindingen om gebruikers te koppelen aan Entra-governanceworkflows
• Onderzoek en herstel verweesde, service- en lokale accounts
• Plan periodieke discovery-reviews om toegangsafwijkingen te detecteren

Beschikbaarheid

Account Discovery is beschikbaar in openbare preview voor organisaties met een licentie voor:

• Microsoft Entra ID Governance
• Microsoft Entra Suite
• Microsoft E7

De functie is beschikbaar via het Microsoft Entra admin center en Microsoft Graph APIs.