Tutorial: Mengelola akses ke sumber daya dalam pengelolaan pemberian hak

  • Artikel

Mengelola akses ke semua sumber daya yang dibutuhkan karyawan, seperti grup, aplikasi, dan situs, adalah fungsi penting bagi organisasi. Anda ingin memberi karyawan tingkat akses yang tepat yang mereka butuhkan untuk menjadi produktif dan menghapus akses mereka saat tidak lagi diperlukan.

Dalam tutorial ini, Anda bekerja untuk Bank Woodgrove sebagai admin TI. Anda diminta untuk membuat paket sumber daya untuk kampanye pemasaran yang dapat digunakan pengguna internal untuk permintaan layanan mandiri. Permintaan tidak memerlukan persetujuan dan akses pengguna berakhir setelah 30 hari. Untuk tutorial ini, sumber daya kampanye pemasaran hanya keanggotaan dalam satu grup, tetapi bisa menjadi kumpulan grup, aplikasi, atau situs SharePoint Online.

Diagram that shows the scenario overview.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat paket akses dengan grup sebagai sumber daya
  • Mengizinkan pengguna di direktori Anda untuk meminta akses
  • Menunjukkan bagaimana pengguna internal dapat meminta paket akses

Untuk demonstrasi langkah demi langkah tentang proses penyebaran pengelolaan pemberian hak Microsoft Entra, termasuk membuat paket akses pertama Anda, lihat video berikut:

Sisa artikel ini menggunakan pusat admin Microsoft Entra untuk mengonfigurasi dan menunjukkan pengelolaan pemberian hak.

Prasyarat

Untuk menggunakan pengelolaan pemberian izin, Anda harus memiliki salah satu lisensi berikut:

  • Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra
  • Lisensi Enterprise Mobility + Keamanan (EMS) E5

Untuk informasi selengkapnya, lihat Persyaratan lisensi.

Langkah 1: Siapkan pengguna dan grup

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Direktori sumber daya memiliki satu atau beberapa sumber daya untuk dibagikan. Dalam langkah ini, Anda membuat grup bernama Sumber daya Pemasaran di direktori Bank Woodgrove yang merupakan sumber daya target untuk pengelolaan pemberian hak. Anda juga menyiapkan pemohon internal.

Peran prasyarat: Administrator global atau Administrator Tata Kelola Identitas

Diagram that shows the users and groups for this tutorial.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

  3. Buat dua pengguna. Gunakan nama berikut atau nama yang berbeda.

    Nama Peran direktori
    Admin1 Administrator global, atau Administrator Tata Kelola Identitas. Pengguna ini dapat menjadi pengguna yang Anda masuki saat ini.
    Pemohon1 User

  4. Buat grup keamanan Microsoft Entra bernama Sumber daya Pemasaran dengan jenis keanggotaan Ditetapkan. Grup ini adalah sumber daya target untuk pengelolaan pemberian izin. Grup harus kosong dari anggota untuk memulai.

Langkah 2: Buat paket akses

paket akses adalah bundel sumber daya yang dibutuhkan tim atau proyek dan diatur dengan kebijakan. Paket akses dijelaskan di kontainer yang disebut katalog. Dalam langkah ini, Anda membuat paket akses Kampanye Pemasaran di katalog Umum.

Peran prasyarat: Administrator Global, Administrator Tata Kelola Identitas, Pemilik katalog, atau manajer paket Akses

Diagram that describes the relationship between the access package elements.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

  3. Pada halaman Paket akses buka paket akses.

  4. Saat membuka paket akses jika Anda melihat Akses ditolak, pastikan lisensi Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra ada di direktori Anda.

  5. Pilih Paket akses baru.

    Screenshots that shows how to create an access package.

  6. Pada tab Dasar, ketikkan nama paket akses Kampanye Pemasaran dan deskripsi Akses ke sumber daya untuk kampanye.

  7. Biarkan menu drop-down Katalog diatur ke Umum.

    Screenshot showing how to set the basic of the access policy.

  8. Pilih Berikutnya untuk membuka tab Peran sumber daya. Pada tab ini, pilih sumber daya dan peran sumber daya untuk disertakan dalam paket akses. Anda dapat memilih untuk mengelola akses ke grup dan tim, aplikasi, dan situs SharePoint Online. Dalam skenario ini, pilih Grup dan Teams.

    Screenshot showing how to select groups and teams.

  9. Di panel Pilih grup, temukan dan pilih grup Sumber daya pemasaran yang Anda buat sebelumnya.

    Secara default, Anda melihat grup di dalam katalog Umum. Saat Anda memilih grup di luar katalog Umum, yang bisa Anda lihat jika Anda mencentang kotak centang Lihat semua , grup ditambahkan ke katalog Umum.

    Screenshot that shows how to select the groups

  10. Pilih Pilih untuk menambahkan grup ke daftar.

  11. Di menu drop-down Peran, pilih Anggota. Jika Anda memilih peran Pemilik, ini memungkinkan pengguna untuk menambahkan atau menghapus anggota atau pemilik lain. Untuk informasi selengkapnya tentang memilih peran yang sesuai untuk sumber daya, baca menambahkan peran sumber daya.

    Screenshot the shows how to select the member role.

    Penting

    Grup yang dapat ditetapkan peran yang ditambahkan ke paket akses akan ditunjukkan menggunakan Sub Jenis Dapat ditetapkan untuk peran. Untuk informasi selengkapnya, lihat artikel Buat grup yang dapat ditetapkan peran. Perlu diingat bahwa setelah grup yang dapat ditetapkan peran ada dalam katalog paket akses, pengguna administratif yang dapat mengelola dalam pengelolaan pemberian hak, termasuk pengguna dalam peran Administrator Global, pengguna dalam peran Administrator Tata Kelola Identitas, dan pemilik katalog katalog, akan dapat mengontrol paket akses dalam katalog, memungkinkan mereka memilih siapa yang dapat ditambahkan ke grup tersebut. Jika Anda tidak melihat grup yang dapat ditetapkan peran yang ingin Anda tambahkan atau Anda tidak dapat menambahkannya, pastikan Anda memiliki peran Microsoft Entra dan peran pengelolaan pemberian hak yang diperlukan untuk melakukan operasi ini. Anda mungkin perlu meminta seseorang dengan peran yang diperlukan untuk menambahkan sumber daya ke katalog Anda. Untuk informasi selengkapnya, lihat Peran yang diperlukan untuk menambahkan sumber daya ke katalog.

    Catatan

    Saat menggunakan grup dinamis, Anda tidak akan melihat peran lain yang tersedia selain pemilik. Ini memang disengaja. Screenshots that shows a dynamic group available roles.

  12. Pilih Berikutnya untuk membuka tab Permintaan. Pada tab Permintaan, Anda membuat kebijakan permintaan. Kebijakan menjelaskan aturan atau pagar pembatas untuk mengakses paket akses. Anda membuat kebijakan yang memungkinkan pengguna tertentu dalam direktori sumber daya untuk meminta paket akses ini.

  13. Di bagian Pengguna yang dapat meminta akses, pilih Untuk pengguna di direktori Anda lalu pilih Pengguna dan grup tertentu.

    Screenshot of the access package requests tab.

  14. Pilih Menambahkan pengguna dan grup.

  15. Di panel Pilih pengguna dan grup, pilih pengguna Pemohon1 yang Anda buat sebelumnya.

    Screenshot of select users and groups.

  16. Pilih Pilih untuk menambahkan pengguna ke daftar.

  17. Gulir ke bawah ke bagian Persetujuan dan Aktifkan permintaan.

  18. Biarkan Memerlukan persetujuan diatur ke Tidak.

  19. Untuk Mengaktifkan permintaan, pilih Ya untuk mengaktifkan paket akses ini agar diminta segera setelah dibuat.

  20. Jika organisasi Anda disiapkan untuk menerima ID terverifikasi, ada opsi untuk mengonfigurasi paket akses untuk mengharuskan pemohon memberikan ID terverifikasi. Untuk mempelajari selengkapnya, lihat: Mengonfigurasi pengaturan ID terverifikasi untuk paket akses dalam pengelolaan pemberian hak (Pratinjau)

    Screenshot of the Verified ID picker selection.

  21. Pilih Berikutnya untuk membuka tab Informasi permintaan.

    Screenshots of the requests tab approval and enable requests settings.

  22. Pada tab Informasi pemohon, Anda dapat mengajukan pertanyaan untuk mengumpulkan lebih banyak informasi dari pemohon. Pertanyaan ditampilkan pada formulir permintaan dan dapat bersifat wajib atau opsional. Dalam skenario ini, Anda belum diminta untuk menyertakan informasi pemohon untuk paket akses, sehingga Anda dapat membiarkan kotak ini kosong. Pilih Berikutnya untuk membuka tab Siklus hidup.

  23. Pada tab Siklus Hidup, Anda menentukan kapan penetapan pengguna ke paket akses kedaluwarsa. Anda juga dapat menentukan apakah pengguna dapat memperpanjang penugassa mereka. Di bagian Kedaluwarsa:

    1. Atur Akses penugasan paket akses ke Jumlah hari.
    2. Atur Penugasan kedaluwarsa setelah menjadi 30 hari.
    3. Biarkan nilai default Pengguna dapat meminta garis waktu tertentu, Ya.
    4. Atur Memerlukan tinjauan akses ke Tidak.

    Screenshot of the access package lifecycle tab

  24. Lewati langkah Ekstensi kustom.

  25. Pilih Berikutnya untuk membuka tab Tinjau + Buat.

  26. Pada tab Tinjau + Buat, pilih Buat. Setelah beberapa saat, Anda akan melihat pemberitahuan bahwa paket akses berhasil dibuat.

  27. Di menu sebelah kiri paket akses Kampanye Pemasaran, pilih Gambaran umum.

  28. Salin tautan portal Akses Saya.

    Anda akan menggunakan tautan ini untuk langkah berikutnya.

    Screenshot that demonstrates how to copy the link to the access policy.

Langkah 3: Meminta akses

Dalam langkah ini, Anda melakukan langkah-langkah sebagai pemohon internal dan meminta akses ke paket akses. Pemohon mengirimkan permintaan mereka menggunakan situs yang disebut portal Akses Saya. Portal Akses Saya memungkinkan pemohon untuk mengirimkan permintaan paket akses, melihat paket akses yang sudah mereka miliki aksesnya, dan melihat riwayat permintaan mereka. Ketika tamu baru meminta paket akses di MyAccess, bahasa pilihan mereka dicap berdasarkan bahasa browser MyAccess pada waktu permintaan. Ini memungkinkan tamu baru untuk menerima komunikasi email dalam bahasa yang mereka pahami.

Peran prasyarat: Pemohon internal

  1. Keluar dari pusat admin Microsoft Entra.

  2. Di jendela browser baru, navigasikan ke tautan portal Akses Saya yang Anda salin di langkah sebelumnya.

  3. Masuk ke portal Akses Saya sebagai Pemohon1.

    Anda akan melihat paket akses Kampanye Pemasaran.

  4. Di kotak Pertimbangan bisnis, ketikkan pembenaran Saya sedang mengerjakan kampanye pemasaran baru.

    Screenshot of the My Access portal listing the access packages.

  5. Pilih kirim.

  6. Di menu sebelah kiri, pilih Riwayat permintaan untuk memverifikasi bahwa permintaan Anda telah dikirim. Untuk detail selengkapnya, pilih Lihat.

    Screenshot of the My Access portal request history.

Langkah 4: Memvalidasi bahwa akses telah ditetapkan

Dalam langkah ini, Anda mengonfirmasi bahwa pemohon internal telah diberi paket akses dan mereka sekarang menjadi anggota grup Sumber daya pemasaran.

Peran prasyarat: Administrator Global, Administrator Tata Kelola Identitas, Pemilik katalog, atau manajer paket Akses

  1. Keluar dari portal Akses Saya.

  2. Masuk ke pusat admin Microsoft Entra sebagai Admin1.

  3. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

  4. Temukan dan klik paket akses Kampanye Pemasaran.

  5. Di menu sebelah kiri, pilih Permintaan.

    Anda akan melihat Pemohon1 dan kebijakan Awal dengan status Dikirim.

  6. Klik permintaan untuk melihat detail permintaan.

    Screenshot of the access package request details.

  7. Di navigasi kiri, pilih Identitas.

  8. Klik Grup dan buka grup Sumber daya pemasaran.

  9. Pilih Anggota.

    Anda akan melihat Pemohon1 terdaftar sebagai anggota.

    Screenshot shows the requestor one has been added to the marketing resources group.

Langkah 5: Bersihkan sumber daya

Dalam langkah ini, Anda menghapus perubahan yang Anda buat dan menghapus paket akses Kampanye Pemasaran.

Peran prasyarat: Administrator Global atau Administrator Tata Kelola Identitas

  1. Di Pusat admin Microsoft Entra Identity Governance.

  2. Buka paket akses Kampanye Pemasaran.

  3. Pilih Penugasan.

  4. Untuk Pemohon1, pilih elipsis (...) lalu pilih Hapus akses. Di pesan yang muncul, pilih Ya.

    Setelah beberapa saat, status akan berubah dari Dikirim ke Kedaluwarsa.

  5. Pilih Peran sumber daya.

  6. Untuk Sumber daya pemasaran, pilih elipsis (...) lalu pilih Hapus peran sumber daya. Di pesan yang muncul, pilih Ya.

  7. Buka daftar paket akses.

  8. Untuk Kampanye Pemasaran, pilih elipsis (...) lalu pilih Hapus. Di pesan yang muncul, pilih Ya.

  9. Di Identitas, hapus pengguna apa pun yang Anda buat seperti Pemohon1 dan Admin1.

  10. Hapus grup Sumber daya pemasaran.

Langkah berikutnya

Lanjutkan ke artikel berikutnya untuk mempelajari tentang langkah-langkah skenario umum dalam pengelolaan pemberian hak.

Skenario umum