Apa itu pengelolaan pemberian hak?
Pengelolaan pemberian hak adalah fitur tata kelola identitas yang memungkinkan organisasi mengelola identitas dan mengakses siklus hidup dalam skala besar, dengan mengotomatiskan alur kerja permintaan akses, penetapan akses, ulasan, dan kedaluwarsa.
Orang di organisasi memerlukan akses ke berbagai grup, aplikasi, dan situs SharePoint Online untuk melakukan pekerjaan mereka. Mengelola akses ini menantang, karena persyaratan berubah. Aplikasi baru ditambahkan atau pengguna memerlukan lebih banyak hak akses. Skenario ini menjadi lebih rumit saat Anda berkolaborasi dengan organisasi luar. Skenario ini semakin rumit ketika Anda berkolaborasi dengan organisasi luar - Anda mungkin tidak tahu siapa di organisasi lain yang membutuhkan akses ke sumber daya organisasi Anda, dan mereka tidak akan tahu aplikasi, grup, atau situs apa yang digunakan organisasi Anda.
Pengelolaan pemberian hak dapat membantu Anda mengelola akses ke grup, aplikasi, dan situs SharePoint Online secara lebih efisien untuk pengguna internal, dan juga untuk pengguna di luar organisasi Anda yang memerlukan akses ke sumber daya tersebut.
Mengapa menggunakan pengelolaan pemberian hak?
Organisasi perusahaan sering menghadapi tantangan saat mengelola akses tenaga kerja ke sumber daya seperti:
- Pengguna mungkin tidak tahu akses apa yang harus mereka miliki, dan bahkan jika mereka melakukannya, mereka mungkin mengalami kesulitan menemukan individu yang tepat untuk menyetujui akses mereka
- Setelah pengguna menemukan dan menerima akses ke sumber daya, mereka mungkin berpegang pada akses lebih lama dari yang diperlukan untuk tujuan bisnis
Masalah ini diperparah bagi pengguna yang membutuhkan akses dari organisasi lain, seperti pengguna eksternal yang berasal dari organisasi rantai pasokan atau mitra bisnis lainnya. Contohnya:
- Tidak seorang pun boleh mengenal semua individu tertentu di direktori organisasi lain untuk dapat mengundang mereka
- Bahkan jika mereka dapat mengundang pengguna ini, tidak ada seorang pun di organisasi tersebut yang mungkin ingat untuk mengelola semua akses pengguna secara konsisten
Pengelolaan pemberian izin dapat membantu mengatasi tantangan ini. Untuk mempelajari lebih lanjut tentang bagaimana pelanggan telah menggunakan pengelolaan pemberian hak, Anda dapat membaca studi kasus Mississippi Division of Medicaid, Storebrand , dan Avanade . Video ini memberikan gambaran umum tentang pengelolaan pemberian hak dan nilainya:
Apa yang bisa saya lakukan dengan pengelolaan pemberian hak?
Berikut adalah beberapa kemampuan pengelolaan pemberian hak:
- Kontrol siapa yang bisa mendapatkan akses ke aplikasi, grup, situs Teams dan SharePoint, dengan persetujuan multitahap, dan pastikan pengguna tidak mempertahankan akses tanpa batas melalui penetapan waktu terbatas dan tinjauan akses berulang.
- Beri pengguna akses secara otomatis ke sumber daya tersebut, berdasarkan properti pengguna seperti departemen atau pusat biaya, dan hapus akses pengguna saat properti tersebut berubah.
- Mendelegasikan kepada nonadministrator kemampuan untuk membuat paket akses. Paket akses ini berisi sumber daya yang dapat meminta pengguna, dan manajer paket akses yang didelegasikan dapat menentukan kebijakan dengan aturan yang dapat meminta pengguna, yang harus menyetujui akses mereka, dan kapan akses kedaluwarsa.
- Pilih organisasi terhubung yang penggunanya dapat meminta akses. Saat pengguna yang belum ada di direktori Anda meminta akses, dan disetujui, mereka secara otomatis diundang ke direktori Anda dan diberi akses. Ketika akses mereka kedaluwarsa, jika mereka tidak memiliki penetapan paket akses lain, akun B2B mereka di direktori Anda dapat dihapus secara otomatis.
Catatan
Jika Anda siap untuk mencoba Pengelolaan pemberian hak, Anda dapat memulai dengan tutorial kami untuk membuat paket akses pertama Anda.
Anda juga dapat membaca skenario umum, atau menonton video, termasuk
- Cara menyebarkan pengelolaan pemberian izin di organisasi Anda
- Cara memantau dan menskalakan penggunaan pengelolaan pemberian pemberian izin
- Cara mendelegasikan dalam pengelolaan pemberian hak
Apa itu paket akses dan sumber daya apa yang dapat saya kelola dengannya?
Pengelolaan pemberian hak memperkenalkan konsep paket akses. Paket akses adalah paket semua sumber daya dengan akses yang dibutuhkan pengguna untuk mengerjakan proyek atau melakukan tugas mereka. Paket akses dapat digunakan untuk mengatur akses bagi karyawan Anda, dan juga untuk pengguna yang berasal dari luar organisasi Anda.
Berikut adalah jenis sumber daya yang dapat Anda kelola aksesnya dengan pengelolaan pemberian hak:
- Keanggotaan grup keamanan Microsoft Entra
- Keanggotaan Grup dan Tim Microsoft 365
- Penugasan ke aplikasi perusahaan Microsoft Entra, termasuk aplikasi SaaS dan aplikasi terintegrasi kustom yang mendukung federasi/akses menyeluruh dan/atau provisi
- Keanggotaan situs SharePoint Online
Anda juga dapat mengontrol akses ke sumber daya lain yang mengandalkan grup keamanan Microsoft Entra atau Grup Microsoft 365. Contohnya:
- Anda dapat memberi pengguna lisensi untuk Microsoft 365 dengan menggunakan grup keamanan Microsoft Entra dalam paket akses dan mengonfigurasi lisensi berbasis grup untuk grup tersebut.
- Anda dapat memberi pengguna akses untuk mengelola sumber daya Azure dengan menggunakan grup keamanan Microsoft Entra dalam paket akses dan membuat penetapan peran Azure untuk grup tersebut.
- Anda dapat memberi pengguna akses untuk mengelola peran Microsoft Entra dengan menggunakan grup yang dapat ditetapkan ke peran Microsoft Entra dalam paket akses dan menetapkan peran Microsoft Entra ke grup tersebut.
Bagaimana cara mengontrol siapa yang mendapatkan akses?
Dengan paket akses, administrator atau pengelola paket akses yang didelegasikan mencantumkan sumber daya (grup, aplikasi, dan situs), dan peran yang dibutuhkan pengguna untuk sumber daya tersebut.
Paket akses juga mencakup satu atau beberapa kebijakan. Kebijakan mendefinisikan aturan atau proteksi untuk penetapan ke akses paket. Setiap kebijakan dapat digunakan untuk memastikan bahwa hanya pengguna yang sesuai yang dapat memiliki penetapan akses, dan akses tersebut dibatasi waktu dan akan kedaluwarsa jika tidak diperpanjang.
Anda dapat memiliki kebijakan bagi pengguna untuk meminta akses. Dalam kebijakan semacam ini, administrator atau manajer paket akses menentukan
- Baik pengguna yang sudah ada (biasanya karyawan atau tamu yang sudah diundang), atau organisasi mitra pengguna eksternal, yang memenuhi syarat untuk meminta akses
- Proses persetujuan dan pengguna yang dapat menyetujui atau menolak akses
- Durasi penetapan akses pengguna, setelah disetujui, sebelum tugas kedaluwarsa
Anda juga dapat memiliki kebijakan bagi pengguna untuk diberi akses, baik oleh administrator, secara otomatis berdasarkan aturan, atau melalui alur kerja siklus hidup.
Diagram berikut menunjukkan contoh elemen yang berbeda dalam pengelolaan pemberian hak. Ini menunjukkan satu katalog dengan dua contoh paket akses.
- Paket Akses 1 menyertakan satu grup sebagai sumber daya. Akses ditentukan dengan kebijakan yang memungkinkan sekumpulan pengguna di direktori untuk meminta akses.
- Paket Akses 2 menyertakan grup, aplikasi, dan situs SharePoint Online sebagai sumber daya. Akses didefinisikan dengan dua kebijakan yang berbeda. Kebijakan pertama memungkinkan sekumpulan pengguna di direktori untuk meminta akses. Kebijakan kedua memungkinkan pengguna di direktori eksternal untuk meminta akses.
Kapan saya harus menggunakan paket akses?
Paket akses tidak menggantikan mekanisme lain untuk penetapan akses. Paket akses paling tepat dalam situasi seperti:
- Memigrasikan definisi kebijakan akses dari manajemen peran perusahaan pihak ketiga ke ID Microsoft Entra.
- Pengguna memerlukan akses terbatas waktu untuk tugas tertentu. Misalnya, Anda mungkin menggunakan lisensi berbasis grup dan grup dinamis untuk memastikan semua karyawan memiliki kotak pesan Exchange Online, lalu menggunakan paket akses untuk situasi di mana karyawan memerlukan hak akses tambahan. Misalnya, hak untuk membaca sumber daya departemen dari departemen lain.
- Akses yang memerlukan persetujuan manajer seseorang atau individu lain yang ditunjuk.
- Akses yang harus ditetapkan secara otomatis kepada orang-orang di bagian tertentu dari organisasi selama waktu mereka dalam peran pekerjaan tersebut, tetapi juga tersedia untuk orang lain di organisasi, atau di organisasi mitra bisnis, untuk meminta.
- Departemen ingin mengelola kebijakan akses mereka sendiri untuk sumber daya mereka tanpa keterlibatan IT.
- Dua organisasi atau lebih berkolaborasi dalam proyek, dan sebagai hasilnya, beberapa pengguna dari satu organisasi perlu dibawa melalui Microsoft Entra B2B untuk mengakses sumber daya organisasi lain.
Bagaimana cara mendelegasikan akses?
Paket akses dijelaskan di kontainer yang disebut katalog. Anda dapat memiliki katalog tunggal untuk semua paket akses Anda, atau Anda dapat menunjuk individu untuk membuat dan memiliki katalog mereka sendiri. Administrator bisa menambahkan sumber daya ke katalog apa pun, tetapi nonadministrator hanya bisa menambahkan ke katalog sumber daya yang mereka miliki. Pemilik katalog dapat menambahkan pengguna lain sebagai pemilik bersama katalog, atau sebagai manajer paket akses. Skenario ini dijelaskan lebih lanjut dalam delegasi artikel dan peran dalam pengelolaan pemberian hak.
Ringkasan terminologi
Untuk lebih memahami pengelolaan pemberian hak dan dokumentasinya, Anda dapat merujuk kembali ke daftar istilah berikut.
| Persyaratan | Deskripsi |
|---|---|
| paket akses | Paket sumber daya yang dibutuhkan tim atau proyek dan diatur dengan kebijakan. Paket akses selalu terkandung dalam katalog. Anda akan membuat paket akses baru untuk skenario di mana pengguna perlu meminta akses. |
| permintaan akses | Permintaan untuk mengakses sumber daya dalam paket akses. Permintaan biasanya melalui alur kerja persetujuan. Jika disetujui, pengguna yang meminta menerima penetapan paket akses. |
| penugasan | Penetapan paket akses ke pengguna memastikan pengguna memiliki semua peran sumber daya paket akses tersebut. Penetapan paket akses biasanya memiliki batas waktu sebelum kedaluwarsa. |
| katalog | Kontainer sumber daya terkait dan paket akses. Katalog digunakan untuk delegasi, sehingga nonadministrator dapat membuat paket akses mereka sendiri. Pemilik katalog dapat menambahkan sumber daya yang mereka miliki ke katalog. |
| pembuat katalog | Kumpulan pengguna yang berwenang untuk membuat katalog baru. Ketika pengguna nonadministrator yang berwenang menjadi pembuat katalog dan membuat katalog baru, mereka secara otomatis menjadi pemilik katalog itu. |
| organisasi tersambung | Direktori atau domain Microsoft Entra eksternal yang memiliki hubungan dengan Anda. Pengguna dari organisasi yang terhubung dapat ditentukan dalam kebijakan sebagaimana diizinkan untuk meminta akses. |
| kebijakan | Seperangkat aturan yang menentukan siklus hidup akses, seperti bagaimana pengguna mendapatkan akses, siapa yang bisa menyetujui, dan berapa lama pengguna memiliki akses melalui tugas. Kebijakan ditautkan ke paket akses. Misalnya, paket akses dapat memiliki dua kebijakan - satu bagi karyawan untuk meminta akses dan kedua bagi pengguna eksternal untuk meminta akses. |
| sumber daya | Aset, seperti grup Office, grup keamanan, aplikasi, atau situs SharePoint Online, dengan peran yang dapat diberikan izin kepada pengguna. |
| direktori sumber daya | Direktori yang memiliki satu atau beberapa sumber daya untuk dibagikan. |
| peran sumber daya | Kumpulan izin yang terkait dengan dan didefinisikan oleh sumber daya. Grup memiliki dua peran - anggota dan pemilik. Situs SharePoint biasanya memiliki tiga peran tetapi mungkin memiliki peran kustom tambahan. Aplikasi dapat memiliki peran khusus. |
Persyaratan lisensi
Menggunakan fitur ini memerlukan langganan Tata Kelola ID Microsoft Entra untuk pengguna organisasi Anda. Beberapa kemampuan dalam fitur ini dapat beroperasi dengan langganan Microsoft Entra ID P2, lihat artikel setiap kemampuan untuk detail selengkapnya. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Tata Kelola ID Microsoft Entra dasar-dasar lisensi.
Langkah berikutnya
- Jika Anda tertarik menggunakan pusat admin Microsoft Entra untuk mengelola akses ke sumber daya, lihat Tutorial: Mengelola akses ke sumber daya - Microsoft Entra.
- jika Anda tertarik menggunakan Microsoft Graph untuk mengelola akses ke sumber daya, lihat Tutorial: mengelola akses ke sumber daya - Microsoft Graph
- Skenario umum