Mengelola akses tamu dengan tinjauan akses

  • Artikel

Dengan tinjauan akses, Anda dapat dengan mudah mengaktifkan kolaborasi di seluruh batas organisasi dengan menggunakan fitur Microsoft Entra B2B. Pengguna tamu dari penyewa lain dapat diundang oleh administrator atau oleh pengguna lain. Kemampuan ini juga berlaku untuk identitas sosial seperti akun Microsoft.

Anda juga dapat dengan mudah memastikan bahwa pengguna tamu memiliki akses yang sesuai. Anda dapat meminta tamu itu sendiri atau pembuat keputusan untuk berpartisipasi dalam tinjauan akses dan mensertifikasi ulang (atau membuktikan) akses tamu. Peninjau dapat memberikan input mereka tentang kebutuhan setiap pengguna untuk akses berkelanjutan, berdasarkan saran dari ID Microsoft Entra. Begitu tinjauan akses selesai, Anda kemudian dapat melakukan perubahan dan menghapus akses untuk tamu yang tidak lagi membutuhkannya.

Catatan

Dokumen ini berfokus pada meninjau akses pengguna tamu. Jika Anda ingin meninjau akses semua pengguna, bukan hanya tamu, lihat Mengelola akses pengguna dengan tinjauan akses. Jika Anda ingin meninjau keanggotaan pengguna dalam peran administratif, seperti administrator global, lihat Memulai tinjauan akses di Microsoft Entra Privileged Identity Management.

Prasyarat

  • Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra

Untuk informasi selengkapnya, Persyaratan lisensi.

Membuat dan melakukan tinjauan akses untuk tamu

Pertama, Anda harus diberi salah satu peran berikut:

  • administrator global
  • Administrator pengguna
  • (Pratinjau) Microsoft 365 atau Microsoft Entra Security Group pemilik grup yang akan ditinjau

Kemudian, buka halaman Tata Kelola Identitas guna memastikan bahwa tinjauan akses sudah siap untuk organisasi Anda.

MICROSOFT Entra ID memungkinkan beberapa skenario untuk meninjau pengguna tamu.

Anda dapat meninjau:

  • Grup di ID Microsoft Entra yang memiliki satu atau beberapa tamu sebagai anggota.
  • Aplikasi yang tersambung ke ID Microsoft Entra yang memiliki satu atau beberapa pengguna tamu yang ditetapkan ke dalamnya.

Saat meninjau akses pengguna tamu ke grup Microsoft 365, Anda dapat membuat tinjauan untuk setiap grup satu per satu, atau mengaktifkan tinjauan akses berulang otomatis pengguna tamu di semua grup Microsoft 365. Video berikut ini memberikan informasi selengkapnya tentang tinjauan akses berulang pengguna tamu:

Anda kemudian dapat memutuskan apakah akan meminta setiap tamu untuk meninjau akses mereka sendiri atau meminta satu atau beberapa pengguna untuk meninjau akses setiap tamu.

Skenario berikut dibahas dalam bagian berikut.

Meminta tamu untuk meninjau keanggotaan mereka sendiri dalam grup

Anda dapat menggunakan tinjauan akses untuk memastikan bahwa pengguna yang diundang dan ditambahkan ke grup terus memerlukan akses. Anda dapat dengan mudah meminta tamu untuk meninjau keanggotaan mereka sendiri di grup itu.

  1. Untuk membuat tinjauan akses untuk grup, pilih tinjauan untuk menyertakan anggota pengguna tamu saja dan anggota tersebut meninjau sendiri. Untuk informasi selengkapnya, lihat Membuat tinjauan akses grup atau aplikasi.

  2. Mintalah setiap tamu untuk meninjau keanggotaan mereka sendiri. Secara default, setiap tamu yang menerima undangan menerima email dari ID Microsoft Entra dengan tautan ke tinjauan akses. MICROSOFT Entra ID memiliki instruksi untuk tamu tentang cara meninjau akses ke grup atau aplikasi.

  3. Setelah peninjau memberikan input, hentikan tinjauan akses dan terapkan perubahan. Untuk informasi selengkapnya, lihat Menyelesaikan tinjauan akses grup atau aplikasi.

  4. Selain pengguna yang menolak kebutuhan mereka sendiri untuk akses berkelanjutan, Anda juga dapat menghapus pengguna yang tidak merespons. Pengguna yang tidak merespons berpotensi tidak lagi menerima email.

  5. Jika grup tidak digunakan untuk manajemen akses, Anda juga dapat menghapus pengguna yang tidak dipilih untuk berpartisipasi dalam tinjauan karena mereka tidak menerima undangan. Tidak menerima mungkin menunjukkan bahwa alamat email pengguna yang diundang memiliki kesalahan ketik. Jika grup digunakan sebagai daftar distribusi, mungkin beberapa pengguna tamu tidak dipilih untuk berpartisipasi karena mereka adalah objek kontak.

Meminta pengguna yang berwenang untuk meninjau keanggotaan tamu dalam grup

Anda dapat meminta pengguna yang berwenang, seperti pemilik grup, untuk meninjau kebutuhan tamu akan keanggotaan berkelanjutan dalam grup.

  1. Untuk membuat tinjauan akses untuk grup, pilih tinjauan untuk menyertakan anggota pengguna tamu saja. Lalu tentukan satu atau beberapa peninjau. Untuk informasi selengkapnya, lihat Membuat tinjauan akses grup atau aplikasi.

  2. Minta peninjau untuk memberikan input. Secara default, mereka masing-masing menerima email dari ID Microsoft Entra dengan tautan ke panel akses, tempat mereka meninjau akses ke grup atau aplikasi.

  3. Setelah peninjau memberikan input, hentikan tinjauan akses dan terapkan perubahan. Untuk informasi selengkapnya, lihat Menyelesaikan tinjauan akses grup atau aplikasi.

Meminta tamu untuk meninjau akses mereka sendiri ke aplikasi

Anda dapat menggunakan tinjauan akses untuk memastikan bahwa pengguna yang diundang untuk aplikasi tertentu terus membutuhkan akses. Anda dapat dengan mudah meminta tamu sendiri untuk meninjau kebutuhan akses mereka sendiri.

  1. Untuk membuat tinjauan akses untuk aplikasi, pilih tinjauan untuk menyertakan tamu saja dan pengguna meninjau akses mereka sendiri. Untuk informasi selengkapnya, lihat Membuat tinjauan akses grup atau aplikasi.

  2. Minta setiap tamu untuk meninjau akses mereka sendiri ke aplikasi. Secara default, setiap tamu yang menerima undangan menerima email dari ID Microsoft Entra. Email tersebut memiliki tautan ke tinjauan akses di panel akses organisasi Anda. MICROSOFT Entra ID memiliki instruksi untuk tamu tentang cara meninjau akses ke grup atau aplikasi.

  3. Setelah peninjau memberikan input, hentikan tinjauan akses dan terapkan perubahan. Untuk informasi selengkapnya, lihat Menyelesaikan tinjauan akses grup atau aplikasi.

  4. Selain pengguna yang menolak kebutuhan akses berkelanjutan mereka sendiri, Anda juga dapat menghapus pengguna tamu yang tidak merespons. Pengguna yang tidak merespons berpotensi tidak lagi menerima email. Anda juga dapat menghapus pengguna tamu yang tidak dipilih untuk berpartisipasi, terutama jika mereka tidak diundang baru-baru ini. Pengguna tersebut tidak menerima undangan dan tidak memiliki akses ke aplikasi.

Meminta pengguna yang berwenang untuk meninjau akses tamu ke aplikasi

Anda dapat meminta pengguna yang berwenang, seperti pemilik aplikasi, untuk meninjau kebutuhan tamu akan akses berkelanjutan ke aplikasi.

  1. Untuk membuat tinjauan akses untuk aplikasi, pilih tinjauan untuk menyertakan tamu saja. Kemudian tentukan satu atau beberapa pengguna sebagai peninjau. Untuk informasi selengkapnya, lihat Membuat tinjauan akses grup atau aplikasi.

  2. Minta peninjau untuk memberikan input. Secara default, mereka masing-masing menerima email dari ID Microsoft Entra dengan tautan ke panel akses, tempat mereka meninjau akses ke grup atau aplikasi.

  3. Setelah peninjau memberikan input, hentikan tinjauan akses dan terapkan perubahan. Untuk informasi selengkapnya, lihat Menyelesaikan tinjauan akses grup atau aplikasi.

Meminta tamu untuk meninjau kebutuhan akses mereka, secara umum

Di beberapa organisasi, tamu mungkin tidak mengetahui keanggotaan grup mereka.

Catatan

Versi portal yang lebih lama tidak mengizinkan akses administratif oleh pengguna dengan UserType of Guest. Dalam beberapa kasus, administrator di direktori Anda mungkin telah mengubah nilai UserType tamu menjadi Anggota dengan menggunakan PowerShell. Jika perubahan ini sebelumnya terjadi di direktori Anda, kueri sebelumnya mungkin tidak menyertakan semua pengguna tamu yang secara historis memiliki hak akses administratif. Dalam hal ini, Anda harus mengubah UserType tamu atau secara manual menyertakan tamu dalam keanggotaan grup.

  1. Buat grup keamanan di ID Microsoft Entra dengan tamu sebagai anggota, jika grup yang sesuai belum ada. Misalnya, Anda dapat membuat grup dengan keanggotaan tamu yang dikelola secara manual. Atau, Anda dapat membuat grup dinamis dengan nama seperti "Tamu Contoso" untuk pengguna di penyewa Contoso yang memiliki nilai atribut UserType Tamu. Untuk efisiensi, pastikan grup sebagian besar tamu - jangan pilih grup yang memiliki pengguna anggota, karena pengguna anggota tidak perlu ditinjau. Selain itu, perlu diingat bahwa pengguna tamu yang merupakan anggota grup dapat melihat anggota grup lainnya.

  2. Untuk membuat tinjauan akses untuk grup tersebut, pilih peninjau untuk menjadi anggota itu sendiri. Untuk informasi selengkapnya, lihat Membuat tinjauan akses grup atau aplikasi.

  3. Mintalah setiap tamu untuk meninjau keanggotaan mereka sendiri. Secara default, setiap tamu yang menerima undangan menerima email dari ID Microsoft Entra dengan tautan ke tinjauan akses di panel akses organisasi Anda. MICROSOFT Entra ID memiliki instruksi untuk tamu tentang cara meninjau akses ke grup atau aplikasi. Tamu yang tidak menerima undangan mereka muncul di hasil ulasan sebagai "Tidak Diberi Tahu".

  4. Begitu peninjau memberi input, hentikan tinjauan akses. Untuk informasi selengkapnya, lihat Menyelesaikan tinjauan akses grup atau aplikasi.

  5. Anda dapat secara otomatis menghapus pengguna tamu akun Microsoft Entra B2B sebagai bagian dari tinjauan akses saat Mengonfigurasi Tinjauan akses untuk Pilih Tim + Grup. Opsi ini tidak tersedia untuk Semua grup Microsoft 365 dengan pengguna tamu.

Screenshot showing page to create access review.

Untuk melakukannya, pilih Terapkan hasil secara otomatis ke sumber daya karena ini akan secara otomatis menghapus pengguna dari sumber daya. Jika peninjau tidak merespons harus diatur ke Hapus akses dan Tindakan untuk diterapkan pada pengguna tamu yang ditolak juga harus diatur ke Blokir agar tidak masuk selama 30 hari, lalu hapus pengguna dari penyewa.

Ini akan segera memblokir masuk ke akun pengguna tamu dan kemudian secara otomatis menghapus akun Microsoft Entra B2B mereka setelah 30 hari.

Langkah berikutnya