Menetapkan peran Microsoft Entra dengan cakupan unit administratif
Di MICROSOFT Entra ID, untuk kontrol administratif yang lebih terperinci, Anda dapat menetapkan peran Microsoft Entra dengan cakupan yang terbatas pada satu atau beberapa unit administratif. Saat peran Microsoft Entra ditetapkan pada cakupan unit administratif, izin peran hanya berlaku saat mengelola anggota unit administratif itu sendiri, dan tidak berlaku untuk pengaturan atau konfigurasi di seluruh penyewa.
Misalnya, administrator yang diberi peran Administrator Grup di cakupan unit administratif dapat mengelola grup yang merupakan anggota unit administratif, tetapi mereka tidak dapat mengelola grup lain di penyewa. Mereka juga tidak dapat mengelola pengaturan tingkat penyewa yang terkait dengan grup, seperti kebijakan kedaluwarsa atau penamaan grup.
Artikel ini menjelaskan cara menetapkan peran Microsoft Entra dengan cakupan unit administratif.
Prasyarat
- Lisensi Microsoft Entra ID P1 atau P2 untuk setiap administrator unit administratif
- Lisensi Microsoft Entra ID Gratis untuk anggota unit administratif
- Administrator Peran Istimewa atau Administrator Global
- Modul Microsoft Graph PowerShell saat menggunakan PowerShell
- Izin admin saat menggunakan Graph Explorer untuk API Microsoft Graph
Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.
Peran yang dapat diberikan dengan cakupan unit administratif
Peran Microsoft Entra berikut dapat ditetapkan dengan cakupan unit administratif. Selain itu, peran kustom apa pun dapat ditetapkan dengan cakupan unit administratif selama izin peran kustom mencakup setidaknya satu izin yang relevan dengan pengguna, grup, atau perangkat.
| Peran | Deskripsi |
|---|---|
| Admin Autentikasi | Memiliki akses untuk menampilkan, mengatur, dan mereset informasi metode autentikasi untuk setiap pengguna non-admin di unit administratif yang ditetapkan saja. |
| Admin Perangkat Cloud | Akses terbatas untuk mengelola perangkat di ID Microsoft Entra. |
| Admin Grup | Hanya dapat mengelola semua aspek grup di unit administratif yang ditetapkan. |
| Admin Bantuan Teknis | Dapat menyetel ulang kata sandi untuk non-admin hanya di unit administratif yang ditetapkan. |
| Admin Lisensi | Dapat menetapkan, menghapus, dan memperbarui penugasan lisensi hanya dalam unit administratif. |
| Admin Kata Sandi | Dapat menyetel ulang kata sandi untuk non-admin hanya dalam unit administratif yang ditetapkan. |
| Admin Pencetak | Dapat mengelola printer dan konektor printer. Untuk informasi selengkapnya, lihat Mendelegasikan administrasi printer di Universal Print. |
| Admin Autentikasi Istimewa | Dapat mengakses untuk melihat, mengatur, dan mengatur ulang informasi metode autentikasi untuk semua pengguna (admin atau non-admin). |
| Administrator SharePoint | Hanya dapat mengelola grup Microsoft 365 di unit administratif yang ditetapkan. Untuk situs SharePoint yang terkait dengan grup Microsoft 365 dalam unit administratif, juga dapat memperbarui properti situs (nama situs, URL, dan kebijakan berbagi eksternal) menggunakan pusat admin Microsoft 365. Tidak dapat menggunakan pusat admin SharePoint atau API SharePoint untuk mengelola situs. |
| Administrator Teams | Hanya dapat mengelola grup Microsoft 365 di unit administratif yang ditetapkan. Hanya dapat mengelola anggota tim di pusat admin Microsoft 365 untuk tim yang terkait dengan grup di unit administratif yang ditetapkan. Tidak dapat menggunakan pusat admin Teams. |
| Admin Perangkat Teams | Dapat melakukan tugas terkait manajemen pada perangkat bersertifikasi Teams. |
| Admin Pengguna | Dapat mengelola semua aspek pengguna dan grup, termasuk mereset kata sandi untuk admin terbatas hanya dalam unit administratif yang ditetapkan. Saat ini tidak dapat mengelola foto profil pengguna. |
| <Peran kustom> | Dapat melakukan tindakan yang berlaku untuk pengguna, grup, atau perangkat, sesuai dengan definisi peran kustom. |
Izin peran tertentu hanya berlaku untuk pengguna non-administrator saat ditetapkan dengan cakupan unit administratif. Dengan kata lain, Administrator Helpdesk tercakup unit administratif dapat mengatur ulang kata sandi untuk pengguna di unit administratif hanya jika pengguna tersebut tidak memiliki peran administrator. Daftar izin berikut dibatasi jika target tindakan adalah administrator lain:
- Baca dan ubah metode autentikasi pengguna, atau atur ulang kata sandi pengguna
- Mengubah properti pengguna sensitif seperti nomor telepon, alamat email alternatif, atau kunci rahasia Open Authorization (OAuth)
- Menghapus atau memulihkan akun pengguna
Prinsip keamanan yang dapat ditugaskan dengan ruang lingkup unit administrasi
Prinsip keamanan berikut dapat ditetapkan ke peran dengan cakupan unit administratif:
- Pengguna
- Grup yang dapat ditetapkan peran Microsoft Entra
- Perwakilan layanan
Perwakilan layanan dan pengguna tamu
Perwakilan layanan dan pengguna tamu tidak akan dapat menggunakan penetapan peran yang dicakup ke unit administratif kecuali mereka juga diberi izin yang sesuai untuk membaca objek. Ini karena perwakilan layanan dan pengguna tamu tidak menerima izin baca direktori secara default, yang diperlukan untuk melakukan tindakan administratif. Untuk mengaktifkan perwakilan layanan atau pengguna tamu untuk menggunakan penetapan peran yang tercakup ke unit administratif, Anda harus menetapkan peran Pembaca Direktori (atau peran lain yang menyertakan izin baca) pada cakupan penyewa.
Saat ini tidak dimungkinkan untuk menetapkan izin baca direktori yang dicakup ke unit administratif. Untuk mengetahui informasi selengkapnya tentang izin default untuk pengguna, lihat izin pengguna default.
Menetapkan peran dengan cakupan unit administratif
Anda dapat menetapkan peran Microsoft Entra dengan cakupan unit administratif dengan menggunakan pusat admin Microsoft Entra, PowerShell, atau Microsoft Graph.
Pusat admin Microsoft Entra
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.
Telusuri ke Peran Identitas>&>admin Unit admin.
Pilih unit administratif yang ingin Anda tetapkan cakupan peran penggunanya.
Di panel kiri, pilih Peran dan Admin untuk mencantumkan semua peran yang tersedia.
Pilih peran yang akan ditetapkan, lalu pilih Tambahkan penugasan.
Pada panel Tambahkan penugasan, pilih satu atau beberapa pengguna untuk ditetapkan ke peran tersebut.
Catatan
Untuk menetapkan peran pada unit administratif dengan menggunakan Microsoft Entra Privileged Identity Management (PIM), lihat Menetapkan peran Microsoft Entra di PIM.
PowerShell
Gunakan perintah New-MgRoleManagementDirectoryRoleAssignment dan DirectoryScopeId parameter untuk menetapkan peran dengan cakupan unit administratif.
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
API Microsoft Graph
Gunakan Tambahkan scopedRoleMember API untuk menetapkan peran dengan cakupan unit administratif.
Minta
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Isi
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
Membuat daftar tugas peran dengan cakupan unit administratif
Anda dapat melihat daftar penetapan peran Microsoft Entra dengan cakupan unit administratif dengan menggunakan pusat admin Microsoft Entra, PowerShell, atau Microsoft Graph.
Pusat admin Microsoft Entra
Anda dapat melihat semua penetapan peran yang dibuat dengan cakupan unit administratif di bagian Unit admin pusat admin Microsoft Entra.
Masuk ke Pusat Admin Microsoft Entra.
Telusuri ke Peran Identitas>&>admin Unit admin.
Pilih unit administratif untuk daftar penetapan peran yang ingin Anda lihat.
Pilih Peran dan Admin, lalu buka peran untuk menampilkan penugasan di unit administratif.
PowerShell
Gunakan perintah Get-MgDirectoryAdministrativeUnitScopedRoleMember untuk mencantumkan penetapan peran dengan cakupan unit administratif.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
API Microsoft Graph
Gunakan Cantumkan scopedRoleMembers API untuk mencantumkan penetapan peran dengan cakupan unit administratif.
Minta
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
Isi
{}