Mengonfigurasi kebijakan penugasan otomatis untuk paket akses dalam pengelolaan pemberian hak

  • Artikel

Anda dapat menggunakan aturan untuk menentukan penetapan paket akses berdasarkan properti pengguna di ID Microsoft Entra, bagian dari Microsoft Entra. Dalam Pengelolaan Pemberian Hak, paket akses dapat memiliki beberapa kebijakan, dan setiap kebijakan menetapkan bagaimana pengguna mendapatkan penugasan ke paket akses, dan untuk berapa lama. Sebagai administrator, Anda dapat membuat kebijakan untuk penugasan otomatis dengan menyediakan aturan keanggotaan, yang diikuti Pengelolaan Pemberian Hak untuk membuat dan menghapus tugas secara otomatis. Mirip dengan grup dinamis, saat kebijakan penugasan otomatis dibuat, atribut pengguna dievaluasi untuk kecocokan dengan aturan keanggotaan kebijakan. Saat atribut berubah untuk pengguna, aturan kebijakan penugasan otomatis dalam paket akses ini diproses untuk perubahan keanggotaan. Penugasan kepada pengguna kemudian ditambahkan atau dihapus bergantung pada apakah mereka memenuhi kriteria aturan.

Anda dapat memiliki paling banyak satu kebijakan penugasan otomatis dalam paket akses, dan kebijakan hanya dapat dibuat oleh administrator. (Pemilik katalog dan manajer paket akses tidak dapat membuat kebijakan penugasan otomatis.)

Artikel ini menjelaskan cara membuat kebijakan penugasan otomatis paket akses untuk paket akses yang sudah ada.

Sebelum Anda mulai

Anda harus memiliki atribut yang diisi pada pengguna yang akan berada dalam cakupan untuk diberi akses. Atribut yang dapat digunakan dalam kriteria aturan kebijakan penetapan paket akses adalah atribut yang tercantum dalam properti yang didukung, bersama dengan atribut ekstensi dan properti ekstensi kustom. Atribut ini dapat dibawa ke MICROSOFT Entra ID dengan menambal pengguna, sistem SDM seperti SuccessFactors, Microsoft Entra Koneksi sinkronisasi cloud atau Microsoft Entra Koneksi Sync. Aturan dapat mencakup hingga 5.000 pengguna per kebijakan.

Persyaratan lisensi

Menggunakan fitur ini memerlukan lisensi Tata Kelola ID Microsoft Entra. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Tata Kelola ID Microsoft Entra dasar-dasar lisensi.

Membuat kebijakan penugasan otomatis

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Untuk membuat kebijakan untuk paket akses, Anda harus memulai dari tab kebijakan paket akses. Ikuti langkah-langkah ini untuk membuat kebijakan penugasan otomatis baru untuk paket akses.

Peran prasyarat: Administrator global atau administrator Tata Kelola Identitas

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

  3. Pada halaman Paket akses, buka paket akses.

  4. Pilih Kebijakan lalu Tambahkan kebijakan penetapan otomatis untuk membuat kebijakan baru.

  5. Di tab pertama, Anda menentukan aturan. Pilih Edit.

  6. Berikan aturan keanggotaan dinamis, menggunakan penyusun aturan keanggotaan atau dengan mengklik Edit pada kotak teks sintaks aturan.

    Catatan

    Penyusun aturan mungkin tidak dapat menampilkan beberapa aturan yang dibuat dalam kotak teks. Memvalidasi aturan saat ini mengharuskan Anda berada dalam peran Administrator Global. Untuk informasi selengkapnya, lihat penyusun aturan di pusat admin Microsoft Entra.

    Screenshot of an access package automatic assignment policy rule configuration.

  7. Pilih Simpan untuk menutup editor aturan keanggotaan dinamis.

  8. Secara default, kotak centang untuk membuat dan menghapus tugas secara otomatis harus tetap dicentang.

  9. Jika Anda ingin pengguna mempertahankan akses untuk waktu terbatas setelah mereka keluar dari cakupan, Anda dapat menentukan durasi dalam jam atau hari. Misalnya, ketika seorang karyawan meninggalkan departemen penjualan, Anda dapat mengizinkan mereka untuk terus mempertahankan akses selama tujuh hari untuk memungkinkan mereka menggunakan aplikasi penjualan dan mentransfer kepemilikan sumber daya mereka di aplikasi tersebut kepada karyawan lain.

  10. Pilih Berikutnya untuk membuka tab Ekstensi Kustom.

  11. Jika Anda memiliki ekstensi kustom di katalog yang ingin Anda jalankan saat kebijakan menetapkan atau menghapus akses, Anda dapat menambahkannya ke kebijakan ini. Lalu pilih di samping untuk membuka tab Tinjau .

  12. Ketik sebuah nama dan deskripsi untuk kebijakan tersebut.

    Screenshot of an access package automatic assignment policy review tab.

  13. Pilih Buat untuk menyimpan kebijakan.

    Catatan

    Saat ini, Pengelolaan pemberian izin akan secara otomatis membuat grup keamanan dinamis yang sesuai dengan setiap kebijakan, untuk mengevaluasi pengguna dalam cakupan. Grup ini tidak boleh dimodifikasi kecuali dengan Pengelolaan Pemberian Hak itu sendiri. Grup ini juga dapat dimodifikasi atau dihapus secara otomatis oleh Pengelolaan Pemberian Izin, jadi jangan gunakan grup ini untuk aplikasi atau skenario lain.

  14. MICROSOFT Entra ID mengevaluasi pengguna di organisasi yang berada dalam cakupan aturan ini, dan membuat penugasan untuk pengguna yang belum memiliki penugasan ke paket akses. Kebijakan dapat mencakup paling banyak 5.000 pengguna dalam aturannya. Diperlukan waktu beberapa menit agar evaluasi terjadi, atau untuk pembaruan berikutnya pada atribut pengguna agar tercermin dalam penetapan paket akses.

Membuat kebijakan penugasan otomatis secara terprogram

Ada dua cara untuk membuat kebijakan penetapan paket akses untuk penugasan otomatis secara terprogram, melalui Microsoft Graph dan melalui cmdlet PowerShell untuk Microsoft Graph.

Membuat kebijakan penetapan paket akses melalui Grafik

Anda dapat membuat kebijakan menggunakan Microsoft Graph. Pengguna dalam peran yang sesuai dengan aplikasi yang memiliki izin yang didelegasikan EntitlementManagement.ReadWrite.All , atau aplikasi dalam peran katalog atau dengan EntitlementManagement.ReadWrite.All izin, dapat memanggil api buat assignmentPolicy . Dalam payload permintaan Anda, sertakan properti displayName, description, specificAllowedTargets, automaticRequestSettings, dan accessPackage kebijakan.

Membuat kebijakan penetapan paket akses melalui PowerShell

Anda juga dapat membuat kebijakan di PowerShell dengan cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas versi 1.16.0 atau yang lebih baru.

Skrip ini di bawah ini menggambarkan v1.0 menggunakan profil, untuk membuat kebijakan untuk penugasan otomatis ke paket akses. Lihat membuat assignmentPolicy untuk contoh selengkapnya.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$pparams = @{
	DisplayName = "Sales department users"
	Description = "All users from sales department"
	AllowedTargetScope = "specificDirectoryUsers"
	SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
	} )
	AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
	}
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Langkah berikutnya