Mengubah pengaturan permintaan untuk paket akses dalam pengelolaan pemberian hak
Sebagai manajer paket akses, Anda dapat mengubah pengguna yang dapat meminta paket akses kapan saja dengan mengedit kebijakan untuk permintaan penugasan paket akses, atau menambahkan kebijakan baru untuk paket akses. Artikel ini menjelaskan cara mengubah pengaturan permintaan untuk kebijakan penugasan paket akses yang sudah ada.
Memilih antara satu atau beberapa kebijakan
Anda bisa menentukan orang yang dapat meminta paket akses menggunakan kebijakan. Sebelum membuat kebijakan baru atau mengedit kebijakan yang ada dalam paket akses, Anda perlu menentukan jumlah kebijakan yang dibutuhkan paket akses.
Saat membuat paket akses, Anda dapat menentukan pengaturan permintaan, persetujuan, dan siklus hidup, yang disimpan pada kebijakan pertama paket akses. Sebagian besar paket akses memiliki satu kebijakan bagi pengguna untuk meminta akses, tetapi satu paket akses dapat memiliki beberapa kebijakan. Anda akan membuat beberapa kebijakan untuk paket akses jika ingin mengizinkan kumpulan pengguna yang berbeda memperoleh penugasan dengan pengaturan permintaan dan persetujuan yang berbeda.
Misalnya, satu kebijakan tidak dapat digunakan untuk menetapkan pengguna internal dan eksternal ke paket akses yang sama. Namun, Anda dapat membuat dua kebijakan dalam paket akses yang sama, satu untuk pengguna internal dan satu untuk pengguna eksternal. Jika ada beberapa kebijakan yang berlaku untuk permintaan pengguna, mereka akan diminta pada saat permintaan mereka untuk memilih kebijakan yang ingin ditetapkan. Diagram berikut menunjukkan paket akses dengan dua kebijakan.
Selain kebijakan agar pengguna dapat meminta akses, Anda juga dapat memiliki kebijakan terkait penugasan otomatis, dan kebijakan untuk penugasan langsung oleh administrator atau pemilik katalog.
Berapa kebijakan yang saya butuhkan?
| Skenario | Jumlah kebijakan |
|---|---|
| Saya ingin semua pengguna di direktori saya memiliki pengaturan permintaan dan persetujuan yang sama untuk paket akses | Satu |
| Saya ingin semua pengguna di organisasi tertentu yang terhubung dapat meminta paket akses | Satu |
| Saya ingin mengizinkan pengguna di direktori saya dan pengguna di luar direktori saya untuk meminta paket akses | Dua |
| Saya ingin menentukan pengaturan persetujuan berbeda untuk beberapa pengguna | Satu untuk setiap grup pengguna |
| Saya ingin beberapa pengguna mengakses penetapan paket yang akan kedaluwarsa sementara pengguna lain dapat memperluas akses mereka | Satu untuk setiap grup pengguna |
| Saya ingin agar sebagian pengguna meminta akses dan pengguna lainnya memiliki akses yang ditetapkan oleh administrator | Dua |
| Saya ingin agar beberapa pengguna di organisasi saya menerima akses secara otomatis, sebagian pengguna lain dapat meminta akses, serta pengguna yang lainnya lagi diberi akses yang ditetapkan oleh administrator | Tiga |
Untuk informasi tentang logika prioritas yang digunakan saat beberapa kebijakan berlaku, lihat Beberapa kebijakan.
Membuka paket akses yang sudah ada dan menambahkan kebijakan baru dengan pengaturan permintaan yang berbeda
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Jika memiliki sekumpulan pengguna yang harus memiliki pengaturan permintaan dan persetujuan berbeda, Anda mungkin perlu membuat kebijakan baru. Ikuti langkah-langkah ini untuk mulai menambahkan kebijakan baru ke paket akses yang sudah ada:
Peran prasyarat: Administrator Global, Administrator Tata Kelola Identitas, Pemilik katalog, atau manajer paket Akses
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.
Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.
Pada halaman Paket akses buka paket akses yang ingin Anda edit.
Pilih Kebijakan lalu Tambahkan kebijakan.
Pada tab Dasar , ketik nama dan deskripsi untuk kebijakan tersebut.
Pilih Berikutnya untuk membuka tab Permintaan .
Ubah Pengaturan Pengguna yang dapat meminta akses. Gunakan langkah-langkah di bagian berikut untuk mengubah pengaturan menjadi salah satu opsi berikut:
Untuk pengguna di direktori Anda
Ikuti langkah-langkah ini jika Anda ingin mengizinkan pengguna di direktori Anda untuk dapat meminta paket akses ini. Saat menentukan kebijakan permintaan, Anda dapat menentukan pengguna individual, atau grup pengguna yang lebih umum. Misalnya, organisasi Anda mungkin sudah memiliki grup seperti Semua karyawan. Jika grup tersebut ditambahkan dalam kebijakan untuk pengguna yang dapat meminta akses, setiap anggota grup tersebut kemudian dapat meminta akses.
Di bagian Pengguna yang dapat meminta akses, klik Untuk pengguna di direktori Anda.
Ketika Anda memilih opsi ini, opsi baru ditampilkan untuk menyaring lebih lanjut orang di direktori Anda yang dapat meminta paket akses ini.
pilih salah satu dari opsi berikut ini:
Deskripsi Pengguna dan grup tertentu Pilih opsi ini jika Anda hanya menginginkan pengguna dan grup di direktori yang Anda tentukan yang dapat meminta paket akses ini. Semua anggota (tidak termasuk tamu) Pilih opsi ini jika Anda ingin semua pengguna anggota di direktori Anda dapat meminta paket akses ini. Opsi ini tidak menyertakan pengguna tamu yang mungkin telah diundang ke direktori Anda. Semua pengguna (termasuk tamu) Pilih opsi ini jika Anda ingin semua pengguna anggota dan pengguna tamu di direktori Anda untuk dapat meminta paket akses ini. Pengguna tamu merujuk ke pengguna eksternal yang telah diundang ke direktori Anda dengan Microsoft Entra B2B. Untuk informasi selengkapnya tentang perbedaan antara pengguna anggota dan pengguna tamu, lihat Apa saja izin pengguna default di MICROSOFT Entra ID?.
Jika Anda memilih Pengguna dan grup tertentu, klik Tambahkan pengguna dan grup.
Di panel Pilih pengguna dan grup, pilih pengguna dan grup yang ingin Anda tambahkan.
Klik Pilih untuk menambahkan pengguna dan grup.
Jika Anda ingin memerlukan persetujuan, gunakan langkah-langkah dalam Mengubah pengaturan persetujuan untuk paket akses dalam pengelolaan pemberian hak untuk mengonfigurasi pengaturan persetujuan.
Buka bagian Aktifkan permintaan.
Untuk pengguna yang tidak ada di direktori Anda
Pengguna yang tidak ada di direktori Anda mengacu pada pengguna yang berada di direktori atau domain Microsoft Entra lain. Pengguna ini mungkin belum diundang ke direktori Anda. Direktori Microsoft Entra harus dikonfigurasi untuk mengizinkan undangan dalam Pembatasan kolaborasi. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan kolaborasi eksternal.
Catatan
Akun pengguna tamu akan dibuat untuk pengguna yang belum ada di direktori Anda yang permintaannya disetujui atau disetujui secara otomatis. Tamu akan diundang, tetapi tidak akan menerima email undangan. Sebagai gantinya, mereka akan menerima email ketika penetapan paket akses mereka dikirimkan. Secara default, ketika pengguna tamu tersebut tidak lagi memiliki penetapan paket akses di masa mendatang karena penugasan terakhir mereka telah kedaluwarsa atau dibatalkan, akun pengguna tamu tersebut akan diblokir dari masuk kemudian dihapus. Jika ingin pengguna tamu tetap ada di direktori Anda tanpa batas waktu, meskipun mereka tidak memiliki penetapan paket akses, Anda dapat mengubah pengaturan konfigurasi pengelolaan pemberian hak Anda. Untuk informasi selengkapnya tentang objek pengguna tamu, lihat Properti pengguna kolaborasi Microsoft Entra B2B.
Ikuti langkah-langkah ini jika ingin mengizinkan pengguna yang tidak ada di direktori Anda untuk meminta paket akses ini:
Di bagian Pengguna yang dapat meminta akses, klik Untuk pengguna yang tidak ada di direktori Anda.
Saat Anda memilih opsi ini, opsi baru muncul.
Pilih apakah pengguna yang dapat meminta akses diperlukan untuk berafiliasi dengan organisasi yang terhubung yang ada, atau dapat menjadi siapa saja di Internet. Organisasi yang terhubung adalah organisasi yang memiliki hubungan yang sudah ada sebelumnya, yang mungkin memiliki direktori Microsoft Entra eksternal atau penyedia identitas lain. pilih salah satu dari opsi berikut ini:
Deskripsi Organisasi tertentu yang terhubung Pilih opsi ini jika Anda ingin memilih dari daftar organisasi yang sebelumnya ditambahkan administrator Anda. Semua pengguna dari organisasi yang dipilih dapat meminta paket akses ini. Semua organisasi terhubung yang dikonfigurasi Pilih opsi ini jika semua pengguna dari semua organisasi terhubung Anda yang dikonfigurasi dapat meminta paket akses ini. Hanya pengguna dari organisasi yang terhubung yang dikonfigurasi yang dapat meminta paket akses, jadi jika pengguna bukan dari penyewa, domain, atau penyedia identitas Microsoft Entra yang terkait dengan organisasi yang terhubung yang ada, mereka tidak akan dapat meminta. Semua pengguna (Semua organisasi terhubung + pengguna eksternal baru) Pilih opsi ini jika ada pengguna di internet yang dapat meminta paket akses ini. Jika mereka bukan milik organisasi yang terhubung di direktori Anda, organisasi yang terhubung akan secara otomatis dibuat untuk mereka saat mereka meminta paket. Organisasi terhubung yang secara otomatis dibuat akan memiliki status diusulkan. Untuk informasi selengkapnya tentang status yang diusulkan, lihat Properti status organisasi yang terhubung. Jika Anda memilih Organisasi terhubung tertentu, klik Tambahkan direktori untuk memilih dari daftar organisasi terhubung yang sebelumnya ditambahkan administrator Anda.
Ketik nama atau nama domain untuk mencari organisasi terhubung sebelumnya.
Jika organisasi yang ingin diajak berkolaborasi tidak ada dalam daftar, Anda dapat meminta administrator untuk menambahkannya sebagai organisasi terhubung. Untuk informasi selengkapnya, lihat Menambahkan organisasi terhubung.
Setelah Anda memilih semua organisasi terhubung, klik Pilih.
Catatan
Semua pengguna dari organisasi terhubung yang dipilih dapat meminta paket akses ini. Untuk organisasi terhubung yang memiliki direktori Microsoft Entra, pengguna dari semua domain terverifikasi yang terkait dengan direktori Microsoft Entra dapat meminta, kecuali domain tersebut diblokir oleh daftar izinkan atau tolak Azure B2B. Untuk mengetahui informasi selengkapnya, lihat Mengizinkan atau memblokir undangan ke pengguna B2B dari organisasi tertentu.
Selanjutnya, gunakan langkah-langkah dalam Mengubah pengaturan persetujuan untuk paket akses dalam pengelolaan pemberian hak untuk mengonfigurasi pengaturan persetujuan untuk menentukan siapa yang harus menyetujui permintaan dari pengguna yang tidak ada di organisasi Anda.
Buka bagian Aktifkan permintaan.
Tidak ada (hanya untuk penetapan langsung administrator)
Ikuti langkah-langkah ini jika Anda ingin melewati permintaan akses dan mengizinkan administrator untuk secara langsung menetapkan pengguna tertentu ke paket akses ini. Pengguna tidak perlu meminta paket akses. Anda tetap dapat mengatur pengaturan siklus hidup, tetapi tidak ada pengaturan permintaan.
Di bagian Pengguna yang dapat meminta akses, klik Tidak ada (hanya penugasan langsung admin).
Setelah membuat paket akses, Anda dapat langsung menetapkan pengguna internal dan eksternal tertentu ke paket akses. Jika Anda menentukan pengguna eksternal, akun pengguna tamu akan dibuat di direktori Anda. Untuk informasi tentang menetapkan pengguna secara langsung, lihat Menampilkan, menambahkan, dan menghapus penetapan untuk paket akses.
Lewati ke bagian Aktifkan permintaan.
Catatan
Saat menetapkan pengguna ke paket akses, administrator perlu memverifikasi bahwa pengguna memenuhi syarat untuk paket akses tersebut berdasarkan persyaratan kebijakan yang ada. Jika tidak, pengguna tidak akan berhasil ditugaskan ke paket akses. Jika paket akses berisi kebijakan yang mengharuskan permintaan pengguna disetujui, pengguna tidak dapat langsung ditetapkan ke paket tanpa persetujuan yang diperlukan dari pemberi persetujuan yang ditunjuk.
Membuka dan mengedit pengaturan permintaan kebijakan yang sudah ada
Untuk mengubah pengaturan permintaan dan persetujuan untuk paket akses, Anda perlu membuka kebijakan yang sesuai dengan pengaturan tersebut. Ikuti langkah-langkah ini untuk membuka dan mengedit pengaturan permintaan untuk kebijakan penugasan paket akses:
Peran prasyarat: Administrator Global, Administrator Tata Kelola Identitas, Pemilik katalog, atau manajer paket Akses
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.
Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.
Pada halaman Paket akses buka paket akses yang pengaturan permintaan kebijakannya ingin Anda edit.
Pilih Kebijakan lalu klik kebijakan yang ingin Anda edit.
Panel Detail kebijakan terbuka di bagian bawah halaman.
Pilih Edit untuk mengedit kebijakan.
Pilih tab Permintaan untuk membuka pengaturan permintaan.
Gunakan langkah-langkah di bagian sebelumnya untuk mengubah pengaturan permintaan sesuai kebutuhan.
Buka bagian Aktifkan permintaan.
Aktifkan permintaan
Jika Anda ingin paket akses segera tersedia bagi pengguna dalam kebijakan permintaan untuk meminta, pindahkan tombol Aktifkan ke Ya.
Anda selalu dapat mengaktifkannya di masa mendatang setelah selesai membuat paket akses.
Jika Anda memilih Tidak Ada (hanya tugas langsung administrator) dan mengatur aktifkan ke Tidak, administrator tidak dapat secara langsung menetapkan paket akses ini.
Pilih Selanjutnya.
Jika Anda ingin mengharuskan pemohon memberikan informasi tambahan saat meminta akses ke paket akses, gunakan langkah-langkah dalam Mengubah pengaturan informasi persetujuan dan pemohon untuk paket akses dalam pengelolaan pemberian hak untuk mengonfigurasi informasi pemohon.
Mengonfigurasi pengaturan siklus hidup.
Jika Anda mengedit kebijakan, pilih Perbarui. Jika Anda menambahkan kebijakan baru, pilih Buat.
Membuat kebijakan penetapan paket akses secara terprogram
Ada dua cara untuk membuat kebijakan penetapan paket akses secara terprogram, melalui Microsoft Graph dan melalui cmdlet PowerShell untuk Microsoft Graph.
Membuat kebijakan penetapan paket akses melalui Grafik
Anda dapat membuat kebijakan menggunakan Microsoft Graph. Pengguna dalam peran yang sesuai dengan aplikasi yang memiliki izin yang didelegasikan EntitlementManagement.ReadWrite.All , atau aplikasi dalam peran katalog atau dengan EntitlementManagement.ReadWrite.All izin, dapat memanggil api buat assignmentPolicy .
Membuat kebijakan penetapan paket akses melalui PowerShell
Anda juga dapat membuat paket akses di PowerShell dengan cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas versi 2.1.x atau versi modul yang lebih baru.
Skrip ini di bawah ini menggambarkan pembuatan kebijakan untuk penugasan langsung ke paket akses. Dalam kebijakan ini, hanya administrator yang dapat menetapkan akses, dan tidak ada persetujuan atau tinjauan akses. Lihat Membuat kebijakan penugasan otomatis untuk contoh cara membuat kebijakan penugasan otomatis, dan membuat assignmentPolicy untuk contoh selengkapnya.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"
$params = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params
Cegah permintaan dari pengguna dengan akses yang tidak kompatibel
Selain pemeriksaan kebijakan tentang siapa yang dapat meminta, Anda mungkin ingin lebih membatasi akses, untuk menghindari pengguna yang sudah memiliki beberapa akses - melalui grup atau paket akses lain - dari mendapatkan akses yang berlebihan.
jika Anda ingin mengonfigurasi bahwa pengguna tidak dapat meminta paket akses, jika mereka sudah memiliki tugas ke paket akses lain, atau merupakan anggota grup, gunakan langkah-langkah di Mengonfigurasi pemisahan tugas memeriksa paket akses.