Menetapkan peran Azure ke pengguna eksternal menggunakan portal Azure

  • Artikel

Kontrol akses berbasis peran Azure (Azure RBAC) memungkinkan manajemen keamanan yang lebih baik untuk organisasi besar dan untuk bisnis kecil dan menengah yang bekerja dengan kolaborator, vendor, atau freelancer eksternal yang membutuhkan akses ke sumber daya tertentu di lingkungan Anda, tetapi tidak perlu ke seluruh infrastruktur atau lingkup apa pun yang berbayar. Anda dapat menggunakan kemampuan di Microsoft Entra B2B untuk berkolaborasi dengan pengguna eksternal dan Anda dapat menggunakan Azure RBAC untuk memberikan hanya izin yang dibutuhkan pengguna eksternal di lingkungan Anda.

Prasyarat

Untuk menetapkan peran Azure atau menghapus penetapan peran, Anda harus memiliki:

Kapan Anda akan mengundang pengguna eksternal?

Berikut adalah beberapa contoh skenario saat Anda dapat mengundang pengguna ke organisasi Anda dan memberikan izin:

  • Izinkan vendor wiraswasta eksternal yang hanya memiliki akun email untuk mengakses sumber daya Azure Anda untuk proyek.
  • Izinkan mitra eksternal untuk mengelola sumber daya tertentu atau seluruh langganan.
  • Izinkan teknisi dukungan yang tidak ada di organisasi Anda (seperti dukungan Microsoft) untuk mengakses sumber daya Azure Anda untuk sementara waktu guna memecahkan masalah.

Perbedaan izin antara pengguna anggota dan pengguna tamu

Pengguna direktori dengan jenis anggota (pengguna anggota) memiliki izin yang berbeda secara default daripada pengguna yang diundang dari direktori lain sebagai tamu kolaborasi B2B (pengguna tamu). Misalnya, pengguna anggota dapat membaca hampir semua informasi direktori sementara pengguna tamu memiliki izin direktori terbatas. Untuk informasi selengkapnya tentang pengguna anggota dan pengguna tamu, lihat Apa saja izin pengguna default di ID Microsoft Entra?.

Mengundang pengguna eksternal ke direktori Anda

Ikuti langkah-langkah ini untuk mengundang pengguna eksternal ke direktori Anda di ID Microsoft Entra.

  1. Masuk ke portal Azure.

  2. Pastikan pengaturan kolaborasi eksternal organisasi Anda dikonfigurasi sehingga Anda diizinkan untuk mengundang pengguna eksternal. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan kolaborasi eksternal.

  3. Pilih Pengguna ID>Microsoft Entra.

  4. Pilih Pengguna baru>Undang pengguna eksternal.

    Screenshot of Invite external user page in Azure portal.

  5. Ikuti langkah-langkah untuk mengundang pengguna eksternal. Untuk informasi selengkapnya, lihat Menambahkan pengguna kolaborasi Microsoft Entra B2B di portal Azure.

Setelah mengundang pengguna eksternal ke direktori, Anda dapat mengirim tautan langsung ke aplikasi bersama kepada pengguna eksternal, atau pengguna eksternal dapat memilih tautan terima undangan di email undangan.

Screenshot of external user invite email.

Agar pengguna eksternal dapat mengakses direktori Anda, mereka harus menyelesaikan proses undangan.

Screenshot of external user invite review permissions.

Untuk informasi selengkapnya tentang proses undangan, lihat Penukaran undangan kolaborasi Microsoft Entra B2B.

Menetapkan peran ke pengguna eksternal

Di Azure RBAC, untuk memberikan akses, Anda harus menetapkan peran. Untuk menetapkan peran ke pengguna eksternal, Anda mengikuti langkah yang sama seperti yang Anda lakukan untuk pengguna anggota, grup, perwakilan layanan, atau identitas terkelola. Ikuti langkah-langkah ini untuk menetapkan peran kepada pengguna eksternal di cakupan yang berbeda.

  1. Masuk ke portal Microsoft Azure.

  2. Di kotak Pencarian di bagian atas, cari cakupan yang ingin Anda beri akses. Misalnya, cari Grup manajemen, Langganan, Grup sumber daya, atau sumber daya tertentu.

  3. Pilih sumber daya tertentu untuk cakupan tersebut.

  4. Pilih Kontrol Akses (IAM) .

    Berikut ini menunjukkan contoh halaman Kontrol akses (IAM) untuk grup sumber daya.

    Screenshot of Access control (IAM) page for a resource group.

  5. Pilih tab Penetapan peran untuk melihat penetapan peran pada cakupan ini.

  6. Pilih Tambahkan>Tambahkan penetapan peran.

    Jika Anda tidak memiliki izin untuk menetapkan peran, opsi Tambahkan penetapan peran akan dinonaktifkan.

    Screenshot of Add > Add role assignment menu.

    Halaman Tambahkan penetapan peran terbuka.

  7. Pada tab Peran , pilih peran seperti Kontributor Komputer Virtual.

    Screenshot of Add role assignment page with Roles tab.

  8. Pada tab Anggota, pilih Pengguna, grup, atau layanan utama.

    Screenshot of Add role assignment page with Members tab.

  9. Pilih Pilih anggota.

  10. Temukan dan pilih pengguna eksternal. Jika Anda tidak melihat pengguna dalam daftar, Anda bisa mengetik dalam kotak Pilih untuk mencari direktori untuk nama tampilan dan alamat email.

    Anda dapat mengetik di kotak Pilih untuk mencari direktori untuk nama tampilan atau alamat email.

    Screenshot of Select members pane.

  11. Pilih Pilih untuk menambahkan pengguna eksternal ke daftar Anggota.

  12. Pada tab Tinjau + tetapkan , pilih Tinjau + tetapkan.

    Setelah beberapa saat, pengguna eksternal diberi peran pada cakupan yang dipilih.

    Screenshot of role assignment for Virtual Machine Contributor.

Menetapkan peran ke pengguna eksternal yang belum ada di direktori Anda

Untuk menetapkan peran ke pengguna eksternal, Anda mengikuti langkah yang sama seperti yang Anda lakukan untuk pengguna anggota, grup, perwakilan layanan, atau identitas terkelola.

Jika pengguna eksternal belum berada di direktori Anda, Anda dapat mengundang pengguna langsung dari panel Pilih anggota.

  1. Masuk ke portal Microsoft Azure.

  2. Di kotak Pencarian di bagian atas, cari cakupan yang ingin Anda beri akses. Misalnya, cari Grup manajemen, Langganan, Grup sumber daya, atau sumber daya tertentu.

  3. Pilih sumber daya tertentu untuk cakupan tersebut.

  4. Pilih Kontrol Akses (IAM) .

  5. Pilih Tambahkan>Tambahkan penetapan peran.

    Jika Anda tidak memiliki izin untuk menetapkan peran, opsi Tambahkan penetapan peran akan dinonaktifkan.

    Screenshot of Add > Add role assignment menu.

    Halaman Tambahkan penetapan peran terbuka.

  6. Pada tab Peran , pilih peran seperti Kontributor Komputer Virtual.

  7. Pada tab Anggota, pilih Pengguna, grup, atau layanan utama.

    Screenshot of Add role assignment page with Members tab.

  8. Pilih Pilih anggota.

  9. Di kotak Pilih, ketikkan alamat email orang yang ingin Anda undang dan pilih orang tersebut.

    Screenshot of invite external user in Select members pane.

  10. Pilih Pilih untuk menambahkan pengguna eksternal ke daftar Anggota.

  11. Pada tab Tinjau + tetapkan , pilih Tinjau + tetapkan untuk menambahkan pengguna eksternal ke direktori Anda, tetapkan peran, dan kirim undangan.

    Setelah beberapa saat, Anda akan melihat notifikasi tugas peran dan informasi tentang undangan tersebut.

    Screenshot of role assignment and invited user notification.

  12. Untuk mengundang pengguna eksternal secara manual, klik kanan dan salin tautan undangan di pemberitahuan. Jangan pilih tautan undangan karena memulai proses undangan.

    Tautan undangan akan memiliki format berikut:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. Kirim tautan undangan ke pengguna eksternal untuk menyelesaikan proses undangan.

    Untuk informasi selengkapnya tentang proses undangan, lihat Penukaran undangan kolaborasi Microsoft Entra B2B.

Menghapus pengguna eksternal dari direktori Anda

Sebelum menghapus pengguna eksternal dari direktori, Anda harus terlebih dahulu menghapus penetapan peran apa pun untuk pengguna eksternal tersebut. Ikuti langkah-langkah ini untuk menghapus pengguna eksternal dari direktori.

  1. Buka Kontrol akses (IAM) pada cakupan, seperti grup manajemen, langganan, grup sumber daya, atau sumber daya, di mana pengguna eksternal memiliki penetapan peran.

  2. Pilih tab Penetapan peran untuk melihat semua penetapan peran.

  3. Dalam daftar penetapan peran, tambahkan tanda centang di samping pengguna eksternal dengan penetapan peran yang ingin Anda hapus.

    Screenshot of selected role assignment to remove.

  4. Pilih Hapus.

    Screenshot of Remove role assignment message.

  5. Di pesan hapus penetapan peran yang muncul, pilih Ya.

  6. Pilih tab Administrator klasik.

  7. Jika pengguna eksternal memiliki penetapan Administrator Bersama, tambahkan tanda centang di samping pengguna eksternal dan pilih Hapus.

  8. Di bilah navigasi kiri, pilih Pengguna ID>Microsoft Entra.

  9. Pilih pengguna eksternal yang ingin Anda hapus.

  10. Pilih Hapus.

    Screenshot of deleting an external user.

  11. Pada pesan hapus yang muncul, pilih Ya.

Pemecahan masalah

Pengguna eksternal tidak dapat menelusuri direktori

Pengguna eksternal memiliki izin direktori terbatas. Misalnya, pengguna eksternal tidak dapat menelusuri direktori dan tidak dapat mencari grup atau aplikasi. Untuk informasi selengkapnya, lihat Apa saja izin pengguna default di MICROSOFT Entra ID?.

Screenshot of external user can't browse users in a directory.

Jika pengguna eksternal memerlukan hak istimewa tambahan di direktori, Anda dapat menetapkan peran Microsoft Entra ke pengguna eksternal. Jika Anda benar-benar ingin pengguna eksternal memiliki akses baca penuh ke direktori, Anda dapat menambahkan pengguna eksternal ke peran Pembaca Direktori di ID Microsoft Entra. Untuk informasi selengkapnya, lihat Menambahkan pengguna kolaborasi Microsoft Entra B2B di portal Azure.

Screenshot of assigning Directory Readers role.

Pengguna eksternal tidak dapat menelusuri pengguna, grup, atau perwakilan layanan untuk menetapkan peran

Pengguna eksternal memiliki izin direktori terbatas. Bahkan jika pengguna eksternal adalah Pemilik di cakupan, jika mereka mencoba menetapkan peran untuk memberi orang lain akses, mereka tidak dapat menelusuri daftar pengguna, grup, atau perwakilan layanan.

Screenshot of external user can't browse security principals to assign roles.

Jika pengguna eksternal mengetahui nama masuk seseorang yang tepat di direktori, mereka dapat memberikan akses. Jika Anda benar-benar ingin pengguna eksternal memiliki akses baca penuh ke direktori, Anda dapat menambahkan pengguna eksternal ke peran Pembaca Direktori di ID Microsoft Entra. Untuk informasi selengkapnya, lihat Menambahkan pengguna kolaborasi Microsoft Entra B2B di portal Azure.

Pengguna eksternal tidak dapat mendaftarkan aplikasi atau membuat perwakilan layanan

Pengguna eksternal memiliki izin direktori terbatas. Jika pengguna eksternal harus dapat mendaftarkan aplikasi atau membuat perwakilan layanan, Anda dapat menambahkan pengguna eksternal ke peran Pengembang Aplikasi di ID Microsoft Entra. Untuk informasi selengkapnya, lihat Menambahkan pengguna kolaborasi Microsoft Entra B2B di portal Azure.

Screenshot of external user can't register applications.

Pengguna eksternal tidak melihat direktori baru

Jika pengguna eksternal telah diberikan akses ke direktori, tetapi mereka tidak melihat direktori baru yang tercantum di portal Azure saat mereka mencoba beralih di halaman Direktori mereka, pastikan pengguna eksternal telah menyelesaikan proses undangan. Untuk informasi selengkapnya tentang proses undangan, lihat Penukaran undangan kolaborasi Microsoft Entra B2B.

Pengguna eksternal tidak melihat sumber daya

Jika pengguna eksternal telah diberikan akses ke direktori, tetapi mereka tidak melihat sumber daya yang telah mereka berikan aksesnya di portal Azure, pastikan pengguna eksternal telah memilih direktori yang benar. Pengguna eksternal mungkin memiliki akses ke beberapa direktori. Untuk beralih direktori, di kiri atas, pilih Pengaturan> Direktori, lalu pilih direktori yang sesuai.

Screenshot of Portal setting Directories section in Azure portal.

Langkah berikutnya