Akses Bersyar: Pengguna, grup, dan identitas beban kerja

Kebijakan Akses Bersyarat harus menyertakan penetapan identitas pengguna, grup, atau beban kerja sebagai salah satu sinyal dalam proses keputusan. Identitas ini dapat disertakan atau dikecualikan dari kebijakan Akses Bersyar. ID Microsoft Entra mengevaluasi semua kebijakan dan memastikan bahwa semua persyaratan terpenuhi sebelum memberikan akses.

Menyertakan pengguna

Daftar pengguna ini biasanya menyertakan semua pengguna yang ditargetkan organisasi dalam kebijakan Akses Bersyarat.

Opsi berikut ini tersedia untuk disertakan saat membuat kebijakan Akses Bersyarat.

• Tidak
  • Tidak ada pengguna yang dipilih
• Semua pengguna
  • Semua pengguna yang ada di direktori termasuk tamu B2B.
• Pilih pengguna dan grup
  • Pengguna tamu atau eksternal
    • Pilihan ini menyediakan beberapa pilihan yang dapat digunakan untuk menargetkan kebijakan Akses Bersyar ke jenis pengguna tamu atau eksternal tertentu dan penyewa tertentu yang berisi jenis pengguna tersebut. Ada beberapa jenis pengguna tamu atau eksternal berbeda yang dapat dipilih, dan beberapa pilihan dapat dilakukan:
      • Pengguna tamu kolaborasi B2B
      • Pengguna anggota kolaborasi B2B
      • Pengguna koneksi langsung B2B
      • Pengguna tamu lokal, misalnya setiap pengguna milik penyewa rumah dengan atribut jenis pengguna diatur ke tamu
      • Pengguna penyedia layanan, misalnya Penyedia Solusi Cloud (CSP)
      • Pengguna eksternal lainnya, atau pengguna yang tidak diwakili oleh pilihan jenis pengguna lainnya
    • Satu atau beberapa penyewa dapat ditentukan untuk jenis pengguna yang dipilih, atau Anda dapat menentukan semua penyewa.
  • Peran direktori
    • Memungkinkan administrator untuk memilih peran direktori bawaan tertentu yang digunakan untuk menentukan penetapan kebijakan. Misalnya, organisasi mungkin membuat kebijakan yang lebih ketat pada pengguna yang secara aktif menetapkan peran istimewa. Jenis peran lainnya tidak didukung, termasuk peran cakupan unit administratif dan peran kustom.
      • Akses Bersyarkat memungkinkan administrator untuk memilih beberapa peran yang tercantum sebagai tidak digunakan lagi. Peran ini masih muncul di API yang mendasar dan kami mengizinkan administrator untuk menerapkan kebijakan kepada mereka.
  • Pengguna dan grup
    • Memungkinkan penargetan sekumpulan pengguna tertentu. Misalnya, organisasi dapat memilih grup yang berisi semua anggota departemen HR saat aplikasi HR dipilih sebagai aplikasi cloud. Grup dapat berupa semua jenis grup pengguna di ID Microsoft Entra, termasuk grup keamanan dan distribusi dinamis atau ditetapkan. Kebijakan diterapkan ke pengguna dan grup berlapis.

Penting

Saat memilih pengguna dan grup mana yang disertakan dalam Kebijakan Akses Bersyarat, ada batasan jumlah pengguna individual yang dapat ditambahkan langsung ke kebijakan Akses Bersyarat. Jika ada sejumlah besar pengguna individual yang perlu ditambahkan langsung ke kebijakan Akses Bersyarat, kami menyarankan untuk menempatkan pengguna dalam grup, dan menetapkan grup ke kebijakan Akses Bersyarat sebagai gantinya.

Jika pengguna atau grup merupakan anggota di lebih dari 2048 grup, akses mereka dapat diblokir. Batas ini berlaku untuk keanggotaan grup langsung dan bertumpuk.

Peringatan

Kebijakan Akses Bersyarat tidak mendukung pengguna yang diberi peran direktori yang tercakup dalam unit administratif atau peran direktori yang tercakup langsung dalam objek, seperti melalui peran kustom.

Catatan

Saat menargetkan kebijakan ke pengguna eksternal B2B direct connect, kebijakan ini juga akan diterapkan ke pengguna kolaborasi B2B yang mengakses Teams atau SharePoint Online yang juga memenuhi syarat untuk koneksi langsung B2B. Hal yang sama berlaku untuk kebijakan yang ditargetkan untuk pengguna eksternal kolaborasi B2B, yang berarti pengguna yang mengakses saluran bersama Teams akan menerapkan kebijakan kolaborasi B2B jika mereka juga memiliki kehadiran pengguna tamu di penyewa.

Mengecualikan pengguna

Saat organisasi menyertakan dan mengecualikan pengguna atau grup, pengguna atau grup dikecualikan dari kebijakan. Tindakan kecualikan mengambil alih tindakan sertakan dalam kebijakan. Pengecualian umumnya digunakan untuk akses darurat atau akun break-glass. Informasi lebih lanjut tentang akun akses darurat dan alasan informasi tersebut penting dapat ditemukan di artikel berikut:

• Mengelola akun akses darurat di Microsoft Entra ID
• Membuat strategi manajemen kontrol akses yang tangguh dengan MICROSOFT Entra ID

Opsi berikut ini tersedia untuk dikecualikan saat membuat kebijakan Akses Bersyarat.

• Pengguna tamu atau eksternal
  • Pilihan ini menyediakan beberapa pilihan yang dapat digunakan untuk menargetkan kebijakan Akses Bersyar ke jenis pengguna tamu atau eksternal tertentu dan penyewa tertentu yang berisi jenis pengguna tersebut. Ada beberapa jenis pengguna tamu atau eksternal berbeda yang dapat dipilih, dan beberapa pilihan dapat dilakukan:
    • Pengguna tamu kolaborasi B2B
    • Pengguna anggota kolaborasi B2B
    • Pengguna koneksi langsung B2B
    • Pengguna tamu lokal, misalnya setiap pengguna milik penyewa rumah dengan atribut jenis pengguna diatur ke tamu
    • Pengguna penyedia layanan, misalnya Penyedia Solusi Cloud (CSP)
    • Pengguna eksternal lainnya, atau pengguna yang tidak diwakili oleh pilihan jenis pengguna lainnya
  • Satu atau beberapa penyewa dapat ditentukan untuk jenis pengguna yang dipilih, atau Anda dapat menentukan semua penyewa.
• Peran direktori
  • Memungkinkan administrator untuk memilih peran direktori Microsoft Entra tertentu yang digunakan untuk menentukan penugasan. Misalnya, organisasi mungkin membuat kebijakan yang lebih ketat pada pengguna yang diberi peran Administrator Global.
• Pengguna dan grup
  • Memungkinkan penargetan sekumpulan pengguna tertentu. Misalnya, organisasi dapat memilih grup yang berisi semua anggota departemen HR saat aplikasi HR dipilih sebagai aplikasi cloud. Grup dapat berupa semua jenis grup di ID Microsoft Entra, termasuk grup keamanan dan distribusi dinamis atau ditetapkan. Kebijakan diterapkan ke pengguna dan grup berlapis.

Mencegah penguncian administrator

Untuk mencegah penguncian administrator, saat membuat kebijakan yang diterapkan ke Semua pengguna dan Semua aplikasi, peringatan berikut muncul.

Jangan mengunci diri! Sebaiknya terapkan kebijakan ke sekumpulan kecil pengguna terlebih dahulu untuk memverifikasi perilaku seperti yang diharapkan. Kami juga merekomendasikan untuk mengecualikan setidaknya satu administrator dari kebijakan ini. Ini memastikan bahwa Anda masih memiliki akses dan dapat memperbarui kebijakan jika diperlukan perubahan. Harap tinjau pengguna dan aplikasi yang terpengaruh.

Secara default, kebijakan menyediakan opsi untuk mengecualikan pengguna saat ini dari kebijakan, tetapi administrator dapat mengambil alih seperti yang ditunjukkan pada gambar berikut.

Jika Anda menemukan diri Anda terkunci, lihat Apa yang harus dilakukan jika Anda terkunci?

Akses mitra eksternal

Kebijakan Akses Bersyar yang menargetkan pengguna eksternal mungkin mengganggu akses penyedia layanan, misalnya hak istimewa admin yang didelegasikan secara terperinci Pengantar hak istimewa admin yang didelegasikan secara terperinci (GDAP). Untuk kebijakan yang dimaksudkan untuk menargetkan penyewa penyedia layanan, gunakan jenis pengguna eksternal pengguna penyedia layanan yang tersedia di opsi pilihan Pengguna tamu atau eksternal.

Identitas beban kerja

Identitas beban kerja adalah identitas yang memungkinkan aplikasi atau perwakilan layanan mengakses sumber daya, terkadang dalam konteks pengguna. Kebijakan Akses Bersyar dapat diterapkan ke perwakilan layanan penyewa tunggal yang terdaftar di penyewa Anda. SaaS pihak ketiga dan aplikasi multi-penyewa berada di luar cakupan. Identitas terkelola tidak dicakup oleh kebijakan.

Organisasi dapat menargetkan identitas beban kerja tertentu untuk disertakan atau dikecualikan dari kebijakan.

Untuk informasi selengkapnya, lihat artikel Akses Bersyarah untuk identitas beban kerja.

Langkah berikutnya

• Akses Bersyarat: Aplikasi atau tindakan cloud
• Kebijakan umum Akses Bersyarat