Menyiapkan manajemen grup layanan mandiri di ID Microsoft Entra
Anda dapat memungkinkan pengguna untuk membuat dan mengelola grup keamanan mereka sendiri atau grup Microsoft 365 di ID Microsoft Entra. Pemilik grup dapat menyetujui atau menolak permintaan keanggotaan dan mendelegasikan kontrol keanggotaan grup. Fitur manajemen grup layanan mandiri tidak tersedia untuk grup keamanan atau daftar distribusi dengan dukungan email.
Keanggotaan grup layanan mandiri
Anda dapat mengizinkan pengguna untuk membuat grup keamanan, yang digunakan untuk mengelola akses ke sumber daya bersama. Pengguna dapat membuat grup keamanan di portal Azure dengan menggunakan PowerShell Azure Active Directory (Azure AD) atau dari panel akses Grup Saya.
Catatan
Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.
Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.
Hanya pemilik grup yang dapat memperbarui keanggotaan, tetapi Anda dapat memberi pemilik grup kemampuan untuk menyetujui atau menolak permintaan keanggotaan dari panel akses Grup Saya. Grup keamanan yang dibuat oleh layanan mandiri melalui panel akses Grup Saya tersedia untuk bergabung bagi semua pengguna, baik yang disetujui pemilik atau disetujui secara otomatis. Di panel akses Grup Saya, Anda dapat mengubah opsi keanggotaan saat membuat grup.
Grup Microsoft 365 memberikan peluang kolaborasi bagi pengguna Anda. Anda dapat membuat grup di salah satu aplikasi Microsoft 365, seperti SharePoint, Microsoft Teams, dan Planner. Anda juga dapat membuat grup Microsoft 365 di portal Azure dengan menggunakan Microsoft Graph PowerShell atau dari panel akses Grup Saya. Untuk informasi selengkapnya tentang perbedaan antara grup keamanan dan grup Microsoft 365, lihat Pelajari tentang grup.
| Grup yang dibuat di | Perilaku default grup keamanan | Perilaku default grup Microsoft 365 |
|---|---|---|
| Microsoft Graph PowerShell | Hanya pemilik yang dapat menambahkan anggota. Terlihat tetapi tidak tersedia untuk bergabung dalam grup MyApp Panel Akses. |
Buka untuk bergabung untuk semua pengguna. |
| Portal Azure | Hanya pemilik yang dapat menambahkan anggota. Terlihat tetapi tidak tersedia untuk bergabung di panel akses Grup Saya. Pemilik tidak ditetapkan secara otomatis pada pembuatan grup. |
Buka untuk bergabung untuk semua pengguna. |
| Panel akses Grup Saya | Pengguna dapat mengelola grup dan meminta akses untuk bergabung dengan grup di sini. Opsi keanggotaan dapat diubah saat grup dibuat. |
Buka untuk bergabung untuk semua pengguna. Opsi keanggotaan dapat diubah saat grup dibuat. |
Skenario pengelolaan grup layanan mandiri
Dua skenario membantu menjelaskan manajemen grup layanan mandiri.
Manajemen grup yang didelegasikan
Dalam contoh skenario ini, administrator mengelola akses ke aplikasi software as a service (SaaS) yang digunakan perusahaan. Mengelola hak akses rumit, sehingga administrator meminta pemilik bisnis untuk membuat grup baru. Administrator menetapkan akses untuk aplikasi ke grup baru dan menambahkan ke grup yang sudah diakses oleh semua orang. Pemilik bisnis kemudian dapat menambahkan lebih banyak pengguna, dan pengguna tersebut secara otomatis diprovisikan untuk aplikasi.
Pemilik bisnis tidak perlu menunggu administrator mengelola akses bagi pengguna. Jika administrator memberikan izin yang sama kepada manajer di grup bisnis yang berbeda, orang tersebut juga dapat mengelola akses untuk anggota grup mereka sendiri. Pemilik bisnis dan manajer tidak dapat melihat atau mengelola keanggotaan grup satu sama lain. Administrator masih dapat melihat semua pengguna yang memiliki akses ke aplikasi dan memblokir hak akses, jika diperlukan.
Pengelolaan grup layanan mandiri
Dalam contoh skenario ini, dua pengguna memiliki situs SharePoint Online yang mereka siapkan secara independen. Mereka ingin memberikan akses ke situs tim satu sama lain. Untuk menyelesaikan tugas ini, mereka dapat membuat satu grup di ID Microsoft Entra. Di SharePoint Online, masing-masing memilih grup tersebut untuk menyediakan akses ke situs mereka.
Saat seseorang menginginkan akses, mereka memintanya dari panel akses Grup Saya. Setelah disetujui, mereka mendapatkan akses ke kedua situs SharePoint Online secara otomatis. Kemudian, salah satunya memutuskan bahwa semua orang yang mengakses situs juga harus mendapatkan akses ke aplikasi SaaS tertentu. Administrator aplikasi SaaS dapat menambahkan hak akses untuk aplikasi ke situs SharePoint Online. Sejak saat itu, setiap permintaan yang disetujui memberikan akses ke dua situs SharePoint Online dan juga ke aplikasi SaaS.
Membuat grup tersedia untuk layanan mandiri pengguna
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Grup.
Pilih Microsoft Entra ID.
Pilih Semua Grup grup>, lalu pilih Pengaturan umum.
Catatan
Pengaturan ini hanya membatasi akses informasi grup di Grup Saya. Ini tidak membatasi akses ke informasi grup melalui metode lain seperti panggilan Microsoft Graph API atau pusat admin Microsoft Entra.
Catatan
Perubahan mengenai pengaturan Manajemen Grup Layanan Mandiri, yang awalnya dijadwalkan untuk Juni 2024, saat ini sedang ditinjau dan tidak akan berlangsung seperti yang direncanakan awalnya. Tanggal penghentian akan diumumkan di masa mendatang.
Atur Pemilik dapat mengelola permintaan keanggotaan grup di Panel Akses ke Ya.
Atur Batasi kemampuan pengguna untuk mengakses fitur grup di Panel Akses ke Tidak.
Atur Pengguna dapat membuat kelompok keamanan di portal Azure, API, atau PowerShell ke Ya atau Tidak.
Untuk informasi selengkapnya tentang pengaturan ini, lihat Pengaturan grup.
Atur Pengguna dapat membuat grup Microsoft 365 di portal Azure, API, atau PowerShell ke Ya atau Tidak.
Untuk informasi selengkapnya tentang pengaturan ini, lihat Pengaturan grup.
Anda juga dapat menggunakan Pemilik yang dapat menetapkan anggota sebagai pemilik grup di portal Microsoft Azure untuk mencapai kontrol akses yang lebih terperinci atas pengelolaan grup layanan mandiri untuk pengguna Anda.
Saat pengguna dapat membuat grup, semua pengguna di organisasi Anda diizinkan untuk membuat grup baru. Sebagai pemilik default, mereka kemudian dapat menambahkan anggota ke grup ini. Anda tidak dapat menentukan individu yang dapat membuat grup mereka sendiri. Anda hanya dapat menentukan individu untuk menjadikan anggota grup lain sebagai pemilik grup.
Catatan
Lisensi Microsoft Entra ID P1 atau P2 diperlukan bagi pengguna untuk meminta bergabung dengan grup keamanan atau grup Microsoft 365 dan bagi pemilik untuk menyetujui atau menolak permintaan keanggotaan. Tanpa lisensi Microsoft Entra ID P1 atau P2, pengguna masih dapat mengelola grup mereka di grup MyApp Panel Akses. Tetapi mereka tidak dapat membuat grup yang memerlukan persetujuan pemilik, dan mereka tidak dapat meminta untuk bergabung dengan grup.
Pengaturan grup
Pengaturan grup memungkinkan Anda mengontrol siapa yang dapat membuat keamanan dan grup Microsoft 365.
Tabel berikut ini membantu Anda memutuskan nilai mana yang akan dipilih.
| Pengaturan | Nilai | Dampak pada penyewa Anda |
|---|---|---|
| Pengguna dapat membuat grup keamanan di portal Azure, API, atau PowerShell. | Ya | Semua pengguna di organisasi Microsoft Entra Anda diizinkan untuk membuat grup keamanan baru dan menambahkan anggota ke grup ini di portal Azure, API, atau PowerShell. Grup baru ini juga muncul di Panel Akses untuk semua pengguna lain. Jika pengaturan kebijakan di grup memungkinkannya, pengguna lain dapat membuat permintaan untuk bergabung ke grup ini. |
| No | Pengguna tidak dapat membuat grup keamanan. Mereka masih dapat mengelola keanggotaan grup tempat mereka menjadi pemilik dan menyetujui permintaan dari pengguna lain untuk bergabung dengan grup mereka. | |
| Pengguna dapat membuat grup Microsoft 365 di portal Azure, API, atau PowerShell. | Ya | Semua pengguna di organisasi Microsoft Entra Anda diizinkan untuk membuat grup Microsoft 365 baru dan menambahkan anggota ke grup ini di portal Azure, API, atau PowerShell. Grup baru ini juga muncul di Panel Akses untuk semua pengguna lain. Jika pengaturan kebijakan di grup memungkinkannya, pengguna lain dapat membuat permintaan untuk bergabung ke grup ini. |
| No | Pengguna tidak dapat membuat Grup M365. Mereka masih dapat mengelola keanggotaan grup tempat mereka menjadi pemilik dan menyetujui permintaan dari pengguna lain untuk bergabung dengan grup mereka. |
Berikut adalah beberapa detail selengkapnya tentang pengaturan grup ini:
- Pengaturan ini dapat memakan waktu hingga 15 menit untuk diterapkan.
- Jika Anda ingin mengaktifkan beberapa, tetapi tidak semua, pengguna Anda untuk membuat grup, Anda dapat memberi pengguna tersebut peran yang dapat membuat grup, seperti peran Administrator Grup.
- Pengaturan ini untuk pengguna dan tidak memengaruhi perwakilan layanan. Misalnya, jika Anda memiliki perwakilan layanan dengan izin untuk membuat grup, bahkan jika Anda mengatur pengaturan ini ke Tidak, perwakilan layanan masih dapat membuat grup.
Mengonfigurasi pengaturan grup dengan menggunakan Microsoft Graph
Untuk mengonfigurasi pengaturan Pengguna dapat membuat grup Microsoft 365 di portal Azure, API, atau PowerShell dengan menggunakan Microsoft Graph, konfigurasikan EnableGroupCreation objek di groupSettings objek. Untuk informasi selengkapnya, lihat Gambaran Umum pengaturan grup.
Untuk mengonfigurasi pengaturan Pengguna dapat membuat grup keamanan di portal Azure, API, atau PowerShell dengan menggunakan Microsoft Graph, perbarui allowedToCreateSecurityGroups properti defaultUserRolePermissions di objek authorizationPolicy.
Langkah berikutnya
Untuk informasi selengkapnya tentang ID Microsoft Entra, lihat:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk