Menyiapkan manajemen grup layanan mandiri di ID Microsoft Entra

Anda dapat memungkinkan pengguna untuk membuat dan mengelola grup keamanan mereka sendiri atau grup Microsoft 365 di ID Microsoft Entra. Pemilik grup dapat menyetujui atau menolak permintaan keanggotaan dan mendelegasikan kontrol keanggotaan grup. Fitur manajemen grup layanan mandiri tidak tersedia untuk grup keamanan atau daftar distribusi dengan dukungan email.

Keanggotaan grup layanan mandiri

Anda dapat mengizinkan pengguna untuk membuat grup keamanan, yang digunakan untuk mengelola akses ke sumber daya bersama. Pengguna dapat membuat grup keamanan di portal Azure dengan menggunakan Azure Active Directory (Azure AD) PowerShell atau dari grup MyApps Panel Akses.

Penting

Azure AD PowerShell direncanakan untuk dihentikan pada 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Microsoft Graph PowerShell memungkinkan akses ke semua MICROSOFT Graph API dan tersedia di PowerShell 7. Untuk jawaban atas kueri migrasi umum, lihat Tanya Jawab Umum Migrasi.

Hanya pemilik grup yang dapat memperbarui keanggotaan, tetapi Anda dapat memberi pemilik grup kemampuan untuk menyetujui atau menolak permintaan keanggotaan dari Grup MyApps Panel Akses. Grup keamanan yang dibuat oleh layanan mandiri melalui Grup MyApps Panel Akses tersedia untuk bergabung untuk semua pengguna, baik yang disetujui pemilik atau disetujui secara otomatis. Di Panel Akses Grup MyApps, Anda dapat mengubah opsi keanggotaan saat membuat grup.

Grup Microsoft 365 memberikan peluang kolaborasi bagi pengguna Anda. Anda dapat membuat grup di salah satu aplikasi Microsoft 365, seperti SharePoint, Microsoft Teams, dan Planner. Anda juga dapat membuat grup Microsoft 365 di portal Azure dengan menggunakan Microsoft Graph PowerShell atau dari grup MyApps Panel Akses. Untuk informasi selengkapnya tentang perbedaan antara grup keamanan dan grup Microsoft 365, lihat Pelajari tentang grup.

Grup yang dibuat di Perilaku default grup keamanan Perilaku default grup Microsoft 365
Microsoft Graph PowerShell Hanya pemilik yang dapat menambahkan anggota.
Terlihat tetapi tidak tersedia untuk bergabung dalam grup MyApp Panel Akses.
Buka untuk bergabung untuk semua pengguna.
Portal Azure Hanya pemilik yang dapat menambahkan anggota.
Terlihat tetapi tidak tersedia untuk bergabung dalam Grup MyApps Panel Akses.
Pemilik tidak ditetapkan secara otomatis pada pembuatan grup.
Buka untuk bergabung untuk semua pengguna.
Panel Akses Grup MyApps Buka untuk bergabung untuk semua pengguna.
Opsi keanggotaan dapat diubah saat grup dibuat.
Buka untuk bergabung untuk semua pengguna.
Opsi keanggotaan dapat diubah saat grup dibuat.

Skenario pengelolaan grup layanan mandiri

Dua skenario membantu menjelaskan manajemen grup layanan mandiri.

Manajemen grup yang didelegasikan

Dalam contoh skenario ini, administrator mengelola akses ke aplikasi software as a service (SaaS) yang digunakan perusahaan. Mengelola hak akses rumit, sehingga administrator meminta pemilik bisnis untuk membuat grup baru. Administrator menetapkan akses untuk aplikasi ke grup baru dan menambahkan ke grup yang sudah diakses oleh semua orang. Pemilik bisnis kemudian dapat menambahkan lebih banyak pengguna, dan pengguna tersebut secara otomatis diprovisikan untuk aplikasi.

Pemilik bisnis tidak perlu menunggu administrator mengelola akses bagi pengguna. Jika administrator memberikan izin yang sama kepada manajer di grup bisnis yang berbeda, orang tersebut juga dapat mengelola akses untuk anggota grup mereka sendiri. Pemilik bisnis dan manajer tidak dapat melihat atau mengelola keanggotaan grup satu sama lain. Administrator masih dapat melihat semua pengguna yang memiliki akses ke aplikasi dan memblokir hak akses, jika diperlukan.

Pengelolaan grup layanan mandiri

Dalam contoh skenario ini, dua pengguna memiliki situs SharePoint Online yang mereka siapkan secara independen. Mereka ingin memberikan akses ke situs tim satu sama lain. Untuk menyelesaikan tugas ini, mereka dapat membuat satu grup di ID Microsoft Entra. Di SharePoint Online, masing-masing memilih grup tersebut untuk menyediakan akses ke situs mereka.

Saat seseorang menginginkan akses, mereka memintanya dari Grup MyApps Panel Akses. Setelah disetujui, mereka mendapatkan akses ke kedua situs SharePoint Online secara otomatis. Kemudian, salah satunya memutuskan bahwa semua orang yang mengakses situs juga harus mendapatkan akses ke aplikasi SaaS tertentu. Administrator aplikasi SaaS dapat menambahkan hak akses untuk aplikasi ke situs SharePoint Online. Sejak saat itu, setiap permintaan yang disetujui memberikan akses ke dua situs SharePoint Online dan juga ke aplikasi SaaS.

Membuat grup tersedia untuk layanan mandiri pengguna

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Grup.

  2. Pilih Microsoft Entra ID.

  3. Pilih Semua Grup grup>, lalu pilih Pengaturan umum.

    Catatan

    Pengaturan ini hanya membatasi akses informasi grup di Grup Saya. Ini tidak membatasi akses ke informasi grup melalui metode lain seperti panggilan Microsoft Graph API atau pusat admin Microsoft Entra.

    Screenshot that shows Microsoft Entra groups General settings.

    Catatan

    Pada Juni 2024, pengaturan Membatasi akses pengguna ke Grup Saya akan berubah menjadi Membatasi kemampuan pengguna untuk melihat dan mengedit grup keamanan di Grup Saya. Jika pengaturan saat ini diatur ke Ya, pengguna akan dapat mengakses Grup Saya pada Juni 2024 tetapi tidak akan dapat melihat grup keamanan.

  4. Atur Pemilik dapat mengelola permintaan keanggotaan grup di Panel Akses ke Ya.

  5. Atur Batasi kemampuan pengguna untuk mengakses fitur grup di Panel Akses ke Tidak.

  6. Atur Pengguna dapat membuat kelompok keamanan di portal Azure, API, atau PowerShell ke Ya atau Tidak.

    Untuk informasi selengkapnya tentang pengaturan ini, lihat Pengaturan grup.

  7. Atur Pengguna dapat membuat grup Microsoft 365 di portal Azure, API, atau PowerShell ke Ya atau Tidak.

    Untuk informasi selengkapnya tentang pengaturan ini, lihat Pengaturan grup.

Anda juga dapat menggunakan Pemilik yang dapat menetapkan anggota sebagai pemilik grup di portal Microsoft Azure untuk mencapai kontrol akses yang lebih terperinci atas pengelolaan grup layanan mandiri untuk pengguna Anda.

Saat pengguna dapat membuat grup, semua pengguna di organisasi Anda diizinkan untuk membuat grup baru. Sebagai pemilik default, mereka kemudian dapat menambahkan anggota ke grup ini. Anda tidak dapat menentukan individu yang dapat membuat grup mereka sendiri. Anda hanya dapat menentukan individu untuk menjadikan anggota grup lain sebagai pemilik grup.

Catatan

Lisensi Microsoft Entra ID P1 atau P2 diperlukan bagi pengguna untuk meminta bergabung dengan grup keamanan atau grup Microsoft 365 dan bagi pemilik untuk menyetujui atau menolak permintaan keanggotaan. Tanpa lisensi Microsoft Entra ID P1 atau P2, pengguna masih dapat mengelola grup mereka di grup MyApp Panel Akses. Tetapi mereka tidak dapat membuat grup yang memerlukan persetujuan pemilik, dan mereka tidak dapat meminta untuk bergabung dengan grup.

Pengaturan grup

Pengaturan grup memungkinkan Anda mengontrol siapa yang dapat membuat keamanan dan grup Microsoft 365.

Screenshot that shows Microsoft Entra security groups setting change.

Tabel berikut ini membantu Anda memutuskan nilai mana yang akan dipilih.

Pengaturan Nilai Dampak pada penyewa Anda
Pengguna dapat membuat grup keamanan di portal Azure, API, atau PowerShell. Ya Semua pengguna di organisasi Microsoft Entra Anda diizinkan untuk membuat grup keamanan baru dan menambahkan anggota ke grup ini di portal Azure, API, atau PowerShell. Grup baru ini juga muncul di Panel Akses untuk semua pengguna lain. Jika pengaturan kebijakan di grup memungkinkannya, pengguna lain dapat membuat permintaan untuk bergabung ke grup ini.
No Pengguna tidak dapat membuat grup keamanan. Mereka masih dapat mengelola keanggotaan grup tempat mereka menjadi pemilik dan menyetujui permintaan dari pengguna lain untuk bergabung dengan grup mereka.
Pengguna dapat membuat grup Microsoft 365 di portal Azure, API, atau PowerShell. Ya Semua pengguna di organisasi Microsoft Entra Anda diizinkan untuk membuat grup Microsoft 365 baru dan menambahkan anggota ke grup ini di portal Azure, API, atau PowerShell. Grup baru ini juga muncul di Panel Akses untuk semua pengguna lain. Jika pengaturan kebijakan di grup memungkinkannya, pengguna lain dapat membuat permintaan untuk bergabung ke grup ini.
No Pengguna tidak dapat membuat Grup M365. Mereka masih dapat mengelola keanggotaan grup tempat mereka menjadi pemilik dan menyetujui permintaan dari pengguna lain untuk bergabung dengan grup mereka.

Berikut adalah beberapa detail selengkapnya tentang pengaturan grup ini:

  • Pengaturan ini dapat memakan waktu hingga 15 menit untuk diterapkan.
  • Jika Anda ingin mengaktifkan beberapa, tetapi tidak semua, pengguna Anda untuk membuat grup, Anda dapat memberi pengguna tersebut peran yang dapat membuat grup, seperti peran Administrator Grup.
  • Pengaturan ini untuk pengguna dan tidak memengaruhi perwakilan layanan. Misalnya, jika Anda memiliki perwakilan layanan dengan izin untuk membuat grup, bahkan jika Anda mengatur pengaturan ini ke Tidak, perwakilan layanan masih dapat membuat grup.

Mengonfigurasi pengaturan grup dengan menggunakan Microsoft Graph

Untuk mengonfigurasi pengaturan Pengguna dapat membuat grup keamanan di portal Azure, API, atau PowerShell dengan menggunakan Microsoft Graph, konfigurasikan EnableGroupCreation objek di groupSettings objek. Untuk informasi selengkapnya, lihat Gambaran Umum pengaturan grup.

Untuk mengonfigurasi pengaturan Pengguna dapat membuat grup keamanan di portal Azure, API, atau PowerShell dengan menggunakan Microsoft Graph, perbarui allowedToCreateSecurityGroups properti defaultUserRolePermissions di objek authorizationPolicy.

Langkah berikutnya

Untuk informasi selengkapnya tentang ID Microsoft Entra, lihat: