Membuat paket akses dalam pengelolaan pemberian hak

  • Artikel

Paket akses memungkinkan Anda melakukan penyiapan satu kali sumber daya dan kebijakan yang otomatis mengelola akses untuk masa pakai paket akses. Artikel ini menjelaskan cara membuat paket akses.

Gambaran Umum

Semua paket akses harus berada dalam kontainer yang disebut katalog. Katalog menentukan sumber daya apa yang dapat Anda tambahkan ke paket akses. Jika Anda tidak menentukan katalog, paket akses Anda masuk ke katalog umum. Saat ini, Anda tidak dapat memindahkan paket akses yang ada ke katalog lain.

Paket akses dapat digunakan untuk menetapkan akses ke peran beberapa sumber daya yang ada di katalog. Jika Anda adalah administrator atau pemilik katalog, Anda dapat menambahkan sumber daya ke katalog saat membuat paket akses. Anda juga dapat menambahkan sumber daya setelah paket akses dibuat, dan pengguna yang ditetapkan ke paket akses juga akan menerima sumber daya tambahan.

Jika Anda adalah manajer paket akses, Anda tidak dapat menambahkan sumber daya yang Anda miliki ke katalog. Anda dibatasi untuk menggunakan sumber daya yang tersedia di katalog. Jika Anda perlu menambahkan sumber daya ke katalog, Anda dapat bertanya kepada pemilik katalog.

Semua paket akses harus memiliki setidaknya satu kebijakan untuk pengguna yang akan ditetapkan kepada mereka. Kebijakan menentukan siapa yang dapat meminta paket akses, bersama dengan pengaturan persetujuan dan siklus hidup, atau bagaimana akses ditetapkan secara otomatis. Saat membuat paket akses, Anda dapat membuat kebijakan awal untuk pengguna di direktori Anda, untuk pengguna yang tidak ada di direktori Anda, atau hanya untuk penetapan langsung administrator.

Diagram of an example marketing catalog, including its resources and its access package.

Berikut adalah langkah-langkah tingkat tinggi untuk membuat paket akses dengan kebijakan awal:

  1. Di Tata Kelola Identitas, mulai proses untuk membuat paket akses.

  2. Pilih katalog tempat Anda ingin meletakkan paket akses dan pastikan bahwa ia memiliki sumber daya yang diperlukan.

  3. Tambahkan peran sumber daya dari sumber daya dalam katalog ke paket akses Anda.

  4. Tentukan kebijakan awal untuk pengguna yang dapat meminta akses.

  5. Tentukan pengaturan persetujuan dan pengaturan siklus hidup dalam kebijakan tersebut.

Kemudian setelah paket akses dibuat, Anda dapat mengubah pengaturan tersembunyi, menambahkan atau menghapus peran sumber daya, dan menambahkan kebijakan tambahan.

Memulai proses pembuatan

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Untuk menyelesaikan langkah-langkah berikut, Anda memerlukan peran Administrator global, Administrator Tata Kelola Identitas, pemilik katalog, atau manajer paket akses.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

  3. Pilih Paket akses baru.

    Screenshot that shows the button for creating a new access package in the Microsoft Entra admin center.

Mengonfigurasi dasar-dasar

Di tab Dasar-Dasar, Anda memberi nama ke paket akses dan menentukan katalog tempat membuat paket akses.

  1. Masukkan nama tampilan dan deskripsi untuk paket akses. Pengguna akan melihat informasi ini saat mereka mengirimkan permintaan untuk paket akses.

  2. Di daftar dropdown Katalog, pilih katalog tempat Anda ingin meletakkan paket akses. Misalnya, Anda mungkin memiliki pemilik katalog yang mengelola semua sumber daya pemasaran yang dapat diminta. Dalam hal ini, Anda dapat memilih katalog pemasaran.

    Anda hanya melihat katalog tempat Anda memiliki izin untuk membuat paket akses. Untuk membuat paket akses di katalog yang sudah ada, Anda harus menjadi Administrator Global atau Administrator Tata Kelola Identitas. Atau Anda harus menjadi pemilik katalog atau manajer paket akses di katalog tersebut.

    Screenshot that shows basic information for a new access package.

    Jika Anda adalah Administrator Global, Administrator Tata Kelola Identitas, atau pembuat katalog, dan Anda ingin membuat paket akses di katalog baru yang tidak tercantum, pilih Buat katalog baru. Masukkan nama dan deskripsi katalog, lalu pilih Buat.

    Paket akses yang Anda buat, dan sumber daya apa pun yang disertakan di dalamnya, ditambahkan ke katalog baru. Nantinya, Anda dapat menambahkan lebih banyak pemilik katalog atau menambahkan atribut ke sumber daya yang Anda masukkan ke dalam katalog. Untuk mempelajari selengkapnya tentang cara mengedit daftar atribut untuk sumber daya katalog tertentu dan peran prasyarat, baca Menambahkan atribut sumber daya di katalog.

  3. Pilih Berikutnya: Peran sumber daya.

Pilih peran sumber daya

Di tab Peran sumber daya, pilih sumber daya untuk disertakan dalam paket akses. Pengguna yang meminta dan menerima paket akses akan menerima semua peran sumber daya, seperti keanggotaan grup, dalam paket akses.

Jika Anda tidak yakin peran sumber daya mana yang akan disertakan, Anda dapat melompati menambahkannya saat membuat paket akses, lalu menambahkannya nanti.

  1. Pilih jenis sumber daya yang ingin Anda tambahkan (Grup dan Teams, Aplikasi, atau situs SharePoint).

  2. Di panel Pilih aplikasi yang muncul, pilih satu atau beberapa sumber daya dari daftar.

    Screenshot that shows the panel for selecting applications for resource roles in a new access package.

    Jika Anda membuat paket akses di katalog umum atau katalog baru, Anda dapat memilih sumber daya apa pun dari direktori yang Anda miliki. Anda harus setidaknya administrator global, Administrator Tata Kelola Identitas, atau pembuat katalog.

    Catatan

    Anda dapat menambahkan grup dinamis ke katalog dan ke paket akses. Namun, Anda hanya dapat memilih peran pemilik saat mengelola sumber daya grup dinamis dalam paket akses.

    Jika Anda membuat paket akses di katalog yang ada, Anda dapat memilih sumber daya apa pun yang sudah ada di katalog tanpa perlu menjadi pemilik sumber daya tersebut.

    Jika Anda adalah administrator global, Administrator Tata Kelola Identitas, atau pemilik katalog, Anda memiliki opsi tambahan untuk memilih sumber daya yang Anda miliki atau kelola tetapi belum ada di katalog. Jika Anda memilih sumber daya di direktori tetapi saat ini tidak ada dalam katalog yang dipilih, sumber daya ini juga ditambahkan ke katalog untuk administrator katalog lain untuk membangun paket akses. Untuk melihat semua sumber daya di direktori yang dapat ditambahkan ke katalog, pilih kotak centang Lihat semua di bagian atas panel. Jika Anda hanya ingin memilih sumber daya yang saat ini ada di katalog yang dipilih, biarkan kotak centang Lihat semua dikosongkan (status default).

  3. Di daftar Peran, pilih peran yang Anda inginkan untuk ditetapkan pengguna untuk sumber daya. Untuk informasi selengkapnya tentang memilih peran yang sesuai untuk sumber daya, lihat cara menentukan peran sumber daya mana yang akan disertakan dalam paket akses.

    Screenshot that shows resource role selection for a new access package.

  4. Pilih Berikutnya: Permintaan.

Membuat kebijakan permintaan

Pada tab Permintaan , Anda membuat kebijakan pertama untuk menentukan siapa yang dapat meminta paket akses. Anda juga mengonfigurasi pengaturan persetujuan. Nantinya, Anda dapat membuat lebih banyak kebijakan permintaan untuk memungkinkan grup pengguna tambahan meminta paket akses dengan pengaturan persetujuan mereka sendiri.

Screenshot that shows the Requests tab for a new access package.

Bergantung pada pengguna mana yang ingin Anda minta paket aksesnya, lakukan langkah-langkah di salah satu bagian berikut.

Mengizinkan pengguna di direktori Anda untuk meminta paket akses

Gunakan langkah-langkah berikut jika Anda ingin mengizinkan pengguna di direktori Anda untuk dapat meminta paket akses ini. Saat menentukan kebijakan permintaan, Anda dapat menentukan pengguna individual atau (lebih umum) grup pengguna. Misalnya, organisasi Anda mungkin sudah memiliki grup seperti Semua karyawan. Jika grup tersebut ditambahkan dalam kebijakan untuk pengguna yang dapat meminta akses, setiap anggota grup tersebut kemudian dapat meminta akses.

  1. Di bagian Pengguna yang dapat meminta akses, klik Untuk pengguna di direktori Anda.

    Saat Anda memilih opsi ini, opsi baru muncul sehingga Anda dapat memperbaiki siapa di direktori Anda yang dapat meminta paket akses ini.

    Screenshot that shows the option for allowing users and groups in the directory to request an access package.

  2. pilih salah satu dari opsi berikut ini:

    Opsi Deskripsi
    Pengguna dan grup tertentu Pilih opsi ini jika Anda hanya menginginkan pengguna dan grup di direktori yang Anda tentukan yang dapat meminta paket akses ini.
    Semua anggota (tidak termasuk tamu) Pilih opsi ini jika Anda ingin semua pengguna anggota di direktori Anda dapat meminta paket akses ini. Opsi ini tidak menyertakan pengguna tamu yang mungkin telah diundang ke direktori Anda.
    Semua pengguna (termasuk tamu) Pilih opsi ini jika Anda ingin semua pengguna anggota dan pengguna tamu di direktori Anda untuk dapat meminta paket akses ini.

    Pengguna tamu adalah pengguna eksternal yang telah diundang ke direktori Anda melalui Microsoft Entra B2B. Untuk informasi selengkapnya tentang perbedaan antara pengguna anggota dan pengguna tamu, lihat Apa saja izin pengguna default di MICROSOFT Entra ID?.

  3. Jika Anda memilih Pengguna dan grup tertentu, klik Tambahkan pengguna dan grup.

  4. Pada panel Pilih pengguna dan grup , pilih pengguna dan grup yang ingin Anda tambahkan.

    Screenshot that shows the pane for selecting users and groups for an access package.

  5. Pilih Pilih untuk menambahkan pengguna dan grup.

  6. Lewati ke bagian Tentukan pengaturan persetujuan.

Perbolehkan pengguna tidak berada di direktori Anda untuk meminta paket akses

Pengguna yang berada di direktori atau domain Microsoft Entra lain mungkin belum diundang ke direktori Anda. Direktori Microsoft Entra harus dikonfigurasi untuk mengizinkan undangan dalam Pembatasan kolaborasi. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan kolaborasi eksternal.

Akun pengguna tamu akan dibuat untuk pengguna yang belum ada di direktori Anda yang permintaannya disetujui atau tidak memerlukan persetujuan. Tamu akan diundang tetapi tidak akan menerima email undangan. Sebagai gantinya, mereka akan menerima email saat penetapan paket akses mereka dikirimkan. Nantinya, ketika pengguna tamu tersebut tidak lagi memiliki penetapan paket akses karena tugas terakhir kedaluwarsa atau dibatalkan, akun akan diblokir untuk masuk dan kemudian dihapus. Pemblokiran dan penghapusan terjadi secara default.

Jika Anda ingin pengguna tamu tetap berada di direktori Anda tanpa batas waktu, bahkan jika mereka tidak memiliki penetapan paket akses, Anda dapat mengubah pengaturan untuk konfigurasi pengelolaan pemberian hak Anda. Untuk informasi selengkapnya tentang objek pengguna tamu, lihat Properti pengguna kolaborasi Microsoft Entra B2B.

Ikuti langkah-langkah ini jika Anda ingin mengizinkan pengguna yang tidak berada di direktori Anda untuk meminta paket akses:

  1. Di bagian Pengguna yang dapat meminta akses, klik Untuk pengguna yang tidak ada di direktori Anda.

    Saat Anda memilih opsi ini, opsi baru muncul.

    Screenshot that shows the option for allowing users and groups not in the directory to request an access package.

  2. pilih salah satu dari opsi berikut ini:

    Opsi Deskripsi
    Organisasi tertentu yang terhubung Pilih opsi ini jika Anda ingin memilih dari daftar organisasi yang sebelumnya ditambahkan administrator Anda. Semua pengguna dari organisasi yang dipilih dapat meminta paket akses ini.
    Semua organisasi yang terhubung Pilih opsi ini jika semua pengguna dari semua organisasi terhubung Anda yang dikonfigurasi dapat meminta paket akses ini.
    Semua pengguna (Semua organisasi terhubung + pengguna eksternal baru) Pilih opsi ini jika ada pengguna yang dapat meminta paket akses ini dan pengaturan daftar izin atau daftar blokir B2B harus diutamakan untuk pengguna eksternal baru.

    Organisasi yang tersambung adalah direktori atau domain Microsoft Entra eksternal yang memiliki hubungan dengan Anda.

  3. Jika Anda memilih Organisasi terhubung tertentu, klik Tambahkan direktori untuk memilih dari daftar organisasi terhubung yang sebelumnya ditambahkan administrator Anda.

  4. Masukkan nama atau nama domain untuk mencari organisasi yang tersambung sebelumnya.

    Screenshot that shows the search box for selecting a directory for requests to an access package.

    Jika organisasi yang ingin Anda gabungkan tidak ada dalam daftar, Anda bisa meminta administrator untuk menambahkannya sebagai organisasi yang tersambung. Untuk informasi selengkapnya, lihat Menambahkan organisasi terhubung.

  5. Jika Anda memilih Semua organisasi yang tersambung, maka Anda harus mengonfirmasi dengan administrator global Anda daftar organisasi terhubung yang saat ini dikonfigurasi dan direncanakan berada dalam cakupan.

  6. Jika Anda memilih Semua pengguna, maka Anda harus mengonfigurasi persetujuan di bagian persetujuan, karena cakupan ini akan memungkinkan identitas apa pun di Internet untuk meminta akses.

  7. Setelah Anda memilih semua organisasi yang tersambung, pilih Pilih.

    Semua pengguna dari organisasi terhubung yang dipilih akan dapat meminta paket akses ini. Ini termasuk pengguna di MICROSOFT Entra ID dari semua subdomain yang terkait dengan organisasi, kecuali daftar izin Azure B2B atau daftar blokir memblokir domain tersebut. Jika Anda menentukan domain penyedia identitas sosial, seperti live.com, maka setiap pengguna dari IdP sosial akan dapat meminta paket akses ini. Untuk mengetahui informasi selengkapnya, lihat Mengizinkan atau memblokir undangan ke pengguna B2B dari organisasi tertentu.

  8. Lewati ke bagian Tentukan pengaturan persetujuan.

Izinkan penetapan langsung administrator saja

Ikuti langkah-langkah ini jika Anda ingin melewati permintaan akses dan mengizinkan administrator untuk secara langsung menetapkan pengguna tertentu ke paket akses ini. Pengguna tidak perlu meminta paket akses. Anda tetap dapat mengatur pengaturan siklus hidup, tetapi tidak ada pengaturan permintaan.

  1. Di bagian Pengguna yang dapat meminta akses, klik Tidak ada (hanya penugasan langsung administrator).

    Screenshot that shows the option for allowing only administrator direct assignments for an access package.

    Setelah membuat paket akses, Anda dapat langsung menetapkan pengguna internal dan eksternal tertentu ke dalamnya. Jika Anda menentukan pengguna eksternal, akun pengguna tamu dibuat di direktori Anda. Untuk informasi tentang menetapkan pengguna secara langsung, lihat Menampilkan, menambahkan, dan menghapus penetapan untuk paket akses.

  2. Lewati ke bagian Aktifkan permintaan.

Tentukan pengaturan persetujuan

Di bagian Persetujuan , Anda menentukan apakah persetujuan diperlukan saat pengguna meminta paket akses ini. Pengaturan persetujuan berfungsi dengan cara berikut:

  • Hanya salah satu pemberi persetujuan atau pemberi persetujuan fallback terpilih yang perlu menyetujui permintaan persetujuan satu tahap.
  • Hanya salah satu pemberi persetujuan yang dipilih dari setiap tahap yang perlu menyetujui permintaan persetujuan dua tahap.
  • Pemberi persetujuan dapat menjadi manajer, sponsor pengguna, sponsor internal, atau sponsor eksternal, tergantung pada tata kelola akses untuk kebijakan tersebut.
  • Persetujuan dari setiap pemberi persetujuan yang dipilih tidak diperlukan untuk persetujuan tahap tunggal atau dua tahap.
  • Keputusan persetujuan didasarkan pada pemberi persetujuan yang meninjau permintaan terlebih dahulu.

Untuk demo tentang cara menambahkan pemberi persetujuan ke kebijakan permintaan, tonton video berikut:

Untuk demonstrasi tentang cara menambahkan persetujuan beberapa tahap ke kebijakan permintaan, tonton video berikut:

Ikuti langkah-langkah ini untuk menentukan pengaturan persetujuan untuk permintaan paket akses:

  1. Untuk memerlukan persetujuan atas permintaan dari pengguna terpilih, atur tombol Minta persetujuan ke Ya. Atau, agar permintaan disetujui secara otomatis, atur tombol ke Tidak. Jika kebijakan memungkinkan pengguna eksternal dari luar organisasi Anda meminta akses, Anda harus memerlukan persetujuan, sehingga ada pengawasan tentang siapa yang ditambahkan ke direktori organisasi Anda.

  2. Untuk mewajibkan pengguna memberikan justifikasi untuk meminta paket akses, atur tombol Wajibkan justifikasi permintaan ke Ya.

  3. Tentukan apakah permintaan memerlukan persetujuan tahap tunggal atau dua tahap. Atur tombol Berapa tahap ke 1 untuk persetujuan tahap tunggal, 2 untuk persetujuan dua tahap, atau 3 untuk persetujuan tiga tahap.

    Screenshot that shows approval settings for requests to an access package.

Gunakan langkah-langkah berikut untuk menambahkan pemberi persetujuan setelah Anda memilih jumlah tahapan.

Persetujuan satu tahap

  1. Tambahkan informasi Pemberi Izin Pertama:

    • Jika kebijakan diatur ke Untuk pengguna di direktori Anda, Anda dapat memilih Manajer sebagai pemberi persetujuan atau Sponsor sebagai pemberi persetujuan. Atau, Anda dapat menambahkan pengguna tertentu dengan memilih Pilih pemberi persetujuan tertentu, lalu memilih Tambahkan pemberi persetujuan.

      Untuk menggunakan Sponsor sebagai pemberi persetujuan untuk Persetujuan, Anda harus memiliki lisensi Tata Kelola ID Microsoft Entra. Untuk informasi selengkapnya, lihat Membandingkan fitur ID Microsoft Entra yang tersedia secara umum.

      Screenshot that shows options for a first approver if the policy is set to users in your directory.

    • Jika kebijakan diatur ke Untuk pengguna yang tidak ada di direktori Anda, Anda dapat memilih Sponsor eksternal atau Sponsor internal. Atau, Anda dapat menambahkan pengguna tertentu dengan memilih Pilih pemberi persetujuan tertentu, lalu memilih Tambahkan pemberi persetujuan.

      Screenshot that shows options for a first approver if the policy is set to users not in your directory.

  2. Jika Anda memilih Pengelola sebagai pemberi persetujuan pertama, klik Tambahkan fallback untuk memilih satu atau beberapa pengguna atau grup di direktori Anda untuk menjadi pemberi persetujuan fallback. Pemberi izin fallback menerima permintaan jika pengelolaan pemberian hak tidak dapat menemukan manajer untuk pengguna yang meminta akses.

    Pengelolaan pemberian izin menemukan manajer dengan menggunakan atribut Manajer . Atribut berada di profil pengguna di ID Microsoft Entra. Untuk informasi selengkapnya, lihat Menambahkan atau memperbarui informasi dan pengaturan profil pengguna.

  3. Jika Anda memilih Sponsor sebagai pemberi persetujuan pertama, pilih Tambahkan fallback untuk memilih satu atau beberapa pengguna atau grup di direktori Anda untuk menjadi pemberi persetujuan fallback. Pemberi izin fallback menerima permintaan jika pengelolaan pemberian hak tidak dapat menemukan sponsor untuk pengguna yang meminta akses.

    Pengelolaan pemberian izin menemukan sponsor dengan menggunakan atribut Sponsor . Atribut berada di profil pengguna di ID Microsoft Entra. Untuk informasi selengkapnya, lihat Menambahkan atau memperbarui informasi dan pengaturan profil pengguna.

  4. Jika Anda memilih Pilih pemberi persetujuan tertentu, klik Tambahkan pemberi persetujuan untuk memilih satu atau beberapa pengguna atau grup di direktori Anda untuk menjadi pemberi persetujuan.

  5. Dalam kotak Keputusan harus dibuat dalam berapa hari? , tentukan jumlah hari yang harus ditinjau oleh pemberi persetujuan untuk paket akses ini.

    Jika permintaan tidak disetujui dalam periode waktu ini, permintaan akan ditolak secara otomatis. Pengguna kemudian harus mengirimkan permintaan lain untuk paket akses.

  6. Untuk mengharuskan pemberi persetujuan memberikan pembenaran atas keputusan mereka, atur Memerlukan pembenaran pemberi persetujuan ke Ya.

    Justifikasi terlihat oleh pemberi persetujuan lain dan pemohon.

Persetujuan dua tahap

Jika Anda memilih persetujuan dua tahap, Anda perlu menambahkan pemberi persetujuan kedua:

  1. Tambahkan informasi Pemberi Persetujuan Kedua:

    • Jika pengguna berada di direktori Anda, Anda dapat memilih Sponsor sebagai pemberi persetujuan. Atau, tambahkan pengguna tertentu dengan memilih Pilih pemberi izin tertentu dari menu dropdown, lalu pilih Tambahkan pemberi izin.

      Screenshot that shows options for a second approver if the policy is set to users in your directory.

    • Jika pengguna tidak ada di direktori Anda, pilih Sponsor internal atau Sponsor eksternal sebagai pemberi persetujuan kedua. Setelah Anda memilih pemberi izin, tambahkan pemberi izin fallback.

      Screenshot that shows options for a second approver if the policy is set to users not in your directory.

  2. Dalam kotak Keputusan harus dibuat dalam berapa hari? , tentukan jumlah hari pemberi persetujuan kedua harus menyetujui permintaan.

  3. Atur tombol Perlu pertahankan pemberi persetujuan ke Ya atau Tidak.

Persetujuan tiga tahap

Jika Anda memilih persetujuan tiga tahap, Anda perlu menambahkan pemberi persetujuan ketiga:

  1. Tambahkan informasi Pemberi Persetujuan Ketiga:

    Jika pengguna berada di direktori Anda, tambahkan pengguna tertentu sebagai pemberi persetujuan ketiga dengan memilih Pilih pemberi>persetujuan tertentu Tambahkan pemberi persetujuan.

    Screenshot that shows options for a third approver if the policy is set to users in your directory.

  2. Dalam kotak Keputusan harus dibuat dalam berapa hari? , tentukan jumlah hari pemberi persetujuan kedua harus menyetujui permintaan.

  3. Atur tombol Perlu pertahankan pemberi persetujuan ke Ya atau Tidak.

Pemberi persetujuan alternatif

Anda dapat menentukan pemberi persetujuan alternatif, mirip dengan menentukan pemberi persetujuan pertama dan kedua yang dapat menyetujui permintaan. Memiliki pemberi izin alternatif membantu memastikan bahwa permintaan disetujui atau ditolak sebelum kedaluwarsa (waktu habis). Anda dapat mencantumkan pemberi izin alternatif untuk pemberi izin pertama dan pemberi persetujuan kedua untuk persetujuan dua tahap.

Saat Anda menentukan pemberi izin alternatif, jika pemberi izin pertama atau kedua tidak dapat menyetujui atau menolak permintaan, permintaan yang tertunda diteruskan ke pemberi izin alternatif. Permintaan dikirim sesuai dengan jadwal penerusan yang Anda tentukan selama penyiapan kebijakan. Pemberi izin menerima email untuk menyetujui atau menolak permintaan yang tertunda.

Setelah permintaan diteruskan ke pemberi persetujuan alternatif, pemberi persetujuan pertama atau kedua tetap dapat menyetujui atau menolak permintaan. Pemberi izin alternatif menggunakan situs Akses Saya yang sama untuk menyetujui atau menolak permintaan yang tertunda.

Anda dapat mencantumkan orang atau segrup orang untuk menjadi pemberi izin dan pemberi izin alternatif. Harap pastikan Anda mencantumkan kumpulan orang yang berbeda untuk menjadi pemberi persetujuan pertama, kedua, dan alternatif. Misalnya, jika Anda mencantumkan Alice dan Bob sebagai pemberi izin pertama, cantumkan Carol dan Dave sebagai pemberi izin alternatif.

Gunakan langkah-langkah berikut untuk menambahkan pemberi persetujuan alternatif ke paket akses:

  1. Di bawah Pemberi Izin Pertama, Pemberi Persetujuan Kedua, atau keduanya, pilih Perlihatkan pengaturan permintaan tingkat lanjut.

    Screenshot of the selection for showing advanced request settings.

  2. Atur tombol Jika tidak ada tindakan yang diambil, teruskan ke pemberi izin alternatif? beralih ke Ya.

  3. Pilih Tambahkan pemberi izin alternatif, lalu pilih pemberi izin alternatif dari daftar.

    Screenshot that shows advanced request settings, including the link for adding alternate approvers.

    Jika Anda memilih Manajer sebagai pemberi izin pertama, opsi tambahan muncul di kotak Pemberi Persetujuan Alternatif: Manajer tingkat kedua sebagai pemberi izin alternatif. Jika Anda memilih opsi ini, Anda perlu menambahkan pemberi izin fallback untuk meneruskan permintaan, jika sistem tidak dapat menemukan manajer tingkat kedua.

  4. Dalam kotak Teruskan ke pemberi izin alternatif setelah berapa hari , masukkan jumlah hari yang harus disetujui atau ditolak oleh pemberi persetujuan. Jika tidak ada pemberi izin yang menyetujui atau menolak permintaan sebelum durasi permintaan, permintaan akan kedaluwarsa (waktu habis). Pengguna kemudian harus mengirimkan permintaan lain untuk paket akses.

Permintaan hanya dapat diteruskan ke pemberi persetujuan alternatif sehari setelah durasi permintaan mencapai setengah umur. Keputusan pemberi persetujuan utama harus kehabisan waktu setelah setidaknya empat hari. Jika batas waktu permintaan kurang atau sama dengan tiga hari, tidak ada cukup waktu untuk meneruskan permintaan ke pemberi izin alternatif.

Dalam contoh ini, durasi permintaan adalah 14 hari. Durasi permintaan mencapai setengah umur pada hari ke-7. Jadi, permintaan tidak dapat diteruskan lebih awal dari hari ke-8.

Selain itu, permintaan tidak dapat diteruskan pada hari terakhir durasi permintaan. Jadi, dalam contoh, permintaan terbaru dapat diteruskan pada hari ke-13.

Aktifkan permintaan

  1. Jika Anda ingin paket akses segera tersedia bagi pengguna dalam kebijakan permintaan untuk meminta, pindahkan tombol Aktifkan permintaan dan penugasan baru ke Ya.

    Anda selalu dapat mengaktifkannya di masa mendatang, setelah selesai membuat paket akses.

    Jika Anda memilih Tidak Ada (hanya penetapan langsung administrator) dan Anda mengatur Aktifkan permintaan dan penugasan baru ke Tidak, administrator tidak dapat secara langsung menetapkan paket akses ini.

    Screenshot that shows the option for enabling new requests and assignments.

  2. Buka bagian berikutnya untuk mempelajari cara menambahkan persyaratan ID terverifikasi ke paket akses Anda. Jika tidak, pilih Berikutnya.

Menambahkan persyaratan ID terverifikasi

Gunakan langkah-langkah berikut jika Anda ingin menambahkan persyaratan ID terverifikasi ke kebijakan paket akses Anda. Pengguna yang menginginkan akses ke paket akses perlu menunjukkan ID terverifikasi yang diperlukan sebelum berhasil mengirimkan permintaan mereka. Untuk mempelajari cara mengonfigurasi penyewa Anda dengan layanan ID Terverifikasi Microsoft Entra, lihat Pengenalan ID Terverifikasi Microsoft Entra.

Anda memerlukan peran administrator global untuk menambahkan persyaratan ID terverifikasi ke paket akses. Administrator Tata Kelola Identitas, administrator pengguna, pemilik katalog, atau manajer paket akses belum dapat menambahkan persyaratan ID terverifikasi.

  1. Pilih + Tambahkan pengeluar sertifikat, lalu pilih penerbit dari jaringan ID Terverifikasi Microsoft Entra. Jika Anda ingin mengeluarkan kredensial Anda sendiri kepada pengguna, Anda dapat menemukan instruksi dalam Menerbitkan kredensial ID Terverifikasi Microsoft Entra dari aplikasi.

    Screenshot that shows the pane for selecting an issuer for an access package.

  2. Pilih jenis kredensial yang Ingin Anda sajikan pengguna selama proses permintaan.

    Screenshot that shows the area for selecting credential types for an access package.

    Jika Anda memilih beberapa jenis kredensial dari satu pengeluar sertifikat, pengguna akan diminta untuk menyajikan kredensial dari semua jenis yang dipilih. Demikian pula, jika Anda menyertakan beberapa penerbit, pengguna akan diminta untuk menyajikan kredensial dari setiap penerbit yang Anda sertakan dalam kebijakan. Untuk memberi pengguna opsi untuk menyajikan kredensial yang berbeda dari berbagai penerbit, konfigurasikan kebijakan terpisah untuk setiap penerbit atau jenis kredensial yang akan Anda terima.

  3. Pilih Tambahkan untuk menambahkan persyaratan ID terverifikasi ke kebijakan paket akses.

Menambahkan informasi pemohon ke paket akses

  1. Buka tab Informasi pemohon, lalu pilih tab Pertanyaan .

  2. Dalam kotak Pertanyaan , masukkan pertanyaan yang ingin Anda tanyakan kepada pemohon. Pertanyaan ini juga dikenal sebagai string tampilan.

  3. Jika Anda ingin menambahkan opsi pelokalan Anda sendiri, pilih tambahkan pelokalan.

    Screenshot that shows the box for entering a question for a requestor.

    Pada panel Tambahkan pelokalan untuk pertanyaan :

    1. Untuk Kode bahasa, pilih kode bahasa untuk bahasa tempat Anda melokalisasi pertanyaan.
    2. Dalam kotak Teks Yang Dilokalkan , masukkan pertanyaan dalam bahasa yang Anda konfigurasikan.
    3. Setelah selesai menambahkan semua pelokalan yang Anda butuhkan, pilih Simpan.

    Screenshot that shows localization selections for a question.

  4. Untuk Format jawaban, pilih format di mana Anda ingin pemohon menjawab. Format jawaban mencakup Teks pendek, Pilihan ganda, dan Teks panjang.

  5. Jika Anda memilih beberapa pilihan, pilih tombol Edit dan lokalkan untuk mengonfigurasi opsi jawaban.

    Screenshot that shows multiple choice selected as an answer format, along with the button for editing and localizing answer options.

    Pada panel Tampilkan/edit pertanyaan :

    1. Dalam kotak Nilai jawaban , masukkan opsi respons yang ingin Anda berikan saat pemohon menjawab pertanyaan.
    2. Dalam kotak Bahasa , pilih bahasa untuk opsi respons. Anda dapat melokalkan opsi respons jika Anda memilih lebih banyak bahasa.
    3. Pilih Simpan.

    Screenshot that shows options for editing and localizing multiple-choice answers.

  6. Untuk mengharuskan pemohon menjawab pertanyaan ini saat meminta akses ke paket akses, pilih kotak centang Diperlukan .

  7. Pilih tab Atribut untuk melihat atribut yang terkait dengan sumber daya yang Anda tambahkan ke paket akses.

    Catatan

    Untuk menambahkan atau memperbarui atribut untuk sumber daya paket akses, buka Katalog dan temukan katalog yang terkait dengan paket akses. Untuk mempelajari selengkapnya tentang cara mengedit daftar atribut untuk sumber daya katalog tertentu dan peran prasyarat, baca Menambahkan atribut sumber daya di katalog.

  8. Pilih Selanjutnya.

Tentukan siklus hidup

Pada tab Siklus Hidup, Anda menentukan kapan penetapan pengguna ke paket akses kedaluwarsa. Anda juga dapat menentukan apakah pengguna dapat memperpanjang penugassa mereka.

  1. Di bagian Kedaluwarsa , atur Penetapan paket akses kedaluwarsa ke Tanggal, Jumlah hari, Jumlah jam, atau Tidak Pernah.

    • Untuk Saat Ini, pilih tanggal kedaluwarsa di masa mendatang.
    • Untuk Jumlah hari, tentukan angka dari 0 hingga 3660 hari.
    • Untuk Jumlah jam, tentukan berapa jam.

    Berdasarkan pilihan Anda, penugasan pengguna ke paket akses kedaluwarsa pada tanggal tertentu, beberapa hari setelah disetujui, atau tidak pernah.

  2. Jika Anda ingin pengguna meminta tanggal mulai dan berakhir tertentu untuk akses mereka, pilih Ya untuk tombol Pengguna dapat meminta linimasa tertentu.

  3. Pilih Perlihatkan pengaturan kedaluwarsa tingkat lanjut untuk menampilkan pengaturan lainnya.

    Screenshot that shows lifecycle expiration settings for an access package.

  4. Untuk mengizinkan pengguna memperluas tugas mereka, atur Izinkan pengguna untuk memperluas akses ke Ya.

    Jika ekstensi diizinkan dalam kebijakan, pengguna menerima email 14 hari sebelumnya, lalu satu hari sebelumnya, penetapan paket akses mereka diatur kedaluwarsa. Email meminta pengguna untuk memperluas penugasan. Pengguna masih harus berada dalam cakupan kebijakan pada saat mereka meminta ekstensi.

    Selain itu, jika kebijakan memiliki tanggal akhir eksplisit untuk penugasan, dan pengguna mengirimkan permintaan untuk memperpanjang akses, tanggal ekstensi dalam permintaan harus pada atau sebelum saat penugasan kedaluwarsa. Kebijakan yang Anda gunakan untuk memberikan akses pengguna ke paket akses menentukan apakah tanggal ekstensi berada pada atau sebelum penugasan kedaluwarsa. Misalnya, jika kebijakan menunjukkan bahwa penugasan diatur kedaluwarsa pada 30 Juni, ekstensi maksimum yang dapat diminta pengguna adalah 30 Juni.

    Jika akses pengguna diperpanjang, mereka tidak akan dapat meminta paket akses setelah tanggal ekstensi yang ditentukan (tanggal yang ditetapkan di zona waktu pengguna yang membuat kebijakan).

  5. Untuk meminta persetujuan pemberian perpanjangan, set Minta persetujuan untuk memberikan ekstensi ke Ya.

    Persetujuan ini akan menggunakan pengaturan persetujuan yang sama dengan yang Anda tentukan pada tab Permintaan .

  6. Pilih Berikutnya atau Perbarui.

Meninjau dan membuat paket akses

Di tab Tinjau + buat, Anda dapat meninjau pengaturan dan memeriksa kesalahan validasi apa pun.

  1. Tinjau pengaturan paket akses.

    Screenshot that shows a summary of access package configuration.

  2. Pilih Buat untuk membuat paket akses.

    Paket akses baru muncul dalam daftar paket akses.

  3. Jika paket akses dimaksudkan untuk terlihat oleh semua orang dalam cakupan kebijakan, maka biarkan pengaturan Tersembunyi dari paket akses di Tidak. Secara opsional, jika Anda hanya ingin mengizinkan pengguna dengan tautan langsung untuk meminta paket akses, edit paket akses untuk mengubah pengaturan Tersembunyi menjadi Ya. Kemudian salin tautan untuk meminta paket akses dan bagikan dengan pengguna yang memerlukan akses.

Membuat paket akses secara terprogram

Ada dua cara untuk membuat paket akses secara terprogram: melalui Microsoft Graph dan melalui cmdlet PowerShell untuk Microsoft Graph.

Membuat paket akses dengan menggunakan Microsoft Graph

Anda dapat membuat paket akses dengan menggunakan Microsoft Graph. Pengguna dalam peran yang sesuai dengan aplikasi yang memiliki izin EntitlementManagement.ReadWrite.All yang didelegasikan dapat memanggil API untuk:

  1. Cantumkan sumber daya dalam katalog dan buat accessPackageResourceRequest untuk sumber daya apa pun yang belum ada di katalog.
  2. Ambil peran dan cakupan setiap sumber daya dalam katalog. Daftar peran ini kemudian akan digunakan untuk memilih peran, saat kemudian membuat resourceRoleScope.
  3. Membuat accessPackage.
  4. Buat resourceRoleScope untuk setiap peran sumber daya yang diperlukan dalam paket akses.
  5. Buat assignmentPolicy untuk setiap kebijakan yang diperlukan dalam paket akses.

Membuat paket akses dengan menggunakan Microsoft PowerShell

Anda juga dapat membuat paket akses di PowerShell dengan menggunakan cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas.

Pertama, ambil ID katalog, dan sumber daya dalam katalog tersebut serta cakupan dan perannya, yang ingin Anda sertakan dalam paket akses. Gunakan skrip yang mirip dengan contoh berikut:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Kemudian, buat paket akses:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

Setelah Anda membuat paket akses, tetapkan peran sumber daya ke paket tersebut. Misalnya, jika Anda ingin menyertakan peran sumber daya pertama dari sumber daya yang dikembalikan sebelumnya sebagai peran sumber daya dari paket akses baru, Anda dapat menggunakan skrip yang mirip dengan yang ini:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Terakhir, buat kebijakan. Dalam kebijakan ini, hanya administrator atau manajer penetapan paket akses yang dapat menetapkan akses, dan tidak ada tinjauan akses. Untuk contoh selengkapnya, lihat Membuat kebijakan penugasan melalui PowerShell dan Membuat assignmentPolicy.



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Langkah berikutnya