Mengonfigurasi pemisahan pemeriksaan tugas untuk paket akses dalam pengelolaan pemberian hak

Dalam pengelolaan pemberian hak, Anda dapat mengonfigurasi beberapa kebijakan, dengan pengaturan yang berbeda untuk setiap komunitas pengguna yang akan memerlukan akses melalui paket akses. Misalnya, karyawan mungkin hanya memerlukan persetujuan manajer untuk mendapatkan akses ke aplikasi tertentu, tetapi tamu yang datang dari organisasi lain dapat memerlukan sponsor dan manajer departemen tim sumber daya untuk menyetujui. Dalam kebijakan untuk pengguna yang sudah ada di direktori, Anda dapat menentukan grup pengguna tertentu yang dapat meminta akses. Namun, Anda dapat memiliki persyaratan untuk menghindari pengguna mendapatkan akses yang berlebihan. Untuk memenuhi persyaratan ini, Anda ingin membatasi lebih lanjut siapa yang dapat meminta akses, berdasarkan akses yang sudah dimiliki pemohon.

Dengan pengaturan pemisahan tugas pada paket akses, Anda dapat mengonfigurasi bahwa pengguna yang merupakan anggota grup atau yang sudah memiliki tugas ke satu paket akses tidak dapat meminta paket akses tambahan.

Skenario untuk pemeriksaan pemisahan tugas

Misalnya, Anda memiliki paket akses, Kampanye Pemasaran, yang dapat dimintai aksesnya oleh orang-orang di seluruh organisasi Anda dan organisasi lain, untuk bekerja dengan departemen pemasaran organisasi Anda saat kampanye sedang berlangsung. Karena karyawan di departemen pemasaran seharusnya sudah memiliki akses ke materi kampanye pemasaran tersebut, Anda tidak ingin karyawan di departemen pemasaran meminta akses ke paket akses tersebut. Atau, Anda sudah bisa memiliki grup dinamis, karyawan departemen pemasaran, dengan semua karyawan pemasaran di dalamnya. Anda dapat menunjukkan bahwa paket akses tidak kompatibel dengan keanggotaan grup dinamis tersebut. Kemudian, jika karyawan departemen pemasaran mencari paket akses untuk diminta, mereka tidak dapat meminta akses ke paket akses Kampanye pemasaran.

Demikian pula, Anda dapat memiliki aplikasi dengan dua peran aplikasi - Penjualan Barat dan Penjualan Timur - mewakili wilayah penjualan, dan Anda ingin memastikan bahwa pengguna hanya dapat memiliki satu wilayah penjualan pada satu waktu. Jika Anda memiliki dua paket akses, satu paket akses Wilayah Barat memberikan peran Penjualan Barat dan paket akses lainnya Wilayah Timur yang memberikan peran Penjualan Timur, maka Anda dapat mengonfigurasi:

• paket akses Wilayah Barat memiliki paket Wilayah Timur sebagai tidak kompatibel, dan
• paket akses Wilayah Timur memiliki paket Wilayah Barat sebagai tidak kompatibel.

Jika Anda telah menggunakan Microsoft Identity Manager atau sistem manajemen identitas lokal lainnya untuk mengotomatiskan akses untuk aplikasi lokal, maka Anda juga dapat mengintegrasikan sistem ini dengan pengelolaan pemberian hak. Jika Anda mengontrol akses ke aplikasi terintegrasi Microsoft Entra melalui pengelolaan pemberian hak, dan ingin mencegah pengguna memiliki akses yang tidak kompatibel, Anda dapat mengonfigurasi bahwa paket akses tidak kompatibel dengan grup. Itu bisa menjadi grup, yang dikirim sistem manajemen identitas lokal Anda ke MICROSOFT Entra ID melalui Microsoft Entra Koneksi. Pemeriksaan ini memastikan pengguna tidak dapat meminta paket akses, jika paket akses tersebut akan memberikan akses yang tidak kompatibel dengan akses yang dimiliki pengguna di aplikasi lokal.

Prasyarat

Untuk menggunakan pengelolaan pemberian hak dan menetapkan pengguna untuk mengakses paket, Anda harus memiliki salah satu lisensi berikut:

• Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra
• Lisensi Enterprise Mobility + Keamanan (EMS) E5

Konfigurasikan paket akses atau keanggotaan grup lain sebagai tidak kompatibel untuk meminta akses ke paket akses

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Peran prasyarat: Administrator Global, Administrator Tata Kelola Identitas, Pemilik katalog, atau Manajer paket akses

Ikuti langkah-langkah ini untuk mengubah daftar grup yang tidak kompatibel atau paket akses lain untuk paket akses yang ada:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

3. Pada halaman Paket akses, buka paket akses yang akan diminta pengguna.

4. Di menu sebelah kiri, pilih Pemisahan tugas.

5. Jika Anda ingin mencegah pengguna yang sudah memiliki penetapan paket akses lain untuk meminta paket akses ini, pilih Tambahkan paket akses dan pilih paket akses yang sudah ditetapkan kepada pengguna.

   

6. Jika Anda ingin mencegah pengguna yang sudah memiliki keanggotaan grup untuk meminta paket akses ini, pilih Tambahkan grup dan pilih grup tempat pengguna akan berada.

Mengonfigurasi paket akses yang tidak kompatibel secara terprogram melalui Grafik

Anda dapat mengonfigurasi grup dan paket akses lain yang tidak kompatibel dengan paket akses menggunakan Microsoft Graph. Pengguna dalam peran yang sesuai dengan aplikasi yang memiliki izin yang didelegasikan EntitlementManagement.ReadWrite.All , atau aplikasi dengan EntitlementManagement.ReadWrite.All izin aplikasi, dapat memanggil API untuk menambahkan, menghapus, dan mencantumkan grup yang tidak kompatibel dan paket akses paket akses.

Mengonfigurasi paket akses yang tidak kompatibel melalui Microsoft PowerShell

Anda juga dapat mengonfigurasi grup dan paket akses lain yang tidak kompatibel dengan paket akses di PowerShell dengan cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas versi 1.16.0 atau yang lebih baru.

Skrip ini di bawah ini menggambarkan menggunakan v1.0 profil Grafik untuk membuat hubungan untuk menunjukkan paket akses lain sebagai tidak kompatibel.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "5925c3f7-ed14-4157-99d9-64353604697a"
$otherapid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$params = @{
   "@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $otherapid
}
New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $apid -BodyParameter $params

Lihat paket akses lain yang dikonfigurasi sebagai tidak kompatibel dengan yang ini

Peran prasyarat: Administrator Global, Administrator Tata Kelola Identitas, Pemilik katalog, atau Manajer paket akses

Ikuti langkah-langkah ini untuk melihat daftar paket akses lain yang menunjukkan bahwa paket tersebut tidak kompatibel dengan paket akses yang ada:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

3. Pada halaman Paket akses buka paket akses.

4. Di menu sebelah kiri, pilih Pemisahan tugas.

5. Pilih Tidak Kompatibel Dengan.

Mengidentifikasi pengguna yang sudah memiliki akses yang tidak kompatibel ke paket akses lain (Pratinjau)

Jika Anda telah mengonfigurasi pengaturan akses yang tidak kompatibel pada paket akses yang sudah memiliki pengguna yang ditetapkan untuknya, maka Anda dapat mengunduh daftar pengguna yang memiliki akses tambahan tersebut. Pengguna yang juga memiliki penugasan ke paket akses yang tidak kompatibel tidak akan dapat meminta kembali akses.

Peran prasyarat: Administrator Global, Administrator Tata Kelola Identitas, Pemilik katalog, atau Manajer paket akses

Ikuti langkah-langkah ini untuk melihat daftar pengguna yang memiliki penugasan ke dua paket akses.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

3. Pada halaman Paket akses buka paket akses tempat Anda mengonfigurasi paket akses lain sebagai tidak kompatibel.

4. Di menu sebelah kiri, pilih Pemisahan tugas.

5. Dalam tabel, jika ada nilai bukan nol di kolom Akses tambahan untuk paket akses kedua, maka itu menunjukkan ada satu atau beberapa pengguna dengan penugasan.

   

6. Pilih jumlah tersebut untuk melihat daftar penugasan yang tidak kompatibel.

7. Jika mau, Anda dapat memilih tombol Unduh untuk menyimpan daftar tugas tersebut sebagai file CSV.

Mengidentifikasi pengguna yang akan memiliki akses yang tidak kompatibel ke paket akses lain

Jika Anda mengonfigurasi pengaturan akses yang tidak kompatibel di paket akses yang sudah memiliki pengguna yang ditetapkan, maka salah satu pengguna yang juga memiliki tugas ke paket atau grup akses yang tidak kompatibel tidak akan dapat meminta kembali akses.

Peran prasyarat: Administrator Global, Administrator Tata Kelola Identitas, Pemilik katalog, atau Manajer paket akses

Ikuti langkah-langkah ini untuk melihat daftar pengguna yang memiliki penugasan ke dua paket akses.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

3. Buka paket akses tempat Anda akan mengonfigurasi penugasan yang tidak kompatibel.

4. Di menu sebelah kiri, pilih Tugas.

5. Di bidang Status, pastikan status Terkirim dipilih.

6. Pilih tombol Unduh dan simpan file CSV yang dihasilkan sebagai file pertama dengan daftar tugas.

7. Di bilah navigasi, pilih Tata Kelola Identitas.

8. Di menu sebelah kiri, pilih Akses paket lalu buka paket akses yang ingin Anda tunjuk sebagai tidak kompatibel.

9. Di menu sebelah kiri, pilih Tugas.

10. Di bidang Status, pastikan status Terkirim dipilih.

11. Pilih tombol Unduh dan simpan file CSV yang dihasilkan sebagai file kedua dengan daftar tugas.

12. Gunakan program spreadsheet seperti Excel untuk membuka dua file tersebut.

13. Pengguna yang terdaftar di kedua file akan memiliki penugasan tidak kompatibel yang sudah ada.

Mengidentifikasi pengguna yang sudah memiliki akses yang tidak kompatibel secara terprogram

Anda dapat mengambil penugasan ke paket akses menggunakan Microsoft Graph, yang dicakup hanya untuk pengguna yang juga memiliki penugasan ke paket akses lain. Pengguna dengan peran administratif dengan aplikasi yang memiliki izin EntitlementManagement.Read.All atau EntitlementManagement.ReadWrite.All yang didelegasikan dapat memanggil API untuk mencantumkan akses tambahan.

Mengidentifikasi pengguna yang sudah memiliki akses yang tidak kompatibel menggunakan PowerShell

Anda juga dapat mengkueri pengguna yang memiliki tugas ke paket akses dengan Get-MgEntitlementManagementAssignment cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas versi 2.1.0 atau yang lebih baru.

Misalnya, jika Anda memiliki dua paket akses, satu dengan ID 29be137f-b006-426c-b46a-0df3d4e25ccd dan lainnya dengan ID cce10272-68d8-4482-8ba3-a5965c86cfe5, maka Anda dapat mengambil pengguna yang memiliki penugasan ke paket akses pertama, lalu membandingkannya dengan pengguna yang memiliki penugasan ke paket akses kedua. Anda juga dapat melaporkan pengguna yang memiliki penugasan yang dikirimkan ke keduanya, menggunakan skrip PowerShell yang mirip dengan yang berikut ini:

$c = Connect-MgGraph -Scopes "EntitlementManagement.Read.All"

$ap_w_id = "29be137f-b006-426c-b46a-0df3d4e25ccd"
$ap_e_id = "cce10272-68d8-4482-8ba3-a5965c86cfe5"
$apa_w_filter = "accessPackage/id eq '" + $ap_w_id + "' and state eq 'Delivered'"
$apa_e_filter = "accessPackage/id eq '" + $ap_e_id + "' and state eq 'Delivered'"
$apa_w = @(Get-MgEntitlementManagementAssignment -Filter $apa_w_filter -ExpandProperty target -All)
$apa_e = @(Get-MgEntitlementManagementAssignment -Filter $apa_e_filter -ExpandProperty target -All)
$htt = @{}; foreach ($e in $apa_e) { if ($null -ne $e.Target -and $null -ne $e.Target.Id) {$htt[$e.Target.Id] = $e} }
foreach ($w in $apa_w) { if ($null -ne $w.Target -and $null -ne $w.Target.Id -and $htt.ContainsKey($w.Target.Id)) { write-output $w.Target.Email } }

Mengonfigurasi beberapa paket akses untuk skenario ambil alih

Jika paket akses telah dikonfigurasi sebagai tidak kompatibel, maka pengguna yang memiliki tugas untuk paket akses yang tidak kompatibel tersebut tidak dapat meminta paket akses, dan administrator juga tidak dapat membuat tugas baru yang tidak kompatibel.

Misalnya, jika paket akses Lingkungan produksi telah menandai paket Lingkungan pengembangan sebagai tidak kompatibel, dan pengguna memiliki penetapan ke paket akses Lingkungan pengembangan, maka pengelola paket akses untuk Lingkungan produksi tidak dapat membuat penetapan untuk pengguna tersebut ke Lingkungan produksi. Untuk melanjutkan penugasan tersebut, penugasan pengguna yang sudah ada ke paket akses Lingkungan pengembangan harus dihapus terlebih dahulu.

Jika ada situasi luar biasa di mana aturan pemisahan tugas mungkin perlu diganti, maka mengonfigurasi paket akses tambahan untuk menangkap pengguna yang memiliki hak akses yang tumpang tindih akan memperjelas kepada pemberi persetujuan, peninjau, dan auditor tentang sifat luar biasa dari tugas tersebut.

Misalnya, jika ada skenario bahwa beberapa pengguna perlu memiliki akses ke lingkungan produksi dan penyebaran secara bersamaan, Anda dapat membuat Lingkungan produksi dan pengembangan paket akses baru. Paket akses tersebut dapat memiliki beberapa peran sumber daya dari paket akses Lingkungan produksi dan beberapa peran sumber daya dari paket akses Lingkungan pengembangan.

Jika motivasi akses yang tidak kompatibel adalah salah satu peran sumber daya sangat bermasalah, sumber daya tersebut dapat dihilangkan dari paket akses gabungan, dan memerlukan penetapan administrator eksplisit pengguna ke peran sumber daya. Jika itu adalah aplikasi pihak ketiga atau aplikasi Anda sendiri, maka Anda dapat memastikan pengawasan dengan memantau penetapan peran tersebut menggunakan buku kerja Aktivitas penetapan peran aplikasi yang dijelaskan di bagian berikutnya.

Bergantung pada proses tata kelola Anda, paket akses gabungan itu dapat memiliki kebijakannya:

• kebijakan penugasan langsung, sehingga hanya pengelola paket akses yang akan berinteraksi dengan paket akses, atau
• pengguna dapat meminta kebijakan akses, sehingga pengguna dapat meminta, dengan kemungkinan tahap persetujuan tambahan

Kebijakan ini dapat memiliki pengaturan siklus hidup dengan jumlah hari kedaluwarsa yang jauh lebih pendek daripada kebijakan pada paket akses lainnya, atau memerlukan tinjauan akses yang lebih sering, dengan pengawasan rutin sehingga pengguna tidak mempertahankan akses lebih lama dari yang diperlukan.

Memantau dan melaporkan penetapan akses

Anda bisa menggunakan buku kerja Azure Monitor untuk mendapatkan wawasan tentang bagaimana pengguna telah menerima akses mereka.

1. Konfigurasikan ID Microsoft Entra untuk mengirim peristiwa audit ke Azure Monitor.

2. Buku kerja bernama Aktivitas Paket Akses menampilkan setiap peristiwa yang terkait dengan paket akses tertentu.

   

3. Untuk melihat apakah ada perubahan pada penetapan peran aplikasi untuk aplikasi yang tidak dibuat karena penetapan paket akses, maka Anda dapat memilih buku kerja bernama Aktivitas penetapan peran aplikasi. Jika Anda memilih untuk menghilangkan aktivitas penetapan, maka hanya perubahan pada peran aplikasi yang tidak dibuat oleh pengelolaan pemberian hak yang akan ditampilkan. Misalnya, Anda akan melihat baris jika administrator global telah secara langsung menetapkan pengguna ke peran aplikasi.

   

Langkah berikutnya

• Melihat, menambah, dan menghapus penugasan untuk paket akses
• Menampilkan laporan dan log