Mengelola pengguna aplikasi yang sudah ada - Microsoft PowerShell

Ada tiga skenario umum di mana perlu untuk mengisi ID Microsoft Entra dengan pengguna aplikasi yang ada sebelum Anda menggunakan aplikasi dengan fitur Tata Kelola ID Microsoft Entra seperti tinjauan akses.

Persyaratan lisensi

Menggunakan fitur ini memerlukan lisensi Tata Kelola ID Microsoft Entra. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Tata Kelola ID Microsoft Entra dasar-dasar lisensi.

Aplikasi dimigrasikan ke ID Microsoft Entra setelah menggunakan idP-nya sendiri

Dalam skenario pertama, aplikasi sudah ada di lingkungan. Sebelumnya, aplikasi menggunakan penyedia identitas atau penyimpanan datanya sendiri untuk melacak pengguna mana yang memiliki akses.

Saat Anda mengubah aplikasi untuk mengandalkan ID Microsoft Entra, hanya pengguna yang berada di ID Microsoft Entra dan mengizinkan akses ke aplikasi tersebut yang dapat mengaksesnya. Sebagai bagian dari perubahan konfigurasi tersebut, Anda dapat memilih untuk memasukkan pengguna yang ada dari penyimpanan data aplikasi tersebut ke ID Microsoft Entra. Pengguna tersebut kemudian terus memiliki akses, melalui ID Microsoft Entra.

Memiliki pengguna yang terkait dengan aplikasi yang diwakili dalam MICROSOFT Entra ID akan memungkinkan MICROSOFT Entra ID untuk melacak pengguna yang memiliki akses ke aplikasi, meskipun hubungan mereka dengan aplikasi berasal dari tempat lain. Misalnya, hubungan mungkin berasal dari direktori atau database aplikasi.

Setelah MICROSOFT Entra ID mengetahui penetapan pengguna, id tersebut dapat mengirim pembaruan ke penyimpanan data aplikasi. Pembaruan termasuk ketika atribut pengguna itu berubah, atau ketika pengguna keluar dari cakupan aplikasi.

Aplikasi yang tidak menggunakan ID Microsoft Entra sebagai satu-satunya idP

Dalam skenario kedua, aplikasi tidak hanya mengandalkan ID Microsoft Entra sebagai penyedia identitasnya.

Dalam beberapa kasus, aplikasi mungkin mengandalkan grup AD. Skenario ini dijelaskan dalam Pola B dalam Mempersiapkan tinjauan akses akses pengguna ke aplikasi. Anda tidak perlu mengonfigurasi provisi untuk aplikasi tersebut seperti yang dijelaskan dalam artikel tersebut, sebagai gantinya ikuti instruksi untuk Pola B dalam artikel tersebut tentang cara meninjau keanggotaan grup AD.

Dalam kasus lain, aplikasi mungkin mendukung beberapa penyedia identitas atau memiliki penyimpanan kredensial bawaannya sendiri. Skenario ini dijelaskan sebagai Pola C dalam Mempersiapkan tinjauan akses dari akses pengguna ke aplikasi.

Mungkin tidak layak untuk menghapus penyedia identitas lain atau autentikasi kredensial lokal dari aplikasi. Dalam hal ini, jika Anda ingin menggunakan MICROSOFT Entra ID untuk meninjau siapa yang memiliki akses ke aplikasi tersebut, atau menghapus akses seseorang dari aplikasi tersebut, Anda harus membuat tugas di ID Microsoft Entra yang mewakili pengguna aplikasi yang tidak mengandalkan ID Microsoft Entra untuk autentikasi.

Memiliki penugasan ini diperlukan jika Anda berencana untuk meninjau semua pengguna dengan akses ke aplikasi, sebagai bagian dari tinjauan akses.

Misalnya, asumsikan bahwa pengguna berada di penyimpanan data aplikasi. ID Microsoft Entra dikonfigurasi untuk memerlukan penetapan peran ke aplikasi. Namun, pengguna tidak memiliki penetapan peran aplikasi di ID Microsoft Entra.

Jika pengguna diperbarui di ID Microsoft Entra, tidak ada perubahan yang akan dikirim ke aplikasi. Dan jika penetapan peran aplikasi ditinjau, pengguna tidak akan disertakan dalam tinjauan. Agar semua pengguna disertakan dalam tinjauan, perlu ada penetapan peran aplikasi untuk semua pengguna aplikasi.

Aplikasi tidak menggunakan ID Microsoft Entra sebagai penyedia identitasnya juga tidak mendukung provisi

Untuk beberapa aplikasi warisan, mungkin tidak layak untuk menghapus penyedia identitas lain atau autentikasi kredensial lokal dari aplikasi, atau mengaktifkan dukungan untuk protokol provisi untuk aplikasi tersebut.

Skenario aplikasi yang tidak mendukung protokol provisi, dibahas dalam artikel terpisah, Mengatur pengguna aplikasi yang ada yang tidak mendukung provisi.

Terminologi

Artikel ini mengilustrasikan proses untuk mengelola penetapan peran aplikasi dengan menggunakan cmdlet Microsoft Graph PowerShell. Proses tersebut menggunakan terminologi Microsoft Graph berikut.

Di ID Microsoft Entra, perwakilan layanan (ServicePrincipal) mewakili aplikasi dalam direktori organisasi tertentu. ServicePrincipal memiliki properti bernama AppRoles yang mencantumkan peran yang didukung aplikasi, seperti Marketing specialist. AppRoleAssignment menautkan pengguna ke perwakilan layanan dan menentukan peran yang dimiliki pengguna dalam aplikasi tersebut. Aplikasi mungkin memiliki lebih dari satu perwakilan layanan, jika akses menyeluruh ke aplikasi dan provisi ke aplikasi ditangani secara terpisah.

Anda mungkin juga menggunakan paket akses pengelolaan pemberian hak Microsoft Entra untuk memberi pengguna akses terbatas waktu ke aplikasi. Dalam pengelolaan pemberian hak, AccessPackage berisi satu atau beberapa peran sumber daya, kemungkinan dari beberapa perwakilan layanan. AccessPackage juga memiliki tugas (Assignment) bagi pengguna untuk paket akses.

Saat Anda membuat penugasan untuk pengguna ke paket akses, pengelolaan pemberian hak Microsoft Entra secara otomatis membuat instans yang diperlukan AppRoleAssignment untuk pengguna ke setiap perwakilan layanan aplikasi dalam paket akses. Untuk informasi selengkapnya, lihat tutorial Mengelola akses ke sumber daya di pengelolaan pemberian hak Microsoft Entra tentang cara membuat paket akses melalui PowerShell.

Sebelum Anda mulai

• Anda harus memiliki salah satu lisensi berikut di penyewa Anda:

  • Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra
  • Lisensi Enterprise Mobility + Keamanan E5

• Anda harus memiliki peran administratif yang sesuai. Jika ini adalah pertama kalinya Anda melakukan langkah-langkah ini, Anda memerlukan peran Administrator Global untuk mengotorisasi penggunaan Microsoft Graph PowerShell di penyewa Anda.

• Aplikasi Anda memerlukan setidaknya satu perwakilan layanan di penyewa Anda:

  • Jika aplikasi menggunakan direktori LDAP, ikuti panduan untuk mengonfigurasi ID Microsoft Entra untuk memprovisikan pengguna ke direktori LDAP melalui bagian untuk mengunduh, menginstal, dan mengonfigurasi paket Microsoft Entra Koneksi Provisioning Agent.
  • Jika aplikasi menggunakan database SQL, ikuti panduan untuk mengonfigurasi ID Microsoft Entra untuk memprovisikan pengguna ke aplikasi berbasis SQL melalui bagian untuk mengunduh, menginstal, dan mengonfigurasi paket Microsoft Entra Koneksi Provisioning Agent.
  • Jika aplikasi menggunakan SAP Cloud Identity Services atau merupakan aplikasi cloud yang mendukung protokol SCIM, dan aplikasi belum dikonfigurasi di penyewa Anda, maka nanti dalam panduan ini Anda akan mendaftarkan aplikasi dari galeri aplikasi.
  • Jika aplikasi lokal dan mendukung protokol SCIM, ikuti panduan untuk mengonfigurasi ID Microsoft Entra untuk memprovisikan pengguna ke dalam aplikasi berbasis SCIM lokal.

Mengumpulkan pengguna yang sudah ada dari aplikasi

Langkah pertama untuk memastikan bahwa semua pengguna direkam di ID Microsoft Entra adalah mengumpulkan daftar pengguna yang ada yang memiliki akses ke aplikasi.

Beberapa aplikasi mungkin memiliki perintah bawaan untuk mengekspor daftar pengguna saat ini dari penyimpanan data. Dalam kasus lain, aplikasi mungkin bergantung pada direktori atau database eksternal.

Di beberapa lingkungan, aplikasi mungkin terletak di segmen atau sistem jaringan yang tidak sesuai untuk mengelola akses ke ID Microsoft Entra. Jadi Anda mungkin perlu mengekstrak daftar pengguna dari direktori atau database tersebut, lalu mentransfernya sebagai file ke sistem lain yang dapat digunakan untuk interaksi Microsoft Entra.

Bagian ini menjelaskan empat pendekatan tentang cara mendapatkan daftar pengguna dalam file nilai yang dipisahkan koma (CSV):

• Dari direktori LDAP
• Dari database SQL Server
• Dari database berbasis SQL lainnya
• Dari SAP Cloud Identity Services

Mengumpulkan pengguna yang ada dari aplikasi yang menggunakan direktori LDAP

Bagian ini berlaku untuk aplikasi yang menggunakan direktori LDAP sebagai penyimpanan data yang mendasar untuk pengguna yang tidak mengautentikasi ke ID Microsoft Entra. Banyak direktori LDAP, seperti Active Directory, menyertakan perintah yang menghasilkan daftar pengguna.

1. Identifikasi pengguna mana dalam direktori tersebut yang berada dalam cakupan untuk menjadi pengguna aplikasi. Pilihan ini akan bergantung pada konfigurasi aplikasi Anda. Untuk beberapa aplikasi, setiap pengguna yang ada di direktori LDAP adalah pengguna yang valid. Aplikasi lain mungkin mengharuskan pengguna untuk memiliki atribut tertentu atau menjadi anggota grup di direktori tersebut.

2. Jalankan perintah yang mengambil subset pengguna tersebut dari direktori Anda. Pastikan bahwa output menyertakan atribut pengguna yang akan digunakan untuk mencocokkan dengan ID Microsoft Entra. Contoh atribut ini adalah ID karyawan, nama akun, dan alamat email.

   Misalnya, perintah ini akan menghasilkan file CSV di direktori sistem file saat ini dengan userPrincipalName atribut setiap orang di direktori LDAP:

   $out_filename = ".\users.csv"
   csvde -f $out_filename -l userPrincipalName,cn -r "(objectclass=person)"
   

3. Jika diperlukan, transfer file CSV yang berisi daftar pengguna ke sistem yang telah menginstal cmdlet Microsoft Graph PowerShell .

4. Lanjutkan membaca di konfirmasi Id Microsoft Entra memiliki pengguna yang cocok dengan pengguna dari bagian aplikasi nanti di artikel ini.

Mengumpulkan pengguna yang sudah ada dari tabel database aplikasi dengan menggunakan wizard SQL Server

Bagian ini berlaku untuk aplikasi yang menggunakan SQL Server sebagai penyimpanan data yang mendasarinya.

Pertama, dapatkan daftar pengguna dari tabel. Sebagian besar database menyediakan cara untuk mengekspor konten tabel ke format file standar, seperti ke file CSV. Jika aplikasi menggunakan database SQL Server, Anda dapat menggunakan Wizard Impor dan Ekspor SQL Server untuk mengekspor sebagian database. Jika Anda tidak memiliki utilitas untuk database, Anda dapat menggunakan driver ODBC dengan PowerShell, seperti yang dijelaskan di bagian berikutnya.

1. Masuk ke sistem tempat SQL Server terinstal.
2. Buka SQL Server 2019 Impor dan Ekspor (64 bit) atau yang setara untuk database Anda.
3. Pilih database yang sudah ada sebagai sumbernya.
4. Pilih Tujuan File Datar sebagai tujuan. Beri nama file, dan ubah nilai Haman kode menjadi 65001 (UTF-8).
5. Selesaikan wizard, dan pilih opsi untuk segera dijalankan.
6. Tunggu hingga eksekusi selesai.
7. Jika diperlukan, transfer file CSV yang berisi daftar pengguna ke sistem yang telah menginstal cmdlet Microsoft Graph PowerShell .
8. Lanjutkan membaca di konfirmasi Id Microsoft Entra memiliki pengguna yang cocok dengan pengguna dari bagian aplikasi nanti di artikel ini.

Kumpulkan pengguna yang sudah ada dari tabel database aplikasi dengan menggunakan PowerShell

Bagian ini berlaku untuk aplikasi yang menggunakan database SQL lain sebagai penyimpanan data pokok, tempat Anda menggunakan Host Konektor ECMA untuk menyediakan pengguna ke dalam aplikasi tersebut. Jika Anda belum mengonfigurasi agen provisi, gunakan panduan itu untuk membuat file koneksi DSN yang akan Anda gunakan di bagian ini.

1. Masuk ke sistem tempat agen provisi berada atau akan diinstal.

2. Buka PowerShell.

3. Buat string koneksi untuk tersambung ke sistem database Anda.

   Komponen string koneksi bergantung pada persyaratan database Anda. Jika Anda menggunakan SQL Server, lihat daftar kata kunci dan atribut DSN dan string koneksi.

   Jika Anda menggunakan database yang berbeda, Anda harus menyertakan kata kunci wajib untuk menghubungkan ke database tersebut. Misalnya, jika database Anda menggunakan nama jalur file DSN yang sepenuhnya memenuhi syarat, ID pengguna, dan kata sandi, maka buat string koneksi menggunakan perintah berikut:

   $filedsn = "c:\users\administrator\documents\db.dsn"
   $db_cs = "filedsn=" + $filedsn + ";uid=p;pwd=secret"
   

4. Buka koneksi ke database Anda dan berikan string koneksi dengan menggunakan perintah berikut:

   $db_conn = New-Object data.odbc.OdbcConnection
   $db_conn.ConnectionString = $db_cs
   $db_conn.Open()
   

5. Buat kueri SQL untuk mengambil pengguna dari tabel database. Pastikan untuk menyertakan kolom yang akan digunakan untuk mencocokkan pengguna dalam database aplikasi dengan pengguna tersebut di ID Microsoft Entra. Kolom mungkin menyertakan ID karyawan, nama akun, atau alamat email.

   Misalnya, jika pengguna Anda disimpan dalam tabel database bernama USERS yang memiliki kolom name dan email, masukkan perintah berikut:

   $db_query = "SELECT name,email from USERS"
   
   

6. Kirim kueri ke database melalui koneksi:

   $result = (new-object data.odbc.OdbcCommand($db_query,$db_conn)).ExecuteReader()
   $table = new-object System.Data.DataTable
   $table.Load($result)
   

   Hasilnya adalah daftar baris yang mewakili pengguna yang diambil dari kueri.

7. Tulis hasilnya ke file CSV:

   $out_filename = ".\users.csv"
   $table.Rows | Export-Csv -Path $out_filename -NoTypeInformation -Encoding UTF8
   

8. Jika sistem ini tidak menginstal cmdlet Microsoft Graph PowerShell atau tidak memiliki konektivitas ke MICROSOFT Entra ID, transfer file CSV yang berisi daftar pengguna ke sistem yang telah menginstal cmdlet Microsoft Graph PowerShell.

Mengumpulkan pengguna yang ada dari SAP Cloud Identity Services

Bagian ini berlaku untuk aplikasi SAP yang menggunakan SAP Cloud Identity Services sebagai layanan yang mendasar untuk provisi pengguna.

1. Masuk ke Konsol Admin SAP Cloud Identity Services Anda, https://<tenantID>.accounts.ondemand.com/admin atau https://<tenantID>.trial-accounts.ondemand.com/admin jika uji coba.
2. Navigasi ke Pengguna & Pengguna Ekspor Otorisasi>.
3. Pilih semua atribut yang diperlukan untuk mencocokkan pengguna Microsoft Entra dengan yang ada di SAP. Ini termasuk SCIM IDatribut , userName, emails, dan lainnya yang mungkin Anda gunakan di Sistem SAP Anda.
4. Pilih Ekspor dan tunggu browser mengunduh file CSV.
5. Jika sistem ini tidak menginstal cmdlet Microsoft Graph PowerShell atau tidak memiliki konektivitas ke MICROSOFT Entra ID, transfer file CSV yang berisi daftar pengguna ke sistem yang telah menginstal cmdlet Microsoft Graph PowerShell.

Mengonfirmasi ID Microsoft Entra memiliki pengguna yang cocok dengan pengguna dari aplikasi

Sekarang setelah Anda memiliki daftar semua pengguna yang diperoleh dari aplikasi, Anda akan mencocokkan pengguna tersebut dari penyimpanan data aplikasi dengan pengguna di ID Microsoft Entra.

Sebelum melanjutkan, tinjau informasi tentang pengguna yang cocok di sistem sumber dan target. Anda akan mengonfigurasi provisi Microsoft Entra dengan pemetaan yang setara setelahnya. Langkah itu akan memungkinkan provisi Microsoft Entra untuk mengkueri penyimpanan data aplikasi dengan aturan pencocokan yang sama.

Mengambil ID pengguna di ID Microsoft Entra

Bagian ini memperlihatkan cara berinteraksi dengan ID Microsoft Entra dengan menggunakan cmdlet Microsoft Graph PowerShell .

Pertama kali organisasi Anda menggunakan cmdlet ini untuk skenario ini, Anda harus berada dalam peran Administrator Global agar Microsoft Graph PowerShell dapat digunakan di penyewa Anda. Interaksi selanjutnya dapat menggunakan peran dengan hak istimewa yang lebih rendah, seperti:

• Administrator Pengguna, jika Anda mengantisipasi pembuatan pengguna baru.
• Administrator Aplikasi atau Administrator Tata Kelola Identitas, jika Anda hanya mengelola penetapan peran aplikasi.

1. Buka PowerShell.

2. Jika Anda belum menginstal modul Microsoft Graph PowerShell , instal modul Microsoft.Graph.Users dan lainnya dengan menggunakan perintah ini:

   Install-Module Microsoft.Graph
   

   Jika Anda sudah menginstal modul, pastikan Anda menggunakan versi terbarunya:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Koneksi ke ID Microsoft Entra:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Jika ini pertama kalinya Anda menggunakan perintah ini, Anda mungkin perlu menyetujui untuk mengizinkan alat Baris Perintah Microsoft Graph memiliki izin ini.

5. Baca daftar pengguna yang diperoleh dari penyimpanan data aplikasi ke dalam sesi PowerShell. Jika daftar pengguna berada dalam file CSV, Anda dapat menggunakan cmdlet PowerShell Import-Csv dan memberikan nama file dari bagian sebelumnya sebagai argumen.

   Misalnya, jika file yang diperoleh dari SAP Cloud Identity Services diberi nama Users-exported-from-sap.csv dan terletak di direktori saat ini, masukkan perintah ini.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   Untuk contoh lain jika Anda menggunakan database atau direktori, jika file diberi nama users.csv dan terletak di direktori saat ini, masukkan perintah ini:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. Pilih kolom file users.csv yang akan cocok dengan atribut pengguna di ID Microsoft Entra.

   Jika Anda menggunakan SAP Cloud Identity Services, maka pemetaan defaultnya adalah atribut userName SAP SCIM dengan atribut userPrincipalNameID Microsoft Entra :

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   Untuk contoh lain jika Anda menggunakan database atau direktori, Anda mungkin memiliki pengguna dalam database di mana nilai dalam kolom bernama EMail adalah nilai yang sama seperti dalam atribut userPrincipalNameMicrosoft Entra :

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Ambil ID pengguna tersebut di ID Microsoft Entra.

   Skrip PowerShell berikut menggunakan nilai $dbusers, $db_match_column_name, dan $azuread_match_attr_name yang ditentukan sebelumnya. Ini akan meminta ID Microsoft Entra untuk menemukan pengguna yang memiliki atribut dengan nilai yang cocok untuk setiap rekaman dalam file sumber. Jika ada banyak pengguna dalam file yang diperoleh dari sumber SAP Cloud Identity Services, database, atau direktori, skrip ini mungkin memerlukan waktu beberapa menit untuk menyelesaikannya. Jika Anda tidak memiliki atribut di ID Microsoft Entra yang memiliki nilai, dan perlu menggunakan contains ekspresi filter atau lainnya, maka Anda harus menyesuaikan skrip ini dan bahwa pada langkah 11 di bawah ini untuk menggunakan ekspresi filter yang berbeda.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Menampilkan hasil kueri sebelumnya. Lihat apakah salah satu pengguna di SAP Cloud Identity Services, database, atau direktori tidak dapat berada di ID Microsoft Entra, karena kesalahan atau kecocokan yang hilang.

   Skrip PowerShell berikut akan menampilkan jumlah catatan yang tidak ditemukan:

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. Ketika skrip selesai, skrip akan menunjukkan kesalahan jika ada rekaman dari sumber data yang tidak terletak di ID Microsoft Entra. Jika tidak semua rekaman untuk pengguna dari penyimpanan data aplikasi dapat ditemukan sebagai pengguna di ID Microsoft Entra, Anda harus menyelidiki rekaman mana yang tidak cocok dan mengapa.

   Misalnya, alamat email seseorang dan userPrincipalName mungkin telah diubah di ID Microsoft Entra tanpa properti yang mail sesuai diperbarui di sumber data aplikasi. Atau, pengguna mungkin telah keluar dari organisasi tetapi masih dalam sumber data aplikasi. Atau mungkin ada akun vendor atau super-admin di sumber data aplikasi yang tidak sesuai dengan orang tertentu di ID Microsoft Entra.

10. Jika ada pengguna yang tidak dapat berada di ID Microsoft Entra, atau tidak aktif dan dapat masuk, tetapi Anda ingin akses mereka ditinjau atau atribut mereka diperbarui di SAP Cloud Identity Services, database, atau direktori, Anda harus memperbarui aplikasi, aturan yang cocok, atau memperbarui atau membuat pengguna Microsoft Entra untuk mereka. Untuk informasi selengkapnya tentang perubahan mana yang akan dilakukan, lihat mengelola pemetaan dan akun pengguna dalam aplikasi yang tidak cocok dengan pengguna di ID Microsoft Entra.

    Jika Anda memilih opsi untuk membuat pengguna di MICROSOFT Entra ID, Anda dapat membuat pengguna secara massal dengan menggunakan:

    • File CSV, seperti yang dijelaskan dalam Membuat pengguna secara massal di pusat admin Microsoft Entra
    • Cmdlet New-MgUser

    Pastikan bahwa pengguna baru ini diisi dengan atribut yang diperlukan untuk ID Microsoft Entra agar nanti cocok dengan pengguna yang ada dalam aplikasi, dan atribut yang diperlukan oleh ID Microsoft Entra, termasuk userPrincipalName, mailNickname dan displayName. userPrincipalName harus unik di antara semua pengguna di direktori.

    Misalnya, Anda mungkin memiliki pengguna dalam database di mana nilai dalam kolom bernama EMail adalah nilai yang ingin Anda gunakan sebagai Nama prinsipal pengguna Microsoft Entra, nilai dalam kolom Alias berisi nama panggilan email ID Microsoft Entra, dan nilai dalam kolom Full name berisi nama tampilan pengguna:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Kemudian Anda dapat menggunakan skrip ini untuk membuat pengguna Microsoft Entra untuk pengguna di SAP Cloud Identity Services, database, atau direktori yang tidak cocok dengan pengguna di ID Microsoft Entra. Perhatikan bahwa Anda mungkin perlu mengubah skrip ini untuk menambahkan atribut Microsoft Entra tambahan yang diperlukan di organisasi Anda, atau jika bukan mailNickname atau userPrincipalName, untuk menyediakan atribut Microsoft Entra tersebut$azuread_match_attr_name.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. Setelah Anda menambahkan pengguna yang hilang ke ID Microsoft Entra, jalankan skrip dari langkah 7 lagi. Kemudian jalankan skrip dari langkah 8. Periksa bahwa tidak ada kesalahan yang dilaporkan.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Mendaftarkan aplikasi

Jika aplikasi sudah terdaftar di ID Microsoft Entra, lanjutkan ke langkah berikutnya.

• Jika aplikasi menggunakan direktori LDAP, ikuti panduan untuk mengonfigurasi ID Microsoft Entra untuk memprovisikan pengguna ke bagian direktori LDAP untuk membuat pendaftaran baru untuk aplikasi ECMA lokal di ID Microsoft Entra.
• Jika aplikasi menggunakan database SQL, ikuti panduan untuk mengonfigurasi ID Microsoft Entra untuk memprovisikan pengguna ke bagian aplikasi berbasis SQL untuk membuat pendaftaran baru untuk aplikasi ECMA lokal di ID Microsoft Entra.
• Jika Anda menggunakan SAP Cloud Identity Services, ikuti panduan untuk mengonfigurasi ID Microsoft Entra untuk memprovisikan pengguna ke SAP Cloud Identity Services.
• Jika ini adalah aplikasi cloud yang mendukung protokol SCIM, maka Anda dapat menambahkan aplikasi dari galeri aplikasi.
• Jika aplikasi lokal dan mendukung protokol SCIM, ikuti panduan untuk mengonfigurasi ID Microsoft Entra untuk memprovisikan pengguna ke dalam aplikasi berbasis SCIM lokal.

Memeriksa pengguna yang belum ditetapkan ke aplikasi

Langkah-langkah sebelumnya telah mengonfirmasi bahwa semua pengguna di penyimpanan data aplikasi ada sebagai pengguna di ID Microsoft Entra. Namun, mereka mungkin tidak semua saat ini ditetapkan ke peran aplikasi dalam ID Microsoft Entra. Jadi langkah selanjutnya adalah melihat pengguna mana yang tidak memiliki penugasan ke peran aplikasi.

1. Cari ID perwakilan layanan untuk perwakilan layanan aplikasi. Jika Anda baru-baru ini membuat perwakilan layanan untuk aplikasi yang menggunakan direktori LDAP atau database SQL, maka gunakan nama perwakilan layanan tersebut.

   Misalnya, jika aplikasi perusahaan diberi nama CORPDB1, maka ketik perintah berikut:

   $azuread_app_name = "CORPDB1"
   $azuread_sp_filter = "displayName eq '" + ($azuread_app_name -replace "'","''") + "'"
   $azuread_sp = Get-MgServicePrincipal -Filter $azuread_sp_filter -All
   

2. Ambil pengguna yang saat ini memiliki penugasan ke aplikasi di ID Microsoft Entra.

   Ini dibangun berdasarkan variabel yang $azuread_sp ditetapkan dalam perintah sebelumnya.

   $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
   

3. Bandingkan daftar ID pengguna dari bagian sebelumnya dengan pengguna yang saat ini ditetapkan ke aplikasi:

   $azuread_not_in_role_list = @()
   foreach ($id in $azuread_match_id_list) {
      $found = $false
      foreach ($existing in $azuread_existing_assignments) {
         if ($existing.principalId -eq $id) {
            $found = $true; break;
         }
      }
      if ($found -eq $false) { $azuread_not_in_role_list += $id }
   }
   $azuread_not_in_role_count = $azuread_not_in_role_list.Count
   Write-Output "$azuread_not_in_role_count users in the application's data store are not assigned to the application roles."
   

   Jika tidak ada pengguna yang tidak ditetapkan ke peran aplikasi, artinya semua pengguna ditetapkan ke peran aplikasi, Anda tidak perlu membuat perubahan lebih lanjut sebelum melakukan tinjauan akses.

   Namun, jika satu atau beberapa pengguna saat ini tidak ditetapkan ke peran aplikasi, Anda harus melanjutkan prosedur dan menambahkannya ke salah satu peran aplikasi.

4. Pilih peran aplikasi yang akan ditetapkan ke pengguna yang tersisa.

   Aplikasi mungkin memiliki lebih dari satu peran, dan perwakilan layanan mungkin memiliki peran tambahan. Gunakan perintah ini untuk mencantumkan peran yang tersedia dari perwakilan layanan:

   $azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User"} | ft DisplayName,Id
   

   Pilih peran yang sesuai dari daftar, dan dapatkan ID perannya. Misalnya, jika nama peran adalah Admin, berikan nilai tersebut dalam perintah PowerShell berikut:

   $azuread_app_role_name = "Admin"
   $azuread_app_role_id = ($azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User" -and $_.DisplayName -eq $azuread_app_role_name}).Id
   if ($null -eq $azuread_app_role_id) { write-error "role $azuread_app_role_name not located in application manifest"}
   

Mengonfigurasi provisi aplikasi

Jika aplikasi Anda menggunakan direktori LDAP, database SQL, SAP Cloud Identity Services, atau mendukung SCIM, maka sebelum Anda membuat tugas baru, konfigurasikan provisi pengguna Microsoft Entra ke aplikasi. Mengonfigurasi provisi sebelum membuat penugasan akan memungkinkan MICROSOFT Entra ID untuk mencocokkan pengguna di ID Microsoft Entra dengan penetapan peran aplikasi kepada pengguna yang sudah ada di penyimpanan data aplikasi. Jika aplikasi Anda memiliki direktori atau database lokal untuk disediakan, dan juga mendukung SSO federasi, maka Anda mungkin memerlukan dua perwakilan layanan untuk mewakili aplikasi di direktori Anda: satu untuk provisi dan satu untuk SSO. Jika aplikasi Anda tidak mendukung provisi, lanjutkan membaca di bagian berikutnya.

1. Pastikan bahwa aplikasi dikonfigurasi untuk mengharuskan pengguna memiliki penetapan peran aplikasi, sehingga hanya pengguna yang dipilih yang akan diprovisikan ke aplikasi.

2. Jika provisi belum dikonfigurasi untuk aplikasi, konfigurasikan sekarang (tetapi jangan mulai provisi):

   • Jika aplikasi menggunakan direktori LDAP, ikuti panduan untuk mengonfigurasi ID Microsoft Entra untuk memprovisikan pengguna ke direktori LDAP.
   • Jika aplikasi menggunakan database SQL, ikuti panduan untuk mengonfigurasi ID Microsoft Entra untuk memprovisikan pengguna ke dalam aplikasi berbasis SQL.
   • Jika aplikasi menggunakan SAP Cloud Identity Services, ikuti panduan untuk mengonfigurasi ID Microsoft Entra untuk memprovisikan pengguna ke SAP Cloud Identity Services.
   • Untuk aplikasi lain, ikuti langkah 1-3 untuk mengonfigurasi provisi melalui Graph API.

3. Periksa tab Properti untuk aplikasi. Verifikasi bahwa opsi Penetapan pengguna diperlukan? diatur ke Ya. Jika diatur ke Tidak, semua pengguna di direktori Anda, termasuk identitas eksternal, dapat mengakses aplikasi dan Anda tidak dapat meninjau akses ke aplikasi.

4. Periksa pemetaan atribut untuk provisi ke aplikasi tersebut. Pastikan bahwa Cocokkan objek menggunakan atribut ini diatur untuk atribut dan kolom Microsoft Entra yang Anda gunakan di bagian sebelumnya untuk pencocokan.

   Jika aturan ini tidak menggunakan atribut yang sama dengan yang Anda gunakan sebelumnya, maka ketika penetapan peran aplikasi dibuat, ID Microsoft Entra mungkin tidak dapat menemukan pengguna yang ada di penyimpanan data aplikasi. ID Microsoft Entra kemudian mungkin secara tidak sengaja membuat pengguna duplikat.

5. Periksa apakah ada pemetaan atribut untuk isSoftDeleted atribut aplikasi.

   Ketika pengguna tidak ditetapkan dari aplikasi, dihapus sementara di ID Microsoft Entra, atau diblokir dari masuk, provisi Microsoft Entra akan memperbarui atribut yang dipetakan ke isSoftDeleted. Jika tidak ada atribut yang dipetakan, pengguna yang nantinya tidak ditetapkan dari peran aplikasi akan terus ada di penyimpanan data aplikasi.

6. Jika provisi telah diaktifkan untuk aplikasi, periksa bahwa provisi aplikasi tidak sedang dalam karantina. Selesaikan masalah apa pun yang menyebabkan karantina sebelum Anda melanjutkan.

Membuat penetapan peran aplikasi di ID Microsoft Entra

Agar ID Microsoft Entra cocok dengan pengguna dalam aplikasi dengan pengguna di ID Microsoft Entra, Anda perlu membuat penetapan peran aplikasi di ID Microsoft Entra. Setiap penetapan peran aplikasi mengaitkan satu pengguna ke satu peran aplikasi dari satu perwakilan layanan.

Saat penetapan peran aplikasi dibuat di ID Microsoft Entra untuk pengguna ke aplikasi, dan aplikasi mendukung provisi, lalu:

• MICROSOFT Entra ID akan mengkueri aplikasi melalui SCIM, atau direktori atau databasenya, untuk menentukan apakah pengguna sudah ada.
• Ketika pembaruan berikutnya dilakukan pada atribut pengguna di ID Microsoft Entra, ID Microsoft Entra akan mengirim pembaruan tersebut ke aplikasi.
• Pengguna akan tetap berada dalam aplikasi tanpa batas waktu kecuali mereka diperbarui di luar ID Microsoft Entra, atau sampai penugasan di ID Microsoft Entra dihapus.
• Pada tinjauan akses berikutnya dari penetapan peran aplikasi tersebut, pengguna akan disertakan dalam tinjauan akses.
• Jika pengguna ditolak dalam tinjauan akses, penetapan peran aplikasi mereka akan dihapus. MICROSOFT Entra ID akan memberi tahu aplikasi bahwa pengguna diblokir dari masuk.

Jika aplikasi tidak mendukung provisi, maka

• Pengguna akan tetap berada dalam aplikasi tanpa batas waktu kecuali mereka diperbarui di luar ID Microsoft Entra, atau sampai penugasan di ID Microsoft Entra dihapus.
• Pada tinjauan berikutnya dari penetapan peran aplikasi tersebut, pengguna akan disertakan dalam tinjauan.
• Jika pengguna ditolak dalam tinjauan akses, penetapan peran aplikasi mereka akan dihapus. Pengguna tidak akan lagi dapat masuk dari ID Microsoft Entra ke aplikasi.

1. Buat penetapan peran aplikasi untuk pengguna yang saat ini tidak memiliki penetapan peran:

   foreach ($u in $azuread_not_in_role_list) {
      $res = New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -AppRoleId $azuread_app_role_id -PrincipalId $u -ResourceId $azuread_sp.Id 
   }
   

2. Tunggu satu menit agar perubahan disebarluaskan dalam ID Microsoft Entra.

Periksa apakah provisi Microsoft Entra telah cocok dengan pengguna yang ada

1. Kueri ID Microsoft Entra untuk mendapatkan daftar penetapan peran yang diperbarui:

   $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
   

2. Bandingkan daftar ID pengguna dari bagian sebelumnya dengan pengguna yang sekarang ditetapkan ke aplikasi:

   $azuread_still_not_in_role_list = @()
   foreach ($id in $azuread_match_id_list) {
      $found = $false
      foreach ($existing in $azuread_existing_assignments) {
         if ($existing.principalId -eq $id) {
            $found = $true; break;
         }
      }
      if ($found -eq $false) { $azuread_still_not_in_role_list += $id }
   }
   $azuread_still_not_in_role_count = $azuread_still_not_in_role_list.Count
   if ($azuread_still_not_in_role_count -gt 0) {
      Write-Output "$azuread_still_not_in_role_count users in the application's data store are not assigned to the application roles."
   }
   

   Jika ada pengguna yang tidak ditetapkan ke peran aplikasi, periksa log audit Microsoft Entra untuk kesalahan dari langkah sebelumnya.

3. Jika perwakilan layanan aplikasi dikonfigurasi untuk provisi, dan Status Provisi untuk perwakilan layanan Nonaktif, aktifkan ke Aktif. Anda juga dapat mulai memprovisikan menggunakan Graph API.

4. Berdasarkan panduan berapa lama waktu yang diperlukan untuk memprovisikan pengguna, tunggu provisi Microsoft Entra agar sesuai dengan pengguna aplikasi yang ada dengan pengguna yang baru saja ditetapkan.

5. Pantau status provisi melalui Portal atau Graph API untuk memastikan bahwa semua pengguna berhasil dicocokkan.

   Jika Anda tidak melihat pengguna diprovisikan, periksa panduan pemecahan masalah untuk tidak ada pengguna yang diprovisikan. Jika Anda melihat kesalahan dalam status provisi dan membuat provisi untuk aplikasi lokal, periksa panduan pemecahan masalah untuk provisi aplikasi lokal.

6. Periksa log provisi melalui pusat admin Microsoft Entra atau API Graph. Filter log ke status Gagal. Jika ada kegagalan dengan ErrorCode duplicateTargetEntries, ini menunjukkan ambiguitas dalam aturan pencocokan provisi Anda, dan Anda harus memperbarui pengguna Microsoft Entra atau pemetaan yang digunakan untuk pencocokan untuk memastikan setiap pengguna Microsoft Entra cocok dengan satu pengguna aplikasi. Kemudian filter log ke tindakan Buat dan status Dilewati. Jika pengguna dilewati dengan kode SkipReason notEffectivelyEntitled, ini dapat menunjukkan bahwa akun pengguna di ID Microsoft Entra tidak cocok karena status akun pengguna dinonaktifkan.

Setelah layanan provisi Microsoft Entra cocok dengan pengguna berdasarkan penetapan peran aplikasi yang telah Anda buat, perubahan berikutnya pada pengguna tersebut akan dikirim ke aplikasi.

Pilih peninjau yang sesuai

Saat Anda membuat tinjauan akses, administrator dapat memilih satu atau beberapa peninjau. Semua peninjau dapat melakukan peninjauan dengan memilih pengguna untuk melanjutkan akses ke sumber daya atau menghapusnya.

Biasanya pemilik sumber daya bertanggung jawab untuk melakukan peninjauan. Jika Anda membuat tinjauan grup, sebagai bagian dari meninjau akses untuk aplikasi yang terintegrasi dalam pola B, maka Anda dapat memilih pemilik grup sebagai peninjau. Karena aplikasi di MICROSOFT Entra ID tidak selalu memiliki pemilik, opsi untuk memilih pemilik aplikasi sebagai peninjau tidak dimungkinkan. Sebagai gantinya, saat membuat tinjauan, Anda dapat menyediakan nama pemilik aplikasi untuk menjadi peninjau.

Anda juga dapat memilih, saat membuat tinjauan grup atau aplikasi, untuk memiliki tinjauan multi-tahap. Misalnya, Anda dapat memilih untuk meminta manajer setiap pengguna yang ditetapkan melakukan tahap pertama peninjauan, dan pemilik sumber daya tahap kedua. Dengan begitu pemilik sumber daya dapat fokus pada pengguna yang telah disetujui oleh manajer mereka.

Sebelum membuat ulasan, periksa apakah Anda memiliki kursi Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra SKU yang memadai di penyewa Anda. Selain itu, periksa apakah semua peninjau adalah pengguna aktif dengan alamat email. Saat tinjauan akses dimulai, mereka masing-masing meninjau email dari ID Microsoft Entra. Jika peninjau tidak memiliki kotak surat, mereka tidak akan menerima email saat peninjauan dimulai atau pengingat email. Dan, jika mereka diblokir agar tidak dapat masuk ke ID Microsoft Entra, mereka tidak akan dapat melakukan peninjauan.

Mengonfigurasi tinjauan akses atau pengelolaan pemberian hak

Setelah pengguna berada dalam peran aplikasi, dan Anda memiliki peninjau yang diidentifikasi, maka Anda dapat mengatur pengguna tersebut dan pengguna tambahan yang akan membutuhkan akses, menggunakan tinjauan akses atau pengelolaan pemberian hak.

• Jika aplikasi hanya memiliki satu peran aplikasi, aplikasi diwakili oleh satu perwakilan layanan di direktori Anda, dan tidak ada pengguna tambahan yang memerlukan akses ke aplikasi, lalu lanjutkan dengan bagian berikutnya untuk meninjau dan menghapus akses yang ada menggunakan tinjauan akses.
• Jika tidak, lanjutkan di bagian artikel ini untuk mengatur akses menggunakan pengelolaan pemberian hak.

Meninjau dan menghapus akses yang ada menggunakan tinjauan akses penetapan peran aplikasi

Jika aplikasi memiliki beberapa peran aplikasi, diwakili oleh beberapa perwakilan layanan, atau Anda ingin memiliki proses bagi pengguna untuk meminta atau diberi akses ke aplikasi, lalu lanjutkan di bagian berikut dari artikel ini untuk mengatur akses menggunakan pengelolaan pemberian hak.

Sekarang setelah pengguna yang ada memiliki penugasan ke peran aplikasi, Anda dapat mengonfigurasi ID Microsoft Entra untuk memulai peninjauan penetapan tersebut.

1. Untuk langkah ini, Anda harus berada dalam peran Global administrator atau Identity Governance administrator.

2. Ikuti instruksi dalam panduan untuk membuat tinjauan akses grup atau aplikasi, untuk membuat tinjauan penetapan peran aplikasi. Konfigurasikan tinjauan untuk menerapkan hasil saat selesai. Anda dapat membuat tinjauan akses di PowerShell dengan New-MgIdentityGovernanceAccessReviewDefinition cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas. Untuk informasi selengkapnya, lihat contoh.

   Catatan

   Jika Anda mengaktifkan peninjauan pembantu keputusan saat membuat tinjauan akses, rekomendasi pembantu keputusan didasarkan pada periode interval 30 hari tergantung pada kapan pengguna terakhir kali masuk ke aplikasi menggunakan ID Microsoft Entra.

3. Ketika tinjauan akses dimulai, minta peninjau untuk memberikan masukan. Secara default, mereka masing-masing menerima email dari ID Microsoft Entra dengan tautan ke panel akses, tempat mereka meninjau akses ke aplikasi.

4. Setelah tinjauan dimulai, Anda dapat memantau kemajuannya, dan memperbarui pemberi persetujuan jika diperlukan, hingga tinjauan akses selesai. Anda kemudian dapat mengonfirmasi bahwa pengguna, yang aksesnya ditolak oleh peninjau, menghapus akses mereka dari aplikasi.

5. Jika penerapan otomatis tidak dipilih saat tinjauan dibuat, maka Anda harus menerapkan hasil tinjauan saat selesai.

6. Tunggu hingga status tinjauan berubah menjadi Hasil diterapkan. Anda akan mengharapkan untuk melihat pengguna yang ditolak, jika ada, meminta penetapan peran aplikasi mereka dihapus dalam beberapa menit.

7. Setelah hasil diterapkan, MICROSOFT Entra ID akan mulai mendeprovisi pengguna yang ditolak dari aplikasi. Berdasarkan panduan berapa lama waktu yang diperlukan untuk memprovisikan pengguna, tunggu provisi Microsoft Entra untuk mulai mendeprovisi pengguna yang ditolak. Pantau status provisi melalui Api Portal atau Grafik untuk memastikan bahwa semua pengguna yang ditolak berhasil dihapus.

   Jika Anda tidak melihat pengguna dicabut aksesnya, periksa panduan pemecahan masalah untuk tidak ada pengguna yang disediakan. Jika Anda melihat kesalahan dalam status provisi dan membuat provisi untuk aplikasi lokal, periksa panduan pemecahan masalah untuk provisi aplikasi lokal.

Sekarang setelah Anda memiliki garis besar yang memastikan akses yang ada telah ditinjau, maka Anda dapat melanjutkan di bagian berikutnya untuk mengonfigurasi pengelolaan pemberian hak, untuk mengaktifkan permintaan akses baru.

Mengatur akses menggunakan pengelolaan pemberian hak

Dalam situasi lain, seperti ingin memiliki peninjau yang berbeda untuk setiap peran aplikasi, aplikasi diwakili oleh beberapa perwakilan layanan, atau Anda ingin memiliki proses bagi pengguna untuk meminta atau diberi akses ke aplikasi, maka Anda dapat mengonfigurasi ID Microsoft Entra dengan paket akses untuk setiap peran aplikasi. Setiap paket akses dapat memiliki kebijakan untuk tinjauan berulang tugas yang dibuat ke paket akses tersebut. Setelah paket akses dan kebijakan dibuat, Anda dapat menetapkan pengguna yang memiliki penetapan peran aplikasi yang ada ke paket akses, sehingga tugas mereka dapat ditinjau melalui paket akses.

Di bagian ini, Anda akan mengonfigurasi pengelolaan pemberian hak Microsoft Entra untuk tinjauan penetapan paket akses yang berisi penetapan peran aplikasi, dan juga mengonfigurasi kebijakan tambahan sehingga pengguna dapat meminta akses ke peran aplikasi Anda.

1. Untuk langkah ini, Anda harus berada dalam Global administrator peran atau Identity Governance administrator , atau didelegasikan sebagai pembuat katalog dan pemilik aplikasi.
2. Jika Anda belum memiliki katalog untuk skenario tata kelola aplikasi Anda, buat katalog di pengelolaan pemberian izin Microsoft Entra. Anda dapat menggunakan skrip PowerShell untuk membuat setiap katalog.
3. Isi katalog dengan sumber daya yang diperlukan, dengan menambahkan aplikasi, dan grup Microsoft Entra apa pun yang diandalkan aplikasi, sebagai sumber daya dalam katalog tersebut. Anda dapat menggunakan skrip PowerShell untuk menambahkan setiap sumber daya ke katalog.
4. Untuk setiap aplikasi, dan untuk setiap peran atau grup aplikasi mereka, buat paket akses yang mencakup peran atau grup tersebut sebagai sumber dayanya. Pada tahap mengonfigurasi paket akses ini, konfigurasikan kebijakan penetapan paket akses pertama di setiap paket akses menjadi kebijakan untuk penugasan langsung, sehingga hanya administrator yang dapat membuat penugasan dalam kebijakan tersebut, mengatur persyaratan tinjauan akses untuk pengguna yang ada, jika ada, sehingga mereka tidak menyimpan akses tanpa batas waktu. Jika Anda memiliki banyak paket akses, Anda dapat menggunakan skrip PowerShell untuk membuat setiap paket akses dalam katalog.
5. Untuk setiap paket akses, tetapkan pengguna aplikasi yang ada dalam peran yang sesuai, atau anggota grup tersebut, ke paket akses dan kebijakan penugasan langsungnya. Anda dapat langsung menetapkan pengguna ke paket akses menggunakan pusat admin Microsoft Entra, atau secara massal melalui Graph atau PowerShell.
6. Jika Anda telah mengonfigurasi tinjauan akses dalam kebijakan penetapan paket akses, maka ketika tinjauan akses dimulai, minta peninjau untuk memberikan input. Secara default, mereka masing-masing menerima email dari ID Microsoft Entra dengan tautan ke panel akses, di mana mereka akan meninjau penetapan paket akses. Setelah peninjauan selesai, Anda akan mengharapkan untuk melihat pengguna yang ditolak, jika ada, meminta penetapan peran aplikasi mereka dihapus dalam beberapa menit. Selanjutnya, MICROSOFT Entra ID akan mulai mendeprovisi pengguna yang ditolak dari aplikasi. Berdasarkan panduan berapa lama waktu yang diperlukan untuk memprovisikan pengguna, tunggu provisi Microsoft Entra untuk mulai mendeprovisi pengguna yang ditolak. Pantau status provisi melalui Api Portal atau Grafik untuk memastikan bahwa semua pengguna yang ditolak berhasil dihapus.
7. Jika Anda memiliki persyaratan pemisahan tugas, konfigurasikan paket akses yang tidak kompatibel atau grup yang ada untuk paket akses Anda. Jika skenario Anda memerlukan kemampuan untuk mengambil alih pemeriksaan pemisahan tugas, maka Anda juga dapat menyiapkan paket akses tambahan untuk skenario penimpaan tersebut.
8. Jika Anda ingin mengizinkan pengguna yang belum memiliki akses untuk meminta akses, maka di setiap paket akses, buat kebijakan penetapan paket akses tambahan bagi pengguna untuk meminta akses. Konfigurasikan persyaratan persetujuan dan tinjauan akses berulang dalam kebijakan tersebut.

Langkah berikutnya

• Bersiap untuk tinjauan akses akses pengguna ke aplikasi
• Mengelola akses ke sumber daya dalam pengelolaan pemberian hak Microsoft Entra