Persetujuan pengguna dan admin di ID Microsoft Entra

  • Artikel

Dalam artikel ini, Anda akan mempelajari konsep dan skenario dasar sekeliling persetujuan pengguna dan admin di ID Microsoft Entra.

Persetujuan adalah proses di mana pengguna dapat memberikan izin bagi aplikasi untuk mengakses sumber daya yang dilindungi. Untuk menunjukkan tingkat akses yang diperlukan, aplikasi meminta izin API yang diperlukan. Misalnya, aplikasi dapat meminta izin untuk melihat profil pengguna yang masuk dan membaca isi kotak surat pengguna.

Persetujuan dapat dimulai dengan berbagai cara. Misalnya, pengguna dapat diminta untuk persetujuan ketika mereka mencoba untuk masuk ke aplikasi untuk pertama kalinya. Tergantung pada izin yang mereka butuhkan, beberapa aplikasi mungkin memerlukan administrator untuk menjadi orang yang memberikan persetujuan.

Pengguna dapat mengotorisasi aplikasi untuk mengakses beberapa data di sumber daya yang dilindungi, sambil bertindak sebagai pengguna tersebut. Izin yang memungkinkan jenis akses ini disebut "izin yang didelegasikan."

Persetujuan pengguna biasanya dimulai ketika pengguna masuk ke aplikasi. Setelah pengguna memberikan kredensial masuk, mereka diperiksa untuk menentukan apakah persetujuan telah diberikan. Jika tidak ada catatan persetujuan pengguna atau admin sebelumnya untuk izin yang diperlukan, pengguna diarahkan ke jendela prompt persetujuan untuk memberikan aplikasi izin yang diminta.

Persetujuan pengguna oleh non-administrator hanya dimungkinkan dalam organisasi di mana persetujuan pengguna diizinkan untuk aplikasi dan untuk serangkaian izin yang diperlukan aplikasi. Jika persetujuan pengguna dinonaktifkan, atau jika pengguna tidak diizinkan untuk menyetujui izin yang diminta, mereka tidak akan dimintai persetujuan. Jika pengguna diizinkan untuk menyetujui dan mereka menerima izin yang diminta, persetujuan dicatat dan mereka biasanya tidak perlu memberikan izin lagi saat masuk ke aplikasi yang sama di masa mendatang.

Pengguna mengendalikan data mereka. Administrator Istimewa dapat mengonfigurasi apakah pengguna non-administrator diizinkan untuk memberikan persetujuan pengguna ke aplikasi. Pengaturan ini dapat mempertimbangkan aspek aplikasi dan penerbit aplikasi, dan izin yang diminta.

Sebagai administrator, Anda dapat memilih apakah persetujuan pengguna diizinkan. Jika Anda memilih untuk mengizinkan persetujuan pengguna, Anda juga dapat memilih kondisi apa yang harus dipenuhi sebelum aplikasi dapat disetujui oleh pengguna.

Dengan memilih kebijakan persetujuan aplikasi yang diterapkan untuk semua pengguna, Anda dapat menetapkan batasan kapan pengguna diizinkan untuk memberikan persetujuan kepada aplikasi, dan kapan mereka akan diwajibkan untuk meminta peninjauan dan persetujuan administrator. Pusat admin Microsoft Entra menyediakan opsi bawaan berikut:

  • Anda dapat menonaktifkan persetujuan pengguna. Pengguna tidak dapat memberikan izin ke aplikasi. Pengguna terus masuk ke aplikasi yang sebelumnya mereka setujui atau ke aplikasi yang telah disetujui administrator atas nama mereka, tetapi mereka tidak akan diizinkan untuk menyetujui izin baru untuk aplikasi sendiri. Hanya pengguna yang telah diberi peran direktori yang menyertakan izin untuk memberikan persetujuan yang akan dapat menyetujui aplikasi baru.

  • Pengguna dapat menyetujui aplikasi dari penerbit terverifikasi atau organisasi Anda, tetapi hanya untuk izin yang Anda pilih. Semua pengguna hanya dapat menyetujui aplikasi yang diterbitkan oleh penerbit terverifikasi dan aplikasi yang terdaftar di penyewa Anda. Pengguna hanya dapat menyetujui izin yang Anda klasifikasikan sebagai dampak rendah. Anda harus mengklasifikasikan izin untuk memilih izin yang dapat disetujui pengguna.

  • Pengguna dapat menyetujui semua aplikasi. Opsi ini memungkinkan semua pengguna untuk menyetujui izin apa pun yang tidak memerlukan persetujuan admin, untuk aplikasi apa pun.

Untuk sebagian besar organisasi, salah satu opsi bawaan akan sesuai. Beberapa pelanggan tingkat lanjut mungkin menginginkan kontrol lebih besar atas ketentuan yang mengatur kapan pengguna diizinkan untuk memberikan izin. Pelanggan ini dapat membuat kebijakan izin aplikasi khusus dan mengonfigurasi kebijakan tersebut untuk diterapkan pada persetujuan pengguna.

Selama persetujuan admin, Administrator Istimewa dapat memberikan akses aplikasi atas nama pengguna lain (biasanya, atas nama seluruh organisasi). Juga selama persetujuan admin, aplikasi atau layanan menyediakan akses langsung ke API, yang dapat digunakan oleh aplikasi jika tidak ada pengguna yang masuk. Peran khusus yang diperlukan untuk memberikan persetujuan admin berbeda berdasarkan izin yang diminta, yang diuraikan dalam artikel persetujuan admin pemberian.

Ketika organisasi Anda membeli lisensi atau langganan untuk aplikasi baru, Anda mungkin secara proaktif ingin mengatur aplikasi sehingga semua pengguna di organisasi dapat menggunakannya. Untuk menghindari perlunya persetujuan pengguna, administrator dapat memberikan persetujuan untuk aplikasi atas nama semua pengguna dalam organisasi.

Setelah administrator memberikan persetujuan admin atas nama organisasi, pengguna biasanya tidak diminta untuk persetujuan untuk aplikasi tersebut. Dalam kasus tertentu, pengguna mungkin diminta untuk persetujuan bahkan setelah persetujuan diberikan oleh administrator. Contohnya mungkin jika aplikasi meminta izin lain yang belum diberikan administrator.

Memberikan persetujuan admin atas nama organisasi adalah operasi sensitif, yang berpotensi memungkinkan penerbit aplikasi mengakses sebagian besar data organisasi, atau izin untuk melakukan operasi dengan hak istimewa tinggi. Misalnya, manajemen peran, akses penuh ke semua kotak surat atau semua situs web, dan peniruan identitas pengguna penuh.

Sebelum Anda memberikan persetujuan admin seluruh penyewa, pastikan Anda memercayai aplikasi dan penerbit aplikasi, untuk tingkat akses yang Anda berikan. Jika tidak yakin bahwa Anda memahami siapa yang mengontrol aplikasi dan mengapa aplikasi tersebut meminta izin, jangan berikan persetujuan.

Untuk panduan langkah demi langkah tentang apakah akan memberikan persetujuan admin aplikasi, lihat Mengevaluasi permintaan persetujuan admin di seluruh penyewa.

Untuk instruksi langkah demi langkah untuk memberikan persetujuan admin di seluruh penyewa dari pusat admin Microsoft Entra, lihat Memberikan persetujuan admin di seluruh penyewa ke aplikasi.

Alih-alih memberikan persetujuan untuk seluruh organisasi, administrator juga dapat menggunakan Microsoft Graph API untuk memberikan persetujuan kepada izin yang didelegasikan atas nama satu pengguna. Untuk contoh terperinci yang menggunakan Microsoft Graph PowerShell, lihat Memberikan izin atas nama satu pengguna menggunakan PowerShell.

Membatasi akses pengguna ke aplikasi

Akses pengguna ke aplikasi masih dapat dibatasi meskipun persetujuan admin seluruh penyewa telah diberikan. Konfigurasikan properti aplikasi untuk mewajibkan penugasan pengguna guna membatasi akses pengguna ke aplikasi. Untuk mengetahui informasi selengkapnya, lihat Metode untuk menetapkan pengguna dan grup.

Untuk gambaran umum yang lebih luas, termasuk cara menangani skenario kompleks lainnya, lihat Menggunakan ID Microsoft Entra untuk manajemen akses aplikasi.

Alur kerja persetujuan admin memberi pengguna cara untuk meminta persetujuan admin untuk aplikasi ketika mereka tidak diizinkan untuk menyetujui diri mereka sendiri. Ketika alur kerja persetujuan admin diaktifkan, pengguna disajikan dengan jendela "Persetujuan diperlukan" untuk meminta persetujuan admin untuk akses ke aplikasi.

Setelah pengguna mengirimkan permintaan persetujuan admin, admin yang telah ditunjuk sebagai peninjau akan menerima pemberitahuan. Pengguna diberitahu setelah peninjau bertindak atas permintaan mereka. Untuk instruksi langkah demi langkah untuk mengonfigurasi alur kerja persetujuan admin dengan menggunakan pusat admin Microsoft Entra, lihat mengonfigurasi alur kerja persetujuan admin.

Setelah alur kerja persetujuan admin diaktifkan, pengguna dapat meminta persetujuan admin untuk aplikasi yang persetujuannya tidak mereka miliki. Berikut adalah langkah-langkah dalam prosesnya:

  1. Pengguna mencoba masuk ke aplikasi.
  2. Pesan persetujuan yang diperlukan muncul. Pengguna mengetikkan pembenaran untuk memerlukan akses ke aplikasi, lalu memilih "Minta persetujuan."
  3. Pesan degan teks Permintaan dikirim mengonfirmasi bahwa permintaan telah dikirimkan kepada admin. Jika pengguna mengirim beberapa permintaan, hanya permintaan pertama yang dikirimkan ke admin.
  4. Pengguna menerima pemberitahuan email saat permintaan mereka disetujui, ditolak, atau diblokir.

Langkah berikutnya