Privileged Identity Management (PIM) untuk Grup

MICROSOFT Entra ID memungkinkan Anda memberikan keanggotaan just-in-time dan kepemilikan grup kepada pengguna melalui Privileged Identity Management (PIM) untuk Grup. Grup dapat digunakan untuk mengontrol akses ke berbagai skenario, termasuk peran Microsoft Entra, peran Azure, Azure SQL, Azure Key Vault, Intune, peran aplikasi lainnya, dan aplikasi pihak ketiga.

Apa itu PIM untuk Grup?

PIM untuk Grup adalah bagian dari Microsoft Entra Privileged Identity Management – bersama dengan PIM untuk peran Microsoft Entra dan PIM untuk Sumber Daya Azure, PIM untuk Grup memungkinkan pengguna mengaktifkan kepemilikan atau keanggotaan grup keamanan Microsoft Entra atau grup Microsoft 365. Grup dapat digunakan untuk mengatur akses ke berbagai skenario yang mencakup peran Microsoft Entra, peran Azure, Azure SQL, Azure Key Vault, Intune, peran aplikasi lainnya, dan aplikasi pihak ketiga.

Dengan PIM untuk Grup, Anda dapat menggunakan kebijakan yang mirip dengan yang Anda gunakan di PIM untuk peran Microsoft Entra dan PIM untuk Sumber Daya Azure: Anda dapat memerlukan persetujuan untuk keanggotaan atau aktivasi kepemilikan, menerapkan autentikasi multifaktor (MFA), memerlukan pembenaran, membatasi waktu aktivasi maksimum, dan banyak lagi. Setiap grup di PIM untuk Grup memiliki dua kebijakan: satu untuk aktivasi keanggotaan dan satu lagi untuk aktivasi kepemilikan dalam grup. Hingga Januari 2023, fitur PIM untuk Grup disebut "Grup Akses Istimewa".

Catatan

Untuk grup yang digunakan untuk meningkatkan ke peran Microsoft Entra, kami sarankan Anda memerlukan proses persetujuan untuk penetapan anggota yang memenuhi syarat. Penugasan yang dapat diaktifkan tanpa persetujuan dapat membuat Anda rentan terhadap risiko keamanan dari admin lain dengan hak istimewa paling sedikit. Misalnya, Administrator Helpdesk memiliki izin untuk mengatur ulang kata sandi pengguna yang memenuhi syarat.

Apa itu grup yang dapat ditetapkan peran Microsoft Entra?

Saat bekerja dengan ID Microsoft Entra, Anda dapat menetapkan grup keamanan Microsoft Entra atau grup Microsoft 365 ke peran Microsoft Entra. Ini hanya dimungkinkan dengan grup yang dibuat sebagai dapat ditetapkan peran.

Untuk mempelajari selengkapnya tentang grup yang dapat ditetapkan peran Microsoft Entra, lihat Membuat grup yang dapat ditetapkan peran di ID Microsoft Entra.

Grup yang dapat ditetapkan peran mendapat manfaat dari perlindungan tambahan yang dibandingkan dengan grup yang tidak dapat ditetapkan peran:

  • Grup yang dapat ditetapkan peran - hanya Administrator Global, Administrator Peran Istimewa, atau Pemilik grup yang dapat mengelola grup. Selain itu, tidak ada pengguna lain yang dapat mengubah kredensial pengguna yang merupakan anggota grup (aktif). Fitur ini membantu mencegah admin meningkatkan ke peran istimewa yang lebih tinggi tanpa melalui prosedur permintaan dan persetujuan.
  • Grup yang tidak dapat ditetapkan peran - berbagai peran Microsoft Entra dapat mengelola grup ini - yang mencakup Administrator Exchange, Administrator Grup, Administrator Pengguna, dll. Selain itu, berbagai peran peran Microsoft Entra dapat mengubah kredensial pengguna yang merupakan anggota grup (aktif) - yang mencakup Administrator Autentikasi, Administrator Staf Dukungan, Administrator Pengguna, dll.

Untuk mempelajari selengkapnya tentang peran bawaan Microsoft Entra dan izinnya, lihat Peran bawaan Microsoft Entra.

Fitur grup yang dapat ditetapkan peran Microsoft Entra bukan bagian dari Microsoft Entra Privileged Identity Management (Microsoft Entra PIM). Untuk informasi selengkapnya tentang lisensi, lihat Tata Kelola ID Microsoft Entra dasar-dasar lisensi .

Hubungan antara grup yang dapat ditetapkan peran dan PIM untuk Grup

Grup di MICROSOFT Entra ID dapat diklasifikasikan sebagai peran yang dapat ditetapkan atau tidak dapat ditetapkan peran. Selain itu, grup apa pun dapat diaktifkan atau tidak diaktifkan untuk digunakan dengan Microsoft Entra Privileged Identity Management (PIM) untuk Grup. Ini adalah properti independen dari grup. Setiap grup keamanan Microsoft Entra dan grup Microsoft 365 apa pun (kecuali grup dan grup dinamis yang disinkronkan dari lingkungan lokal) dapat diaktifkan di PIM untuk Grup. Grup tidak harus menjadi grup yang dapat ditetapkan peran untuk diaktifkan di PIM untuk Grup.

Jika Anda ingin menetapkan peran Microsoft Entra ke grup, peran tersebut harus dapat ditetapkan perannya. Bahkan jika Anda tidak berniat untuk menetapkan peran Microsoft Entra ke grup tetapi grup menyediakan akses ke sumber daya sensitif, masih disarankan untuk mempertimbangkan untuk membuat grup sebagai dapat ditetapkan peran. Ini karena perlindungan ekstra yang dimiliki grup yang dapat ditetapkan peran - lihat "Apa itu grup yang dapat ditetapkan peran Microsoft Entra?" di bagian di atas.

Penting

Hingga Januari 2023, diperlukan bahwa setiap Grup Akses Istimewa (nama sebelumnya untuk fitur PIM untuk Grup ini) harus menjadi grup yang dapat ditetapkan peran. Pembatasan ini saat ini dihapus. Karena itu, sekarang dimungkinkan untuk mengaktifkan lebih dari 500 grup per penyewa di PIM, tetapi hanya hingga 500 grup yang dapat ditetapkan peran.

Membuat grup pengguna memenuhi syarat untuk peran Microsoft Entra

Ada dua cara untuk membuat sekelompok pengguna memenuhi syarat untuk peran Microsoft Entra:

  1. Buat penugasan aktif pengguna ke grup, lalu tetapkan grup ke peran sebagai memenuhi syarat untuk aktivasi.
  2. Buat penetapan peran aktif ke grup dan tetapkan pengguna agar memenuhi syarat untuk keanggotaan grup.

Untuk menyediakan sekelompok pengguna dengan akses just-in-time ke peran Microsoft Entra dengan izin di SharePoint, Exchange, atau Security & portal kepatuhan Microsoft Purview (misalnya, peran Administrator Exchange), pastikan untuk membuat penugasan aktif pengguna ke grup, lalu tetapkan grup ke peran sebagai memenuhi syarat untuk aktivasi (Opsi #1 di atas). Jika Anda memilih untuk membuat penetapan aktif grup ke peran dan menetapkan pengguna agar memenuhi syarat untuk keanggotaan grup, mungkin perlu waktu yang signifikan untuk mengaktifkan semua izin peran dan siap digunakan.

Privileged Identity Management dan grup bersarang

Di MICROSOFT Entra ID, grup yang dapat ditetapkan peran tidak dapat memiliki grup lain yang ditumpuk di dalamnya. Untuk mempelajari selengkapnya, lihat Menggunakan grup Microsoft Entra untuk mengelola penetapan peran. Ini berlaku untuk keanggotaan aktif: satu grup tidak dapat menjadi anggota aktif dari grup lain yang dapat diberikan peran.

Satu grup dapat menjadi anggota grup lain yang memenuhi syarat, bahkan jika salah satu grup tersebut dapat diberi peran.

Jika pengguna adalah anggota aktif Grup A, dan Grup A adalah anggota Grup B yang memenuhi syarat, pengguna dapat mengaktifkan keanggotaan mereka di Grup B. Aktivasi ini hanya untuk pengguna yang meminta aktivasi, itu tidak berarti bahwa seluruh Grup A menjadi anggota aktif Grup B.

Privileged Identity Management dan provisi aplikasi

Jika grup dikonfigurasi untuk provisi aplikasi, aktivasi keanggotaan grup akan memicu provisi keanggotaan grup (dan akun pengguna itu sendiri jika tidak disediakan sebelumnya) ke aplikasi menggunakan protokol SCIM.

Di Pratinjau Umum, kami memiliki fungsionalitas yang memicu provisi tepat setelah keanggotaan grup diaktifkan di PIM. Konfigurasi provisi tergantung pada aplikasi. Umumnya, kami sarankan memiliki setidaknya dua grup yang ditetapkan ke aplikasi. Bergantung pada jumlah peran dalam aplikasi, Anda dapat memilih untuk menentukan "grup istimewa" tambahan:

Grupkan Tujuan Anggota Keanggotaan grup Peran yang ditetapkan dalam aplikasi
Semua grup pengguna Pastikan bahwa semua pengguna yang membutuhkan akses ke aplikasi terus-menerus disediakan untuk aplikasi. Semua pengguna yang perlu mengakses aplikasi. Aktif Tidak ada, atau peran dengan hak istimewa rendah
Grup istimewa Berikan akses just-in-time ke peran istimewa dalam aplikasi. Pengguna yang perlu memiliki akses just-in-time ke peran istimewa dalam aplikasi. Memenuhi syarat Peran istimewa

Pertimbangan kunci

  • Berapa lama waktu yang diperlukan untuk menyediakan pengguna ke aplikasi?
    • Saat pengguna ditambahkan ke grup di MICROSOFT Entra ID di luar mengaktifkan keanggotaan grup mereka menggunakan Microsoft Entra Privileged Identity Management (PIM):
      • Keanggotaan grup disediakan dalam aplikasi selama siklus sinkronisasi berikutnya. Siklus sinkronisasi berjalan setiap 40 menit.
    • Saat pengguna mengaktifkan keanggotaan grup mereka di Microsoft Entra PIM:
      • Keanggotaan grup disediakan dalam 2 – 10 menit. Ketika ada tingkat permintaan yang tinggi pada satu waktu, permintaan dibatasi pada tingkat lima permintaan per 10 detik.
      • Untuk lima pengguna pertama dalam periode 10 detik yang mengaktifkan keanggotaan grup mereka untuk aplikasi tertentu, keanggotaan grup disediakan dalam aplikasi dalam waktu 2-10 menit.
      • Untuk pengguna keenam dan di atasnya dalam periode 10 detik yang mengaktifkan keanggotaan grup mereka untuk aplikasi tertentu, keanggotaan grup disediakan untuk aplikasi dalam siklus sinkronisasi berikutnya. Siklus sinkronisasi berjalan setiap 40 menit. Batas pembatasan adalah per aplikasi perusahaan.
  • Jika pengguna tidak dapat mengakses grup yang diperlukan dalam aplikasi target, tinjau log PIM dan log provisi untuk memastikan bahwa keanggotaan grup berhasil diperbarui. Tergantung pada bagaimana aplikasi target telah dirancang, mungkin perlu waktu tambahan agar keanggotaan grup berlaku dalam aplikasi.
  • Dengan menggunakan Azure Monitor, pelanggan dapat membuat pemberitahuan untuk kegagalan.

Langkah berikutnya