Menetapkan kelayakan untuk grup di Privileged Identity Management

  • Artikel

Di MICROSOFT Entra ID, sebelumnya dikenal sebagai Azure Active Directory, Anda dapat menggunakan Privileged Identity Management (PIM) untuk mengelola keanggotaan just-in-time dalam grup atau kepemilikan just-in-time grup.

Saat keanggotaan atau kepemilikan ditetapkan, penugasan:

  • Tidak dapat ditugaskan untuk durasi kurang dari lima menit
  • Tidak dapat dihapus dalam waktu lima menit setelah ditugaskan

Catatan

Setiap pengguna yang memenuhi syarat untuk keanggotaan atau kepemilikan PIM untuk Grup harus memiliki lisensi Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra. Untuk informasi selengkapnya, lihat Persyaratan lisensi untuk menggunakan Privileged Identity Management.

Menetapkan pemilik atau anggota grup

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Ikuti langkah-langkah ini untuk membuat pengguna anggota atau pemilik grup yang memenuhi syarat. Anda akan memerlukan izin untuk mengelola grup. Untuk grup yang dapat ditetapkan peran, Anda harus memiliki peran Administrator Global, Administrator Peran Istimewa, atau menjadi Pemilik grup. Untuk grup yang tidak dapat ditetapkan peran, Anda harus memiliki Administrator Global, Penulis Direktori, Administrator Grup, Administrator Tata Kelola Identitas, peran Administrator Pengguna, atau menjadi Pemilik grup. Penetapan peran untuk administrator harus dilingkup pada tingkat direktori (bukan tingkat unit administratif).

Catatan

Peran lain dengan izin untuk mengelola grup (seperti Administrator Exchange untuk grup M365 yang tidak dapat ditetapkan peran) dan administrator dengan penugasan yang terlingkup di tingkat unit administratif dapat mengelola grup melalui Groups API/UX dan mengambil alih perubahan yang dibuat di Microsoft Entra PIM.

  1. Masuk ke pusat admin Microsoft Entra

  2. Telusuri grup Privileged Identity Management>tata kelola>identitas.

  3. Di sini Anda dapat melihat grup yang sudah diaktifkan untuk PIM untuk Grup.

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. Pilih grup yang perlu Anda kelola.

  5. Pilih Penugasan.

  6. Gunakan penugasan yang memenuhi syarat dan bilah Penetapan aktif untuk meninjau penetapan keanggotaan atau kepemilikan yang ada untuk grup yang dipilih.

    Screenshot of where to review existing membership or ownership assignments for selected group.

  7. Pilih Tambahkan penugasan.

  8. Di bawah Pilih peran, pilih antara Anggota dan Pemilik untuk menetapkan keanggotaan atau kepemilikan.

  9. Pilih anggota atau pemilik yang ingin Anda buat memenuhi syarat untuk grup.

    Screenshot of where to select the members or owners you want to make eligible for the group.

  10. Pilih Selanjutnya.

  11. Dalam daftar Jenis penugasan, pilih Memenuhi Syarat atau Aktif. Privileged Identity Management menyediakan dua jenis penugasan yang berbeda:

    • Penugasan yang memenuhi syarat mengharuskan anggota atau pemilik untuk melakukan aktivasi untuk menggunakan peran tersebut. Aktivasi mungkin juga mengharuskan penyediaan autentikasi multifaktor (MFA), memberikan pertimbangan bisnis, atau meminta persetujuan dari pemberi persetujuan yang ditunjuk.

    Penting

    Untuk grup yang digunakan untuk meningkatkan ke peran Microsoft Entra, Microsoft menyarankan agar Anda memerlukan proses persetujuan untuk penetapan anggota yang memenuhi syarat. Penugasan yang dapat diaktifkan tanpa persetujuan dapat membuat Anda rentan terhadap risiko keamanan dari admin lain dengan izin untuk mengatur ulang kata sandi pengguna yang memenuhi syarat.

    • Penetapan aktif tidak mengharuskan anggota untuk melakukan aktivasi apa pun untuk menggunakan peran tersebut. Anggota atau pemilik yang ditetapkan sebagai aktif memiliki hak istimewa yang ditetapkan untuk peran setiap saat.

  12. Jika penugasan harus permanen (memenuhi syarat secara permanen atau ditetapkan secara permanen), pilih kotak centang Permanen. Bergantung pada pengaturan grup, kotak centang mungkin tidak muncul atau mungkin tidak dapat diedit. Untuk informasi selengkapnya, lihat artikel Mengonfigurasi PIM untuk Grup di Privileged Identity Management .

    Screenshot of where to configure the setting for add assignments.

  13. Pilih Tetapkan.

Memperbarui atau menghapus penetapan peran yang sudah ada

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Ikuti langkah-langkah ini untuk memperbarui atau menghapus penetapan peran yang sudah ada. Anda akan memerlukan izin untuk mengelola grup. Untuk grup yang dapat ditetapkan peran, Anda harus memiliki peran Administrator Global, Administrator Peran Istimewa, atau menjadi Pemilik grup. Untuk grup yang tidak dapat ditetapkan peran, Anda harus memiliki Administrator Global, Penulis Direktori, Administrator Grup, Administrator Tata Kelola Identitas, peran Administrator Pengguna, atau menjadi Pemilik grup. Penetapan peran untuk administrator harus dilingkup pada tingkat direktori (bukan tingkat unit administratif).

Catatan

Peran lain dengan izin untuk mengelola grup (seperti Administrator Exchange untuk grup M365 yang tidak dapat ditetapkan peran) dan administrator dengan penugasan yang terlingkup di tingkat unit administratif dapat mengelola grup melalui Groups API/UX dan mengambil alih perubahan yang dibuat di Microsoft Entra PIM.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.

  2. Telusuri grup Privileged Identity Management>tata kelola>identitas.

  3. Di sini Anda dapat melihat grup yang sudah diaktifkan untuk PIM untuk Grup.

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. Pilih grup yang perlu Anda kelola.

  5. Pilih Penugasan.

  6. Gunakan penugasan yang memenuhi syarat dan bilah Penetapan aktif untuk meninjau penetapan keanggotaan atau kepemilikan yang ada untuk grup yang dipilih.

    Screenshot of where to review existing membership or ownership assignments for selected group.

  7. Pilih Perbarui atau Hapus untuk memperbarui atau menghapus keanggotaan atau penetapan kepemilikan.

Langkah berikutnya