Mengonfigurasi PIM untuk pengaturan Grup

  • Artikel

Di Privileged Identity Management (PIM) untuk grup di ID Microsoft Entra, pengaturan peran menentukan properti keanggotaan atau penetapan kepemilikan. Properti ini mencakup persyaratan autentikasi dan persetujuan multifaktor untuk aktivasi, durasi maksimum penugasan, dan pengaturan pemberitahuan. Artikel ini memperlihatkan kepada Anda cara mengonfigurasi pengaturan peran dan menyiapkan alur kerja persetujuan untuk menentukan siapa yang dapat menyetujui atau menolak permintaan untuk meningkatkan hak istimewa.

Anda memerlukan izin manajemen grup untuk mengelola pengaturan. Untuk grup yang dapat ditetapkan peran, Anda harus memiliki peran Administrator Global atau Administrator Peran Istimewa atau menjadi pemilik grup. Untuk grup yang tidak dapat ditetapkan peran, Anda harus memiliki peran Administrator Global, Penulis Direktori, Administrator Grup, Administrator Tata Kelola Identitas, atau Administrator Pengguna atau menjadi pemilik grup. Penetapan peran untuk administrator harus dilingkup pada tingkat direktori (bukan di tingkat unit administratif).

Catatan

Peran lain dengan izin untuk mengelola grup (seperti administrator Exchange untuk grup Microsoft 365 yang tidak dapat ditetapkan peran) dan administrator dengan tugas yang terlingkup di tingkat unit administratif dapat mengelola grup melalui API/UX Grup dan mengambil alih perubahan yang dibuat dalam Microsoft Entra Privileged Identity Management.

Pengaturan peran ditentukan per peran per grup. Semua penugasan untuk peran yang sama (anggota atau pemilik) untuk grup yang sama mengikuti pengaturan peran yang sama. Pengaturan peran satu grup independen dari pengaturan peran grup lain. Pengaturan peran untuk satu peran (anggota) independen dari pengaturan peran untuk peran lain (pemilik).

Memperbarui pengaturan peran

Untuk membuka pengaturan untuk peran grup:

  1. Masuk ke Pusat Admin Microsoft Entra.

  2. Telusuri grup Privileged Identity Management>tata kelola>identitas.

  3. Pilih grup yang ingin Anda konfigurasi pengaturan perannya.

  4. Pilih pengaturan.

  5. Pilih peran yang perlu Anda konfigurasikan pengaturan perannya. Opsinya adalah Anggota atau Pemilik.

    Screenshot that shows where to select the role for which you need to configure role settings.

  6. Tinjau pengaturan peran saat ini.

  7. Pilih Edit untuk memperbarui pengaturan peran.

    Screenshot that shows where to select Edit to update role settings.

  8. Pilih Perbarui.

Pengaturan peran

Bagian ini membahas opsi pengaturan peran.

Durasi maksimal aktivasi

Gunakan penggeser Durasi maksimum aktivasi untuk mengatur waktu maksimum (dalam jam) permintaan aktivasi untuk penetapan peran tetap aktif sebelum berakhir masa berlakunya. Nilai ini dapat berupa satu hingga 24 jam.

Saat aktivasi, memerlukan autentikasi multifaktor

Anda dapat mengharuskan pengguna yang memenuhi syarat untuk peran untuk membuktikan siapa mereka dengan menggunakan fitur autentikasi multifaktor di ID Microsoft Entra sebelum mereka dapat mengaktifkan. Autentikasi multifaktor membantu melindungi akses ke data dan aplikasi. Ini menyediakan lapisan keamanan lain dengan menggunakan bentuk autentikasi kedua.

Pengguna mungkin tidak diminta untuk autentikasi multifaktor jika mereka diautentikasi dengan kredensial yang kuat atau memberikan autentikasi multifaktor sebelumnya dalam sesi ini. Jika tujuan Anda adalah memastikan bahwa pengguna harus memberikan autentikasi selama aktivasi, Anda dapat menggunakan Aktifkan aktivasi, memerlukan konteks autentikasi Akses Bersyarat Microsoft Entra bersama dengan Kekuatan Autentikasi.

Pengguna diharuskan mengautentikasi selama aktivasi dengan menggunakan metode yang berbeda dari metode yang mereka gunakan untuk masuk ke komputer. Misalnya, jika pengguna masuk ke komputer dengan menggunakan Windows Hello untuk Bisnis, Anda dapat menggunakan Aktifkan aktivasi, memerlukan konteks autentikasi Akses Bersyarat Microsoft Entra dan Kekuatan Autentikasi untuk mengharuskan pengguna melakukan masuk tanpa kata sandi dengan Microsoft Authenticator saat mereka mengaktifkan peran.

Setelah pengguna menyediakan masuk tanpa kata sandi dengan Microsoft Authenticator sekali dalam contoh ini, mereka dapat melakukan aktivasi berikutnya dalam sesi ini tanpa autentikasi lain. Masuk tanpa kata sandi dengan Microsoft Authenticator sudah menjadi bagian dari token mereka.

Kami menyarankan agar Anda mengaktifkan fitur autentikasi multifaktor di ID Microsoft Entra untuk semua pengguna. Untuk informasi selengkapnya, lihat Merencanakan penyebaran autentikasi multifaktor Microsoft Entra.

Saat aktivasi, perlu konteks autentikasi Akses Bersyarat Microsoft Entra

Anda dapat mengharuskan pengguna yang memenuhi syarat untuk peran untuk memenuhi persyaratan kebijakan Akses Bersyarat. Misalnya, Anda dapat mengharuskan pengguna untuk menggunakan metode autentikasi tertentu yang diberlakukan melalui Kekuatan Autentikasi, meningkatkan peran dari perangkat yang mematuhi Intune, dan mematuhi ketentuan penggunaan.

Untuk menerapkan persyaratan ini, Anda membuat konteks autentikasi Akses Bersyarat.

  1. Konfigurasikan kebijakan Akses Bersyar yang akan memberlakukan persyaratan untuk konteks autentikasi ini.

    Cakupan kebijakan Akses Bersyar harus mencakup semua atau pengguna yang memenuhi syarat untuk keanggotaan/kepemilikan grup. Jangan membuat kebijakan Akses Bersyar yang dilingkup ke konteks dan grup autentikasi secara bersamaan. Selama aktivasi, pengguna belum memiliki keanggotaan grup, sehingga kebijakan Akses Bersyar tidak akan berlaku.

  2. Konfigurasikan konteks autentikasi dalam pengaturan PIM untuk peran tersebut.

    Screenshot that shows the Edit role setting - Member page.

Jika pengaturan PIM memiliki Aktifkan aktivasi, wajibkan konteks autentikasi Akses Bersyarat Microsoft Entra dikonfigurasi, kebijakan Akses Bersyarat menentukan kondisi apa yang harus dipenuhi pengguna untuk memenuhi persyaratan akses.

Ini berarti bahwa prinsip keamanan dengan izin untuk mengelola kebijakan Akses Bersyar, seperti administrator Akses Bersyar atau administrator keamanan, dapat mengubah persyaratan, menghapusnya, atau memblokir pengguna yang memenuhi syarat agar tidak mengaktifkan keanggotaan/kepemilikan grup mereka. Prinsip keamanan yang dapat mengelola kebijakan Akses Bersyar harus dianggap sangat istimewa dan dilindungi.

Kami menyarankan agar Anda membuat dan mengaktifkan kebijakan Akses Bersyarah untuk konteks autentikasi sebelum konteks autentikasi dikonfigurasi dalam pengaturan PIM. Sebagai mekanisme perlindungan cadangan, jika tidak ada kebijakan Akses Bersyarat di penyewa yang menargetkan konteks autentikasi yang dikonfigurasi dalam pengaturan PIM, selama aktivasi keanggotaan/kepemilikan grup, fitur autentikasi multifaktor di MICROSOFT Entra ID diperlukan sebagai pengaturan Aktifkan aktivasi, memerlukan pengaturan autentikasi multifaktor akan ditetapkan.

Mekanisme perlindungan cadangan ini dirancang untuk hanya melindungi dari skenario ketika pengaturan PIM diperbarui sebelum kebijakan Akses Bersyariah dibuat karena kesalahan konfigurasi. Mekanisme perlindungan pencadangan ini tidak dipicu jika kebijakan Akses Bersyar dinonaktifkan, berada dalam mode khusus laporan, atau memiliki pengguna yang memenuhi syarat yang dikecualikan dari kebijakan.

Pengaturan konteks Aktivasi Aktif memerlukan Akses Bersyarat Microsoft Entra menentukan persyaratan konteks autentikasi yang harus dipenuhi pengguna saat mereka mengaktifkan keanggotaan/kepemilikan grup. Setelah keanggotaan/kepemilikan grup diaktifkan, pengguna tidak dicegah menggunakan sesi penjelajahan, perangkat, atau lokasi lain untuk menggunakan keanggotaan/kepemilikan grup.

Misalnya, pengguna mungkin menggunakan perangkat yang mematuhi Intune untuk mengaktifkan keanggotaan/kepemilikan grup. Kemudian setelah peran diaktifkan, mereka mungkin masuk ke akun pengguna yang sama dari perangkat lain yang tidak sesuai dengan Intune dan menggunakan kepemilikan/keanggotaan grup yang diaktifkan sebelumnya dari sana.

Untuk mencegah situasi ini, Anda dapat mencakup kebijakan Akses Bersyar untuk memberlakukan persyaratan tertentu bagi pengguna yang memenuhi syarat secara langsung. Misalnya, Anda dapat mengharuskan pengguna yang memenuhi syarat untuk keanggotaan/kepemilikan grup tertentu untuk selalu menggunakan perangkat yang mematuhi Intune.

Untuk mempelajari selengkapnya tentang konteks autentikasi Akses Bersyar, lihat Akses Bersyar: Aplikasi cloud, tindakan, dan konteks autentikasi.

Memerlukan justifikasi saat aktivasi

Anda dapat mengharuskan pengguna untuk memasukkan pembenaran bisnis saat mereka mengaktifkan penugasan yang memenuhi syarat.

Memerlukan informasi tiket saat aktivasi

Anda dapat mengharuskan pengguna untuk memasukkan tiket dukungan saat mereka mengaktifkan penugasan yang memenuhi syarat. Opsi ini adalah bidang khusus informasi. Korelasi dengan informasi dalam sistem tiket apa pun tidak diberlakukan.

Mewajibkan persetujuan untuk mengaktifkan peran ini

Anda dapat memerlukan persetujuan untuk aktivasi penugasan yang memenuhi syarat. Pemberi izin tidak harus menjadi anggota atau pemilik grup. Saat Anda menggunakan opsi ini, Anda harus memilih setidaknya satu pemberi izin. Kami menyarankan agar Anda memilih setidaknya dua pemberi persetujuan. Tidak ada pemberi persetujuan default.

Untuk mempelajari selengkapnya tentang persetujuan, lihat Menyetujui permintaan aktivasi untuk PIM untuk anggota dan pemilik Grup.

Durasi penugasan

Saat mengonfigurasi pengaturan untuk peran, Anda dapat memilih dari dua opsi durasi penugasan untuk setiap jenis penugasan: memenuhi syarat dan aktif. Opsi ini menjadi durasi maksimal default saat pengguna ditetapkan untuk peran dalam Privileged Identity Management.

Anda dapat memilih salah satu opsi durasi tugas yang memenuhi syarat ini.

Pengaturan Deskripsi
Izinkan penugasan permanen yang memenuhi syarat Administrator sumber daya dapat menetapkan penugasan permanen yang memenuhi syarat.
Buat penetapan yang memenuhi syarat kedaluwarsa setelah Administrator sumber daya dapat mengharuskan semua penetapan yang memenuhi syarat memiliki tanggal mulai dan berakhir yang ditentukan.

Anda juga dapat memilih salah satu opsi durasi penugasan aktif ini.

Pengaturan Deskripsi
Izinkan penugasan aktif permanen Administrator sumber daya dapat menetapkan penetapan aktif permanen.
Buat penugasan yang memenuhi syarat kedaluwarsa setelah Administrator sumber daya dapat mengharuskan semua penetapan aktif memiliki tanggal mulai dan berakhir yang ditentukan.

Semua penetapan yang memiliki tanggal akhir yang ditentukan dapat diperbarui oleh administrator sumber daya. Selain itu, pengguna dapat memulai permintaan layanan mandiri untuk memperpanjang atau memperbarui penetapan peran.

Mewajibkan autentikasi multifaktor saat penetapan aktif

Anda dapat mengharuskan administrator atau pemilik grup menyediakan autentikasi multifaktor saat mereka membuat penugasan aktif (dibandingkan dengan yang memenuhi syarat). Privileged Identity Management tidak dapat memberlakukan autentikasi multifaktor saat pengguna menggunakan penetapan peran mereka karena mereka sudah aktif dalam peran sejak ditetapkan.

Administrator atau pemilik grup mungkin tidak dimintai autentikasi multifaktor jika diautentikasi dengan kredensial yang kuat atau autentikasi multifaktor yang disediakan sebelumnya dalam sesi ini.

Memerlukan justifikasi pada penugasan aktif

Anda dapat mengharuskan pengguna memasukkan pembenaran bisnis saat mereka membuat penugasan aktif (dibandingkan dengan yang memenuhi syarat).

Pada tab Pemberitahuan di halaman Pengaturan peran, Privileged Identity Management memungkinkan kontrol terperinci atas siapa yang menerima pemberitahuan dan pemberitahuan mana yang mereka terima. Anda memiliki opsi berikut:

  • Menonaktifkan email: Anda dapat menonaktifkan email tertentu dengan menghapus kotak centang penerima default dan menghapus penerima lain.
  • Batasi email ke alamat email tertentu: Anda dapat menonaktifkan email yang dikirim ke penerima default dengan mengosongkan kotak centang penerima default. Kemudian, Anda dapat menambahkan alamat email lain sebagai penerima. Jika Anda ingin menambahkan lebih dari satu alamat email, pisahkan dengan menggunakan titik koma (;).
  • Mengirim email ke penerima default dan penerima lainnya: Anda bisa mengirim email ke penerima default dan penerima lain. Pilih kotak centang penerima default dan tambahkan alamat email untuk penerima lain.
  • Hanya email penting: Untuk setiap jenis email, Anda dapat memilih kotak centang untuk menerima email penting saja. Privileged Identity Management terus mengirim email ke penerima yang ditentukan hanya ketika email memerlukan tindakan segera. Misalnya, email yang meminta pengguna untuk memperluas penetapan peran mereka tidak dipicu. Email yang mengharuskan admin menyetujui permintaan ekstensi dipicu.

Catatan

Satu peristiwa di Privileged Identity Management dapat menghasilkan pemberitahuan email ke beberapa penerima – penerima tugas, pemberi izin, atau administrator. Jumlah maksimum pemberitahuan yang dikirim per satu peristiwa adalah 1000. Jika jumlah penerima melebihi 1000 – hanya 1000 penerima pertama yang akan menerima pemberitahuan email. Ini tidak mencegah penerima tugas, administrator, atau pemberi persetujuan lain menggunakan izin mereka di ID Microsoft Entra dan Privileged Identity Management.

Mengelola pengaturan peran dengan menggunakan Microsoft Graph

Untuk mengelola pengaturan peran untuk grup dengan menggunakan API PIM di Microsoft Graph, gunakan jenis sumber daya unifiedRoleManagementPolicy dan metode terkait.

Di Microsoft Graph, pengaturan peran disebut sebagai aturan. Mereka ditetapkan ke grup melalui kebijakan kontainer. Anda dapat mengambil semua kebijakan yang dilingkupkan ke grup dan untuk setiap kebijakan. Ambil kumpulan aturan terkait dengan menggunakan $expand parameter kueri. Sintaks untuk permintaan adalah sebagai berikut:

GET https://graph.microsoft.com/beta/policies/roleManagementPolicies?$filter=scopeId eq '{groupId}' and scopeType eq 'Group'&$expand=rules

Untuk informasi selengkapnya tentang cara mengelola pengaturan peran melalui API PIM di Microsoft Graph, lihat Pengaturan peran dan PIM. Untuk contoh cara memperbarui aturan, lihat Memperbarui aturan di PIM dengan menggunakan Microsoft Graph.

Langkah berikutnya

Menetapkan kelayakan untuk grup di Privileged Identity Management