Gambaran umum kontrol akses berbasis peran di MICROSOFT Entra ID

Artikel ini menjelaskan cara memahami kontrol akses berbasis peran Microsoft Entra. Peran Microsoft Entra memungkinkan Anda memberikan izin terperinci kepada admin Anda, mematuhi prinsip hak istimewa paling sedikit. Peran bawaan dan kustom Microsoft Entra beroperasi pada konsep yang mirip dengan yang Anda temukan di sistem kontrol akses berbasis peran untuk sumber daya Azure (peran Azure). Perbedaan antara kedua sistem kontrol akses berbasis peran ini adalah:

• Peran Microsoft Entra mengontrol akses ke sumber daya Microsoft Entra seperti pengguna, grup, dan aplikasi menggunakan Microsoft Graph API
• Peran Azure mengontrol akses ke sumber daya Azure seperti komputer virtual atau penyimpanan menggunakan Azure Resource Management

Kedua sistem berisi definisi peran dan penetapan peran yang digunakan dengan cara serupa. Namun, izin peran Microsoft Entra tidak dapat digunakan dalam peran kustom Azure dan sebaliknya.

Memahami kontrol akses berbasis peran Microsoft Entra

MICROSOFT Entra ID mendukung dua jenis definisi peran:

• peran bawaan
• Peran khusus

Peran bawaan adalah peran yang telah ditentukan sebelumnya dengan sekumpulan izin tetap. Definisi peran ini tidak dapat dimodifikasi. Ada banyak peran bawaan yang didukung ID Microsoft Entra, dan daftarnya terus bertambah. Untuk membulatkan tepi dan memenuhi persyaratan canggih Anda, ID Microsoft Entra juga mendukung peran kustom . Memberikan izin menggunakan peran Microsoft Entra kustom adalah proses dua langkah yang melibatkan pembuatan definisi peran kustom lalu menetapkannya menggunakan penetapan peran. Definisi peran kustom adalah kumpulan izin yang Anda tambahkan dari daftar prasetel. Izin ini adalah izin yang sama yang digunakan dalam peran bawaan.

Setelah membuat definisi peran kustom (atau menggunakan peran bawaan), Anda dapat menetapkannya kepada pengguna dengan membuat penetapan peran. Penetapan peran memberi pengguna izin dalam definisi peran pada cakupan tertentu. Proses dua langkah ini memungkinkan Anda membuat definisi peran tunggal dan menetapkannya berkali-kali pada cakupan yang berbeda. Cakupan menentukan kumpulan sumber daya Microsoft Entra yang dapat diakses anggota peran. Cakupan yang paling umum adalah cakupan seluruh organisasi. Peran kustom dapat ditetapkan pada lingkup organisasi secara keseluruhan, yang berarti pembawa peran memiliki izin peran atas semua sumber daya dalam organisasi. Peran kustom juga dapat ditetapkan pada cakupan objek. Contoh cakupan objek adalah satu aplikasi. Peran yang sama dapat ditetapkan ke satu pengguna di semua aplikasi di organisasi dan kemudian ke pengguna lain dengan cakupan hanya aplikasi Laporan Pengeluaran Contoso.

Bagaimana ID Microsoft Entra menentukan apakah pengguna memiliki akses ke sumber daya

Berikut ini adalah langkah-langkah tingkat tinggi yang digunakan MICROSOFT Entra ID untuk menentukan apakah Anda memiliki akses ke sumber daya manajemen. Gunakan informasi ini untuk memecahkan masalah akses.

1. Pengguna (atau perwakilan layanan) memperoleh sebuah token ke titik akhir Microsoft Graph.
2. Pengguna melakukan panggilan API ke ID Microsoft Entra melalui Microsoft Graph menggunakan token yang dikeluarkan.
3. Bergantung pada keadaannya, ID Microsoft Entra mengambil salah satu tindakan berikut:
   • Mengevaluasi keanggotaan peran pengguna berdasarkan klaim wids dalam token akses pengguna.
   • Mengambil semua penetapan peran yang berlaku untuk pengguna, baik secara langsung atau melalui keanggotaan grup, ke sumber daya yang menjadi objek tindakan.
4. ID Microsoft Entra menentukan apakah tindakan dalam panggilan API disertakan dalam peran yang dimiliki pengguna untuk sumber daya ini.
5. Jika pengguna tidak memiliki peran dengan tindakan pada cakupan yang diminta, akses tidak diberikan. Jika tidak ada halangan, akses diberikan.

Penetapan peran

Penetapan peran adalah sumber daya Microsoft Entra yang melampirkan definisi peran ke prinsip keamanan pada cakupan tertentu untuk memberikan akses ke sumber daya Microsoft Entra. Akses diberikan dengan membuat penetapan peran, dan akses dicabut dengan menghapus penetapan peran. Pada intinya, penetapan peran terdiri dari tiga elemen:

• Prinsipal keamanan - Sebuah identitas yang mendapatkan hak akses. Ini bisa menjadi pengguna, grup, atau perwakilan layanan.
• Definisi peran - Kumpulan izin.
• Cakupan - Cara untuk membatasi di mana izin tersebut berlaku.

Anda dapat membuat penetapan peran dan mencantumkan penetapan peran menggunakan pusat admin Microsoft Entra, Microsoft Graph PowerShell, atau Microsoft Graph API. Azure CLI tidak didukung untuk penugasan peran Microsoft Entra.

Diagram berikut menunjukkan contoh penetapan peran. Dalam contoh ini, Chris telah diberi peran kustom Administrator Pendaftaran Aplikasi di cakupan pendaftaran aplikasi Contoso Widget Builder. Penugasan memberi Chris izin peran Administrator Pendaftaran Aplikasi hanya untuk pendaftaran aplikasi tertentu ini.

Prinsipal keamanan

Perwakilan keamanan mewakili pengguna, grup, atau perwakilan layanan yang diberi akses ke sumber daya Microsoft Entra. Pengguna adalah individu yang memiliki profil pengguna di ID Microsoft Entra. Grup adalah Microsoft 365 atau grup keamanan baru yang telah ditetapkan sebagai grup yang dapat ditetapkan peran. Perwakilan layanan adalah identitas yang dibuat untuk digunakan dengan aplikasi, layanan yang dihosting, dan alat otomatis untuk mengakses sumber daya Microsoft Entra.

Pengertian peran

Definisi peran, atau peran, adalah kumpulan izin. Definisi peran mencantumkan operasi yang dapat dilakukan pada sumber daya Microsoft Entra, seperti membuat, membaca, memperbarui, dan menghapus. Ada dua jenis peran dalam ID Microsoft Entra:

• Peran bawaan yang dibuat oleh Microsoft yang tidak dapat diubah.
• Peran kustom yang dibuat dan dikelola oleh organisasi Anda.

Ruang lingkup

Cakupan adalah cara untuk membatasi tindakan yang diizinkan ke sekumpulan sumber daya tertentu sebagai bagian dari penetapan peran. Misalnya, jika Anda ingin menetapkan peran kustom ke pengembang, tetapi hanya untuk mengelola pendaftaran aplikasi tertentu, Anda dapat menyertakan pendaftaran aplikasi tertentu sebagai cakupan dalam penetapan peran.

Saat menetapkan peran, Anda menentukan salah satu jenis cakupan berikut:

• Penyewa
• unit Administratif
• Sumber daya Microsoft Entra

Jika Anda menentukan sumber daya Microsoft Entra sebagai cakupan, ini bisa menjadi salah satu dari berikut ini:

• Grup Microsoft Entra
• Aplikasi perusahaan
• Pendaftaran aplikasi

Ketika sebuah peran ditetapkan pada lingkup sebuah kontainer, seperti Tenant atau Unit Administratif, peran tersebut memberikan izin atas objek yang dikandungnya tetapi tidak pada kontainer itu sendiri. Sebaliknya, ketika peran ditetapkan melalui cakupan sumber daya, peran tersebut memberikan izin atas sumber daya itu sendiri tetapi tidak meluas di luar (khususnya, peran tersebut tidak meluas ke anggota grup Microsoft Entra).

Untuk informasi selengkapnya, lihat Penetapan peran Microsoft Entra.

Opsi penetapan peran

MICROSOFT Entra ID menyediakan beberapa opsi untuk menetapkan peran:

• Anda dapat menetapkan peran kepada pengguna secara langsung, yang merupakan cara default untuk menetapkan peran. Peran Microsoft Entra bawaan dan kustom dapat ditetapkan kepada pengguna, berdasarkan persyaratan akses. Untuk informasi selengkapnya, lihat Penetapan peran Microsoft Entra.
• Dengan Microsoft Entra ID P1, Anda dapat membuat grup yang dapat ditetapkan peran dan menetapkan peran ke grup ini. Menetapkan peran ke grup alih-alih individu memungkinkan penambahan atau penghapusan pengguna yang mudah dari peran dan membuat izin yang konsisten untuk semua anggota grup. Untuk informasi selengkapnya, lihat Tetapkan peran Microsoft Entra.
• Dengan Microsoft Entra ID P2, Anda dapat menggunakan Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) untuk menyediakan akses tepat waktu ke peran. Fitur ini memungkinkan Anda untuk memberikan akses terbatas waktu ke peran kepada pengguna yang memerlukannya, daripada memberikan akses permanen. Ini juga menyediakan kemampuan pelaporan dan audit terperinci. Untuk informasi lebih lanjut, lihat Tetapkan peran Microsoft Entra dalam Manajemen Identitas Terkelola.

Persyaratan lisensi

Menggunakan peran bawaan di MICROSOFT Entra ID gratis. Menggunakan peran kustom memerlukan lisensi Microsoft Entra ID P1 untuk setiap pengguna dengan penetapan peran kustom. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur yang tersedia secara umum dari edisi Gratis dan Premium.

Langkah berikutnya

• Memahami peran Microsoft Entra
• Menetapkan peran Microsoft Entra
• forum Microsoft Entra