Gambaran umum kontrol akses berbasis peran di Microsoft Entra ID

  • Artikel

Artikel ini menjelaskan cara memahami kontrol akses berbasis peran Microsoft Entra. Peran Microsoft Entra memungkinkan Anda memberikan izin terperinci kepada admin Anda, mematuhi prinsip hak istimewa paling sedikit. Peran bawaan dan kustom Microsoft Entra beroperasi pada konsep yang mirip dengan yang Anda temukan di sistem kontrol akses berbasis peran untuk sumber daya Azure (peran Azure). Perbedaan antara kedua sistem kontrol akses berbasis peran ini adalah:

  • Peran Microsoft Entra mengontrol akses ke sumber daya Microsoft Entra seperti pengguna, grup, dan aplikasi menggunakan Microsoft Graph API
  • Peran Azure mengontrol akses ke sumber daya Azure seperti komputer virtual atau penyimpanan menggunakan Azure Resource Management

Kedua sistem berisi definisi peran dan penetapan peran yang sama digunakan. Namun, izin peran Microsoft Entra tidak dapat digunakan dalam peran kustom Azure dan sebaliknya.

Memahami kontrol akses berbasis peran Microsoft Entra

MICROSOFT Entra ID mendukung dua jenis definisi peran:

Peran bawaan berada di luar peran kotak yang memiliki sekumpulan izin tetap. Definisi peran ini tidak dapat diubah. Ada banyak peran bawaan yang didukung MICROSOFT Entra ID, dan daftarnya bertambah. Untuk membulatkan tepi dan memenuhi persyaratan canggih Anda, ID Microsoft Entra juga mendukung peran kustom. Memberikan izin menggunakan peran Microsoft Entra kustom adalah proses dua langkah yang memerlukan pembuatan definisi peran kustom lalu menetapkannya menggunakan penetapan peran. Definisi peran kustom adalah kumpulan izin yang Anda tambahkan dari daftar prasetel. Ini adalah izin yang sama yang digunakan dalam peran bawaan.

Setelah membuat definisi peran kustom (atau menggunakan peran bawaan), Anda dapat menetapkannya kepada pengguna dengan membuat penetapan peran. Penetapan peran memberi pengguna izin dalam definisi peran pada cakupan tertentu. Proses dua langkah ini memungkinkan Anda untuk membuat definisi peran tunggal dan menetapkannya beberapa kali pada cakupan yang berbeda. Cakupan menentukan set sumber daya Microsoft Entra peran anggota untuk melakukan akses. Cakupan yang paling umum adalah seluruh organisasi (org-wide). Peran kustom dapat ditetapkan di cakupan seluruh organisasi, yang berarti anggota peran memiliki izin peran atas semua sumber daya dalam organisasi. Peran kustom juga dapat ditetapkan pada cakupan objek. Contoh cakupan objek adalah satu aplikasi. Peran yang sama dapat ditetapkan untuk satu pengguna atas semua aplikasi dalam organisasi dan kemudian ke pengguna lain dengan cakupan hanya aplikasi Laporan Pengeluaran Contoso.

Bagaimana ID Microsoft Entra menentukan apakah pengguna memiliki akses ke sumber daya

Berikut ini adalah langkah-langkah tingkat tinggi yang digunakan MICROSOFT Entra ID untuk menentukan apakah Anda memiliki akses ke sumber daya manajemen. Gunakan informasi ini untuk memecahkan masalah akses.

  1. Pengguna (atau prinsipal layanan) memperoleh token ke titik akhir Microsoft Graph.
  2. Pengguna melakukan panggilan API ke ID Microsoft Entra melalui Microsoft Graph menggunakan token yang dikeluarkan.
  3. Bergantung pada keadaannya, ID Microsoft Entra mengambil salah satu tindakan berikut:
    • Mengevaluasi keanggotaan peran pengguna berdasarkan klaim wids dalam token akses pengguna.
    • Mengambil semua tugas peran yang berlaku untuk pengguna, baik secara langsung maupun melalui keanggotaan grup, ke sumber daya di mana tindakan diambil.
  4. ID Microsoft Entra menentukan apakah tindakan dalam panggilan API disertakan dalam peran yang dimiliki pengguna untuk sumber daya ini.
  5. Jika pengguna tidak memiliki peran dengan tindakan pada cakupan yang diminta, akses tidak diberikan. Sebaliknya akses diberikan.

Penetapan peran

Penetapan peran adalah sumber daya Microsoft Entra yang melampirkan definisi peran ke prinsip keamanan pada cakupan tertentu untuk memberikan akses ke sumber daya Microsoft Entra. Akses diberikan dengan membuat penetapan peran, dan akses dicabut dengan menghapus penetapan peran. Pada intinya, penetapan peran terdiri dari tiga elemen:

  • Prinsip keamanan - Identitas yang mendapat izin. Bisa jadi pengguna, kelompok, atau perwakilan layanan.
  • Definisi peran - Sekumpulan izin.
  • Cakupan - Cara untuk membatasi di mana izin tersebut berlaku.

Anda dapat membuat penetapan peran dan mencantumkan penetapan peran menggunakan pusat admin Microsoft Entra, Microsoft Graph PowerShell, atau Microsoft Graph API. Azure CLI tidak didukung untuk penetapan peran Microsoft Entra.

Diagram berikut menunjukkan contoh penetapan peran. Dalam contoh ini, Chris telah menetapkan peran kustom Administrator Pendaftaran Aplikasi di cakupan pendaftaran aplikasi Contoso Widget Builder. Penugasan ini memberi Chris izin dari peran Administrator Pendaftaran Aplikasi hanya untuk pendaftaran aplikasi tertentu ini.

Penetapan peran adalah bagaimana izin diberlakukan dan memiliki tiga bagian.

Prinsip keamanan

Perwakilan keamanan mewakili pengguna, grup, atau perwakilan layanan yang diberi akses ke sumber daya Microsoft Entra. Pengguna adalah individu yang memiliki profil pengguna di ID Microsoft Entra. Grup adalah Microsoft 365 atau grup keamanan baru yang telah ditetapkan sebagai grup yang dapat ditetapkan peran. Perwakilan layanan adalah identitas yang dibuat untuk digunakan dengan aplikasi, layanan yang dihosting, dan alat otomatis untuk mengakses sumber daya Microsoft Entra.

Definisi peran

Definisi peran, atau peran, adalah kumpulan izin. Definisi peran mencantumkan operasi yang dapat dilakukan pada sumber daya Microsoft Entra, seperti membuat, membaca, memperbarui, dan menghapus. Ada dua jenis peran dalam ID Microsoft Entra:

  • Peran bawaan yang dibuat oleh Microsoft yang tidak dapat diubah.
  • Peran kustom yang dibuat dan dikelola oleh organisasi Anda.

Cakupan

Cakupan adalah cara untuk membatasi tindakan yang diizinkan ke sekumpulan sumber daya tertentu sebagai bagian dari penugasan peran. Misalnya, jika Anda ingin menetapkan peran khusus kepada pengembang, tetapi hanya untuk mengelola pendaftaran aplikasi tertentu, Anda dapat menyertakan pendaftaran aplikasi tertentu sebagai cakupan dalam penetapan peran.

Saat Anda menetapkan peran, Anda menentukan salah satu jenis cakupan berikut:

Jika Anda menentukan sumber daya Microsoft Entra sebagai cakupan, ini bisa menjadi salah satu dari berikut ini:

  • Grup Microsoft Entra
  • Aplikasi Perusahaan
  • Pendaftaran aplikasi

Ketika peran ditetapkan melalui cakupan kontainer, seperti Penyewa atau Unit Administratif, peran tersebut memberikan izin atas objek yang dikandungnya tetapi tidak pada kontainer itu sendiri. Sebaliknya, ketika peran ditetapkan melalui cakupan sumber daya, peran tersebut memberikan izin atas sumber daya itu sendiri tetapi tidak meluas di luar (khususnya, peran tersebut tidak meluas ke anggota grup Microsoft Entra).

Untuk informasi selengkapnya, lihat Menetapkan peran Microsoft Entra di cakupan yang berbeda.

Opsi penetapan peran

MICROSOFT Entra ID menyediakan beberapa opsi untuk menetapkan peran:

  • Anda dapat menetapkan peran kepada pengguna secara langsung, yang merupakan cara default untuk menetapkan peran. Peran Microsoft Entra bawaan dan kustom dapat ditetapkan kepada pengguna, berdasarkan persyaratan akses. Untuk informasi selengkapnya, lihat Menetapkan peran Microsoft Entra kepada pengguna.
  • Dengan Microsoft Entra ID P1, Anda dapat membuat grup yang dapat ditetapkan peran dan menetapkan peran ke grup ini. Menetapkan peran ke grup alih-alih individu memungkinkan penambahan atau penghapusan pengguna yang mudah dari peran dan membuat izin yang konsisten untuk semua anggota grup. Untuk informasi selengkapnya, lihat Menetapkan peran Microsoft Entra ke grup.
  • Dengan Microsoft Entra ID P2, Anda dapat menggunakan Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) untuk menyediakan akses tepat waktu ke peran. Fitur ini memungkinkan Anda untuk memberikan akses terbatas waktu ke peran kepada pengguna yang memerlukannya, daripada memberikan akses permanen. Ini juga menyediakan kemampuan pelaporan dan audit terperinci. Untuk informasi selengkapnya, lihat Menetapkan peran Microsoft Entra di Privileged Identity Management.

Persyaratan lisensi

Menggunakan peran bawaan di MICROSOFT Entra ID gratis. Menggunakan peran kustom memerlukan lisensi Microsoft Entra ID P1 untuk setiap pengguna dengan penetapan peran kustom. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur paket Gratis dan Premium yang tersedia secara umum.

Langkah berikutnya