Mendelegasikan izin pendaftaran aplikasi di Microsoft Entra ID

  • Artikel

Artikel ini menjelaskan cara menggunakan izin yang diberikan oleh peran kustom di ID Microsoft Entra untuk mengatasi kebutuhan manajemen aplikasi Anda. Di MICROSOFT Entra ID, Anda dapat mendelegasikan izin pembuatan dan manajemen Aplikasi dengan cara berikut:

  • Membatasi siapa saja yang dapat membuat aplikasi dan mengelola aplikasi yang mereka buat. Secara default di MICROSOFT Entra ID, semua pengguna dapat mendaftarkan aplikasi dan mengelola semua aspek aplikasi yang mereka buat. Ini dapat dibatasi untuk hanya mengizinkan orang yang dipilih yang memiliki ijin tersebut.
  • Menetapkan satu atau beberapa pemilik ke aplikasi. Ini adalah cara sederhana untuk memberi seseorang kemampuan untuk mengelola semua aspek konfigurasi Microsoft Entra untuk aplikasi tertentu.
  • Menetapkan peran administratif bawaan yang memberikan akses untuk mengelola konfigurasi di ID Microsoft Entra untuk semua aplikasi. Ini adalah cara yang disarankan untuk memberikan akses kepada pakar TI untuk mengelola izin konfigurasi aplikasi yang luas tanpa memberikan akses untuk mengelola bagian lain dari Microsoft Entra yang tidak terkait dengan konfigurasi aplikasi.
  • Membuat peran kustom yang mendefinisikan izin yang sangat spesifik dan menetapkannya kepada seseorang baik untuk cakupan aplikasi tunggal sebagai pemilik terbatas, atau pada cakupan direktori (semua aplikasi) sebagai administrator terbatas.

Penting untuk mempertimbangkan pemberian akses menggunakan salah satu metode di atas karena dua alasan. Pertama, mendelegasikan kemampuan untuk melakukan tugas administratif mengurangi kelebihan Administrator Global. Kedua, menggunakan izin terbatas meningkatkan postur keamanan Anda dan mengurangi potensi akses yang tidak sah. Untuk panduan tentang perencanaan keamanan peran, lihat Mengamankan akses istimewa untuk penyebaran hibrid dan cloud di ID Microsoft Entra.

Membatasi siapa saja yang dapat membuat aplikasi

Secara default di MICROSOFT Entra ID, semua pengguna dapat mendaftarkan aplikasi dan mengelola semua aspek aplikasi yang mereka buat. Semua orang juga memiliki kemampuan untuk menyetujui aplikasi yang mengakses data perusahaan atas nama mereka. Anda dapat memilih untuk memberikan izin tersebut secara selektif dengan mengatur sakelar global ke 'Tidak' dan menambahkan pengguna yang dipilih ke peran Pengembang Aplikasi.

Untuk menonaktifkan kemampuan default untuk membuat pendaftaran atau persetujuan aplikasi, ikuti langkah-langkah ini untuk mengatur salah satu atau kedua pengaturan ini untuk organisasi Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.

  2. Telusuri pengaturan Pengguna Identitas>>.

  3. Atur pengaturan Pengguna dapat mendaftarkan aplikasi ke Tidak.

    Ini akan menonaktifkan kemampuan default bagi pengguna untuk membuat pendaftaran aplikasi.

  4. Telusuri persetujuan dan izin aplikasi>Identity>Enterprise.

  5. Pilih opsi Jangan izinkan persetujuan pengguna.

    Ini akan menonaktifkan kemampuan default bagi pengguna untuk menyetujui aplikasi yang mengakses data perusahaan atas nama mereka.

Tetapkan peran Pengembang Aplikasi untuk memberikan kemampuan untuk membuat pendaftaran aplikasi ketika pengaturan Pengguna dapat mendaftarkan aplikasi diatur ke Tidak. Peran ini juga memberikan izin untuk menyetujui atas nama seseorang ketika pengaturan Pengguna dapat menyetujui aplikasi yang mengakses data perusahaan atas nama mereka diatur ke Tidak.

Tetapkan pemilik aplikasi

Menetapkan pemilik adalah cara sederhana untuk memberikan kemampuan untuk mengelola semua aspek konfigurasi Microsoft Entra untuk pendaftaran aplikasi atau aplikasi perusahaan tertentu. Untuk informasi selengkapnya, lihat Menetapkan pemilik aplikasi perusahaan.

Menetapkan peran admin aplikasi bawaan

MICROSOFT Entra ID memiliki sekumpulan peran admin bawaan untuk memberikan akses untuk mengelola konfigurasi di ID Microsoft Entra untuk semua aplikasi. Peran ini adalah cara yang disarankan untuk memberikan akses kepada pakar TI untuk mengelola izin konfigurasi aplikasi yang luas tanpa memberikan akses untuk mengelola bagian lain dari Microsoft Entra yang tidak terkait dengan konfigurasi aplikasi.

  • Admin Aplikasi: Pengguna dalam peran ini dapat membuat dan mengelola semua aspek aplikasi perusahaan, pendaftaran aplikasi, dan pengaturan proksi aplikasi. Peran ini juga memberikan kemampuan untuk menyetujui izin yang didelegasikan, dan izin aplikasi tidak termasuk Microsoft Graph. Pengguna yang ditetapkan untuk peran ini tidak ditambahkan sebagai pemilik saat membuat pendaftaran aplikasi baru atau aplikasi perusahaan.
  • Admin Aplikasi Cloud: Pengguna dalam peran ini memiliki izin yang sama dengan peran Admin Aplikasi, kecuali kemampuan untuk mengelola proksi aplikasi. Pengguna yang ditetapkan untuk peran ini tidak ditambahkan sebagai pemilik saat membuat pendaftaran aplikasi baru atau aplikasi perusahaan.

Untuk informasi selengkapnya dan untuk menampilkan deskripsi peran ini, lihat Peran bawaan Microsoft Entra.

Ikuti instruksi dalam panduan cara Menetapkan peran kepada pengguna dengan MICROSOFT Entra ID untuk menetapkan peran Administrator Aplikasi atau Administrator Aplikasi Cloud.

Penting

Administrator Aplikasi dan Administrator Aplikasi Cloud dapat menambahkan informasi masuk ke aplikasi dan menggunakannya untuk meniru identitas aplikasi. Aplikasi tersebut mungkin memiliki izin yang merupakan elevasi atas izin peran admin. Admin dalam peran ini berpotensi membuat atau memperbarui pengguna atau objek lain saat meniru aplikasi, bergantung pada izin aplikasi. Tidak ada peran yang memberikan kemampuan untuk mengelola pengaturan Akses Bersyarat.

Membuat dan menetapkan peran kustom (pratinjau)

Membuat dan menetapkan peran kustom memiliki langkah-langkah tersendiri:

Pemisahan tersebut memungkinkan Anda untuk membuat definisi peran tunggal dan menetapkannya beberapa kali pada cakupanyang berbeda. Peran kustom dapat ditetapkan di cakupan di seluruh organisasi, atau dapat ditetapkan pada cakupan satu objek Microsoft Entra. Contoh cakupan objek adalah pendaftaran aplikasi tunggal. Dengan menggunakan cakupan yang berbeda, definisi peran yang sama dapat ditetapkan ke Sally di semua pendaftaran aplikasi pada organisasi dan kemudian ke Naveen hanya melalui pendaftaran aplikasi Contoso Expense Reports.

Tips saat membuat dan menggunakan peran kustom untuk mendelegasikan manajemen aplikasi:

  • Peran kustom hanya memberikan akses di bilah pendaftaran aplikasi terbaru dari pusat admin Microsoft Entra. Mereka tidak memberikan akses dalam bilah pendaftaran aplikasi warisan.
  • Peran kustom tidak memberikan akses ke pusat admin Microsoft Entra saat pengaturan pengguna Batasi akses ke portal administrasi Microsoft Entra diatur ke Ya.
  • Pendaftaran aplikasi yang dapat diakses pengguna menggunakan penetapan peran yang hanya muncul di tab 'Semua aplikasi' di halaman Pendaftaran aplikasi. Mereka tidak muncul di tab 'Aplikasi yang dimiliki'.

Untuk informasi selengkapnya tentang dasar-dasar peran kustom, lihat gambaran umumperan kustom, serta cara membuat peran kustom dan cara menetapkan peran.

Pemecahan masalah

Gejala - Akses ditolak ketika Anda mencoba mendaftarkan aplikasi

Saat mencoba mendaftarkan aplikasi di ID Microsoft Entra, Anda mendapatkan pesan yang mirip dengan yang berikut ini:

Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.

Screenshot of access denied message when trying to create a new app registration.

Penyebab

Anda tidak dapat mendaftarkan aplikasi di direktori karena administrator direktori Anda telah membatasi siapa yang dapat membuat aplikasi.

Solusi

Hubungi administrator Anda untuk melakukan salah satu hal berikut ini:

Langkah berikutnya