Mengelola akses eksternal dengan pengelolaan pemberian hak Microsoft Entra
Gunakan fitur pengelolaan pemberian hak untuk mengelola identitas dan mengakses siklus hidup. Anda dapat mengotomatiskan alur kerja permintaan akses, penetapan akses, tinjauan, dan kedaluwarsa. Non-admin yang didelegasikan menggunakan pengelolaan pemberian hak untuk membuat paket akses yang dapat diakses pengguna eksternal, dari organisasi lain. Alur kerja persetujuan satu dan multi-tahap dapat dikonfigurasi untuk mengevaluasi permintaan, dan memprovisikan pengguna untuk akses terbatas waktu dengan ulasan berulang. Gunakan pengelolaan pemberian izin untuk provisi dan deprovisi akun eksternal berbasis kebijakan.
Pelajari lebih lanjut:
- Apa itu pengelolaan pemberian hak?
- Apa itu paket akses dan sumber daya apa yang dapat saya kelola dengannya?
- Apa itu penyediaan?
Sebelum Anda mulai
Artikel ini adalah nomor 6 dalam serangkaian 10 artikel. Kami sarankan Anda meninjau artikel secara berurutan. Buka bagian Langkah berikutnya untuk melihat seluruh seri.
Mengaktifkan pengelolaan pemberian izin
Konsep utama berikut ini penting agar dipahami untuk pengelolaan pemberian hak.
Paket akses
Paket akses adalah dasar pengelolaan pemberian hak: pengelompokan sumber daya yang diatur kebijakan bagi pengguna untuk berkolaborasi dalam proyek atau melakukan tugas lain. Misalnya, paket akses mungkin mencakup:
- Akses ke situs SharePoint
- Aplikasi perusahaan, termasuk aplikasi in-house dan SaaS kustom Anda, seperti Salesforce
- Microsoft Teams
- Grup Microsoft 365
Katalog
Paket Akses berada di katalog. Saat Anda ingin mengelompokkan sumber daya terkait dan mengakses paket dan mendelegasikan manajemennya, Anda membuat katalog. Pertama, Anda menambahkan sumber daya ke katalog, lalu Anda dapat menambahkan sumber daya untuk mengakses paket. Misalnya, Anda dapat membuat katalog keuangan, dan mendelegasikan manajemennya kepada anggota tim keuangan. Orang tersebut dapat menambahkan sumber daya, membuat paket akses, dan mengelola persetujuan akses.
Pelajari lebih lanjut:
- Membuat dan mengelola katalog sumber daya dalam pengelolaan pemberian izin
- Delegasi dan peran dalam pengelolaan pemberian hak
- Menambahkan sumber daya ke katalog
Diagram berikut menunjukkan siklus hidup tata kelola umum pengguna eksternal yang mendapatkan akses ke paket akses, dengan kedaluwarsa.
Akses eksternal layanan mandiri
Anda dapat membuat paket akses tersedia, melalui portal Microsoft Entra My Access, untuk memungkinkan pengguna eksternal meminta akses. Kebijakan menentukan siapa yang dapat meminta paket akses. Lihat, Meminta akses ke paket akses dalam pengelolaan pemberian hak.
Anda menentukan siapa yang diperbolehkan meminta paket akses:
- organisasi Koneksi
- Organisasi yang tersambung yang dikonfigurasi
- Pengguna dari organisasi
- Anggota atau pengguna tamu di penyewa Anda
Persetujuan
Paket akses dapat menyertakan persetujuan wajib untuk akses. Persetujuan dapat berupa satu atau beberapa tahap dan ditentukan oleh kebijakan. Jika pengguna internal dan eksternal perlu mengakses paket yang sama, Anda dapat menyiapkan kebijakan akses untuk kategori organisasi yang terhubung, dan untuk pengguna internal.
Penting
Menerapkan proses persetujuan untuk pengguna eksternal.
kedaluwarsa
Paket akses dapat mencakup tanggal kedaluwarsa atau sejumlah hari yang Anda tetapkan untuk akses. Ketika paket akses kedaluwarsa, dan akses berakhir, objek pengguna tamu B2B yang mewakili pengguna dapat dihapus atau diblokir agar tidak masuk. Sebaiknya Anda menerapkan kedaluwarsa pada paket akses untuk pengguna eksternal. Tidak semua paket akses memiliki kedaluwarsa.
Penting
Untuk paket tanpa kedaluwarsa, lakukan tinjauan akses reguler.
Tinjauan akses
Paket akses dapat memerlukan tinjauan akses berkala, yang mengharuskan pemilik paket atau perwakilan guna membuktikan kebutuhan berkelanjutan untuk akses pengguna. Lihat, Mengelola akses tamu dengan tinjauan akses.
Sebelum Menyiapkan tinjauan, tentukan kriteria berikut:
- Siapa
- Kriteria untuk akses berkelanjutan
- Peninjau
- Seberapa sering
- Opsi bawaan adalah bulanan, triwulanan, dua tahunan, atau tahunan
- Kami merekomendasikan ulasan triwulanan atau lebih sering untuk paket yang mendukung akses eksternal
Penting
Tinjauan paket akses memeriksa akses yang diberikan melalui pengelolaan pemberian hak. Siapkan proses lain untuk meninjau akses ke pengguna eksternal, di luar pengelolaan pemberian hak.
Pelajari selengkapnya: Merencanakan penyebaran tinjauan akses Microsoft Entra.
Menggunakan otomatisasi pengelolaan pemberian izin
- Bekerja dengan MICROSOFT Entra entitlement management API
- jenis sumber daya accessPackage
- Tinjauan akses Microsoft Entra
- jenis sumber daya connectedOrganization
- entitlementManagement Pengaturan jenis sumber daya
Rekomendasi tata kelola akses eksternal
Praktik Terbaik
Kami merekomendasikan praktik berikut untuk mengatur akses eksternal dengan pengelolaan pemberian hak.
- Untuk proyek dengan satu atau beberapa mitra bisnis, buat dan gunakan paket akses untuk onboarding dan berikan akses ke sumber daya.
- Jika Anda memiliki pengguna B2B di direktori, Anda dapat menetapkannya untuk mengakses paket.
- Anda dapat menetapkan akses di portal Azure atau dengan Microsoft Graph
Tata Kelola Identitas - Pengaturan
Gunakan Tata Kelola Identitas - Pengaturan untuk menghapus pengguna dari direktori Anda saat paket akses mereka kedaluwarsa. Pengaturan berikut berlaku untuk pengguna yang di-onboarding dengan pengelolaan pemberian izin.
Mendelegasikan manajemen katalog dan paket
Anda dapat mendelegasikan manajemen katalog dan paket kepada pemilik bisnis, yang memiliki informasi lebih lanjut tentang siapa yang harus mengakses. Lihat, Delegasi dan peran dalam pengelolaan pemberian hak
Memberlakukan kedaluwarsa paket akses
Anda dapat memberlakukan kedaluwarsa akses untuk pengguna eksternal. Lihat, Mengubah pengaturan siklus hidup untuk paket akses dalam pengelolaan pemberian hak.
- Untuk tanggal akhir paket akses berbasis proyek, gunakan Pada tanggal untuk mengatur tanggal.
- Jika tidak, kami sarankan kedaluwarsa tidak lagi 365 hari, kecuali jika itu adalah proyek multi-tahun
- Perbolehkan pengguna memperluas akses
- Memerlukan persetujuan untuk memberikan ekstensi
Menerapkan tinjauan paket akses tamu
Anda dapat memberlakukan tinjauan paket akses tamu untuk menghindari akses yang tidak pantas bagi tamu. Lihat, Mengelola akses tamu dengan tinjauan akses.
- Menerapkan tinjauan triwulanan
- Untuk proyek terkait kepatuhan, atur peninjau menjadi peninjau, bukan tinjauan mandiri untuk pengguna eksternal.
- Anda dapat menggunakan manajer paket akses sebagai peninjau
- Untuk proyek yang kurang sensitif, pengguna yang meninjau sendiri mengurangi beban untuk menghapus akses dari pengguna tidak lagi dengan organisasi.
Pelajari selengkapnya: Mengatur akses untuk pengguna eksternal dalam pengelolaan pemberian hak
Langkah berikutnya
Gunakan serangkaian artikel berikut untuk mempelajari tentang mengamankan akses eksternal ke sumber daya. Kami sarankan Anda mengikuti pesanan yang tercantum.
Menentukan postur keamanan Anda untuk akses eksternal dengan ID Microsoft Entra
Menemukan status kolaborasi eksternal saat ini di organisasi Anda
Membuat rencana keamanan untuk akses eksternal ke sumber daya
Mengamankan akses eksternal dengan grup di MICROSOFT Entra ID dan Microsoft 365
Transisi ke kolaborasi yang diatur dengan kolaborasi Microsoft Entra B2B
Mengelola akses eksternal dengan pengelolaan pemberian hak Microsoft Entra (Anda di sini)
Mengelola akses eksternal ke sumber daya dengan kebijakan Akses Bersyarah
Mengontrol akses eksternal ke sumber daya di ID Microsoft Entra dengan label sensitivitas
Mengonversi akun tamu lokal ke akun tamu Microsoft Entra B2B