Bagikan melalui


Mengelola akses eksternal dengan pengelolaan pemberian hak Microsoft Entra

Gunakan fitur pengelolaan pemberian hak untuk mengelola identitas dan mengakses siklus hidup. Anda dapat mengotomatiskan alur kerja permintaan akses, penetapan akses, tinjauan, dan kedaluwarsa. Non-admin yang didelegasikan menggunakan pengelolaan pemberian hak untuk membuat paket akses yang dapat diakses pengguna eksternal, dari organisasi lain. Alur kerja persetujuan satu dan multistage dapat dikonfigurasi untuk mengevaluasi permintaan, dan memprovisikan pengguna untuk akses terbatas waktu dengan ulasan berulang. Gunakan pengelolaan pemberian izin untuk provisi dan deprovisi akun eksternal berbasis kebijakan.

Selengkapnya:

Sebelum Anda mulai

Artikel ini adalah nomor 6 dalam serangkaian 10 artikel. Kami sarankan Anda meninjau artikel secara berurutan. Buka bagian Langkah berikutnya untuk melihat seluruh seri.

Mengaktifkan pengelolaan pemberian izin

Konsep utama berikut ini penting agar dipahami untuk pengelolaan pemberian hak.

Paket akses

Paket akses adalah dasar pengelolaan pemberian hak: pengelompokan sumber daya yang diatur kebijakan bagi pengguna untuk berkolaborasi dalam proyek atau melakukan tugas lain. Misalnya, paket akses mungkin mencakup:

  • Akses ke situs SharePoint
  • Aplikasi perusahaan, termasuk aplikasi in-house dan software as a service (SaaS) kustom Anda, seperti Salesforce
  • Microsoft Teams
  • Grup Microsoft 365

Katalog

Paket Akses berada di katalog. Saat Anda ingin mengelompokkan sumber daya terkait dan mengakses paket dan mendelegasikan manajemennya, Anda membuat katalog. Pertama, Anda menambahkan sumber daya ke katalog, lalu Anda dapat menambahkan sumber daya untuk mengakses paket. Misalnya, Anda dapat membuat katalog keuangan, dan mendelegasikan manajemennya kepada anggota tim keuangan. Orang tersebut dapat menambahkan sumber daya, membuat paket akses, dan mengelola persetujuan akses.

Selengkapnya:

Diagram berikut menunjukkan siklus hidup tata kelola umum pengguna eksternal yang mendapatkan akses ke paket akses, dengan kedaluwarsa.

A diagram of the external user governance cycle.

Akses eksternal layanan mandiri

Anda dapat membuat paket akses tersedia, melalui portal Microsoft Entra My Access, untuk memungkinkan pengguna eksternal meminta akses. Kebijakan menentukan siapa yang dapat meminta paket akses. Lihat, Meminta akses ke paket akses dalam pengelolaan pemberian hak.

Anda menentukan siapa yang diperbolehkan meminta paket akses:

Approvals

Paket akses dapat menyertakan persetujuan wajib untuk akses. Persetujuan dapat berupa tunggal atau multistage dan ditentukan oleh kebijakan. Jika pengguna internal dan eksternal perlu mengakses paket yang sama, Anda dapat menyiapkan kebijakan akses untuk kategori organisasi yang terhubung, dan untuk pengguna internal.

Penting

Menerapkan proses persetujuan untuk pengguna eksternal.

kedaluwarsa

Paket akses dapat mencakup tanggal kedaluwarsa atau sejumlah hari yang Anda tetapkan untuk akses. Ketika paket akses kedaluwarsa, dan akses berakhir, objek Pengguna Tamu B2B yang mewakili pengguna dapat dihapus atau diblokir agar tidak masuk. Sebaiknya Anda menerapkan kedaluwarsa pada paket akses untuk pengguna eksternal. Tidak semua paket akses memiliki kedaluwarsa.

Penting

Untuk paket tanpa kedaluwarsa, lakukan tinjauan akses reguler.

Tinjauan akses

Paket akses dapat memerlukan tinjauan akses berkala, yang mengharuskan pemilik paket atau penerima desain untuk membuktikan kebutuhan yang berkelanjutan untuk akses pengguna. Lihat, Mengelola akses tamu dengan tinjauan akses.

Sebelum Menyiapkan tinjauan, tentukan kriteria berikut:

  • Siapa
    • Kriteria untuk akses berkelanjutan
    • Peninjau
  • Seberapa sering
    • Opsi bawaan adalah bulanan, triwulanan, BI-tahunan, atau tahunan
    • Kami merekomendasikan ulasan triwulanan atau lebih sering untuk paket yang mendukung akses eksternal

Penting

Tinjauan paket akses memeriksa akses yang diberikan melalui pengelolaan pemberian hak. Siapkan proses lain untuk meninjau akses ke pengguna eksternal, di luar pengelolaan pemberian hak.

Pelajari selengkapnya: Merencanakan penyebaran tinjauan akses Microsoft Entra.

Menggunakan otomatisasi pengelolaan pemberian izin

Rekomendasi tata kelola akses eksternal

Praktik Terbaik

Kami merekomendasikan praktik berikut untuk mengatur akses eksternal dengan pengelolaan pemberian hak.

Tata Kelola Identitas - Pengaturan

Gunakan Tata Kelola Identitas - Pengaturan untuk menghapus pengguna dari direktori Anda saat paket akses mereka kedaluwarsa. Pengaturan berikut berlaku untuk pengguna yang di-onboarding dengan pengelolaan pemberian izin.

Screenshot of settings and entries for Manage the lifecycle of external users.

Mendelegasikan manajemen katalog dan paket

Anda dapat mendelegasikan manajemen katalog dan paket kepada pemilik bisnis, yang memiliki informasi lebih lanjut tentang siapa yang harus mengakses. Lihat, Delegasi dan peran dalam pengelolaan pemberian hak

Screenshot of options and entries under Roles and administrators.

Memberlakukan kedaluwarsa paket akses

Anda dapat memberlakukan kedaluwarsa akses untuk pengguna eksternal. Lihat, Mengubah pengaturan siklus hidup untuk paket akses dalam pengelolaan pemberian hak.

Screenshot of options and entries for Expiration.

  • Untuk tanggal akhir paket akses berbasis proyek, gunakan Pada tanggal untuk mengatur tanggal.
    • Jika tidak, kami sarankan kedaluwarsa tidak lagi 365 hari, kecuali itu adalah proyek multiyear
  • Perbolehkan pengguna memperluas akses
    • Memerlukan persetujuan untuk memberikan ekstensi

Menerapkan tinjauan paket akses tamu

Anda dapat memberlakukan tinjauan paket akses tamu untuk menghindari akses yang tidak pantas bagi tamu. Lihat, Mengelola akses tamu dengan tinjauan akses.

Screenshot of options and entries under New access package.

  • Menerapkan tinjauan triwulanan
  • Untuk proyek terkait kepatuhan, atur peninjau menjadi peninjau, bukan tinjauan mandiri untuk pengguna eksternal.
    • Anda dapat menggunakan manajer paket akses sebagai peninjau
  • Untuk proyek yang kurang sensitif, pengguna yang meninjau sendiri mengurangi beban untuk menghapus akses dari pengguna tidak lagi dengan organisasi.

Pelajari selengkapnya: Mengatur akses untuk pengguna eksternal dalam pengelolaan pemberian hak

Langkah berikutnya

Gunakan serangkaian artikel berikut untuk mempelajari tentang mengamankan akses eksternal ke sumber daya. Kami sarankan Anda mengikuti pesanan yang tercantum.

  1. Menentukan postur keamanan Anda untuk akses eksternal dengan ID Microsoft Entra

  2. Menemukan status kolaborasi eksternal saat ini di organisasi Anda

  3. Membuat rencana keamanan untuk akses eksternal ke sumber daya

  4. Mengamankan akses eksternal dengan grup di MICROSOFT Entra ID dan Microsoft 365

  5. Transisi ke kolaborasi yang diatur dengan kolaborasi Microsoft Entra B2B

  6. Mengelola akses eksternal dengan pengelolaan pemberian hak Microsoft Entra (Anda di sini)

  7. Mengelola akses eksternal ke sumber daya dengan kebijakan Akses Bersyarah

  8. Mengontrol akses eksternal ke sumber daya di ID Microsoft Entra dengan label sensitivitas

  9. Mengamankan akses eksternal ke Microsoft Teams, SharePoint, dan OneDrive for Business dengan ID Microsoft Entra

  10. Mengonversi akun tamu lokal ke akun tamu Microsoft Entra B2B