Bagikan melalui

Tutorial: Mengelola akses ke sumber daya dalam pengelolaan pemberian hak

  • Artikel

Mengelola akses ke semua sumber daya yang dibutuhkan karyawan, seperti grup, aplikasi, dan situs, adalah fungsi penting bagi organisasi. Anda ingin memberi karyawan tingkat akses yang tepat yang mereka butuhkan untuk menjadi produktif dan menghapus akses mereka saat tidak lagi diperlukan.

Dalam tutorial ini, Anda bekerja untuk Bank Woodgrove sebagai admin TI. Anda diminta untuk membuat paket sumber daya untuk kampanye pemasaran yang dapat digunakan pengguna internal untuk permintaan layanan mandiri. Permintaan tidak memerlukan persetujuan dan akses pengguna berakhir setelah 30 hari. Untuk tutorial ini, sumber daya kampanye pemasaran hanya keanggotaan dalam satu grup, tetapi bisa menjadi kumpulan grup, aplikasi, atau situs SharePoint Online.

Diagram yang menunjukkan gambaran umum skenario.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat paket akses dengan grup sebagai sumber daya
  • Mengizinkan pengguna di direktori Anda untuk meminta akses
  • Menunjukkan bagaimana pengguna internal dapat meminta paket akses

Untuk demonstrasi langkah demi langkah tentang proses penyebaran pengelolaan pemberian hak Microsoft Entra, termasuk membuat paket akses pertama Anda, lihat video berikut:

Sisa artikel ini menggunakan pusat admin Microsoft Entra untuk mengonfigurasi dan menunjukkan pengelolaan pemberian hak.

Prasyarat

Untuk menggunakan pengelolaan pemberian izin, Anda harus memiliki salah satu lisensi berikut:

  • Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra
  • Lisensi Enterprise Mobility + Keamanan (EMS) E5

Untuk informasi selengkapnya, lihat Persyaratan lisensi.

Langkah 1: Siapkan pengguna dan grup

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Direktori sumber daya memiliki satu atau beberapa sumber daya untuk dibagikan. Dalam langkah ini, Anda membuat grup bernama Sumber daya Pemasaran di direktori Bank Woodgrove yang merupakan sumber daya target untuk pengelolaan pemberian hak. Anda juga menyiapkan pemohon internal.

Bagan yang menunjukkan pengguna dan grup untuk tutorial ini.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

  3. Buat dua pengguna. Gunakan nama berikut atau nama yang berbeda.

    Nama Peran direktori
    Admin1 Setidaknya Administrator Tata Kelola Identitas. Pengguna ini dapat menjadi pengguna yang Anda masuki saat ini.
    Pemohon1 Pengguna

  4. Buat grup keamanan Microsoft Entra bernama Sumber daya Pemasaran dengan jenis keanggotaan Ditetapkan. Grup ini adalah sumber daya target untuk pengelolaan pemberian izin. Grup harus kosong dari anggota untuk memulai.

Langkah 2: Buat paket akses

paket akses adalah bundel sumber daya yang dibutuhkan tim atau proyek dan diatur dengan kebijakan. Paket akses dijelaskan di kontainer yang disebut katalog. Dalam langkah ini, Anda membuat paket akses Kampanye Pemasaran di katalog Umum.

Bagan yang menjelaskan hubungan antara elemen paket akses.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

    Tip

    Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog dan manajer paket Akses.

  2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

  3. Pada halaman Paket akses, buka paket akses.

  4. Saat membuka paket akses jika Anda melihat Akses ditolak, pastikan lisensi Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra ada di direktori Anda.

  5. Pilih Paket akses baru.

    Cuplikan layar yang menunjukkan cara membuat paket akses.

  6. Pada tab Dasar, ketikkan nama paket akses Kampanye Pemasaran dan deskripsi Akses ke sumber daya untuk kampanye.

  7. Biarkan menu drop-down Katalog diatur ke Umum.

    Cuplikan layar yang menunjukkan cara mengatur dasar kebijakan akses.

  8. Pilih Berikutnya untuk membuka tab Peran sumber daya. Pada tab ini, pilih sumber daya dan peran sumber daya untuk disertakan dalam paket akses. Anda dapat memilih untuk mengelola akses ke grup dan tim, aplikasi, dan situs SharePoint Online. Dalam skenario ini, pilih Grup dan Teams.

    Cuplikan layar yang menunjukkan cara memilih grup dan teams.

  9. Di panel Pilih grup, temukan dan pilih grup Sumber daya pemasaran yang Anda buat sebelumnya.

    Secara default, Anda melihat grup di dalam katalog Umum. Saat Anda memilih grup di luar katalog Umum, yang bisa Anda lihat jika Anda mencentang kotak centang Lihat semua , grup ditambahkan ke katalog Umum.

    Cuplikan layar yang menunjukkan cara memilih grup

  10. Pilih Pilih untuk menambahkan grup ke daftar.

  11. Di menu drop-down Peran, pilih Anggota. Jika Anda memilih peran Pemilik, ini memungkinkan pengguna untuk menambahkan atau menghapus anggota atau pemilik lain. Untuk informasi selengkapnya tentang memilih peran yang sesuai untuk sumber daya, baca menambahkan peran sumber daya.

    Cuplikan layar menunjukkan cara memilih peran anggota.

    Penting

    Grup yang dapat ditetapkan peran yang ditambahkan ke paket akses akan ditunjukkan menggunakan Sub Jenis Dapat ditetapkan untuk peran. Untuk informasi selengkapnya, lihat artikel Buat grup yang dapat ditetapkan peran. Perlu diingat bahwa setelah grup yang dapat ditetapkan peran ada dalam katalog paket akses, pengguna administratif yang dapat mengelola dalam pengelolaan pemberian hak, termasuk pengguna dalam peran Administrator Global, pengguna dalam peran Administrator Tata Kelola Identitas, dan pemilik katalog katalog, akan dapat mengontrol paket akses dalam katalog, memungkinkan mereka memilih siapa yang dapat ditambahkan ke grup tersebut. Jika Anda tidak melihat grup yang dapat ditetapkan peran yang ingin Anda tambahkan atau Anda tidak dapat menambahkannya, pastikan Anda memiliki peran Microsoft Entra dan peran pengelolaan pemberian hak yang diperlukan untuk melakukan operasi ini. Anda mungkin perlu meminta seseorang dengan peran yang diperlukan untuk menambahkan sumber daya ke katalog Anda. Untuk informasi selengkapnya, lihat Peran yang diperlukan untuk menambahkan sumber daya ke katalog.

    Catatan

    Saat menggunakan grup keanggotaan dinamis, Anda tidak akan melihat peran lain yang tersedia selain pemilik. Ini memang disengaja. Cuplikan layar yang menunjukkan peran grup dinamis yang tersedia.

  12. Pilih Berikutnya untuk membuka tab Permintaan. Pada tab Permintaan, Anda membuat kebijakan permintaan. Kebijakan menjelaskan aturan atau pagar pembatas untuk mengakses paket akses. Anda membuat kebijakan yang memungkinkan pengguna tertentu dalam direktori sumber daya untuk meminta paket akses ini.

  13. Di bagian Pengguna yang dapat meminta akses , pilih Untuk pengguna di direktori Anda, lalu pilih Pengguna dan grup tertentu.

    Cuplikan layar tab permintaan paket akses.

  14. Pilih Menambahkan pengguna dan grup.

  15. Di panel Pilih pengguna dan grup, pilih pengguna Pemohon1 yang Anda buat sebelumnya.

    Cuplikan layar pengguna dan grup tertentu.

  16. Pilih Pilih untuk menambahkan pengguna ke daftar.

  17. Gulir ke bawah ke bagian Persetujuan dan Aktifkan permintaan.

  18. Biarkan Memerlukan persetujuan diatur ke Tidak.

  19. Untuk Mengaktifkan permintaan, pilih Ya untuk mengaktifkan paket akses ini agar diminta segera setelah dibuat.

  20. Jika organisasi Anda disiapkan untuk menerima ID terverifikasi, ada opsi untuk mengonfigurasi paket akses untuk mengharuskan pemohon memberikan ID terverifikasi. Untuk mempelajari selengkapnya, lihat: Mengonfigurasi pengaturan ID terverifikasi untuk paket akses dalam pengelolaan pemberian hak (Pratinjau)

    Cuplikan layar pilihan pemilih ID Terverifikasi.

  21. Pilih Berikutnya untuk membuka tab Informasi permintaan.

    Cuplikan layar persetujuan tab permintaan dan aktifkan pengaturan permintaan.

  22. Pada tab Informasi pemohon, Anda dapat mengajukan pertanyaan untuk mengumpulkan lebih banyak informasi dari pemohon. Pertanyaan ditampilkan pada formulir permintaan dan dapat bersifat wajib atau opsional. Anda juga dapat menentukan apakah manajer karyawan dapat meminta atas nama mereka atau tidak, dan jika persetujuan diperlukan jika mereka melakukannya. Jika kebijakan memungkinkan manajer untuk meminta atas nama karyawan, manajer akan menjawab pertanyaan atas nama karyawan, dan bukan diri mereka sendiri. Untuk informasi selengkapnya tentang opsi ini, lihat: Meminta paket akses atas nama pengguna lain(Pratinjau). Dalam skenario ini, Anda belum diminta untuk menyertakan informasi pemohon untuk paket akses, sehingga Anda dapat membiarkan kotak ini kosong. Pilih Berikutnya untuk membuka tab Siklus hidup.

  23. Pada tab Siklus Hidup, Anda menentukan kapan penetapan pengguna ke paket akses kedaluwarsa. Anda juga dapat menentukan apakah pengguna dapat memperpanjang penugassa mereka. Di bagian Kedaluwarsa:

    1. Atur Akses penugasan paket akses ke Jumlah hari.
    2. Atur Penugasan kedaluwarsa setelah menjadi 30 hari.
    3. Biarkan nilai default Pengguna dapat meminta garis waktu tertentu, Ya.
    4. Atur Memerlukan tinjauan akses ke Tidak.

    Cuplikan layar tab siklus hidup paket akses

  24. Lewati langkah Ekstensi kustom.

  25. Pilih Berikutnya untuk membuka tab Tinjau + Buat.

  26. Pada tab Tinjau + Buat, pilih Buat. Setelah beberapa saat, Anda akan melihat pemberitahuan bahwa paket akses berhasil dibuat.

  27. Di menu sebelah kiri paket akses Kampanye Pemasaran, pilih Gambaran umum.

  28. Salin tautan portal Akses Saya.

    Anda akan menggunakan tautan ini untuk langkah berikutnya.

    Cuplikan layar yang menunjukkan cara menyalin link ke kebijakan akses.

Langkah 3: Meminta akses

Dalam langkah ini, Anda melakukan langkah-langkah sebagai pemohon internal dan meminta akses ke paket akses. Pemohon mengirimkan permintaan mereka menggunakan situs yang disebut portal Akses Saya. Portal Akses Saya memungkinkan pemohon untuk mengirimkan permintaan paket akses, melihat paket akses yang sudah mereka miliki aksesnya, dan melihat riwayat permintaan mereka. Ketika tamu baru meminta paket akses di MyAccess, bahasa pilihan mereka dicap berdasarkan bahasa browser MyAccess pada waktu permintaan. Ini memungkinkan tamu baru untuk menerima komunikasi email dalam bahasa yang mereka pahami.

Peran prasyarat: Pemohon internal

  1. Keluar dari pusat admin Microsoft Entra.

  2. Di jendela browser baru, navigasikan ke tautan portal Akses Saya yang Anda salin di langkah sebelumnya.

  3. Masuk ke portal Akses Saya sebagai Pemohon1.

    Anda akan melihat paket akses Kampanye Pemasaran.

  4. Di kotak Pertimbangan bisnis, ketikkan pembenaran Saya sedang mengerjakan kampanye pemasaran baru.

    Screenshot portal Akses Saya yang mencantumkan paket akses.

  5. Pilih kirim.

  6. Di menu sebelah kiri, pilih Riwayat permintaan untuk memverifikasi bahwa permintaan Anda telah dikirim. Untuk detail selengkapnya, pilih Lihat.

    Cuplikan layar riwayat permintaan portal Akses Saya.

Langkah 4: Memvalidasi bahwa akses telah ditetapkan

Dalam langkah ini, Anda mengonfirmasi bahwa pemohon internal telah diberi paket akses dan mereka sekarang menjadi anggota grup Sumber daya pemasaran.

  1. Keluar dari portal Akses Saya.

  2. Masuk ke pusat admin Microsoft Entra sebagai Admin1, yang setidaknya merupakan Administrator Tata Kelola Identitas.

    Tip

    Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog dan manajer paket Akses.

  3. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

  4. Temukan dan klik paket akses Kampanye Pemasaran.

  5. Di menu sebelah kiri, pilih Permintaan.

    Anda akan melihat Pemohon1 dan kebijakan Awal dengan status Dikirim.

  6. Klik permintaan untuk melihat detail permintaan.

    Cuplikan layar detail permintaan paket akses.

  7. Di navigasi kiri, pilih Identitas.

  8. Klik Grup dan buka grup Sumber daya pemasaran.

  9. Pilih Anggota.

    Anda akan melihat Pemohon1 terdaftar sebagai anggota.

    Cuplikan layar menunjukkan pemohon telah ditambahkan ke grup sumber daya pemasaran.

Langkah 5: Bersihkan sumber daya

Dalam langkah ini, Anda menghapus perubahan yang Anda buat dan menghapus paket akses Kampanye Pemasaran.

  1. Di pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas, pilih Tata Kelola Identitas.

  2. Buka paket akses Kampanye Pemasaran.

  3. Pilih Penugasan.

  4. Untuk Pemohon1, pilih elipsis (...) lalu pilih Hapus akses. Di pesan yang muncul, pilih Ya.

    Setelah beberapa saat, status akan berubah dari Dikirim ke Kedaluwarsa.

  5. Pilih Peran sumber daya.

  6. Untuk Sumber daya pemasaran, pilih elipsis (...) lalu pilih Hapus peran sumber daya. Di pesan yang muncul, pilih Ya.

  7. Buka daftar paket akses.

  8. Untuk Kampanye Pemasaran, pilih elipsis (...) lalu pilih Hapus. Di pesan yang muncul, pilih Ya.

  9. Di Identitas, hapus pengguna apa pun yang Anda buat seperti Pemohon1 dan Admin1.

  10. Hapus grup Sumber daya pemasaran.

Langkah berikutnya

Lanjutkan ke artikel berikutnya untuk mempelajari tentang langkah-langkah skenario umum dalam pengelolaan pemberian hak.

Skenario umum