Membuat dan mengelola katalog sumber daya dalam pengelolaan pemberian izin

Artikel
05/18/2024

Artikel ini memperlihatkan kepada Anda cara membuat dan mengelola katalog sumber daya dan paket akses dalam pengelolaan pemberian hak.

Membuat katalog

Katalog adalah kontainer sumber daya dan paket akses. Anda dapat membuat katalog saat ingin mengelompokkan sumber daya dan paket akses terkait. Administrator dapat membuat katalog. Selain itu, pengguna yang telah didelegasikan peran pembuat katalog dapat membuat katalog untuk sumber daya yang mereka miliki. Nonadministrator yang membuat katalog menjadi pemilik katalog pertama. Pemilik katalog dapat menambahkan lebih banyak pengguna, grup pengguna, atau perwakilan layanan aplikasi sebagai pemilik katalog.

Untuk membuat katalog:

Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

Tip

Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pembuat Katalog. Pengguna yang diberi peran Administrator Pengguna tidak akan lagi dapat membuat katalog atau mengelola paket akses dalam katalog yang tidak mereka miliki. Jika pengguna di organisasi Anda diberi peran Administrator Pengguna untuk mengonfigurasi katalog, paket akses, atau kebijakan dalam pengelolaan pemberian hak, Anda harus menetapkan peran administrator Tata Kelola Identitas kepada pengguna ini.
Telusuri ke Katalog pengelolaan>pemberian izin tata kelola>identitas.
Pilih Katalog baru.
Masukkan nama unik untuk katalog tersebut, lalu tambahkan deskripsi.

Pengguna akan melihat informasi ini pada detail paket akses.
Jika Anda ingin paket akses dalam katalog ini agar tersedia untuk bisa diminta pengguna segera setelah dibuat, setel Diaktifkan ke Ya.
Jika Anda ingin mengizinkan pengguna di direktori eksternal dari organisasi yang tersambung untuk dapat meminta paket akses dalam katalog ini, atur Diaktifkan untuk pengguna eksternal ke Ya. Paket akses juga harus memiliki kebijakan yang memungkinkan pengguna dari organisasi yang terhubung untuk meminta. Jika paket akses dalam katalog ini hanya ditujukan untuk pengguna yang sudah ada di direktori, atur Diaktifkan untuk pengguna eksternal ke Tidak.
Pilih Buat untuk membuat katalog.

Membuat katalog secara terprogram

Ada dua cara untuk membuat katalog secara terprogram.

Membuat katalog dengan Microsoft Graph

Anda dapat membuat katalog dengan menggunakan Microsoft Graph. Pengguna dalam peran yang sesuai dengan aplikasi yang memiliki izin yang didelegasikan EntitlementManagement.ReadWrite.All , atau aplikasi dengan EntitlementManagement.ReadWrite.All izin aplikasi, dapat memanggil API untuk membuat katalog.

Buat katalog dengan PowerShell

Anda juga dapat membuat katalog di PowerShell dengan New-MgEntitlementManagementCatalog cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas versi 2.2.0 atau yang lebih baru.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

Menambahkan sumber daya ke katalog

Untuk menyertakan sumber daya dalam paket akses, sumber daya tersebut harus ada dalam katalog. Tipe sumber daya yang bisa Anda tambahkan ke katalog adalah grup, aplikasi, dan situs SharePoint Online.

Grup dapat dibuat cloud Grup Microsoft 365 atau grup keamanan Microsoft Entra yang dibuat cloud.
- Grup yang berasal dari Active Directory lokal tidak dapat ditetapkan sebagai sumber daya karena atribut pemilik atau anggota mereka tidak dapat diubah di ID Microsoft Entra. Untuk memberi pengguna akses ke aplikasi yang menggunakan keanggotaan grup keamanan AD, buat grup keamanan baru di ID Microsoft Entra, konfigurasikan tulis balik grup ke AD, dan aktifkan grup tersebut ditulis ke AD, sehingga grup yang dibuat cloud dapat digunakan oleh aplikasi berbasis AD.
- Grup yang berasal dari Exchange Online sebagai Grup distribusi juga tidak dapat dimodifikasi di ID Microsoft Entra, sehingga tidak dapat ditambahkan ke katalog.
Aplikasi dapat berupa aplikasi perusahaan Microsoft Entra, yang mencakup aplikasi perangkat lunak sebagai layanan (SaaS), aplikasi lokal, dan aplikasi Anda sendiri yang terintegrasi dengan ID Microsoft Entra.
- Jika aplikasi Anda belum terintegrasi dengan MICROSOFT Entra ID, lihat mengatur akses untuk aplikasi di lingkungan Anda dan mengintegrasikan aplikasi dengan ID Microsoft Entra dan menambahkan aplikasi ke direktori Anda sebelum menambahkannya ke katalog.
- Untuk informasi selengkapnya tentang cara memilih sumber daya yang sesuai untuk aplikasi dengan beberapa peran, lihat cara menentukan peran sumber daya mana yang akan disertakan dalam paket akses.
Situs dapat berupa situs Online SharePoint atau kumpulan situs Online SharePoint.

Catatan

Cari Situs SharePoint berdasarkan nama situs atau URL yang tepat karena kotak pencarian peka huruf besar/kecil.

Peran prasyarat: Lihat Peran yang diperlukan untuk menambahkan sumber daya ke katalog.

Untuk menambahkan sumber daya ke katalog:

Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.
Telusuri ke Katalog pengelolaan>pemberian izin tata kelola>identitas.
Pada halaman Katalog , buka katalog yang ingin Anda tambahkan sumber dayanya.
Di menu sebelah kiri, pilih Sumber Daya.
Pilih Tambahkan sumber daya.
Pilih jenis sumber daya Grup dan Tim, Aplikasi, atau situs SharePoint.

Jika Anda tidak melihat sumber daya yang ingin Anda tambahkan atau tidak dapat menambahkan sumber daya, pastikan Anda memiliki peran direktori Microsoft Entra yang diperlukan dan peran pengelolaan pemberian hak. Anda mungkin perlu meminta seseorang dengan peran yang diperlukan untuk menambahkan sumber daya ke katalog Anda. Untuk informasi selengkapnya, lihat Peran yang diperlukan untuk menambahkan sumber daya ke katalog.
Pilih satu atau beberapa sumber daya dari jenis yang ingin Anda tambahkan ke katalog.
Setelah selesai, pilih Tambahkan.

Kini, sumber daya tersebut dapat dimasukkan ke paket akses di dalam katalog.

Tambahkan atribut sumber daya di katalog

Atribut adalah bidang wajib yang akan diminta untuk dijawab oleh pemohon sebelum mereka mengirimkan permintaan akses mereka. Jawaban mereka untuk atribut ini akan ditampilkan kepada pemberi persetujuan dan juga ditandai pada objek pengguna di ID Microsoft Entra.

Catatan

Semua atribut yang disiapkan pada sumber daya memerlukan jawaban sebelum permintaan untuk paket akses yang berisi sumber daya tersebut dapat dikirimkan. Jika pemohon tidak memberikan jawaban, permintaan mereka tidak akan diproses.

Untuk mewajibkan atribut untuk permintaan akses:

Pilih Sumber Daya di menu sebelah kiri, dan daftar sumber daya dalam katalog akan muncul.
Pilih elipsis di samping sumber daya tempat Anda ingin menambahkan atribut, lalu pilih Memerlukan atribut.
Pilih jenis atribut:
1. Bawaan menyertakan atribut profil pengguna Microsoft Entra.
2. Ekstensi skema direktori menyediakan cara untuk menyimpan lebih banyak data di pengguna Microsoft Entra. Anda dapat memperluas skema dengan membuat atribut ekstensi. Atribut ekstensi ini pada objek pengguna dapat digunakan untuk mengirimkan klaim ke aplikasi selama provisi atau akses menyeluruh.
Jika Anda memilih Bawaan, pilih atribut dari daftar menurun. Jika Anda memilih Ekstensi skema direktori, masukkan nama atribut di kotak teks.

Catatan

Atribut User.mobile Telepon adalah properti sensitif yang hanya dapat diperbarui oleh beberapa administrator. Pelajari lebih lanjut di Siapa dapat memperbarui atribut pengguna sensitif?.
Pilih format jawaban yang Anda ingin pemohon gunakan untuk jawaban mereka. Format jawaban mencakup teks pendek, pilihan ganda, dan teks panjang.
Jika Anda memilih pilihan ganda, pilih Edit dan melokalisir untuk mengkonfigurasi opsi jawaban.
1. Di panel Lihat/edit pertanyaan yang muncul, masukkan opsi respons yang ingin Anda berikan kepada pemohon saat mereka menjawab pertanyaan di kotak Nilai jawaban.
2. Pilih bahasa untuk opsi respons. Anda dapat melokalisir opsi respons jika Anda memilih lebih banyak bahasa.
3. Masukkan tanggapan sebanyak yang Anda butuhkan, lalu pilih Simpan.
Jika Anda ingin nilai atribut dapat diedit selama penugasan langsung dan permintaan layanan mandiri, pilih Ya.
Catatan
- Jika Anda memilih Tidak di kotak Nilai atribut dapat diedit dan nilai atribut kosong, pengguna dapat memasukkan nilai atribut tersebut. Setelah disimpan, nilainya tidak dapat diedit.
- Jika Anda memilih Tidak di kotak Nilai atribut dapat diedit dan nilai atribut tidak kosong, pengguna tidak dapat mengedit nilai yang sudah ada sebelumnya selama penugasan langsung dan permintaan layanan mandiri.
Jika Anda ingin menambahkan pelokalan, pilih Tambahkan pelokalan.
1. Di panel Tambahkan pelokalan untuk pertanyaan, pilih kode bahasa untuk bahasa yang Anda inginkan untuk melokalkan pertanyaan yang terkait dengan atribut yang dipilih.
2. Dalam bahasa yang Anda konfigurasikan, masukkan pertanyaan dalam kotak Teks yang Dilokalkan.
3. Setelah Anda menambahkan semua pelokalan yang Anda butuhkan, pilih Simpan.
Setelah semua informasi atribut selesai pada halaman Memerlukan atribut, pilih Simpan.

Tambahkan situs SharePoint Multi-Geo

Jika Anda telah mengaktifkan Multi-Geo untuk SharePoint, pilih lingkungan tempat Anda ingin memilih situs.
Kemudian pilih situs yang ingin Anda tambahkan ke katalog.

Tambahkan sumber daya ke katalog secara terprogram

Anda juga dapat menambahkan sumber daya ke katalog dengan menggunakan Microsoft Graph. Pengguna dalam peran yang sesuai, atau katalog dan pemilik sumber daya, dengan aplikasi yang memiliki izin yang didelegasikan EntitlementManagement.ReadWrite.All dapat memanggil API untuk membuat resourceRequest. Aplikasi dengan izin EntitlementManagement.ReadWrite.All aplikasi dan izin untuk mengubah sumber daya, seperti Group.ReadWrite.All, juga dapat menambahkan sumber daya ke katalog.

Menambahkan sumber daya ke katalog dengan PowerShell

Anda juga dapat menambahkan sumber daya ke katalog di PowerShell dengan New-MgEntitlementManagementResourceRequest cmdlet dari modul cmdlet Microsoft Graph PowerShell untuk Tata Kelola Identitas versi 2.1.x atau versi modul yang lebih baru. Contoh berikut menunjukkan cara menambahkan grup ke katalog sebagai sumber daya menggunakan modul cmdlet Microsoft Graph PowerShell versi 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

Menghapus sumber daya dari katalog

Anda dapat menghapus sumber daya dari katalog. Sumber daya dapat dihapus dari katalog hanya jika tidak digunakan dalam paket akses katalog mana pun.

Peran prasyarat: Lihat Peran yang diperlukan untuk menambahkan sumber daya ke katalog.

Untuk menghapus sumber daya dari katalog:

Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.
Telusuri ke Katalog pengelolaan>pemberian izin tata kelola>identitas.
Pada halaman Katalog , buka katalog tempat Anda ingin menghapus sumber daya.
Di menu sebelah kiri, pilih Sumber Daya.
Pilih sumber daya yang ingin dihapus.
Pilih Hapus. Secara opsional, pilih elipsis (...) lalu pilih Hapus sumber daya.

Tambahkan lebih banyak pemilik katalog

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Pengguna yang membuat katalog menjadi pemilik katalog pertama. Untuk mendelegasikan pengelolaan katalog, tambahkan pengguna ke peran pemilik katalog. Menambahkan lebih banyak pemilik katalog membantu berbagi tanggung jawab manajemen katalog.

Untuk menetapkan pengguna ke peran pemilik katalog:

Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

Tip

Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog.
Telusuri ke Katalog pengelolaan>pemberian izin tata kelola>identitas.
Pada halaman Katalog , buka katalog yang ingin Anda tambahkan administratornya.
Di menu sebelah kiri, pilih Peran dan administrator.
Pilih Tambahkan pemilik untuk memilih anggota untuk peran ini.
Pilih Pilih untuk menambahkan anggota ini.

Mengedit katalog

Anda dapat mengedit nama dan deskripsi katalog. Pengguna akan melihat informasi ini pada detail paket akses.

Untuk mengedit katalog:

Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

Tip

Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pembuat Katalog.
Telusuri ke Katalog pengelolaan>pemberian izin tata kelola>identitas.
Pada halaman Katalog , buka katalog yang ingin Anda edit.
Pada halaman Gambaran Umum katalog, pilih Edit.
Edit nama katalog, deskripsi, atau pengaturan yang diaktifkan.
Pilih Simpan.

Menghapus katalog

Anda dapat menghapus katalog, tetapi hanya jika katalognya tidak memiliki paket akses.

Untuk menghapus katalog:

Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

Tip

Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pembuat Katalog.
Telusuri ke Katalog pengelolaan>pemberian izin tata kelola>identitas.
Pada halaman Katalog , buka katalog yang ingin Anda hapus.
Pada halaman Gambaran Umum katalog, pilih Hapus.
Pada kotak pesan yang muncul, pilih Ya.

Hapus katalog secara terprogram

Anda juga dapat menghapus katalog dengan menggunakan Microsoft Graph. Pengguna dengan peran yang sesuai dengan aplikasi yang memiliki izin EntitlementManagement.ReadWrite.All yang didelegasikan dapat menghubungi API untuk menghapus accessPackageCatalog.

Langkah berikutnya

Mendelegasikan tata kelola akses untuk mengakses pengelola paket

Bagikan melalui