Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Katalog adalah kontainer sumber daya dan paket akses. Anda dapat membuat katalog saat ingin mengelompokkan sumber daya dan paket akses terkait. Secara default, peran Administrator Tata Kelola Identitas adalah peran dengan hak akses paling minim yang dapat membuat katalog, dan dapat menambahkan pengguna lain sebagai pemilik katalog dengan opsi hak akses paling terbatas.
Catatan
Setelah akses hak istimewa paling sedikit, disarankan untuk menggunakan peran Administrator Tata Kelola Identitas jika memungkinkan dalam pengelolaan pemberian hak.
Ada tiga cara organisasi dapat mendelegasikan dengan katalog:
- Saat memulai dalam proyek pilot, Administrator Tata Kelola Identitas dapat membuat dan mengelola katalog. Kemudian, ketika pindah dari pilot ke produksi, mereka dapat mendelegasikan katalog dengan menetapkan nonadministrator sebagai pemilik ke katalog, sehingga pengguna tersebut dapat mempertahankan kebijakan ke depannya.
- Jika ada sumber daya yang tidak memiliki pemilik, maka administrator dapat membuat katalog, menambahkan sumber daya tersebut ke setiap katalog, lalu menetapkan nonadministrator sebagai pemilik ke katalog. Ini memungkinkan pengguna yang bukan administrator dan bukan pemilik sumber daya untuk mengelola kebijakan akses mereka sendiri untuk sumber daya tersebut.
- Jika sumber daya memiliki pemilik, administrator dapat menetapkan kumpulan pengguna, seperti
All Employeesgrup dinamis, ke peran pembuat katalog, sehingga pengguna yang berada di grup tersebut dan sumber daya sendiri dapat membuat katalog untuk sumber daya mereka sendiri.
Artikel ini menggambarkan cara mendelegasikan kepada pengguna yang bukan administrator, sehingga mereka dapat membuat katalog mereka sendiri. Anda dapat menambahkan pengguna tersebut ke peran pembuat katalog yang ditentukan oleh entitas manajemen pemberian izin Microsoft Entra. Anda dapat menambahkan pengguna individual, atau Anda dapat menambahkan grup yang anggotanya kemudian dapat membuat katalog. Setelah membuat katalog, Anda dapat menambahkan sumber daya yang mereka miliki ke katalog mereka. Mereka dapat membuat paket dan kebijakan akses, termasuk kebijakan yang merujuk pada organisasi yang sudah terhubung.
Jika Anda memiliki katalog yang sudah ada untuk didelegasikan, lanjutkan di artikel membuat dan mengelola katalog sumber daya .
Sebagai administrator TI, mendelegasikan kepada pembuat katalog
Ikuti langkah-langkah berikut untuk menetapkan pengguna ke peran pembuat katalog.
Masuk ke Pusat Admin Microsoft Entra sebagai Administrator Tata Kelola Identitas.
Telusuri ke Tata Kelola ID>Manajemen Hak>pengaturan.
Pilih Edit.
Di bagian Mendelegasikan pengelolaan pemberian izin, pilih Tambahkan pembuat katalog untuk memilih pengguna atau grup yang ingin Anda delegasikan peran pengelolaan pemberian izin ini.
Pilih Pilih.
Pilih Simpan.
Mengizinkan peran yang didelegasikan untuk mengakses pusat admin Microsoft Entra
Untuk mengizinkan peran yang didelegasikan, seperti pembuat katalog dan manajer paket akses, untuk mengakses pusat admin Microsoft Entra untuk mengelola paket akses, Anda harus memeriksa pengaturan portal administrasi.
Masuk ke Pusat Admin Microsoft Entra sebagai Administrator Tata Kelola Identitas.
Telusuri Entra ID>Pengguna>pengaturan Pengguna.
Pastikan Batasi akses ke portal administrasi Microsoft Entra diatur ke Tidak.
Mengelola penetapan peran secara terprogram
Anda juga dapat menampilkan dan memperbarui pembuat katalog serta pengelolaan hak akses dan penugasan peran khusus dalam katalog menggunakan Microsoft Graph. Pengguna dalam peran yang sesuai dengan aplikasi yang memiliki izin EntitlementManagement.ReadWrite.All terdelegasi dapat memanggil API Graph untuk mencantumkan definisi peran dari pengelolaan pemberian hak, dan mencantumkan penetapan peran ke definisi peran tersebut.
Untuk mengambil daftar pengguna dan grup yang ditetapkan ke peran pembuat katalog, peran dengan definisi ID ba92d953-d8e0-4e39-a797-0cbedb0a89e8, gunakan kueri Graph:
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal