Bagikan melalui


Mendelegasikan tata kelola akses kepada pembuat katalog dalam pengelolaan pemberian hak

Katalog adalah kontainer sumber daya dan paket akses. Anda dapat membuat katalog saat ingin mengelompokkan sumber daya dan paket akses terkait. Secara default, Administrator Global atau Administrator Tata Kelola Identitas dapat membuat katalog, dan dapat menambahkan pengguna lain sebagai pemilik katalog.

Catatan

Setelah akses hak istimewa paling sedikit, disarankan untuk menggunakan peran Administrator Tata Kelola Identitas jika memungkinkan dalam pengelolaan pemberian hak.

Ada tiga cara organisasi dapat mendelegasikan dengan katalog:

  • Saat memulai dalam proyek pilot, Administrator Tata Kelola Identitas dapat membuat dan mengelola katalog. Kemudian, ketika pindah dari pilot ke produksi, mereka dapat mendelegasikan katalog dengan menetapkan nonadministrator sebagai pemilik ke katalog, sehingga pengguna tersebut dapat mempertahankan kebijakan ke depannya.
  • Jika ada sumber daya yang tidak memiliki pemilik, maka administrator dapat membuat katalog, menambahkan sumber daya tersebut ke setiap katalog, lalu menetapkan nonadministrator sebagai pemilik ke katalog. Ini memungkinkan pengguna yang bukan administrator dan bukan pemilik sumber daya untuk mengelola kebijakan akses mereka sendiri untuk sumber daya tersebut.
  • Jika sumber daya memiliki pemilik, administrator dapat menetapkan kumpulan pengguna, seperti All Employees grup dinamis, ke peran pembuat katalog, sehingga pengguna yang berada di grup tersebut dan sumber daya sendiri dapat membuat katalog untuk sumber daya mereka sendiri.

Artikel ini menggambarkan cara mendelegasikan kepada pengguna yang bukan administrator, sehingga mereka dapat membuat katalog mereka sendiri. Anda dapat menambahkan pengguna tersebut ke peran pembuat katalog yang ditentukan pengelolaan pemberian izin Microsoft Entra. Anda dapat menambahkan pengguna individual, atau Anda dapat menambahkan grup yang anggotanya kemudian dapat membuat katalog. Setelah membuat katalog, Anda dapat menambahkan sumber daya yang mereka miliki ke katalog mereka. Mereka dapat membuat paket dan kebijakan akses, termasuk kebijakan yang merujuk pada organisasi yang terhubung yang ada.

Jika Anda memiliki katalog yang sudah ada untuk didelegasikan, lanjutkan di artikel membuat dan mengelola katalog sumber daya .

Sebagai administrator TI, mendelegasikan kepada pembuat katalog

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Ikuti langkah-langkah berikut untuk menetapkan pengguna ke peran pembuat katalog.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri pengaturan Pengelolaan>pemberian izin tata kelola>identitas.

  3. Pilih Edit.

    Pengaturan untuk menambahkan pembuat katalog

  4. Di bagian Mendelegasikan pengelolaan pemberian izin, pilih Tambahkan pembuat katalog untuk memilih pengguna atau grup yang ingin Anda delegasikan peran pengelolaan pemberian izin ini.

  5. Pilih Pilih.

  6. Pilih Simpan.

Mengizinkan peran yang didelegasikan untuk mengakses pusat admin Microsoft Entra

Untuk mengizinkan peran yang didelegasikan, seperti pembuat katalog dan manajer paket akses, untuk mengakses pusat admin Microsoft Entra untuk mengelola paket akses, Anda harus memeriksa pengaturan portal administrasi.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri pengaturan Pengguna Identitas>>.

  3. Pastikan Batasi akses ke portal administrasi Microsoft Entra diatur ke Tidak.

    Pengaturan pengguna Microsoft Entra - Portal administrasi

Mengelola penetapan peran secara terprogram

Anda juga dapat menampilkan dan memperbarui pembuat katalog dan pengelolaan pemberian hak penetapan peran khusus katalog menggunakan Microsoft Graph. Pengguna dalam peran yang sesuai dengan aplikasi yang memiliki izin EntitlementManagement.ReadWrite.All terdelegasi dapat memanggil API Graph untuk mencantumkan definisi peran dari pengelolaan pemberian hak, dan mencantumkan penetapan peran ke definisi peran tersebut.

Untuk mengambil daftar pengguna dan grup yang ditetapkan ke peran pembuat katalog, peran dengan ID ba92d953-d8e0-4e39-a797-0cbedb0a89e8definisi , gunakan kueri Graph:

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal

Langkah berikutnya