Mengatur akses untuk pengguna eksternal dalam pengelolaan pemberian hak

Pengelolaan pemberian hak menggunakan Microsoft Entra business-to-business (B2B) untuk berbagi akses sehingga Anda dapat berkolaborasi dengan orang di luar organisasi Anda. Dengan Microsoft Entra B2B, pengguna eksternal mengautentikasi ke direktori asal mereka, tetapi memiliki representasi di direktori Anda. Representasi dalam direktori Anda memungkinkan pengguna diberi akses ke sumber daya Anda.

Artikel ini menjelaskan pengaturan yang dapat Anda tentukan untuk mengatur akses bagi pengguna eksternal.

Bagaimana pengelola pemberian hak dapat membantu

Saat menggunakan pengalaman undangan Microsoft Entra B2B , Anda harus sudah mengetahui alamat email pengguna tamu eksternal yang ingin Anda bawa ke direktori sumber daya anda dan bekerja dengannya. Mengundang setiap pengguna secara langsung akan bekerja dengan baik saat Anda mengerjakan proyek yang lebih kecil atau jangka pendek dan Anda sudah mengenal semua pesertanya, tetapi proses ini akan lebih sulit untuk dikelola jika Anda memiliki banyak pengguna yang ingin Anda ajak bekerja sama, atau jika peserta berubah seiring waktu. Misalnya, Anda mungkin bekerja dengan organisasi lain dan memiliki satu titik kontak dengan organisasi tersebut, tetapi seiring waktu lebih banyak pengguna dari organisasi tersebut juga akan memerlukan akses.

Dengan pengelolaan pemberian hak, Anda dapat menentukan kebijakan yang memungkinkan pengguna dari organisasi yang Anda tentukan untuk dapat meminta sendiri paket akses. Kebijakan itu mencakup apakah persetujuan diperlukan, apakah tinjauan akses diperlukan, dan tanggal kedaluwarsa untuk akses. Dalam kebanyakan kasus, Anda ingin mensyaratkan persetujuan, untuk memiliki pengawasan yang sesuai terkait pengguna yang dimasukkan ke direktori Anda. Jika persetujuan diperlukan, maka untuk mitra organisasi eksternal utama, Anda mungkin mempertimbangkan untuk mengundang satu atau beberapa pengguna dari organisasi eksternal ke direktori Anda, menunjuk mereka sebagai sponsor, dan mengonfigurasi bahwa sponsor adalah pemberi persetujuan - karena mereka cenderung mengetahui pengguna eksternal mana dari organisasi mereka yang memerlukan akses. Setelah mengonfigurasi paket akses, dapatkan tautan permintaan paket akses sehingga Anda dapat mengirim tautan tersebut ke orang kontak (sponsor) Anda di organisasi eksternal. Kontak tersebut dapat berbagi dengan pengguna lain di organisasi eksternal mereka, dan mereka dapat menggunakan tautan ini untuk meminta paket akses. Pengguna dari organisasi yang sudah diundang ke direktori Anda juga dapat menggunakan tautan tersebut.

Anda juga dapat menggunakan pengelolaan hak akses untuk menghubungkan pengguna dari organisasi yang tidak memiliki direktori Microsoft Entra mereka sendiri. Anda dapat mengonfigurasi penyedia identitas federasi untuk domain mereka, atau menggunakan autentikasi berbasis email. Anda juga dapat membawa pengguna dari penyedia identitas sosial, termasuk pengguna dengan akun Microsoft.

Biasanya, ketika permintaan disetujui, pengelolaan pemberian hak memprovisikan pengguna dengan akses yang diperlukan. Jika pengguna belum berada di direktori Anda, pengelolaan pemberian hak akan mengundang pengguna terlebih dahulu. Saat pengguna diundang, ID Microsoft Entra secara otomatis membuat akun tamu B2B untuk mereka, tetapi tidak akan mengirimi pengguna email. Administrator mungkin membatasi organisasi mana yang diizinkan untuk kolaborasi, dengan mengatur B2B mengizinkan atau memblokir daftar untuk mengizinkan atau memblokir undangan ke domain organisasi lain. Jika domain pengguna tidak diizinkan oleh daftar tersebut, maka domain tersebut tidak diundang dan tidak dapat ditetapkan aksesnya hingga daftar diperbarui.

Karena Anda tidak ingin akses pengguna eksternal bertahan selamanya, Anda menentukan tanggal kedaluwarsa dalam kebijakan, seperti 180 hari. Setelah 180 hari, jika akses mereka tidak diperpanjang, pengelolaan pemberian hak akan menghapus semua akses yang terkait dengan paket akses tersebut. Secara bawaan, jika pengguna yang diundang melalui manajemen hak akses tidak memiliki penetapan paket akses lain, maka ketika mereka kehilangan penetapan terakhir, akun tamu mereka diblokir dari masuk selama 30 hari, dan kemudian dihapus. Hal ini untuk mencegah menjamurnya akun yang tidak perlu. Seperti yang dijelaskan di bagian berikut, pengaturan ini dapat dikonfigurasi.

Cara kerja akses untuk pengguna eksternal

Diagram dan langkah-langkah berikut ini memberikan gambaran umum tentang bagaimana pengguna eksternal diberikan akses ke paket akses.

1. Anda menambahkan organisasi yang tersambung untuk direktori atau domain Microsoft Entra yang ingin Anda gunakan untuk berkolaborasi. Anda juga dapat mengonfigurasi organisasi yang terhubung untuk penyedia identitas sosial.

2. Anda memeriksa pengaturan katalog Diaktifkan untuk pengguna eksternal di katalog untuk berisi paket akses adalah Ya.

3. Anda membuat paket akses di direktori Anda yang menyertakan kebijakan Untuk pengguna yang tidak ada di direktori Anda dan menentukan organisasi terhubung yang dapat meminta, pemberi persetujuan, dan pengaturan siklus hidup. Jika Anda memilih dalam kebijakan opsi organisasi tertentu yang terhubung atau opsi semua organisasi yang terhubung, maka hanya pengguna dari organisasi yang sebelumnya telah dikonfigurasi yang dapat meminta. Jika Anda memilih dalam kebijakan opsi semua pengguna, maka setiap pengguna dapat meminta, termasuk yang belum menjadi bagian dari direktori Anda dan bukan bagian dari organisasi yang terhubung.

4. Anda memeriksa pengaturan tersembunyi pada paket akses untuk memastikan paket akses disembunyikan. Jika tidak disembunyikan, maka setiap pengguna yang diizinkan oleh pengaturan kebijakan dalam paket akses tersebut dapat menelusuri paket akses di portal Akses Saya untuk penyewa Anda.

5. Anda mengirim tautan portal Akses Saya ke kontak Anda di organisasi eksternal yang dapat mereka bagikan dengan pengguna mereka untuk meminta paket akses.

6. Pengguna eksternal (Pemohon A dalam contoh ini) menggunakan tautan portal Akses Saya untuk meminta akses ke paket akses. Portal My access mengharuskan pengguna untuk masuk sebagai bagian dari organisasi yang terhubung. Bagaimana pengguna masuk bergantung pada jenis autentikasi direktori atau domain yang ditentukan dalam organisasi yang terhubung dan pengaturan pengguna eksternal.

7. Pemberi persetujuan menyetujui permintaan (dengan asumsi kebijakan memerlukan persetujuan).

8. Permintaan masuk ke status pengiriman.

9. Dengan menggunakan proses undangan B2B, akun pengguna tamu dibuat di direktori Anda (Pemohon A (Tamu) dalam contoh ini). Jika daftar yang diizinkan atau daftar blokir ditentukan, pengaturan daftar diterapkan.

10. Pengguna tamu akan diberi akses ke semua sumber daya dalam paket akses. Diperlukan beberapa waktu agar perubahan dilakukan di ID Microsoft Entra dan ke Layanan Online Microsoft lainnya atau aplikasi SaaS yang terhubung. Untuk informasi selengkapnya, lihat Saat perubahan diterapkan.

11. Pengguna eksternal menerima email yang menunjukkan bahwa akses mereka dikirimkan.

12. Untuk mengakses sumber daya, pengguna eksternal dapat memilih tautan dalam email atau mencoba mengakses salah satu sumber daya direktori secara langsung untuk menyelesaikan proses undangan.

13. Jika pengaturan kebijakan mencakup tanggal kedaluwarsa, maka nanti ketika penetapan paket akses untuk pengguna eksternal kedaluwarsa, hak akses pengguna eksternal dari paket akses tersebut akan dihapus.

14. Bergantung pada siklus hidup pengaturan pengguna eksternal, ketika pengguna eksternal tidak lagi memiliki penetapan paket akses, pengguna eksternal diblokir untuk masuk, dan akun pengguna eksternal dihapus dari direktori Anda.

Pengaturan untuk pengguna eksternal

Untuk memastikan orang di luar organisasi Anda dapat meminta paket akses dan mendapatkan akses ke sumber daya dalam paket akses tersebut, ada beberapa pengaturan yang harus Anda verifikasi telah dikonfigurasi dengan benar.

Mengaktifkan katalog untuk pengguna eksternal

• Secara default, saat Anda membuat katalog baru, katalog tersebut diaktifkan untuk memungkinkan pengguna eksternal meminta paket akses di katalog. Pastikan Diaktifkan untuk pengguna eksternal diatur ke Ya.

  

  Jika Anda adalah administrator atau pemilik katalog, Anda dapat melihat daftar katalog yang saat ini diaktifkan untuk pengguna eksternal di daftar katalog pusat admin Microsoft Entra, dengan mengubah pengaturan filter untuk Diaktifkan untuk pengguna eksternal ke Ya. Jika salah satu katalog yang ditampilkan dalam tampilan yang difilter memiliki jumlah paket akses yang tidak nol, paket akses tersebut mungkin memiliki kebijakan untuk pengguna yang tidak ada di direktori Anda yang memungkinkan pengguna eksternal meminta.

Mengonfigurasi pengaturan kolaborasi eksternal Microsoft Entra B2B Anda

• Mengizinkan tamu untuk mengundang tamu lain ke direktori Anda berarti bahwa undangan tamu dapat terjadi di luar pengelolaan pemberian hak. Kami merekomendasikan mengatur Tamu dapat mengundang ke Tidak untuk hanya mengizinkan undangan yang ditata dengan benar.

• Jika sebelumnya Anda telah menggunakan daftar izin B2B, Anda harus menghapus daftar tersebut, atau memastikan semua domain semua organisasi yang ingin Anda bermitra dengan menggunakan pengelolaan pemberian hak ditambahkan ke daftar. Atau, jika Anda menggunakan daftar blokir B2B, Anda harus memastikan tidak ada domain dari organisasi mana pun yang ingin Anda jalin kemitraannya dalam daftar tersebut.

• Jika Anda membuat kebijakan pengelolaan pemberian hak untuk Semua pengguna (Semua organisasi yang terhubung + pengguna eksternal baru), dan pengguna tidak termasuk dalam organisasi yang terhubung di direktori Anda, organisasi yang terhubung akan secara otomatis dibuat untuk mereka saat mereka meminta paket. Namun, pengaturan B2B yang diizinkan atau daftar blokir apa pun yang Anda miliki akan lebih diutamakan. Oleh karena itu, Anda ingin menghapus daftar yang diizinkan, jika Anda menggunakannya, sehingga Semua pengguna dapat meminta akses, dan mengecualikan semua domain yang diotorisasi dari daftar blokir Anda jika Anda menggunakan daftar blokir.

• Jika Anda ingin membuat kebijakan pengelolaan pemberian hak yang menyertakan Semua pengguna (Semua organisasi yang terhubung + pengguna eksternal baru), Anda harus terlebih dahulu mengaktifkan autentikasi kode akses satu kali email untuk direktori Anda. Untuk informasi selengkapnya, lihat Autentikasi kode akses satu kali email.

• Untuk informasi selengkapnya tentang pengaturan kolaborasi eksternal Microsoft Entra B2B, lihat Mengonfigurasi pengaturan kolaborasi eksternal.

  

Meninjau pengaturan akses lintas penyewa Anda

• Pastikan pengaturan akses lintas penyewa Anda untuk kolaborasi B2B masuk memungkinkan permintaan dan penetapan akses. Anda harus memeriksa bahwa pengaturan mengizinkan penyewa yang menjadi bagian dari organisasi terhubung Anda saat ini atau di masa depan, serta memastikan bahwa pengguna dari penyewa tersebut tidak terblokir untuk diundang. Selain itu, periksa apakah pengguna tersebut diizinkan oleh pengaturan akses lintas penyewa untuk dapat mengautentikasi ke aplikasi yang ingin Anda aktifkan skenario kolaborasinya. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan akses lintas penyewa.
• Jika Anda membuat organisasi yang terhubung untuk tenant Microsoft Entra dari layanan cloud Microsoft yang berbeda, Anda juga perlu mengonfigurasi pengaturan akses lintas tenant dengan tepat. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan cloud Microsoft.

Meninjau kebijakan Akses Bersyarat

• Pastikan untuk mengecualikan aplikasi Entitlement Management dari kebijakan Akses Bersyarat yang berdampak pada pengguna tamu. Jika tidak, kebijakan Akses Bersyarat dapat memblokir mereka mengakses MyAccess atau dapat masuk ke direktori Anda. Misalnya, tamu kemungkinan tidak memiliki perangkat terdaftar, tidak berada di lokasi yang diketahui, dan tidak ingin mendaftar ulang untuk autentikasi multifaktor (MFA), jadi menambahkan persyaratan ini dalam kebijakan Akses Bersyarat akan memblokir tamu agar tidak menggunakan pengelolaan pemberian hak. Untuk informasi selengkapnya, lihat Apa itu kondisi di Microsoft Entra Conditional Access?.

• Jika Akses Bersyarat memblokir semua aplikasi cloud, selain mengecualikan Aplikasi Pengelolaan Pemberian Hak, pastikan bahwa Platform Baca Persetujuan Permintaan juga dikecualikan dalam kebijakan Akses Bersyarat Anda. Mulailah dengan memastikan bahwa Anda memiliki peran yang diperlukan: Administrator Akses Bersyarat, Administrator Aplikasi, Administrator Penugasan Atribut, dan Administrator Definisi Atribut. Kemudian, buat atribut keamanan kustom dengan nama dan nilai yang sesuai. Temukan prinsipal layanan untuk Meminta Persetujuan Membaca Platform di Aplikasi Perusahaan, lalu tetapkan atribut kustom dengan nilai yang dipilih ke aplikasi ini. Dalam kebijakan Akses Bersyarat Anda, terapkan filter untuk mengecualikan aplikasi yang dipilih berdasarkan nama atribut kustom dan nilai yang ditetapkan ke Platform Baca Persetujuan Permintaan. Untuk detail selengkapnya tentang pemfilteran aplikasi dalam kebijakan Akses Kondisional, lihat: Akses Kondisional: Filter untuk aplikasi

  

  

  

Catatan

Aplikasi Pengelolaan Pemberian Hak mencakup sisi pengelolaan pemberian hak MyAccess, sisi Pengelolaan Pemberian Hak dari pusat admin Microsoft Entra, dan bagian Pengelolaan Pemberian Hak dari grafik MS. Dua yang terakhir memerlukan izin tambahan untuk akses, sehingga tidak akan diakses oleh tamu kecuali izin eksplisit disediakan.

Meninjau pengaturan berbagi eksternal SharePoint Online

• Jika Anda ingin menyertakan situs SharePoint Online dalam paket akses Anda untuk pengguna eksternal, pastikan pengaturan berbagi eksternal tingkat organisasi Anda diatur ke Siapa pun (pengguna tidak memerlukan masuk), atau Tamu baru dan yang sudah ada (tamu harus masuk atau memberikan kode verifikasi). Untuk informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan berbagi eksternal.

• Jika Anda ingin membatasi berbagi eksternal di luar pengelolaan pemberian hak, Anda dapat mengatur pengaturan berbagi eksternal ke tamu yang sudah ada. Kemudian, hanya pengguna baru yang diundang melalui pengelolaan pemberian hak yang dapat memperoleh akses ke situs-situs ini. Untuk informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan berbagi eksternal.

• Pastikan bahwa pengaturan tingkat situs web mengaktifkan akses tamu (pilihan opsi yang sama seperti yang tercantum sebelumnya). Untuk informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan berbagi eksternal untuk situs.

Meninjau pengaturan berbagi grup Microsoft 365

• Jika Anda ingin menyertakan grup Microsoft 365 dalam paket akses untuk pengguna eksternal, pastikan Izinkan pengguna menambahkan tamu baru ke organisasi diatur ke Aktif untuk mengizinkan akses tamu. Untuk informasi selengkapnya, lihat Mengelola akses tamu ke Grup Microsoft 365.

• Jika Anda ingin pengguna eksternal dapat mengakses situs web SharePoint Online dan sumber daya yang terkait dengan grup Microsoft 365, pastikan Anda mengaktifkan berbagi eksternal SharePoint Online. Untuk informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan berbagi eksternal.

• Untuk informasi tentang cara mengatur kebijakan tamu untuk grup Microsoft 365 di tingkat direktori di PowerShell, lihat Contoh: Mengonfigurasi kebijakan Tamu untuk grup di tingkat direktori.

Tinjau pengaturan berbagi di Teams Anda

• Jika Anda ingin menyertakan Teams dalam paket akses untuk pengguna eksternal, pastikan Izinkan akses tamu di Microsoft Teams diatur ke Aktif untuk mengizinkan akses tamu. Untuk informasi selengkapnya, lihat Mengonfigurasi akses tamu di pusat admin Microsoft Teams.

Mengelola siklus hidup pengguna eksternal

Anda dapat memilih apa yang terjadi ketika pengguna eksternal, yang diundang ke direktori Anda melalui permintaan paket akses, tidak lagi memiliki penugasan paket akses. Ini dapat terjadi jika pengguna melepaskan semua penetapan paket akses mereka atau penetapan paket akses terakhir mereka kedaluwarsa. Secara default, ketika pengguna eksternal tidak lagi memiliki penetapan paket akses, mereka diblokir untuk masuk ke direktori Anda. Setelah 30 hari, akun pengguna tamu mereka akan dihapus dari direktori Anda. Anda juga dapat mengonfigurasi bahwa pengguna eksternal tidak diblokir untuk masuk atau dihapus, atau bahwa pengguna eksternal tidak diblokir untuk masuk tetapi dihapus.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

2. Telusuri ke Tata Kelola ID>Manajemen Hak Akses>Pengaturan.

3. Pilih Edit.

   

4. Di bagian Kelola siklus hidup pengguna eksternal , pilih pengaturan yang berbeda untuk pengguna eksternal.

5. Setelah pengguna eksternal kehilangan penetapan terakhir mereka ke paket akses apa pun, jika Anda ingin memblokir mereka untuk masuk ke direktori ini, atur Blokir pengguna eksternal agar tidak masuk ke direktori ini keYa.

   Catatan

   Manajemen entitlemen hanya memblokir akun pengguna tamu eksternal agar tidak masuk yang diundang melalui manajemen entitlemen atau yang ditambahkan ke manajemen entitlemen untuk manajemen siklus hidup dengan mengonversi akun pengguna tamu mereka menjadi diatur. Selain itu, perhatikan bahwa pengguna akan diblokir untuk masuk meskipun pengguna tersebut telah ditambahkan ke sumber daya di direktori ini yang bukan bagian dari penugasan paket akses. Jika pengguna diblokir agar tidak dapat masuk ke direktori ini, maka pengguna tidak akan dapat meminta kembali paket akses atau meminta akses tambahan di direktori ini. Jangan mengonfigurasi pemblokiran agar tidak masuk jika mereka kemudian perlu meminta akses ke paket akses ini atau lainnya.

6. Setelah pengguna eksternal kehilangan tugas terakhir mereka ke paket akses apa pun, jika Anda ingin menghapus akun pengguna tamu mereka di direktori ini, atur Hapus pengguna eksternal ke Ya.

   Catatan

   Pengelolaan pemberian izin hanya menghapus akun pengguna tamu eksternal yang diundang melalui pengelolaan pemberian izin atau yang ditambahkan ke pengelolaan pemberian izin untuk manajemen siklus hidup dengan mengonversi akun pengguna tamu mereka menjadi di bawah pengaturan. Selain itu, perhatikan bahwa pengguna akan dihapus dari direktori ini bahkan jika pengguna tersebut ditambahkan ke sumber daya di direktori ini yang tidak mengakses penetapan paket. Jika tamu ada di direktori ini sebelum menerima penetapan paket akses, mereka akan tetap ada. Namun, jika tamu diundang melalui penugasan paket akses, dan setelah diundang juga ditugaskan ke situs OneDrive for Business atau SharePoint Online, mereka akan tetap dihapus. Mengubah pengaturan Hapus pengguna eksternal menjadi Tidak hanya memengaruhi pengguna yang kemudian kehilangan penetapan paket akses terakhir mereka; pengguna yang dijadwalkan untuk dihapus dan diblokir dari masuk masih akan dihapus pada jadwal asli mereka.

7. Jika Anda ingin menghapus akun pengguna tamu di direktori ini, Anda dapat mengatur jumlah hari sebelum dihapus. Meskipun pengguna eksternal diberi tahu saat paket akses mereka kedaluwarsa, tidak ada pemberitahuan saat akun mereka dihapus. Jika Anda ingin menghapus akun pengguna tamu segera setelah mereka kehilangan penugasan terakhir mereka ke paket akses apa pun, atur Jumlah hari sebelum menghapus pengguna eksternal dari direktori ini ke 0. Perubahan pada nilai ini hanya memengaruhi pengguna yang kemudian menggunakan penetapan paket akses terakhir mereka; pengguna yang dijadwalkan untuk dihapus masih akan dihapus pada jadwal asli mereka.

8. Pilih Simpan.

Langkah berikutnya

• Menambahkan organisasi yang tersambung
• Untuk pengguna yang tidak ada di direktori Anda
• Pemecahan Masalah