Bagikan melalui


Mengelola organisasi yang terhubung dalam pengelolaan pemberian izin

Dengan pengelolaan pemberian izin, Anda dapat berkolaborasi dengan orang di luar organisasi Anda. Jika Anda sering berkolaborasi dengan banyak pengguna dari organisasi eksternal tertentu, Anda dapat menambahkan sumber identitas organisasi tersebut sebagai organisasi yang terhubung. Memiliki organisasi yang terhubung menyederhanakan bagaimana lebih banyak orang dari organisasi tersebut dapat meminta akses. Artikel ini menjelaskan cara menambahkan organisasi tersambung sehingga Anda dapat mengizinkan pengguna di luar organisasi meminta sumber daya di direktori Anda.

Apa yang dimaksud dengan organisasi yang tersambung?

Organisasi yang tersambung adalah organisasi lain yang memiliki hubungan dengan Anda. Agar pengguna di organisasi tersebut dapat mengakses sumber daya Anda, seperti situs atau aplikasi SharePoint Online, Anda memerlukan representasi pengguna organisasi tersebut di direktori tersebut. Karena dalam kebanyakan kasus, pengguna di organisasi tersebut belum berada di direktori Microsoft Entra, Anda dapat menggunakan pengelolaan pemberian izin untuk membawanya ke direktori Microsoft Entra Anda sesuai kebutuhan.

Jika Anda ingin menyediakan jalur bagi siapa pun untuk meminta akses, dan Anda tidak yakin organisasi mana yang mungkin berasal dari pengguna baru tersebut, maka Anda dapat mengonfigurasi kebijakan penetapan paket akses untuk pengguna yang tidak ada di direktori Anda. Dalam kebijakan tersebut, pilih opsi Semua pengguna (Semua organisasi yang terhubung + pengguna eksternal baru). Jika pemohon disetujui, dan mereka bukan milik organisasi yang terhubung di direktori Anda, organisasi yang terhubung akan secara otomatis dibuat untuk mereka.

Jika Anda hanya ingin mengizinkan individu dari organisasi yang ditunjuk untuk meminta akses, pertama-tama buat organisasi yang terhubung tersebut. Kedua, konfigurasikan kebijakan penetapan paket akses untuk pengguna yang tidak ada di direktori Anda, pilih opsi Organisasi tertentu yang terhubung, dan pilih organisasi yang Anda buat.

Ada empat cara yang memungkinkan Anda menentukan pengguna yang membentuk organisasi yang terhubung. Bisa jadi:

  • pengguna di direktori Microsoft Entra lain (dari cloud Microsoft mana pun),
  • pengguna di direktori non-Microsoft lain yang dikonfigurasi untuk federasi Penyedia Identitas (IdP) SAML/WS-Fed,
  • pengguna di direktori non-Microsoft lain, yang alamat emailnya semuanya memiliki nama domain yang sama secara umum dan khusus untuk organisasi tersebut, atau
  • pengguna dengan Akun Microsoft, seperti dari domain live.com, jika Anda memiliki kebutuhan bisnis untuk kolaborasi dengan pengguna yang tidak memiliki organisasi umum.

Misalnya, Anda bekerja di Woodgrove Bank dan ingin berkolaborasi dengan dua organisasi eksternal. Anda ingin memberi pengguna dari kedua organisasi eksternal akses ke sumber daya yang sama, tetapi kedua organisasi ini memiliki konfigurasi yang berbeda:

  • Contoso belum menggunakan ID Microsoft Entra. Pengguna Contoso memiliki alamat email yang diakhir dengan contoso.com.
  • Graphic Design Institute menggunakan ID Microsoft Entra, dan setidaknya beberapa pengguna mereka memiliki nama prinsipal pengguna yang diakhir dengan graphicdesigninstitute.com.

Dalam hal ini, Anda dapat mengonfigurasi dua organisasi yang terhubung, lalu satu paket akses dengan satu kebijakan.

  1. Pastikan Anda mengaktifkan autentikasi kode akses satu kali (OTP) email, sehingga pengguna dari domain tersebut yang belum menjadi bagian dari direktori Microsoft Entra yang mengautentikasi menggunakan kode sandi satu kali email saat meminta akses atau nanti mengakses sumber daya Anda. Selain itu, Anda mungkin perlu mengonfigurasi pengaturan kolaborasi eksternal Microsoft Entra B2B untuk memungkinkan pengguna eksternal mengakses.
  2. Buat organisasi yang terhubung untuk Contoso. Saat Anda menentukan contoso.com domain, pengelolaan pemberian izin mengenali bahwa tidak ada penyewa Microsoft Entra yang terkait dengan domain tersebut, dan pengguna dari organisasi yang terhubung tersebut akan dikenali jika mereka mengautentikasi dengan kode sandi satu kali email dengan domain alamat email contoso.com.
  3. Buat organisasi lain yang terhubung untuk Graphic Design Institute. Saat Anda menentukan graphicdesigninstitute.com domain, pengelolaan pemberian izin mengenali bahwa ada penyewa yang terkait dengan domain tersebut.
  4. Dalam katalog yang memungkinkan pengguna eksternal untuk meminta, buat paket akses.
  5. Dalam paket akses tersebut, buat kebijakan penetapan paket akses untuk pengguna yang belum ada di direktori Anda. Dalam kebijakan tersebut, pilih opsi Organisasi tertentu yang terhubung dan tentukan dua organisasi yang terhubung. Ini memungkinkan pengguna dari setiap organisasi, dengan sumber identitas yang cocok dengan salah satu organisasi yang terhubung, untuk meminta paket akses.
  6. Saat pengguna eksternal dengan nama prinsipal pengguna yang memiliki domain contoso.com meminta paket akses, mereka mengautentikasi menggunakan email. Domain email ini cocok dengan organisasi yang terhubung dengan Contoso dan pengguna akan diizinkan untuk meminta paket. Setelah mereka meminta, cara kerja akses untuk pengguna eksternal menjelaskan bagaimana pengguna B2B kemudian diundang dan akses ditetapkan untuk pengguna eksternal.
  7. Selain itu, pengguna eksternal yang menggunakan akun organisasi dari penyewa Graphic Design Institute akan cocok dengan organisasi yang terhubung dengan Graphic Design Institute dan diizinkan untuk meminta paket akses. Dan, karena Graphic Design Institute menggunakan MICROSOFT Entra ID, setiap pengguna dengan nama utama yang cocok dengan domain terverifikasi lain yang ditambahkan ke penyewa Graphic Design Institute, seperti graphicdesigninstitute.example, juga akan dapat meminta paket akses dengan menggunakan kebijakan yang sama.

Diagram organisasi yang terhubung dalam contoh dan hubungannya dengan kebijakan penugasan dan dengan penyewa.

Bagaimana pengguna dari direktori Microsoft Entra atau domain mengautentikasi bergantung pada jenis autentikasi. Jenis autentikasi untuk organisasi yang tersambung adalah:

Untuk demonstrasi tentang cara menambahkan organisasi yang tersambung, tonton video berikut:

Menampilkan daftar organisasi yang tersambung

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri pengelolaan> pemberian izin tata kelola>identitas Koneksi organisasi.

  3. Dalam kotak pencarian, Anda bisa mencari organisasi yang tersambung dengan nama organisasi yang tersambung. Namun, Anda tidak dapat mencari nama domain.

Menambahkan organisasi yang terhubung

Untuk menambahkan direktori atau domain Microsoft Entra eksternal sebagai organisasi yang tersambung, ikuti instruksi di bagian ini.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri pengelolaan> pemberian izin tata kelola>identitas Koneksi organisasi.

  3. Pada halaman organisasi yang Koneksi, pilih Tambahkan organisasi yang tersambung.

    Tombol

  4. Pilih tab Dasar-dasar, lalu masukkan nama tampilan dan deskripsi untuk organisasi.

    Panel Dasar-dasar

  5. Status akan secara otomatis diatur ke Dikonfigurasi saat Anda membuat organisasi baru yang tersambung. Untuk informasi selengkapnya tentang properti status organisasi yang tersambung, lihat Properti status organisasi yang tersambung

  6. Pilih tab Direktori + domain, lalu pilih Tambahkan direktori + domain.

    Lalu pilih panel direktori + domain terbuka.

  7. Dalam kotak pencarian, masukkan nama domain untuk mencari direktori atau domain Microsoft Entra. Anda juga dapat menambahkan domain yang tidak terkait dengan direktori Microsoft Entra apa pun. Pastikan untuk memasukkan seluruh nama domain.

  8. Konfirmasikan bila nama organisasi dan jenis autentikasi sudah benar. Pengguna masuk, sebelum dapat mengakses portal Myaccess, bergantung pada jenis autentikasi untuk organisasi mereka sendiri. Jika jenis autentikasi untuk organisasi yang tersambung adalah ID Microsoft Entra, semua pengguna dengan akun di direktori organisasi tersebut, dengan domain terverifikasi dari direktori Microsoft Entra tersebut, akan masuk ke direktori mereka, lalu dapat meminta akses ke paket akses yang memungkinkan organisasi yang terhubung tersebut. Jika jenis autentikasi adalah Kode akses satu kali, hal ini memungkinkan pengguna menggunakan alamat email hanya dari domain tersebut untuk mengunjungi portal Myaccess. Kemudian, setelah mengautentikasi dengan kode sandi, pengguna dapat membuat suatu permintaan.

    Panel

    Catatan

    Akses dari beberapa domain dapat diblokir oleh daftar izinkan atau tolak microsoft Entra business to business (B2B). Selain itu, pengguna yang memiliki alamat email yang memiliki domain yang sama dengan organisasi tersambung yang dikonfigurasi untuk autentikasi Microsoft Entra, tetapi yang tidak mengautentikasi ke direktori Microsoft Entra tersebut, tidak akan dikenali sebagai bagian dari organisasi yang terhubung tersebut. Untuk mengetahui informasi selengkapnya, lihat Mengizinkan atau memblokir undangan ke pengguna B2B dari organisasi tertentu.

  9. Pilih Tambahkan untuk menambahkan direktori atau domain Microsoft Entra. Anda dapat menambahkan beberapa direktori dan domain Microsoft Entra.

  10. Setelah Anda menambahkan direktori atau domain Microsoft Entra, pilih Pilih.

    Organisasi akan muncul dalam daftar.

    Panel

  11. Pilih tab Sponsor, lalu tambahkan sponsor opsional untuk organisasi yang tersambung ini.

    Sponsor adalah pengguna internal atau eksternal yang sudah berada di direktori Anda yang merupakan titik kontak untuk hubungan dengan organisasi yang tersambung ini. Sponsor internal adalah pengguna anggota di direktori Anda. Sponsor eksternal adalah pengguna tamu dari organisasi yang tersambung yang sebelumnya diundang dan sudah berada di direktori Anda. Sponsor dapat digunakan sebagai pemberi izin saat pengguna di organisasi yang tersambung ini meminta akses ke paket akses ini. Untuk informasi tentang cara mengundang pengguna tamu ke direktori Anda, lihat Menambahkan pengguna kolaborasi Microsoft Entra B2B.

    Saat Anda memilih Tambahkan/Hapus, panel akan terbuka sehingga Anda dapat memilih sponsor internal atau eksternal. Panel akan menampilkan daftar pengguna dan grup yang tidak difilter di direktori Anda.

    Panel Sponsor

  12. Pilih tab Tinjau + buat, tinjau pengaturan organisasi Anda, lalu pilih Buat.

    Panel

Memperbarui organisasi yang tersambung

Jika organisasi yang tersambung berubah menjadi domain lain, nama organisasi berubah, atau Anda ingin mengubah sponsor, Anda dapat memperbarui organisasi yang tersambung dengan mengikuti petunjuk di bagian ini.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri pengelolaan> pemberian izin tata kelola>identitas Koneksi organisasi.

  3. Pada halaman organisasi yang Koneksi, pilih organisasi tersambung yang ingin Anda perbarui.

  4. Di panel ringkasan organisasi yang tersambung, pilih Edit untuk mengubah nama, deskripsi, atau status organisasi.

  5. Di panel Direktori + domain, pilih Perbarui direktori + domain untuk mengubahnya ke direktori atau domain lain.

  6. Di panel Sponsor, pilih Tambahkan sponsor internal atau Tambahkan sponsor eksternal untuk menambahkan pengguna sebagai sponsor. Untuk menghapus sponsor, pilih sponsor dan, di panel kanan, pilih Hapus.

Menghapus organisasi yang tersambung

Jika Anda tidak lagi memiliki hubungan dengan direktori atau domain Microsoft Entra eksternal, atau tidak ingin memiliki organisasi tersambung yang diusulkan lagi, Anda dapat menghapus organisasi yang tersambung.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri pengelolaan> pemberian izin tata kelola>identitas Koneksi organisasi.

  3. Pada halaman organisasi yang Koneksi, pilih organisasi tersambung yang ingin Anda hapus untuk membukanya.

  4. Di panel ringkasan organisasi yang tersambung, pilih Hapus untuk menghapusnya.

    Tombol Hapus pada organisasi yang tersambung

Mengelola organisasi yang tersambung secara terprogram

Anda juga dapat membuat, mencantumkan, memperbarui, dan menghapus organisasi yang tersambung menggunakan Microsoft Graph. Pengguna dalam peran yang sesuai dengan aplikasi yang memiliki izin EntitlementManagement.ReadWrite.All yang didelegasikan dapat memanggil API untuk mengelola objek ConnectedOrganization dan menetapkan sponsor untuk mereka.

Mengelola organisasi yang terhubung melalui Microsoft PowerShell

Anda juga dapat mengelola organisasi yang terhubung di PowerShell dengan cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas versi 1.16.0 atau yang lebih baru.

Skrip di bawah ini mengilustrasikan menggunakan v1.0 profil Grafik untuk mengambil semua organisasi yang terhubung. Setiap organisasi yang tersambung yang dikembalikan berisi daftar identitySources direktori dan domain organisasi yang terhubung tersebut.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$co = Get-MgEntitlementManagementConnectedOrganization -all

foreach ($c in $co) {
  foreach ($i in $c.identitySources) {
    write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
  }
}

Properti status organisasi yang tersambung

Ada dua status berbeda untuk organisasi yang terhubung dalam pengelolaan pemberian izin, dikonfigurasi dan diusulkan:

  • Organisasi yang terhubung yang dikonfigurasi adalah organisasi yang terhubung berfungsi penuh yang memungkinkan pengguna dalam organisasi tersebut mengakses paket. Saat admin membuat organisasi terhubung baru di pusat admin Microsoft Entra, admin tersebut berada dalam status dikonfigurasi secara default sejak administrator membuat dan ingin menggunakan organisasi yang tersambung ini. Selain itu, ketika organisasi yang tersambung dibuat secara terprogram melalui API, status defaultnya harus dikonfigurasi kecuali diatur ke status lain secara eksplisit.

    Organisasi yang terhubung yang dikonfigurasi muncul di pemilih untuk organisasi yang terhubung dan akan berada dalam cakupan untuk kebijakan apa pun yang menargetkan "semua organisasi yang terhubung yang dikonfigurasi".

  • Organisasi tersambung yang diusulkan adalah organisasi terhubung yang telah dibuat secara otomatis, tetapi belum memiliki administrator yang membuat atau menyetujui organisasi. Saat pengguna mendaftar untuk paket akses di luar organisasi terhubung yang dikonfigurasi, organisasi yang terhubung yang dibuat secara otomatis berada dalam status yang diusulkan karena tidak ada administrator dalam penyewa yang menyiapkan kemitraan tersebut.

    Organisasi yang terhubung yang diusulkan tidak berada dalam cakupan untuk pengaturan "semua organisasi yang terhubung yang dikonfigurasi" pada kebijakan apa pun tetapi dapat digunakan dalam kebijakan hanya untuk kebijakan yang menargetkan organisasi tertentu.

Hanya pengguna dari organisasi tersambung yang dikonfigurasi yang dapat meminta paket akses yang tersedia untuk pengguna dari semua organisasi yang dikonfigurasi. Pengguna dari organisasi tersambung yang diusulkan memiliki pengalaman seolah-olah tidak ada organisasi yang tersambung untuk domain tersebut; sehingga hanya dapat melihat dan meminta paket akses yang tercakup ke organisasi tertentu atau yang tercakup ke pengguna mana pun. Jika Anda memiliki kebijakan di penyewa yang mengizinkan "semua organisasi terhubung yang dikonfigurasi", pastikan Anda tidak mengonversi organisasi yang terhubung yang diusulkan untuk penyedia identitas sosial untuk dikonfigurasi.

Catatan

Sebagai bagian dari peluncuran fitur baru ini, semua organisasi tersambung yang dibuat sebelum 09/09/20 dianggap dikonfigurasi. Jika memiliki paket akses yang memungkinkan pengguna dari organisasi mana pun mendaftar, Anda harus meninjau daftar organisasi tersambung yang dibuat sebelum tanggal tersebut untuk memastikan tidak ada yang salah dikategorikan sebagai dikonfigurasi. Secara khusus, penyedia identitas sosial tidak boleh diindikasikan sebagai dikonfigurasi jika ada kebijakan penugasan yang tidak memerlukan persetujuan untuk pengguna dari semua organisasi yang terhubung yang dikonfigurasi. Admin dapat memperbarui properti Status sebagaimana mestinya. Untuk panduan, lihat Memperbarui organisasi yang tersambung.

Catatan

Dalam beberapa kasus, pengguna mungkin meminta paket akses menggunakan akun pribadi mereka dari penyedia identitas sosial, di mana alamat email akun tersebut memiliki domain yang sama dengan organisasi yang terhubung yang ada yang sesuai dengan penyewa Microsoft Entra. Jika pengguna tersebut disetujui, itu akan menghasilkan organisasi terhubung baru yang diusulkan yang mewakili domain tersebut. Dalam hal ini, pastikan pengguna menggunakan akun organisasi mereka sebagai gantinya untuk meminta kembali akses, dan portal akan mengidentifikasi pengguna ini yang berasal dari organisasi yang terhubung yang dikonfigurasi penyewa Microsoft Entra.

Langkah berikutnya