Bagikan melalui


Apa itu pengelolaan pemberian hak?

Pengelolaan pemberian hak adalah fitur tata kelola identitas yang memungkinkan organisasi mengelola identitas dan mengakses siklus hidup dalam skala besar, dengan mengotomatiskan alur kerja permintaan akses, penetapan akses, ulasan, dan kedaluwarsa.

Orang dalam organisasi memerlukan akses ke berbagai grup, aplikasi, dan situs SharePoint Online untuk melakukan pekerjaan mereka. Mengelola akses ini menantang, karena persyaratan berubah. Aplikasi baru ditambahkan atau pengguna memerlukan lebih banyak hak akses. Skenario ini menjadi lebih rumit saat Anda berkolaborasi dengan organisasi luar. Anda mungkin tidak tahu siapa di organisasi lain yang memerlukan akses ke sumber daya organisasi Anda, dan mereka tidak akan tahu aplikasi, grup, atau situs apa yang digunakan organisasi Anda.

Pengelolaan pemberian hak dapat membantu Anda mengelola akses ke grup, aplikasi, dan situs SharePoint Online secara lebih efisien untuk pengguna internal, dan juga untuk pengguna di luar organisasi Anda yang memerlukan akses ke sumber daya tersebut.

Mengapa menggunakan pengelolaan pemberian hak?

Organisasi perusahaan sering menghadapi tantangan saat mengelola akses tenaga kerja ke sumber daya seperti:

  • Pengguna mungkin tidak tahu akses apa yang harus mereka miliki, dan bahkan jika mereka melakukannya, mereka bisa mengalami kesulitan menemukan individu yang tepat untuk menyetujui akses mereka
  • Setelah pengguna menemukan dan menerima akses ke sumber daya, mereka dapat menahan akses lebih lama dari yang diperlukan untuk tujuan bisnis

Masalah ini diperparah bagi pengguna yang membutuhkan akses dari organisasi lain, seperti pengguna eksternal yang berasal dari organisasi rantai pasokan atau mitra bisnis lainnya. Contohnya:

  • Tidak ada orang yang mungkin mengenal semua individu tertentu di direktori organisasi lain untuk dapat mengundang mereka
  • Bahkan jika mereka dapat mengundang pengguna ini, tidak ada seorang pun di organisasi tersebut yang mungkin ingat untuk mengelola semua akses pengguna secara konsisten

Pengelolaan pemberian izin dapat membantu mengatasi tantangan ini. Untuk mempelajari selengkapnya tentang bagaimana pelanggan telah menggunakan pengelolaan pemberian hak, Anda dapat membaca Divisi Mississippi Medicaid, Storebrand, Nippon Express Co., Ltd dan tim Keamanan dan Ketahanan Digital di studi kasus Microsoft . Video ini memberikan gambaran umum tentang pengelolaan pemberian hak dan nilainya:

Apa yang bisa saya lakukan dengan pengelolaan pemberian hak?

Berikut adalah beberapa kemampuan pengelolaan pemberian hak:

  • Kontrol siapa yang bisa mendapatkan akses ke aplikasi, grup, situs Teams dan SharePoint, dengan persetujuan multitahap, dan pastikan pengguna tidak mempertahankan akses tanpa batas melalui penetapan waktu terbatas dan tinjauan akses berulang.
  • Beri pengguna akses secara otomatis ke sumber daya tersebut, berdasarkan properti pengguna seperti departemen atau pusat biaya, dan hapus akses pengguna saat properti tersebut berubah.
  • Mendelegasikan kepada nonadministrator kemampuan untuk membuat paket akses. Paket akses ini berisi sumber daya yang dapat meminta pengguna, dan manajer paket akses yang didelegasikan dapat menentukan kebijakan dengan aturan yang dapat meminta pengguna, yang harus menyetujui akses mereka, dan kapan akses kedaluwarsa.
  • Pilih organisasi terhubung yang penggunanya dapat meminta akses. Saat pengguna yang belum ada di direktori Anda meminta akses, dan disetujui, mereka secara otomatis diundang ke direktori Anda dan diberi akses. Ketika akses mereka kedaluwarsa, jika mereka tidak memiliki penetapan paket akses lain, akun B2B mereka di direktori Anda dapat dihapus secara otomatis.

Catatan

Jika Anda siap untuk mencoba Pengelolaan pemberian hak, Anda dapat memulai dengan tutorial kami untuk membuat paket akses pertama Anda.

Anda juga dapat membaca skenario umum, atau menonton video, termasuk

Apa itu paket akses dan sumber daya apa yang dapat saya kelola dengannya?

Pengelolaan pemberian hak memperkenalkan konsep paket akses. Paket akses adalah paket semua sumber daya dengan akses yang dibutuhkan pengguna untuk mengerjakan proyek atau melakukan tugas mereka. Paket akses dapat digunakan untuk mengatur akses bagi karyawan Anda, dan juga untuk pengguna yang berasal dari luar organisasi Anda.

Berikut adalah jenis sumber daya yang dapat Anda kelola aksesnya dengan pengelolaan pemberian hak:

  • Keanggotaan grup keamanan Microsoft Entra
  • Keanggotaan Grup dan Tim Microsoft 365
  • Penugasan ke aplikasi perusahaan Microsoft Entra, termasuk aplikasi SaaS dan aplikasi terintegrasi kustom yang mendukung federasi/akses menyeluruh dan/atau provisi
  • Keanggotaan situs SharePoint Online

Anda juga dapat mengontrol akses ke sumber daya lain yang mengandalkan grup keamanan Microsoft Entra atau Grup Microsoft 365. Contohnya:

  • Anda dapat memberi pengguna lisensi untuk Microsoft 365 dengan menggunakan grup keamanan Microsoft Entra dalam paket akses dan mengonfigurasi lisensi berbasis grup untuk grup tersebut.
  • Anda dapat memberi pengguna akses untuk mengelola sumber daya Azure dengan menggunakan grup keamanan Microsoft Entra dalam paket akses dan membuat penetapan peran Azure untuk grup tersebut.
  • Anda dapat memberi pengguna akses untuk mengelola peran Microsoft Entra dengan menggunakan grup yang dapat ditetapkan ke peran Microsoft Entra dalam paket akses dan menetapkan peran Microsoft Entra ke grup tersebut.

Bagaimana cara mengontrol siapa yang mendapatkan akses?

Dengan paket akses, administrator atau pengelola paket akses yang didelegasikan mencantumkan sumber daya (grup, aplikasi, dan situs), dan peran yang dibutuhkan pengguna untuk sumber daya tersebut.

Paket akses juga mencakup satu atau beberapa kebijakan. Kebijakan menentukan aturan atau pagar pembatas untuk penugasan ke paket akses. Setiap kebijakan dapat digunakan untuk memastikan bahwa hanya pengguna yang sesuai yang dapat memiliki penetapan akses, dan aksesnya terbatas waktu dan kedaluwarsa jika tidak diperpanjang.

Diagram paket akses dan kebijakan.

Anda dapat memiliki kebijakan bagi pengguna untuk meminta akses. Dalam kebijakan semacam ini, administrator atau manajer paket akses menentukan

  • Baik pengguna yang sudah ada (biasanya karyawan atau tamu yang sudah diundang), atau organisasi mitra pengguna eksternal, yang memenuhi syarat untuk meminta akses
  • Proses persetujuan dan pengguna yang dapat menyetujui atau menolak akses
  • Durasi penetapan akses pengguna, setelah disetujui, sebelum tugas kedaluwarsa

Anda juga dapat memiliki kebijakan bagi pengguna untuk diberi akses, baik oleh administrator, secara otomatis berdasarkan aturan, atau melalui alur kerja siklus hidup.

Diagram berikut menunjukkan contoh elemen yang berbeda dalam pengelolaan pemberian hak. Ini menunjukkan satu katalog dengan dua contoh paket akses.

  • Paket Akses 1 menyertakan satu grup sebagai sumber daya. Akses ditentukan dengan kebijakan yang memungkinkan sekumpulan pengguna di direktori untuk meminta akses.
  • Paket Akses 2 menyertakan grup, aplikasi, dan situs SharePoint Online sebagai sumber daya. Akses didefinisikan dengan dua kebijakan yang berbeda. Kebijakan pertama memungkinkan sekumpulan pengguna di direktori untuk meminta akses. Kebijakan kedua memungkinkan pengguna di direktori eksternal untuk meminta akses.

Diagram gambaran umum pengelolaan pemberian hak

Kapan saya harus menggunakan paket akses?

Paket akses tidak menggantikan mekanisme lain untuk penetapan akses. Paket akses paling tepat dalam situasi seperti:

  • Memigrasikan definisi kebijakan akses dari manajemen peran perusahaan pihak ketiga ke ID Microsoft Entra.
  • Pengguna memerlukan akses terbatas waktu untuk tugas tertentu. Misalnya, Anda mungkin menggunakan lisensi berbasis grup dan grup dinamis untuk memastikan semua karyawan memiliki kotak pesan Exchange Online, lalu menggunakan paket akses untuk situasi di mana karyawan memerlukan hak akses tambahan. Misalnya, hak untuk membaca sumber daya departemen dari departemen lain.
  • Akses yang memerlukan persetujuan manajer seseorang atau individu lain yang ditunjuk.
  • Akses yang harus ditetapkan secara otomatis kepada orang-orang di bagian tertentu dari organisasi selama waktu mereka dalam peran pekerjaan tersebut, tetapi juga tersedia untuk orang lain di organisasi, atau di organisasi mitra bisnis, untuk meminta.
  • Departemen ingin mengelola kebijakan akses mereka sendiri untuk sumber daya mereka tanpa keterlibatan IT.
  • Dua organisasi atau lebih berkolaborasi dalam proyek, dan sebagai hasilnya, beberapa pengguna dari satu organisasi perlu dibawa melalui Microsoft Entra B2B untuk mengakses sumber daya organisasi lain.

Bagaimana cara mendelegasikan akses?

Paket akses dijelaskan di kontainer yang disebut katalog. Anda dapat memiliki katalog tunggal untuk semua paket akses Anda, atau Anda dapat menunjuk individu untuk membuat dan memiliki katalog mereka sendiri. Administrator dapat menambahkan sumber daya ke katalog apa pun, tetapi nonadministrator hanya dapat menambahkan ke katalog sumber daya yang mereka miliki. Pemilik katalog dapat menambahkan pengguna lain sebagai pemilik bersama katalog, atau sebagai manajer paket akses. Skenario ini dijelaskan lebih lanjut dalam delegasi artikel dan peran dalam pengelolaan pemberian hak.

Ringkasan terminologi

Untuk lebih memahami pengelolaan pemberian hak dan dokumentasinya, Anda dapat merujuk kembali ke daftar istilah berikut.

Persyaratan Deskripsi
paket akses Paket sumber daya yang dibutuhkan tim atau proyek dan diatur dengan kebijakan. Paket akses selalu terkandung dalam katalog. Anda akan membuat paket akses baru untuk skenario di mana pengguna perlu meminta akses.
permintaan akses Permintaan untuk mengakses sumber daya dalam paket akses. Permintaan biasanya melalui alur kerja persetujuan. Jika disetujui, pengguna yang meminta menerima penetapan paket akses.
penugasan Penetapan paket akses ke pengguna memastikan pengguna memiliki semua peran sumber daya paket akses tersebut. Penetapan paket akses biasanya memiliki batas waktu sebelum kedaluwarsa.
katalog Kontainer sumber daya terkait dan paket akses. Katalog digunakan untuk delegasi, sehingga nonadministrator dapat membuat paket akses mereka sendiri. Pemilik katalog dapat menambahkan sumber daya yang mereka miliki ke katalog.
pembuat katalog Kumpulan pengguna yang berwenang untuk membuat katalog baru. Ketika pengguna nonadministrator yang berwenang untuk menjadi pembuat katalog membuat katalog baru, mereka secara otomatis menjadi pemilik katalog tersebut.
organisasi tersambung Direktori atau domain Microsoft Entra eksternal yang memiliki hubungan dengan Anda. Pengguna dari organisasi yang terhubung dapat ditentukan dalam kebijakan sebagaimana diizinkan untuk meminta akses.
kebijakan Seperangkat aturan yang menentukan siklus hidup akses, seperti bagaimana pengguna mendapatkan akses, siapa yang bisa menyetujui, dan berapa lama pengguna memiliki akses melalui tugas. Kebijakan ditautkan ke paket akses. Misalnya, paket akses dapat memiliki dua kebijakan - satu bagi karyawan untuk meminta akses dan kedua bagi pengguna eksternal untuk meminta akses.
resource Aset, seperti grup Office, grup keamanan, aplikasi, atau situs SharePoint Online, dengan peran yang dapat diberikan izin kepada pengguna.
direktori sumber daya Direktori yang memiliki satu atau beberapa sumber daya untuk dibagikan.
peran sumber daya Kumpulan izin yang terkait dengan dan didefinisikan oleh sumber daya. Grup memiliki dua peran - anggota dan pemilik. Situs SharePoint biasanya memiliki tiga peran tetapi bisa memiliki peran kustom lainnya. Aplikasi dapat memiliki peran khusus.

Persyaratan lisensi

Fitur ini memerlukan langganan Tata Kelola ID Microsoft Entra atau Microsoft Entra Suite, untuk pengguna organisasi Anda. Beberapa kemampuan, dalam fitur ini, dapat beroperasi dengan langganan Microsoft Entra ID P2. Untuk informasi selengkapnya, lihat artikel setiap kemampuan untuk detail selengkapnya. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Tata Kelola ID Microsoft Entra dasar-dasar lisensi.

Langkah berikutnya