Bagikan melalui

Memecahkan masalah pengelolaan pemberian izin

  • Artikel

Artikel ini menjelaskan beberapa item yang harus Anda periksa untuk membantu Anda memecahkan masalah pengelolaan pemberian izin.

Administrasi

  • Jika Anda mendapatkan pesan akses ditolak saat mengonfigurasi pengelolaan pemberian hak, dan Anda adalah administrator Global, pastikan direktori Anda memiliki lisensi Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra (atau EMS E5). Jika Anda baru saja memperbarui langganan Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra yang kedaluwarsa, mungkin perlu waktu 8 jam agar perpanjangan lisensi ini terlihat.

  • Jika lisensi Microsoft Entra ID P2 atau Tata Kelola ID Microsoft Entra penyewa Anda telah kedaluwarsa, maka Anda tidak akan dapat memproses permintaan akses baru atau melakukan tinjauan akses.

  • Jika Anda mendapatkan pesan akses ditolak saat membuat atau melihat paket akses, dan Anda adalah anggota grup pembuat Katalog, Anda harus membuat katalog sebelum membuat paket akses pertama Anda.

Sumber

  • Peran untuk aplikasi ditentukan oleh aplikasi itu sendiri dan dikelola dalam ID Microsoft Entra. Jika aplikasi tidak memiliki peran sumber daya, pengelolaan pemberian hak menetapkan pengguna ke peran Akses Default.

    Pusat admin Microsoft Entra juga dapat menampilkan perwakilan layanan untuk layanan yang tidak dapat dipilih sebagai aplikasi. Secara khusus, Exchange Online dan SharePoint Online adalah layanan, bukan aplikasi yang memiliki peran sumber daya dalam direktori, sehingga tidak dapat disertakan dalam paket akses. Sebagai gantinya, gunakan lisensi berbasis grup untuk membuat lisensi yang sesuai untuk pengguna yang membutuhkan akses ke layanan tersebut.

  • Aplikasi yang hanya mendukung pengguna Akun Microsoft Pribadi untuk autentikasi, dan tidak mendukung akun organisasi di direktori Anda, tidak memiliki peran aplikasi dan tidak dapat ditambahkan ke katalog paket akses.

  • Agar grup menjadi sumber daya dalam paket akses, grup harus dapat dimodifikasi di ID Microsoft Entra. Grup yang berasal dari Active Directory lokal tidak dapat ditetapkan sebagai sumber daya karena atribut pemilik atau anggota mereka tidak dapat diubah di ID Microsoft Entra. Grup yang berasal dari Exchange Online sebagai Grup distribusi juga tidak dapat dimodifikasi di ID Microsoft Entra.

  • Pustaka dokumen SharePoint Online dan dokumen individual tidak dapat ditambahkan sebagai sumber daya. Sebagai gantinya, buat grup keamanan Microsoft Entra, sertakan grup tersebut dan peran situs dalam paket akses, dan di SharePoint Online gunakan grup tersebut untuk mengontrol akses ke pustaka dokumen atau dokumen.

  • Jika ada pengguna yang telah ditetapkan ke sumber daya yang ingin Anda kelola dengan paket akses, pastikan bahwa pengguna tersebut ditetapkan ke paket akses dengan kebijakan yang sesuai. Misalnya, Anda mungkin ingin menyertakan grup dalam paket akses yang sudah memiliki pengguna dalam grup. Jika pengguna dalam grup memerlukan akses berkelanjutan, mereka harus memiliki kebijakan yang sesuai untuk paket akses sehingga mereka tidak kehilangan akses ke grup. Anda dapat menetapkan paket akses dengan meminta pengguna untuk meminta paket akses yang berisi sumber daya tersebut, atau dengan langsung menetapkannya ke paket akses. Untuk informasi selengkapnya, lihat Mengubah pengaturan permintaan dan persetujuan untuk paket akses.

  • Saat Anda menghapus anggota tim, mereka juga dihapus dari Grup Microsoft 365. Penghapusan dari fungsionalitas obrolan tim mungkin tertunda. Untuk informasi selengkapnya, lihat Keanggotaan grup.

Paket akses

  • Pada saat Anda mencoba menghapus paket akses atau kebijakan dan melihat pesan kesalahan yang mengatakan ada penugasan yang aktif, jika Anda tidak melihat pengguna dengan penugasan, maka periksalah untuk melihat apakah pengguna yang baru dihapus masih memiliki penugasan. Selama jendela 30 hari setelah pengguna dihapus, akun pengguna dapat dipulihkan.

Pengguna eksternal

  • Saat pengguna eksternal ingin meminta akses ke paket akses, pastikan mereka menggunakan tautan portal Akses Saya untuk paket akses. Untuk informasi selengkapnya, lihat Berbagi tautan untuk meminta paket akses. Jika pengguna eksternal hanya mengunjungi myaccess.microsoft.com dan tidak menggunakan tautan portal Akses Saya lengkap, maka mereka akan melihat paket akses yang tersedia untuk mereka di organisasi mereka sendiri dan bukan di organisasi Anda.

  • Jika pengguna eksternal tidak dapat meminta akses ke paket akses atau tidak dapat mengakses sumber daya, pastikan untuk memeriksa pengaturan Anda untuk pengguna eksternal.

  • Jika pengguna eksternal baru yang sebelumnya belum masuk ke direktori Anda menerima paket akses termasuk situs SharePoint Online, paket akses mereka akan ditampilkan sebagai tidak sepenuhnya dikirimkan sampai akun mereka disediakan di SharePoint Online. Untuk informasi selengkapnya tentang pengaturan berbagi, lihat Meninjau pengaturan berbagi eksternal SharePoint Online Anda.

Permintaan

  • Saat pengguna ingin meminta akses ke paket akses, pastikan mereka menggunakan tautan portal Akses Saya untuk paket akses. Untuk informasi selengkapnya, lihat Berbagi tautan untuk meminta paket akses.

  • Jika Anda membuka portal Akses Saya dengan browser Anda diatur ke mode pribadi atau penyamaran, tindakan tersebut mungkin akan bertentangan dengan perilaku masuk. Kami menyarankan agar Anda tidak menggunakan mode privat atau penyamaran untuk browser Saat Anda mengunjungi portal Akses Saya.

  • Saat pengguna yang belum berada di direktori Anda masuk ke portal Akses Saya untuk meminta paket akses, pastikan mereka mengautentikasi menggunakan akun organisasi mereka. Akun organisasi dapat berupa akun dalam direktori sumber daya, atau dalam direktori yang disertakan di salah satu kebijakan paket akses. Jika akun pengguna bukan akun organisasi, atau direktori tempat mereka mengautentikasi tidak disertakan dalam kebijakan, maka pengguna tidak akan melihat paket akses. Untuk informasi selengkapnya, lihat Meminta akses ke paket akses.

  • Jika pengguna diblokir untuk masuk ke direktori sumber daya, mereka tidak akan dapat meminta akses di portal Akses Saya. Sebelum pengguna dapat meminta akses, Anda harus menghapus blok masuk dari profil pengguna. Untuk menghapus blok masuk, di pusat admin Microsoft Entra, pilih Identitas, pilih Pengguna, pilih pengguna, lalu pilih Profil. Edit bagian Pengaturan dan ubah Blokir masuk ke Tidak. Untuk informasi selengkapnya, lihat Menambahkan atau memperbarui informasi profil pengguna menggunakan ID Microsoft Entra. Anda juga dapat memeriksa apakah pengguna diblokir karena kebijakan Perlindungan Identitas.

  • Di portal Akses Saya, jika pengguna adalah pemohon dan pemberi persetujuan, mereka tidak akan melihat permintaan mereka untuk paket akses di halaman Persetujuan. Perilaku ini disengaja - pengguna tidak dapat menyetujui permintaan mereka sendiri. Pastikan bahwa paket akses yang mereka minta memiliki pemberi persetujuan tambahan yang dikonfigurasi pada kebijakan. Untuk informasi selengkapnya, lihat Mengubah pengaturan permintaan dan persetujuan untuk paket akses.

Melihat kesalahan pengiriman permintaan

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

    Tip

    Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog, Manajer paket akses, dan manajer penetapan paket Akses.

  2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

  3. Pilih Permintaan.

  4. Pilih permintaan yang ingin Anda lihat.

    Jika permintaan memiliki kesalahan pengiriman, status permintaan akan menjadi Tidak terkirim atau Dikirim sebagian.

    Jika ada kesalahan pengiriman, jumlah kesalahan pengiriman akan ditampilkan di panel detail permintaan.

  5. Pilih hitungan untuk melihat semua kesalahan pengiriman permintaan.

Memproses ulang permintaan

Jika terjadi kesalahan setelah memicu permintaan pemrosesan ulang paket akses, Anda harus menunggu sistem memproses ulang permintaannya. Sistem mencoba beberapa kali untuk melakukan pemrosesan ulang selama beberapa jam, sehingga Anda tidak dapat memaksa pemrosesan ulang selama waktu ini.

Anda hanya dapat memproses ulang permintaan yang memiliki status Pengiriman gagal atau Dikirim sebagian dan tanggal selesai kurang dari satu minggu. Tombol proses ulang akan berwarna abu-abu.

Tombol Proses ulang berwarna abu-abu

  • Jika kesalahan diperbaiki selama jendela uji coba, status permintaan akan berubah menjadi Mengirim. Permintaan akan diproses ulang tanpa tindakan tambahan dari pengguna.

  • Jika kesalahan tidak diperbaiki selama jendela uji coba, status permintaan mungkin akan menjadi Pengiriman gagal atau dikirim sebagian. Anda kemudian dapat menggunakan tombol proses ulang. Anda akan memiliki tujuh hari untuk memproses ulang permintaan.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

    Tip

    Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog, Manajer paket akses, dan manajer penetapan paket Akses.

  2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola identitas>untuk membuka paket akses.

  3. Pilih Permintaan.

  4. Pilih permintaan yang ingin Anda proses ulang.

  5. Di panel detail permintaan, pilih Proses ulang permintaan.

    Memproses ulang permintaan yang gagal

Membatalkan permintaan yang sedang menunggu keputusan

Anda hanya dapat membatalkan permintaan tertunda yang belum dikirimkan atau pengirimannya gagal. Tombol batalkan akan berwarna abu-abu jika tidak.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

    Tip

    Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog, Manajer paket akses, dan manajer penetapan paket Akses.

  2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola identitas>untuk membuka paket akses.

  3. Pilih Permintaan.

  4. Pilih permintaan yang ingin Anda batalkan.

  5. Di panel detail permintaan, pilih Batalkan permintaan.

Kebijakan penugasan otomatis

  • Setiap kebijakan penugasan otomatis dapat mencakup paling banyak 5000 pengguna dalam cakupan aturannya. Pengguna tambahan dalam cakupan aturan mungkin tidak diberi akses.

Beberapa kebijakan

  • Pengelolaan pemberian hak mengikuti praktik terbaik hak istimewa paling sedikit. Saat pengguna meminta akses ke paket akses yang memiliki beberapa kebijakan yang berlaku, pengelolaan pemberian hak menyertakan logika untuk membantu memastikan prioritas kebijakan yang lebih ketat atau lebih spesifik daripada kebijakan umum. Jika kebijakan bersifat generik, pengelolaan pemberian hak mungkin tidak akan menampilkan kebijakan kepada pemohon atau mungkin memilih kebijakan yang lebih ketat secara otomatis.

  • Misalnya, pertimbangkan paket akses dengan dua kebijakan untuk pengguna di direktori, di mana kedua kebijakan berlaku untuk pemohon. Kebijakan pertama adalah untuk pengguna tertentu yang menyertakan pemohon. Kebijakan kedua adalah untuk semua pengguna di direktori. Dalam skenario ini, kebijakan pertama secara otomatis dipilih untuk pemohon karena lebih ketat. Pemohon tidak diberi opsi untuk memilih kebijakan kedua.

  • Saat beberapa kebijakan berlaku, kebijakan yang dipilih secara otomatis atau kebijakan yang ditampilkan kepada pemohon didasarkan pada logika prioritas berikut:

    Prioritas kebijakan Cakupan
    Hal 1 Pengguna dan grup tertentu di direktori Anda ATAU Organisasi tertentu yang tersambung
    P2 Semua anggota di direktori Anda (tidak termasuk tamu)
    P3 Semua pengguna di direktori Anda (termasuk tamu) ATAU Organisasi tertentu yang tersambung
    P4 Semua organisasi tersambung yang dikonfigurasi ATAU Semua pengguna (semua organisasi yang tersambung + pengguna eksternal baru)

    Jika ada kebijakan yang berada dalam kategori prioritas yang lebih tinggi, kategori prioritas yang lebih rendah akan diabaikan. Untuk contoh bagaimana cara beberapa kebijakan dengan prioritas yang sama ditampilkan ke pemohon, lihat Pilih kebijakan.

Langkah berikutnya