Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Penting
Label untuk peran dan izin istimewa saat ini sedang dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.
ID Microsoft Entra memiliki peran dan izin yang diidentifikasi sebagai istimewa. Peran dan izin ini dapat digunakan untuk mendelegasikan manajemen sumber daya direktori kepada pengguna lain, memodifikasi kredensial, kebijakan autentikasi atau otorisasi, atau mengakses data terbatas. Penetapan peran istimewa dapat menyebabkan peningkatan hak istimewa jika tidak digunakan dengan cara yang aman dan dimaksudkan. Artikel ini menjelaskan peran dan izin istimewa serta praktik terbaik tentang cara menggunakannya.
Peran dan izin mana yang diistimewakan?
Untuk daftar peran dan izin istimewa, lihat Peran bawaan Microsoft Entra. Anda juga dapat menggunakan pusat admin Microsoft Entra, Microsoft Graph PowerShell, atau Microsoft Graph API untuk mengidentifikasi peran, izin, dan penetapan peran yang diidentifikasi sebagai hak istimewa.
Di pusat admin Microsoft Entra, cari label PRIVILEGED .
Pada halaman Peran dan administrator , peran istimewa diidentifikasi di kolom Istimewa . Kolom Penugasan mencantumkan jumlah penetapan peran. Anda juga dapat memfilter peran istimewa.
Saat Anda melihat izin untuk peran istimewa, Anda dapat melihat izin mana yang diistimewakan. Jika Anda melihat izin sebagai pengguna default, Anda tidak akan dapat melihat izin mana yang diistimewakan.
Saat membuat peran kustom, Anda dapat melihat izin mana yang diistimewakan dan peran kustom akan diberi label sebagai hak istimewa.
Praktik terbaik untuk menggunakan peran istimewa
Berikut adalah beberapa praktik terbaik untuk menggunakan peran istimewa.
- Menerapkan prinsip hak istimewa paling rendah
- Gunakan Pengelolaan Identitas Berhak untuk memberikan akses tepat waktu
- Mengaktifkan autentikasi multifaktor untuk semua akun administrator Anda
- Konfigurasikan tinjauan akses berulang untuk mencabut izin yang tidak diperlukan dari waktu ke waktu
- Batasi jumlah Administrator Global hingga kurang dari 5
- Batasi jumlah penetapan peran istimewa hingga kurang dari 10
Untuk informasi selengkapnya, lihat Praktik Terbaik untuk Peran Microsoft Entra.
Izin istimewa versus tindakan yang dilindungi
Izin istimewa dan tindakan yang dilindungi adalah kemampuan terkait keamanan yang memiliki tujuan berbeda. Izin yang memiliki label PRIVILEGED membantu Anda mengidentifikasi izin yang dapat menyebabkan peningkatan hak istimewa jika tidak digunakan dengan cara yang aman dan dimaksudkan. Tindakan yang dilindungi adalah izin peran yang telah ditetapkan kebijakan Akses Bersyarat untuk keamanan tambahan, seperti memerlukan autentikasi multifaktor. Persyaratan Akses Bersyarkat diberlakukan saat pengguna melakukan tindakan yang dilindungi. Tindakan yang dilindungi saat ini sedang dalam tahap Pratinjau. Untuk informasi selengkapnya, lihat Apa itu tindakan yang dilindungi di MICROSOFT Entra ID?.
| Kemampuan | Izin istimewa | Tindakan terproteksi |
|---|---|---|
| Mengidentifikasi izin yang harus digunakan dengan cara yang aman | ✅ | |
| Memerlukan keamanan tambahan untuk melakukan tindakan | ✅ |
Terminologi
Untuk memahami peran dan izin istimewa di ID Microsoft Entra, ini membantu mengetahui beberapa terminologi berikut.
| Istilah | Definisi |
|---|---|
| tindakan | Tindakan yang dapat dilakukan entitas keamanan pada jenis objek. Terkadang disebut sebagai operasi. |
| izin | Definisi yang menentukan aktivitas yang dapat dilakukan prinsip keamanan pada jenis objek. Izin mencakup satu atau beberapa tindakan. |
| izin istimewa | Di ID Microsoft Entra, izin yang dapat digunakan untuk mendelegasikan manajemen sumber daya direktori kepada pengguna lain, memodifikasi kredensial, kebijakan autentikasi atau otorisasi, atau mengakses data terbatas. |
| peran istimewa | Peran bawaan atau kustom yang memiliki satu atau beberapa izin istimewa. |
| penetapan peran istimewa | Penugasan peran yang menggunakan peran istimewa. |
| peningkatan hak akses | Ketika prinsipal keamanan memperoleh lebih banyak izin daripada peran yang awalnya ditetapkan dengan cara meniru peran lain. |
| tindakan yang dilindungi | Izin dengan Akses Bersyarat diterapkan untuk keamanan tambahan. |
Cara memahami izin peran
Skema untuk izin secara longgar mengikuti format REST Microsoft Graph:
<namespace>/<entity>/<propertySet>/<action>
Contohnya:
microsoft.directory/applications/credentials/update
| Elemen Izin | Deskripsi |
|---|---|
| ruang nama | Produk atau layanan yang memaparkan tugas dan ditambahkan dengan microsoft. Misalnya, semua tugas di Microsoft Entra ID menggunakan microsoft.directory namespace. |
| entitas | Fitur logika atau komponen yang diekspos oleh layanan di Microsoft Graph. Misalnya, MICROSOFT Entra ID mengekspos Pengguna dan Grup, OneNote mengekspos Catatan, dan Exchange mengekspos Kotak Surat dan Kalender. Ada kata kunci khusus allEntities untuk menentukan semua entitas dalam sebuah namespace. Ini sering digunakan dalam peran yang memberikan akses ke seluruh produk. |
| kumpulanProperti | Properti atau aspek spesifik entitas tempat akses diberikan. Misalnya, microsoft.directory/applications/authentication/read memberikan kemampuan untuk membaca URL balasan, URL keluar, dan properti alur implisit pada objek aplikasi di ID Microsoft Entra.
|
| tindakan | Operasi yang biasanya diberikan, yaitu membuat, membaca, memperbarui, atau menghapus (CRUD). Ada kata kunci spesial yaitu allTasks untuk menentukan semua kemampuan di atas (membuat, membaca, memperbarui, dan menghapus). |
Membandingkan peran autentikasi
Tabel berikut membandingkan kemampuan peran terkait autentikasi.
| Peran | Mengelola metode autentikasi pengguna | Mengelola autentikasi multifaktor per pengguna | Mengelola pengaturan autentikasi multifaktor | Mengelola kebijakan metode autentikasi | Mengelola kebijakan perlindungan kata sandi | Memperbarui properti sensitif | Menghapus dan memulihkan pengguna |
|---|---|---|---|---|---|---|---|
| Administrator Autentikasi | Ya untuk beberapa pengguna | Tidak | Tidak | Tidak | Tidak | Ya untuk beberapa pengguna | Ya untuk beberapa pengguna |
| Administrator Autentikasi Hak Istimewa | Ya untuk semua pengguna | Tidak | Tidak | Tidak | Tidak | Ya untuk semua pengguna | Ya untuk semua pengguna |
| Admin Kebijakan Autentikasi | Tidak | Ya | Ya | Ya | Ya | Tidak | Tidak |
| Admin Pengguna | Tidak | Tidak | Tidak | Tidak | Tidak | Ya untuk beberapa pengguna | Ya untuk beberapa pengguna |
Siapa yang dapat mengatur ulang kata sandi
Dalam tabel berikut, kolom mencantumkan peran yang dapat mengatur ulang kata sandi dan membatalkan token refresh. Barisnya berisi peran yang dapat diatur ulang kata sandinya. Misalnya, Administrator Kata Sandi dapat mengatur ulang kata sandi untuk Pembaca Direktori, Pengundang Tamu, Administrator Kata Sandi, dan pengguna tanpa peran administrator. Jika pengguna diberi peran lain, Administrator Kata Sandi tidak dapat mengatur ulang kata sandi mereka.
Tabel berikut adalah untuk peran yang ditugaskan dalam ruang lingkup penyewa. Untuk peran yang ditugaskan pada cakupan unit administrasi, pembatasan lebih lanjut berlaku.
| Peran di mana kata sandi dapat diatur ulang | Kata Sandi Admin | Admin meja bantuan | Admin Autentikasi | Pengelola Pengguna | Admin Otorisasi Hak Istimewa | Administrator Global |
|---|---|---|---|---|---|---|
| Admin Autentikasi | ✅ | ✅ | ✅ | |||
| Pembaca Direktori | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Administrator Global | ✅ | ✅* | ||||
| Admin Grup | ✅ | ✅ | ✅ | |||
| Pengundang Tamu | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Admin meja bantuan | ✅ | ✅ | ✅ | ✅ | ||
| Pembaca Pusat Pesan | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Kata Sandi Admin | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Admin Otorisasi Hak Istimewa | ✅ | ✅ | ||||
| Admin Peran Istimewa | ✅ | ✅ | ||||
| Pembaca Laporan | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Pengguna (tidak ada peran admin) |
✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Pengguna (tidak ada peran admin, tetapi anggota atau pemilik grup yang dapat ditetapkan peran) |
✅ | ✅ | ||||
| Pengguna dengan peran yang dibatasi ke unit administratif terbatas | ✅ | ✅ | ||||
| Pengelola Pengguna | ✅ | ✅ | ✅ | |||
| Manajer Keberhasilan Pengalaman Pengguna | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Laporan Ringkasan Penggunaan Pembaca | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Semua peran bawaan dan kustom lainnya | ✅ | ✅ |
Penting
Peran Dukungan Mitra Tingkat 2 dapat mengatur ulang kata sandi dan membatalkan token refresh untuk semua non-administrator dan administrator (termasuk Administrator Global). Peran Dukungan Mitra Tingkat 1 dapat mengatur ulang kata sandi dan membatalkan token refresh hanya untuk yang bukan administrator. Peran ini tidak boleh digunakan karena tidak digunakan lagi.
Kemampuan untuk mengatur ulang kata sandi mencakup kemampuan untuk memperbarui properti sensitif berikut yang diperlukan untuk pengaturan ulang kata sandi mandiri:
- telepon bisnis
- ponsel
- suratLainnya
Siapa yang dapat melakukan tindakan sensitif
Beberapa administrator dapat melakukan tindakan sensitif berikut untuk beberapa pengguna. Semua pengguna dapat membaca properti sensitif.
| Tindakan sensitif | Nama properti sensitif |
|---|---|
| Menonaktifkan atau mengaktifkan pengguna | accountEnabled |
| Memperbarui telepon bisnis | businessPhones |
| Memperbarui ponsel | mobilePhone |
| Memperbarui ID lokal yang tidak dapat diubah | onPremisesImmutableId |
| Memperbarui email lain | otherMails |
| Memperbarui profil kata sandi | passwordProfile |
| Memperbarui nama prinsipal pengguna | userPrincipalName |
| Menghapus atau memulihkan pengguna | Tidak berlaku |
Dalam tabel berikut, kolom mencantumkan peran yang bisa melakukan tindakan sensitif. Baris mencantumkan peran tempat tindakan sensitif dapat dilakukan.
Tabel berikut adalah untuk peran yang ditugaskan dalam ruang lingkup penyewa. Untuk peran yang ditugaskan pada cakupan unit administrasi, pembatasan lebih lanjut berlaku.
| Peran di mana tindakan sensitif dapat dilakukan | Admin Autentikasi | Pengelola Pengguna | Admin Otorisasi Hak Istimewa | Administrator Global |
|---|---|---|---|---|
| Admin Autentikasi | ✅ | ✅ | ✅ | |
| Pembaca Direktori | ✅ | ✅ | ✅ | ✅ |
| Administrator Global | ✅ | ✅ | ||
| Admin Grup | ✅ | ✅ | ✅ | |
| Pengundang Tamu | ✅ | ✅ | ✅ | ✅ |
| Admin meja bantuan | ✅ | ✅ | ✅ | |
| Pembaca Pusat Pesan | ✅ | ✅ | ✅ | ✅ |
| Kata Sandi Admin | ✅ | ✅ | ✅ | ✅ |
| Admin Otorisasi Hak Istimewa | ✅ | ✅ | ||
| Admin Peran Istimewa | ✅ | ✅ | ||
| Pembaca Laporan | ✅ | ✅ | ✅ | ✅ |
| Pengguna (tidak ada peran admin) |
✅ | ✅ | ✅ | ✅ |
| Pengguna (tidak ada peran admin, tetapi anggota atau pemilik grup yang dapat ditetapkan peran) |
✅ | ✅ | ||
| Pengguna dengan peran yang dibatasi ke unit administratif terbatas | ✅ | ✅ | ||
| Pengelola Pengguna | ✅ | ✅ | ✅ | |
| Manajer Keberhasilan Pengalaman Pengguna | ✅ | ✅ | ✅ | ✅ |
| Laporan Ringkasan Penggunaan Pembaca | ✅ | ✅ | ✅ | ✅ |
| Semua peran bawaan dan kustom lainnya | ✅ | ✅ |