Apa itu akun pengguna di ID Microsoft Entra?
Di ID Microsoft Entra, semua akun pengguna diberikan sekumpulan izin default. Akses akun pengguna terdiri dari jenis pengguna, penetapan peran mereka, dan kepemilikan objek individual mereka.
Ada berbagai jenis akun pengguna di ID Microsoft Entra. Setiap jenis memiliki tingkat akses khusus untuk cakupan pekerjaan yang diharapkan dilakukan di bawah setiap jenis akun pengguna. Administrator memiliki tingkat akses tertinggi, diikuti oleh akun pengguna anggota di organisasi Microsoft Entra. Pengguna tamu memiliki tingkat akses yang paling terbatas.
Izin dan peran
ID Microsoft Entra menggunakan izin untuk membantu Anda mengontrol hak akses yang diberikan pengguna atau grup. Ini dilakukan melalui peran. MICROSOFT Entra ID memiliki banyak peran dengan izin berbeda yang melekat padanya. Saat pengguna diberi peran tertentu, mereka mewarisi izin dari peran tersebut. Misalnya, pengguna yang ditetapkan ke peran Administrator Pengguna dapat membuat dan menghapus akun pengguna.
Memahami kapan menetapkan jenis peran yang benar kepada pengguna yang tepat adalah langkah mendasar dan penting dalam menjaga kepatuhan privasi dan keamanan. Jika peran yang salah ditetapkan untuk pengguna yang salah, izin yang datang dengan peran tersebut dapat memungkinkan pengguna menyebabkan kerusakan serius pada organisasi.
Peran administrator
Peran administrator di ID Microsoft Entra memungkinkan pengguna meningkatkan akses untuk mengontrol siapa yang diizinkan untuk melakukan apa. Anda menetapkan peran ini ke grup pengguna terbatas untuk mengelola tugas identitas di organisasi Microsoft Entra. Anda dapat menetapkan peran administrator yang memungkinkan pengguna membuat atau mengedit pengguna, menetapkan peran administratif kepada orang lain, mereset kata sandi pengguna, mengelola lisensi pengguna, dan lainnya.
Jika akun pengguna Anda memiliki peran Administrator Pengguna atau Administrator Global, Anda dapat membuat pengguna baru di ID Microsoft Entra dengan menggunakan portal Azure, Azure CLI, atau PowerShell. Di PowerShell, jalankan cmdlet New-MgUser. Di Azure CLI, gunakan az ad user create.
Pengguna anggota
Akun pengguna anggota adalah anggota asli organisasi Microsoft Entra yang memiliki sekumpulan izin default seperti dapat mengelola informasi profil mereka. Saat seseorang baru bergabung dengan organisasi Anda, mereka biasanya memiliki jenis akun yang dibuat untuk mereka.
Siapa pun yang bukan pengguna tamu atau tidak diberi peran administrator termasuk dalam jenis ini. Peran pengguna anggota dimaksudkan untuk pengguna yang dianggap internal organisasi dan merupakan anggota organisasi Microsoft Entra. Namun, pengguna ini seharusnya tidak dapat mengelola pengguna lain dengan, misalnya, membuat dan menghapus pengguna. Pengguna anggota tidak memiliki batasan yang sama yang biasanya ditempatkan pada pengguna tamu.
Pengguna tamu
Pengguna tamu telah membatasi izin organisasi Microsoft Entra. Saat mengundang seseorang untuk berkolaborasi dengan organisasi, Anda menambahkannya ke organisasi Microsoft Entra Anda sebagai pengguna tamu. Kemudian, Anda dapat mengirim email undangan yang berisi tautan penukaran atau mengirim tautan langsung ke aplikasi yang ingin Anda bagikan. Pengguna tamu masuk dengan identitas kerja, sekolah, atau sosial mereka sendiri. Secara default, pengguna anggota Microsoft Entra dapat mengundang pengguna tamu. Seseorang dengan peran Administrator Pengguna dapat menonaktifkan default ini.
Organisasi Anda mungkin perlu bekerja dengan mitra eksternal. Untuk berkolaborasi dengan organisasi Anda, mitra ini sering kali harus memiliki tingkat akses tertentu ke sumber daya tertentu. Untuk situasi seperti ini, ada baiknya Anda menggunakan akun pengguna tamu. Kemudian Anda akan memastikan mitra memiliki tingkat akses yang tepat untuk melakukan pekerjaan mereka, tanpa memiliki tingkat akses yang lebih tinggi daripada yang mereka butuhkan.
Menambahkan akun pengguna
Anda dapat menambahkan akun pengguna individual melalui portal Microsoft Azure, Azure PowerShell, atau Azure CLI.
Jika Anda ingin menggunakan Azure CLI, jalankan cmdlet berikut:
# create a new user
az ad user create
Perintah ini membuat pengguna baru dengan menggunakan Azure CLI.
Untuk Azure PowerShell, jalankan cmdlet berikut:
# create a new user
New-MgUser
Anda dapat membuat akun pengguna anggota dan tamu secara massal. Contoh berikut menunjukkan cara mengundang pengguna tamu secara massal.
$invitations = import-csv c:\bulkinvite\invitations.csv
$messageInfo = [Microsoft.Graph.PowerShell.Models.MicrosoftGraphInvitation]@{ `
CustomizedMessageBody = "Hello. You are invited to the Contoso organization." }
foreach ($email in $invitations)
{New-MgInvitation `
-InviteRedirectUrl https://myapps.microsoft.com `
-InvitedUserDisplayName $email.Name `
-InvitedUserEmailAddress $email.InvitedUserEmailAddress `
-InvitedUserMessageInfo $messageInfo `
-SendInvitationMessage
}
Anda membuat file nilai yang dipisahkan koma (CSV) dengan daftar semua pengguna yang ingin ditambahkan. Undangan dikirim ke setiap pengguna dalam file CSV tersebut.
Menghapus akun pengguna
Anda juga dapat menghapus akun pengguna melalui portal Microsoft Azure, Azure PowerShell, atau Azure CLI. Di PowerShell, jalankan cmdlet Remove-MgUser. Di Azure CLI, jalankan cmdlet az ad user delete.
Saat Anda menghapus pengguna, akun tetap dalam status ditangguhkan selama 30 hari. Selama jendela 30 hari itu, akun pengguna dapat dipulihkan.