Mengonfigurasi dan mengelola peran Microsoft Entra

  • 7 menit

ID Microsoft Entra adalah layanan manajemen identitas dan akses berbasis cloud Microsoft, yang membantu masuk dan mengakses sumber daya karyawan Anda di:

  • Sumber daya eksternal, seperti Microsoft 365, portal Microsoft Azure, dan ribuan aplikasi SaaS lainnya.
  • Sumber daya internal, seperti aplikasi di jaringan perusahaan dan intranet Anda, bersama dengan aplikasi cloud apa pun yang dikembangkan oleh organisasi Anda sendiri.

Siapa yang menggunakan ID Microsoft Entra?

ID Microsoft Entra ditujukan untuk:

  • Admin TI - Sebagai admin TI, Anda dapat menggunakan ID Microsoft Entra untuk mengontrol akses ke aplikasi dan sumber daya aplikasi Anda, berdasarkan kebutuhan bisnis Anda. Misalnya, Anda dapat menggunakan ID Microsoft Entra untuk mewajibkan autentikasi multifaktor saat mengakses sumber daya organisasi penting. Selain itu, Anda dapat menggunakan ID Microsoft Entra untuk mengotomatiskan provisi pengguna antara Windows Server AD yang ada dan aplikasi cloud Anda, termasuk Microsoft 365. Terakhir, MICROSOFT Entra ID memberi Anda alat canggih untuk secara otomatis membantu melindungi identitas dan kredensial pengguna dan untuk memenuhi persyaratan tata kelola akses Anda.
  • Pengembang aplikasi - Sebagai pengembang aplikasi, Anda dapat menggunakan ID Microsoft Entra sebagai pendekatan berbasis standar untuk menambahkan akses menyeluruh (SSO) ke aplikasi Anda, yang memungkinkannya bekerja dengan kredensial pengguna yang sudah ada sebelumnya. MICROSOFT Entra ID juga menyediakan API yang dapat membantu Anda membangun pengalaman aplikasi yang dipersonalisasi menggunakan data organisasi yang ada.
  • Pelanggan Microsoft 365, Office 365, Azure, atau Dynamics CRM Online - Sebagai pelanggan, Anda sudah menggunakan ID Microsoft Entra. Setiap penyewa Microsoft 365, Office 365, Azure, dan Dynamics CRM Online secara otomatis adalah penyewa Microsoft Entra. Anda dapat segera mulai mengelola akses ke aplikasi cloud terintegrasi Anda.

Di ID Microsoft Entra, jika salah satu pengguna Anda memerlukan izin untuk mengelola sumber daya Microsoft Entra, Anda harus menetapkannya ke peran yang menyediakan izin yang mereka butuhkan.

Jika Anda baru menggunakan Azure, Anda mungkin merasa sedikit menantang untuk memahami semua peran yang berbeda di Azure. Bagian berikut membantu menjelaskan peran berikut dan menyediakan informasi tambahan tentang peran Azure dan peran Microsoft Entra:

  • Peran administrator langganan klasik
  • Peran Azure
  • Peran Microsoft Entra

Peran Microsoft Entra

Peran Microsoft Entra digunakan untuk mengelola sumber daya Microsoft Entra dalam direktori. Tindakan seperti membuat atau mengedit pengguna adalah yang paling umum. Tetapi, kebutuhan untuk menetapkan peran administratif kepada orang lain, mengatur ulang kata sandi pengguna, mengelola lisensi pengguna, dan mengelola domain adalah hal biasa. Tabel berikut ini menjelaskan beberapa peran Microsoft Entra yang lebih penting.

Peran Microsoft Entra Izin Catatan
Administrator Global Mengelola akses ke semua fitur administratif di ID Microsoft Entra, dan layanan yang bergabung ke ID Microsoft Entra Orang yang mendaftar penyewa Microsoft Entra menjadi Administrator Global pertama.
Menetapkan peran administrator untuk orang lain
Mereset kata sandi untuk setiap pengguna dan semua administrator lainnya
Admin Pengguna Membuat dan mengelola semua aspek pengguna dan grup
Mengelola tiket dukungan
Memantau kondisi layanan
Mengubah kata sandi untuk pengguna, administrator Bantuan Teknis, dan Administrator Pengguna lainnya
Administrator Tagihan Melakukan pembelian
Kelola langganan
Mengelola tiket dukungan
Memantau kondisi layanan

Di portal Azure, Anda dapat melihat daftar peran Microsoft Entra di layar Peran dan administrator.

Cuplikan layar peran Microsoft Entra di jendela Peran dan administrator di menu kelola ID Microsoft Entra dari portal Azure.

Perbedaan antara peran Azure dan peran Microsoft Entra

Pada tingkat tinggi, peran Azure mengontrol izin untuk mengelola sumber daya Azure, sementara peran Microsoft Entra mengontrol izin untuk mengelola sumber daya Microsoft Entra. Tabel berikut membandingkan beberapa perbedaan.

Peran Azure Peran Microsoft Entra
Mengelola akses ke sumber daya Azure Mengelola akses ke sumber daya Microsoft Entra
Mendukung peran kustom Mendukung peran kustom
Cakupan dapat ditentukan di beberapa tingkat (grup manajemen, langganan, grup sumber daya, sumber daya) Cakupan berada di tingkat penyewa atau dapat diterapkan ke Unit Administratif
Informasi peran dapat diakses di portal Microsoft Azure, Azure CLI, Azure PowerShell, templat Azure Resource Manager, REST API Informasi peran dapat diakses di portal admin Azure, pusat admin Microsoft 365, Microsoft Graph, dan PowerShell

Apakah peran Azure dan peran Microsoft Entra tumpang tindih?

Secara default, peran Azure dan peran Microsoft Entra tidak menjangkau Azure dan ID Microsoft Entra. Namun, jika Administrator Global meningkatkan akses mereka dengan memilih sakelar Manajemen akses untuk sumber daya Azure di portal Azure, Administrator Global akan diberikan peran Administrator Akses Pengguna (peran Azure) pada semua langganan untuk penyewa tertentu. Peran Administrator Akses Pengguna memungkinkan pengguna untuk memberi pengguna lain akses ke sumber daya Azure. Peralihan ini dapat membantu mendapatkan kembali akses ke langganan.

Beberapa peran Microsoft Entra mencakup ID Microsoft Entra dan Microsoft 365, seperti peran Administrator Global dan Administrator Pengguna. Misalnya, jika Anda adalah anggota peran Administrator Global, Anda memiliki kemampuan administrator global di MICROSOFT Entra ID dan Microsoft 365, seperti membuat perubahan pada Microsoft Exchange dan Microsoft SharePoint. Namun, secara default, Administrator Global tidak memiliki akses ke sumber daya Azure.

Diagram hubungan peran Azure dengan peran Microsoft Entra. Peran Azure diakses di penyewa Azure. Peran Microsoft Entra juga diakses dari MICROSOFT Entra ID dan Microsoft 365.

Menetapkan peran

Ada beberapa cara untuk menetapkan peran dalam ID Microsoft Entra. Anda harus memilih salah satu yang paling sesuai dengan kebutuhan Anda. Antarmuka pengguna mungkin sedikit berbeda untuk setiap metode, tetapi opsi konfigurasinya mirip. Metode untuk menetapkan peran meliputi:

  • Menetapkan peran ke pengguna atau grup

    • Peran dan administrasi - ID - Microsoft Entra Pilih peran - + Tambahkan Penugasan

  • Menetapkan pengguna atau grup ke peran

    • ID Microsoft Entra - Buka Pengguna (atau Grup) - Pilih Pengguna (atau grup) - Peran yang - ditetapkan+ Tambahkan Penugasan

  • Menetapkan peran ke cakupan yang luas, seperti Langganan, Grup Sumber Daya, atau Grup Manajemen

    • Dilakukan melalui Kontrol akses (IAM) dalam setiap layar pengaturan

  • Menetapkan peran menggunakan PowerShell atau Microsoft Graph API

  • Menetapkan peran menggunakan Privileged Identity Management (PIM)

Metode terbaik untuk kebutuhan konfigurasi Anda dapat digunakan, tetapi harus berhati-hati karena tidak ada batasan bawaan. Anda dapat secara tidak sengaja menetapkan peran administratif ke grup dengan pengguna yang tidak memerlukan akses administratif. Izin tambahan dapat menyebabkan solusi diubah oleh pengguna yang tidak memiliki pengetahuan yang tepat tentang apa yang mereka lakukan, atau menciptakan peluang bagi penyerang. Pemerintahan identitas yang tepat adalah kuncinya.

Contoh - menggunakan PIM untuk menetapkan peran

Cara umum untuk menetapkan peran Microsoft Entra kepada pengguna ada di halaman Peran yang ditetapkan untuk pengguna. Anda juga dapat mengonfigurasi kelayakan pengguna untuk ditingkatkan tepat waktu menjadi peran menggunakan Privileged Identity Management (PIM).

Catatan

Jika Anda memiliki paket lisensi Microsoft Entra ID Premium P2 dan sudah menggunakan PIM, semua tugas manajemen peran dilakukan dalam pengalaman Privileged Identity Management. Fitur ini saat ini terbatas untuk menetapkan hanya satu peran pada satu waktu. Saat ini Anda tidak dapat memilih beberapa peran dan menetapkannya untuk semua pengguna sekaligus.

Cuplikan layar Privileged Identity Manager untuk pengguna yang ditetapkan Admin Global dan memiliki lisensi Premium P2.

Membuat dan menetapkan peran kustom di ID Microsoft Entra

Bagian ini menjelaskan cara membuat peran kustom baru di ID Microsoft Entra. Untuk dasar-dasar peran kustom, lihat gambaran umum peran kustom. Peran dapat ditetapkan baik di cakupan tingkat direktori atau cakupan sumber daya pendaftaran aplikasi saja.

Peran kustom dapat dibuat di tab Peran dan administrator di halaman gambaran umum ID Microsoft Entra.

  1. Pilih Peran ID - Microsoft Entra dan administrator - Peran kustom baru.

    Cuplikan layar Buat atau edit peran kustom dari halaman Peran dan administrator.

  2. Pada tab Dasar-dasar, berikan nama dan deskripsi untuk peran tersebut, lalu pilih Berikutnya.

    Cuplikan layar tab dasar. Anda memberikan nama dan deskripsi untuk peran kustom pada tab Dasar.

  3. Pada tab Izin, pilih izin yang diperlukan untuk mengelola properti dasar dan properti informasi masuk pendaftaran aplikasi.

  4. Pertama, masukkan "informasi masuk" di bilah pencarian dan pilih izin microsoft.directory/applications/credentials/update.

    Cuplikan layar pilih izin untuk peran kustom pada tab Izin.

  5. Berikutnya, masukkan "dasar" di bilah pencarian, pilih izin microsoft.directory/applications/basic/update, lalu pilih Berikutnya.

  6. Pada tab Tinjau + buat, tinjau izin dan pilih Buat.

Peran kustom Anda akan muncul dalam daftar peran yang tersedia untuk ditetapkan.