Periksa peran RBAC dan pengguna di Microsoft Entra ID
MICROSOFT Entra ID memiliki model operasional SaaS dan tidak memiliki dukungan untuk objek komputer dan kemampuan manajemen melalui pengaturan Kebijakan Grup. Oleh karena itu, model delegasi dalam MICROSOFT Entra ID jauh lebih sederhana daripada model yang sama di AD DS. Ada beberapa peran bawaan di ketiga tingkatan, termasuk Administrator Global, Administrator Penagihan, Administrator Layanan, Administrator Pengguna, dan Administrator Kata Sandi. Setiap peran menyediakan tingkat izin di seluruh direktori yang berbeda untuk objeknya. Secara default, Administrator Akun langganan yang menghosting instans Microsoft Entra ditetapkan sebagai Administrator Global, dengan izin penuh ke semua objek dalam instans direktori mereka. Namun, Administrator Layanan memiliki izin yang lebih terbatas dan tidak sama dengan Administrator Global secara default.
Di MICROSOFT Entra ID, menggunakan model delegasi, Anda dapat mendelegasikan izin ke aplikasi, memungkinkan mereka untuk bertindak atas nama pengguna dan grup. Kedalaman dan luasnya kemampuan delegasi ini bervariasi berdasarkan edisi Microsoft Entra. Dengan Microsoft Entra ID Free, Anda dapat menetapkan aplikasi untuk pengguna dan grup. Edisi Microsoft Entra ID P1 meningkatkan ini dengan menawarkan kemampuan penugasan yang lebih canggih, seperti keanggotaan grup dinamis berdasarkan atribut pengguna. Edisi Premium P2 dibangun berdasarkan ini dengan memperkenalkan fitur seperti manajemen grup layanan mandiri, di mana pengguna dapat membuat dan mengelola grup mereka sendiri, dan Privileged Identity Management (PIM), yang merupakan bagian dari rangkaian alat Tata Kelola Identitas, memungkinkan pengguna untuk meningkatkan hak istimewa mereka untuk sementara.
Pengguna Microsoft Entra dapat mengakses aplikasi Microsoft Entra dengan menggunakan portal berbasis web, yang disebut sebagai Aplikasi Saya, di https://myapps.microsoft.com. Portal ini secara otomatis disajikan kepada pengguna semua aplikasi yang izinnya mereka miliki. Manfaat lain menggunakan pendekatan ini adalah dukungan untuk SSO. Saat memulai aplikasi individual dari antarmukanya, autentikasi terjadi secara otomatis setelah pengguna masuk ke portal.
Model delegasi Azure dan kontrol akses berbasis peran
Model delegasi berlaku untuk antarmuka grafis yang tersedia di portal Microsoft Azure. Portal Microsoft Azure menawarkan cara yang jauh lebih fleksibel dan tepat untuk membatasi manajemen sumber daya Azure dengan menerapkan RBAC. Mekanisme ini bergantung pada tiga peran bawaan: pemilik, kontributor, dan pembaca. Masing-masing peran ini melakukan serangkaian tindakan tertentu pada sumber daya Azure yang diekspos melalui portal Microsoft Azure—sumber daya seperti situs web atau database SQL. Anda dapat memberikan akses yang dimaksudkan dengan mengaitkan objek Microsoft Entra seperti pengguna, grup, atau perwakilan layanan dengan peran dan sumber daya yang muncul di portal Microsoft Azure.
ID Microsoft Entra tidak menyertakan kelas OU, yang berarti Anda tidak dapat mengatur objeknya dalam hierarki kontainer kustom, yang sering digunakan dalam penyebaran AD DS lokal. Ini bukan kekurangan yang signifikan, karena OU di AD DS digunakan terutama untuk pencakupan dan delegasi Kebijakan Grup. Sebagai gantinya, Anda dapat menyelesaikan pengaturan yang setara dengan mengatur objek berdasarkan nilai atribut atau keanggotaan grupnya.
Peran pengguna di MICROSOFT Entra ID
Anda dapat menggunakan tiga jenis akun dengan ID Microsoft Entra:
- Akun organisasi yang dibuat administrator penyewa atau administrator bersama dalam direktori Azure default atau direktori Azure kustom apa pun—misalnya, user@domain1.onmicrosoft.com.
- Akun yang merujuk pada akun milik organisasi yang Anda buat di instans Microsoft Entra lainnya—misalnya, user@domain2.onmicrosoft.com.
- Akun yang mereferensikan akun Microsoft—misalnya, user@outlook.com.
Anda menggunakan akun administrator penyewa untuk mendaftar untuk uji coba baru atau langganan berbayar. Akun ini bisa menjadi akun Microsoft atau akun organisasi yang sudah ada. Untuk menghindari pencampuran metode autentikasi, kami sarankan Anda menggunakan akun organisasi untuk mengelola penyewa Microsoft Entra Anda.
Anda hanya dapat mengelola ID Microsoft Entra jika Anda adalah Administrator Global instans Microsoft Entra. Anda hanya dapat masuk ke portal Microsoft Azure jika Anda adalah administrator penyewa atau jika administrator penyewa telah mengonfigurasi akun organisasi untuk menjadi administrator bersama.
Catatan
Administrator penyewa dan rekan administrator dapat mengelola ID Microsoft Entra dengan menggunakan portal Microsoft Azure karena secara default akun ini secara otomatis diberikan peran Administrator Global dalam instans Direktori Aktif yang terkait dengan langganan.
Dalam ID Microsoft Entra, Anda dapat mengonfigurasi pengguna dengan peran berikut:
Administrator Global. Peran ini memiliki akses ke semua fitur dan pengaturan administratif. Saat mendaftar langganan Azure, Anda menjadi Administrator Global. Hanya peran ini yang dapat menetapkan peran admin kepada akun lain.
Administrator terbatas. Saat Anda memilih peran Administrator terbatas untuk pengguna, Anda kemudian dapat memilih satu atau beberapa peran administratif berikut (daftar dapat bervariasi berdasarkan aplikasi yang menggunakan ID Microsoft Entra Anda):
- Administrator Kata Sandi dapat mengatur ulang kata sandi untuk pengguna dan mengelola permintaan layanan.
- Administrator Layanan dapat mengelola permintaan layanan.
- Administrator Penagihan dapat mengelola informasi penagihan.
- Administrator Exchange bisa mengelola pengaturan Exchange Online.
- Administrator Skype for Business bisa mengelola pengaturan Skype for Business Online.
- Administrator Pengguna dapat mengelola akun dan grup pengguna.
- Administrator SharePoint bisa mengelola pengaturan SharePoint Online.
- Administrator kepatuhan dapat mengelola pengaturan kepatuhan.
- Pembaca keamanan dapat membaca pengaturan keamanan.
- Administrator Keamanan dapat mengelola pengaturan keamanan.
- Administrator peran istimewa dapat mengelola peran istimewa.
- Administrator Intune dapat mengelola pengaturan Intune.
- Pengundang tamu dapat mengundang pengguna tamu ke organisasi.
- Administrator Akses Bersyarat dapat mengelola pengaturan akses bersyarat.
Pengguna . Ini adalah peran default yang tidak memberikan hak administratif apa pun.
Peran ini berlaku untuk alat manajemen seperti portal Microsoft 365 dan Intune, atau modul Microsoft Azure AD untuk cmdlet Windows PowerShell. Saat menggunakan Privileged Identity Management, Anda juga dapat mengonfigurasi peran Pembaca keamanan dan Administrator keamanan.