Membuat tinjauan akses untuk grup dan aplikasi
Akses ke grup dan aplikasi untuk karyawan dan tamu akan berubah seiring waktu. Untuk mengurangi risiko yang terkait dengan penetapan akses kedaluarsa, administrator dapat menggunakan ID Microsoft Entra untuk membuat tinjauan akses untuk anggota grup atau akses aplikasi. Jika Anda perlu meninjau akses secara rutin, Anda juga dapat membuat tinjauan akses berulang.
Tonton video ini untuk mempelajari selengkapnya tentang cara menyebarkan dan membuat tinjauan akses.
Prasyarat
- Microsoft Entra ID Premium P2
- Administrator Global atau Administrator Pengguna
Membuat satu atau beberapa tinjauan akses
Masuk ke portal Microsoft Azure dan buka halaman Tata Kelola Identitas.
Di menu sebelah kiri, pilih Tinjauan akses.
Pilih Tinjauan akses baru untuk membuat tinjauan akses baru.
Di Langkah 1: Pilih apa yang harus ditinjau pilih sumber daya yang ingin Anda tinjau.
Jika Anda memilih Tim + Grup di Langkah 1, Anda memiliki dua opsi di Langkah 2:
Semua grup Microsoft 365 dengan pengguna tamu. Pilih opsi ini jika Anda ingin membuat tinjauan berulang pada semua pengguna tamu di semua grup Microsoft Teams dan Microsoft 365 di organisasi Anda. Anda dapat memilih untuk mengecualikan grup tertentu dengan memilih "Pilih grup untuk dikecualikan."
Pilih tim + grup. Pilih opsi ini jika Anda ingin menentukan kumpulan terbatas tim dan/atau grup untuk ditinjau. Setelah memilih opsi ini, Anda akan melihat daftar grup di sebelah kanan untuk dipilih.
Jika Anda memilih Aplikasi di Langkah 1, Anda kemudian dapat memilih satu atau beberapa aplikasi di Langkah 2.
Selanjutnya, pada Langkah 3 Anda dapat memilih cakupan untuk peninjauan. Pilihan Anda adalah:
Hanya pengguna tamu. Memilih opsi ini membatasi tinjauan akses hanya untuk pengguna tamu Microsoft Entra B2B di direktori Anda.
Semua orang. Memilih opsi ini akan mencakup tinjauan akses ke semua objek pengguna yang terkait dengan sumber daya.
Catatan
Jika Anda memilih Semua grup Microsoft 365 dengan pengguna tamu di Langkah 2, maka satu-satunya opsi Anda adalah meninjau pengguna Tamu di Langkah 3.
Pilih Berikutnya: Ulasan
Di bagian Pilih peninjau, pilih satu atau beberapa orang untuk melakukan tinjauan akses. Anda dapat memilih dari:
- Pemilik grup (Hanya tersedia saat melakukan peninjauan di Tim atau grup)
- Pengguna atau grup yang dipilih
- Pengguna yang meninjau aksesnya sendiri
- (Pratinjau) Manajer pengguna. Jika Anda memilih Pengelola pengguna atau Pemilik grup, Anda juga memiliki opsi untuk menentukan peninjau cadangan. Peninjau fallback diminta untuk melakukan tinjauan ketika pengguna tidak memiliki pengelola yang ditentukan dalam direktori atau grup tidak memiliki pemilik.
Di bagian Tentukan pengulangan tinjauan, Anda dapat menentukan frekuensi seperti Mingguan, Bulanan, Triwulanan, Tengah Tahunan, Tahunan. Anda kemudian menentukan Durasi yang menentukan berapa lama tinjauan akan terbuka untuk menerima input dari peninjau. Misalnya, durasi maksimum yang dapat Anda tetapkan untuk tinjauan bulanan adalah 27 hari guna menghindari tinjauan yang tumpang tindih. Anda mungkin ingin mempersingkat durasi untuk memastikan bahwa input peninjau akan diterapkan lebih awal. Selanjutnya, Anda dapat memilih Tanggal mulai dan Tanggal selesai.
Pilih tombol Berikutnya: Pengaturan di bagian bawah halaman.
Dalam Pengaturan setelah selesai, Anda dapat menentukan apa yang terjadi setelah peninjauan selesai.
Jika Anda ingin secara otomatis menghapus akses untuk pengguna yang ditolak, atur Terapkan hasil secara otomatis ke sumber daya ke Aktifkan. Jika Anda ingin menerapkan hasil secara manual saat tinjauan selesai, atur tombol ke Nonaktifkan. Gunakan daftar Jika peninjau tidak merespons untuk menentukan apa yang terjadi pada pengguna yang tidak ditinjau oleh peninjau dalam periode peninjauan. Pengaturan ini tidak memengaruhi pengguna yang telah ditinjau oleh peninjau secara manual. Jika keputusan terakhir peninjau adalah Tolak, maka akses pengguna akan dihapus.
- Tidak ada perubahan - Membiarkan akses pengguna tidak berubah
- Hapus akses - Menghapus akses pengguna
- Setujui akses - Menyetujui akses pengguna
- Ikuti rekomendasi - Mengikuti rekomendasi sistem untuk menolak atau menyetujui akses lanjutan pengguna
Gunakan Tindakan yang akan diterapkan pada pengguna tamu yang ditolak untuk menentukan apa yang terjadi pada pengguna tamu jika mereka ditolak.
- Menghapus keanggotaan pengguna dari sumber daya akan menghapus akses pengguna yang ditolak ke grup atau aplikasi yang sedang ditinjau, pengguna masih dapat masuk ke penyewa.
- Blokir pengguna untuk masuk selama 30 hari, lalu hapus pengguna dari penyewa akan memblokir pengguna yang ditolak untuk masuk ke penyewa, terlepas apakah mereka memiliki akses ke sumber daya lain. Jika ada kesalahan atau jika admin memutuskan untuk mengaktifkan kembali akses seseorang, mereka dapat melakukannya dalam waktu 30 hari setelah pengguna dinonaktifkan. Jika tidak ada tindakan yang diambil pada pengguna yang dinonaktifkan, mereka akan dihapus dari penyewa.
- Tindakan untuk diterapkan pada pengguna tamu yang ditolak tidak dapat dikonfigurasi pada tinjauan yang mencakup lebih dari pengguna tamu. Ini juga tidak dapat dikonfigurasi untuk ulasan semua grup Microsoft 365 dengan pengguna tamu. Jika tidak dapat dikonfigurasi, opsi default untuk menghapus keanggotaan pengguna dari sumber daya akan digunakan pada pengguna yang ditolak.
Di Aktifkan pembantu keputusan peninjauan pilih apakah Anda ingin peninjau menerima rekomendasi selama proses peninjauan.
Di bagian Pengaturan tingkat lanjut, Anda dapat memilih berikut ini
- Atur Alasan yang diperlukan ke Aktifkan untuk meminta peninjau memberikan alasan persetujuan.
- Atur pemberitahuan email ke Aktifkan agar ID Microsoft Entra mengirim pemberitahuan email ke peninjau saat tinjauan akses dimulai, dan ke administrator saat peninjauan selesai.
- Atur Pengingat ke Aktifkan agar ID Microsoft Entra mengirim pengingat tinjauan akses yang sedang berlangsung kepada peninjau yang belum menyelesaikan peninjauan mereka. Pengingat ini akan dilakukan di tengah durasi peninjauan.
- Konten email yang dikirim ke peninjau akan dibuat secara otomatis berdasarkan detail tinjauan, seperti nama tinjauan, nama sumber daya, tanggal jatuh tempo, dll. Jika Anda memerlukan cara untuk menyampaikan informasi tambahan seperti petunjuk tambahan atau informasi kontak, Anda dapat menentukan detail ini di bagian Konten tambahan untuk email peninjau. Informasi yang Anda masukkan akan disertakan dalam undangan dan email pengingat yang dikirim ke peninjau yang ditetapkan. Bagian yang disorot pada gambar di bawah ini menunjukkan tempat informasi ini ditampilkan.
Pilih Berikutnya: Tinjau + Buat untuk berpindah ke halaman berikutnya.
Beri nama tinjauan akses. Opsional, berikan deskripsi tinjauan. Nama dan deskripsi akan ditampilkan kepada peninjau.
Tinjau informasi dan pilih Buat.
Memulai tinjauan akses
Setelah Anda menentukan pengaturan untuk tinjauan akses, pilih Mulai. Tinjauan akses akan ditampilkan di daftar Anda dengan indikator statusnya.
Secara default, MICROSOFT Entra ID mengirim email ke peninjau segera setelah tinjauan dimulai. Jika Anda memilih untuk tidak mengirim email ke ID Microsoft Entra, pastikan untuk memberi tahu peninjau bahwa tinjauan akses sedang menunggu mereka selesai. Anda dapat menunjukkan kepada mereka petunjuk tentang cara meninjau akses ke grup atau aplikasi. Jika tinjauan Anda adalah agar tamu dapat meninjau akses mereka sendiri, tunjukkan kepada mereka petunjuk tentang cara meninjau akses sendiri ke grup atau aplikasi.
Jika Anda telah menetapkan tamu sebagai peninjau dan mereka belum menerima undangan, tamu tidak akan menerima email dari tinjauan akses karena mereka harus menerima undangan terlebih dahulu sebelum meninjau.
Tabel status tinjauan akses
Status | Definisi |
---|---|
Belum Dimulai | Tinjauan telah dibuat, penemuan pengguna adalah menunggu untuk dimulai. |
Menginisialisasi | Penemuan pengguna sedang berlangsung untuk mengidentifikasi semua pengguna yang merupakan bagian dari tinjauan. |
Memulai | Peninjauan dimulai. Jika pemberitahuan email diaktifkan, email akan dikirim kepada peninjau. |
SedangBerlangsung | Peninjauan telah dimulai. Jika pemberitahuan email diaktifkan, email telah dikirim kepada peninjau. Peninjau dapat mengirimkan keputusan sampai dengan jatuh tempo. |
Menyelesaikan | Peninjauan sedang diselesaikan dan email sedang dikirim kepada pemilik tinjauan. |
Meninjau Otomatis | Peninjauan sedang dalam tahap peninjauan sistem. Sistem merekam keputusan untuk pengguna yang tidak ditinjau berdasarkan rekomendasi atau keputusan yang telah dikonfigurasi sebelumnya. |
Ditinjau Otomatis | Keputusan telah dicatat oleh sistem untuk semua pengguna yang tidak ditinjau. Tinjauan siap untuk melanjutkan ke Menerapkan jika Terapkan Otomatis diaktifkan. |
Menerapkan | Tidak akan ada perubahan akses untuk pengguna yang telah disetujui. |
Diterapkan | Pengguna yang ditolak, jika ada, telah dihapus dari sumber daya atau direktori. |
Gagal | Peninjauan tidak dapat dilanjutkan. Kesalahan ini dapat terkait dengan penghapusan penyewa, perubahan lisensi, atau perubahan penyewa internal lainnya. |
Membuat tinjauan melalui API
Anda juga dapat membuat tinjauan akses menggunakan API. Apa yang Anda lakukan untuk mengelola tinjauan akses grup dan pengguna aplikasi di portal Microsoft Azure dapat juga dilakukan menggunakan Microsoft Graph API.