Membuat tinjauan akses untuk grup dan aplikasi

Selesai

Akses ke grup dan aplikasi untuk karyawan dan tamu akan berubah seiring waktu. Untuk mengurangi risiko yang terkait dengan penetapan akses kedaluarsa, administrator dapat menggunakan ID Microsoft Entra untuk membuat tinjauan akses untuk anggota grup atau akses aplikasi. Jika Anda perlu meninjau akses secara rutin, Anda juga dapat membuat tinjauan akses berulang.

Tonton video ini untuk mempelajari selengkapnya tentang cara menyebarkan dan membuat tinjauan akses.

Prasyarat

  • Microsoft Entra ID Premium P2
  • Administrator Global atau Administrator Pengguna

Membuat satu atau beberapa tinjauan akses

  1. Masuk ke portal Microsoft Azure dan buka halaman Tata Kelola Identitas.

  2. Di menu sebelah kiri, pilih Tinjauan akses.

  3. Pilih Tinjauan akses baru untuk membuat tinjauan akses baru.

    Screenshot of the Access reviews pane in Identity Governance.

  4. Di Langkah 1: Pilih apa yang harus ditinjau pilih sumber daya yang ingin Anda tinjau.

    Screenshot of the Create an access review - Review name and description dialog.

  5. Jika Anda memilih Tim + Grup di Langkah 1, Anda memiliki dua opsi di Langkah 2:

    • Semua grup Microsoft 365 dengan pengguna tamu. Pilih opsi ini jika Anda ingin membuat tinjauan berulang pada semua pengguna tamu di semua grup Microsoft Teams dan Microsoft 365 di organisasi Anda. Anda dapat memilih untuk mengecualikan grup tertentu dengan memilih "Pilih grup untuk dikecualikan."

    • Pilih tim + grup. Pilih opsi ini jika Anda ingin menentukan kumpulan terbatas tim dan/atau grup untuk ditinjau. Setelah memilih opsi ini, Anda akan melihat daftar grup di sebelah kanan untuk dipilih.

      Screenshot of the Teams and groups settings. Pick your groups to exclude.Screenshot of the Teams and groups chosen in the user interface. Selected items are excluded.

  6. Jika Anda memilih Aplikasi di Langkah 1, Anda kemudian dapat memilih satu atau beberapa aplikasi di Langkah 2.

    Screenshot of The interface displayed if you chose applications rather than groups.

  7. Selanjutnya, pada Langkah 3 Anda dapat memilih cakupan untuk peninjauan. Pilihan Anda adalah:

    • Hanya pengguna tamu. Memilih opsi ini membatasi tinjauan akses hanya untuk pengguna tamu Microsoft Entra B2B di direktori Anda.

    • Semua orang. Memilih opsi ini akan mencakup tinjauan akses ke semua objek pengguna yang terkait dengan sumber daya.

      Catatan

      Jika Anda memilih Semua grup Microsoft 365 dengan pengguna tamu di Langkah 2, maka satu-satunya opsi Anda adalah meninjau pengguna Tamu di Langkah 3.

  8. Pilih Berikutnya: Ulasan

  9. Di bagian Pilih peninjau, pilih satu atau beberapa orang untuk melakukan tinjauan akses. Anda dapat memilih dari:

    • Pemilik grup (Hanya tersedia saat melakukan peninjauan di Tim atau grup)
    • Pengguna atau grup yang dipilih
    • Pengguna yang meninjau aksesnya sendiri
    • (Pratinjau) Manajer pengguna. Jika Anda memilih Pengelola pengguna atau Pemilik grup, Anda juga memiliki opsi untuk menentukan peninjau cadangan. Peninjau fallback diminta untuk melakukan tinjauan ketika pengguna tidak memiliki pengelola yang ditentukan dalam direktori atau grup tidak memiliki pemilik.
  10. Di bagian Tentukan pengulangan tinjauan, Anda dapat menentukan frekuensi seperti Mingguan, Bulanan, Triwulanan, Tengah Tahunan, Tahunan. Anda kemudian menentukan Durasi yang menentukan berapa lama tinjauan akan terbuka untuk menerima input dari peninjau. Misalnya, durasi maksimum yang dapat Anda tetapkan untuk tinjauan bulanan adalah 27 hari guna menghindari tinjauan yang tumpang tindih. Anda mungkin ingin mempersingkat durasi untuk memastikan bahwa input peninjau akan diterapkan lebih awal. Selanjutnya, Anda dapat memilih Tanggal mulai dan Tanggal selesai.

    Screenshot of the Choose how often the review should happen. Admins should set a reasonable timeline.

  11. Pilih tombol Berikutnya: Pengaturan di bagian bawah halaman.

  12. Dalam Pengaturan setelah selesai, Anda dapat menentukan apa yang terjadi setelah peninjauan selesai.

    Screenshot of the Create an access review - upon completion settings.

    Jika Anda ingin secara otomatis menghapus akses untuk pengguna yang ditolak, atur Terapkan hasil secara otomatis ke sumber daya ke Aktifkan. Jika Anda ingin menerapkan hasil secara manual saat tinjauan selesai, atur tombol ke Nonaktifkan. Gunakan daftar Jika peninjau tidak merespons untuk menentukan apa yang terjadi pada pengguna yang tidak ditinjau oleh peninjau dalam periode peninjauan. Pengaturan ini tidak memengaruhi pengguna yang telah ditinjau oleh peninjau secara manual. Jika keputusan terakhir peninjau adalah Tolak, maka akses pengguna akan dihapus.

    • Tidak ada perubahan - Membiarkan akses pengguna tidak berubah
    • Hapus akses - Menghapus akses pengguna
    • Setujui akses - Menyetujui akses pengguna
    • Ikuti rekomendasi - Mengikuti rekomendasi sistem untuk menolak atau menyetujui akses lanjutan pengguna

    Gunakan Tindakan yang akan diterapkan pada pengguna tamu yang ditolak untuk menentukan apa yang terjadi pada pengguna tamu jika mereka ditolak.

    • Menghapus keanggotaan pengguna dari sumber daya akan menghapus akses pengguna yang ditolak ke grup atau aplikasi yang sedang ditinjau, pengguna masih dapat masuk ke penyewa.
    • Blokir pengguna untuk masuk selama 30 hari, lalu hapus pengguna dari penyewa akan memblokir pengguna yang ditolak untuk masuk ke penyewa, terlepas apakah mereka memiliki akses ke sumber daya lain. Jika ada kesalahan atau jika admin memutuskan untuk mengaktifkan kembali akses seseorang, mereka dapat melakukannya dalam waktu 30 hari setelah pengguna dinonaktifkan. Jika tidak ada tindakan yang diambil pada pengguna yang dinonaktifkan, mereka akan dihapus dari penyewa.
    • Tindakan untuk diterapkan pada pengguna tamu yang ditolak tidak dapat dikonfigurasi pada tinjauan yang mencakup lebih dari pengguna tamu. Ini juga tidak dapat dikonfigurasi untuk ulasan semua grup Microsoft 365 dengan pengguna tamu. Jika tidak dapat dikonfigurasi, opsi default untuk menghapus keanggotaan pengguna dari sumber daya akan digunakan pada pengguna yang ditolak.
  13. Di Aktifkan pembantu keputusan peninjauan pilih apakah Anda ingin peninjau menerima rekomendasi selama proses peninjauan.

    Screenshot of the Enable decision helpers options. Offer recommendations to the reviewers.

  14. Di bagian Pengaturan tingkat lanjut, Anda dapat memilih berikut ini

    • Atur Alasan yang diperlukan ke Aktifkan untuk meminta peninjau memberikan alasan persetujuan.
    • Atur pemberitahuan email ke Aktifkan agar ID Microsoft Entra mengirim pemberitahuan email ke peninjau saat tinjauan akses dimulai, dan ke administrator saat peninjauan selesai.
    • Atur Pengingat ke Aktifkan agar ID Microsoft Entra mengirim pengingat tinjauan akses yang sedang berlangsung kepada peninjau yang belum menyelesaikan peninjauan mereka. Pengingat ini akan dilakukan di tengah durasi peninjauan.
    • Konten email yang dikirim ke peninjau akan dibuat secara otomatis berdasarkan detail tinjauan, seperti nama tinjauan, nama sumber daya, tanggal jatuh tempo, dll. Jika Anda memerlukan cara untuk menyampaikan informasi tambahan seperti petunjuk tambahan atau informasi kontak, Anda dapat menentukan detail ini di bagian Konten tambahan untuk email peninjau. Informasi yang Anda masukkan akan disertakan dalam undangan dan email pengingat yang dikirim ke peninjau yang ditetapkan. Bagian yang disorot pada gambar di bawah ini menunjukkan tempat informasi ini ditampilkan.
  15. Pilih Berikutnya: Tinjau + Buat untuk berpindah ke halaman berikutnya.

  16. Beri nama tinjauan akses. Opsional, berikan deskripsi tinjauan. Nama dan deskripsi akan ditampilkan kepada peninjau.

  17. Tinjau informasi dan pilih Buat.

    Screenshot of the create review screen. Overview of the access review that has just finished creation.

Memulai tinjauan akses

Setelah Anda menentukan pengaturan untuk tinjauan akses, pilih Mulai. Tinjauan akses akan ditampilkan di daftar Anda dengan indikator statusnya.

Screenshot of the List of access reviews and their status. Review the status of each item.

Secara default, MICROSOFT Entra ID mengirim email ke peninjau segera setelah tinjauan dimulai. Jika Anda memilih untuk tidak mengirim email ke ID Microsoft Entra, pastikan untuk memberi tahu peninjau bahwa tinjauan akses sedang menunggu mereka selesai. Anda dapat menunjukkan kepada mereka petunjuk tentang cara meninjau akses ke grup atau aplikasi. Jika tinjauan Anda adalah agar tamu dapat meninjau akses mereka sendiri, tunjukkan kepada mereka petunjuk tentang cara meninjau akses sendiri ke grup atau aplikasi.

Jika Anda telah menetapkan tamu sebagai peninjau dan mereka belum menerima undangan, tamu tidak akan menerima email dari tinjauan akses karena mereka harus menerima undangan terlebih dahulu sebelum meninjau.

Tabel status tinjauan akses

Status Definisi
Belum Dimulai Tinjauan telah dibuat, penemuan pengguna adalah menunggu untuk dimulai.
Menginisialisasi Penemuan pengguna sedang berlangsung untuk mengidentifikasi semua pengguna yang merupakan bagian dari tinjauan.
Memulai Peninjauan dimulai. Jika pemberitahuan email diaktifkan, email akan dikirim kepada peninjau.
SedangBerlangsung Peninjauan telah dimulai. Jika pemberitahuan email diaktifkan, email telah dikirim kepada peninjau. Peninjau dapat mengirimkan keputusan sampai dengan jatuh tempo.
Menyelesaikan Peninjauan sedang diselesaikan dan email sedang dikirim kepada pemilik tinjauan.
Meninjau Otomatis Peninjauan sedang dalam tahap peninjauan sistem. Sistem merekam keputusan untuk pengguna yang tidak ditinjau berdasarkan rekomendasi atau keputusan yang telah dikonfigurasi sebelumnya.
Ditinjau Otomatis Keputusan telah dicatat oleh sistem untuk semua pengguna yang tidak ditinjau. Tinjauan siap untuk melanjutkan ke Menerapkan jika Terapkan Otomatis diaktifkan.
Menerapkan Tidak akan ada perubahan akses untuk pengguna yang telah disetujui.
Diterapkan Pengguna yang ditolak, jika ada, telah dihapus dari sumber daya atau direktori.
Gagal Peninjauan tidak dapat dilanjutkan. Kesalahan ini dapat terkait dengan penghapusan penyewa, perubahan lisensi, atau perubahan penyewa internal lainnya.

Membuat tinjauan melalui API

Anda juga dapat membuat tinjauan akses menggunakan API. Apa yang Anda lakukan untuk mengelola tinjauan akses grup dan pengguna aplikasi di portal Microsoft Azure dapat juga dilakukan menggunakan Microsoft Graph API.