Pelajari tentang jenis grup, jenis keanggotaan, dan manajemen akses
MICROSOFT Entra ID menyediakan beberapa cara untuk mengelola akses ke sumber daya, aplikasi, dan tugas. Dengan grup Microsoft Entra, Anda dapat memberikan akses dan izin kepada sekelompok pengguna alih-alih untuk setiap pengguna individual. Membatasi akses ke sumber daya Microsoft Entra hanya untuk pengguna yang membutuhkan akses adalah salah satu prinsip keamanan inti Zero Trust.
Artikel ini memberikan gambaran umum tentang bagaimana grup dan hak akses dapat digunakan bersama-sama untuk mempermudah pengelolaan pengguna Microsoft Entra Anda, sekaligus menerapkan praktik terbaik keamanan.
Catatan
Beberapa grup tidak dapat dikelola di portal Microsoft Azure atau pusat admin Microsoft Entra.
- Grup yang disinkronkan dari Active Directory lokal hanya dapat dikelola secara lokal.
- Daftar distribusi dan grup keamanan yang mendukung email hanya dapat dikelola di pusat admin Exchange atau pusat admin Microsoft 365 . Anda harus masuk dan memiliki izin yang sesuai untuk pusat admin tersebut untuk mengelola grup tersebut.
Gambaran umum grup Microsoft Entra
Penggunaan grup yang efektif dapat mengurangi tugas manual, seperti menetapkan peran dan izin kepada pengguna individual. Anda dapat menetapkan peran ke grup dan menetapkan anggota ke grup berdasarkan fungsi pekerjaan atau departemen mereka. Anda bisa membuat kebijakan Akses Bersyarat yang berlaku untuk grup, lalu menerapkan kebijakan tersebut ke grup. Karena potensi penggunaan untuk grup, penting untuk memahami cara kerjanya dan cara mereka dikelola.
Jenis grup
Anda dapat mengelola dua jenis grup di pusat admin Microsoft Entra:
Grup keamanan: Digunakan untuk mengelola akses ke sumber daya bersama.
- Anggota grup keamanan dapat menyertakan pengguna, perangkat, perwakilan layanan.
- Grup dapat menjadi anggota grup lain, terkadang dikenal sebagai grup berlapis. Lihat catatan.
- Pengguna dan perwakilan layanan dapat menjadi pemilik grup keamanan.
grup Microsoft 365: Memberikan peluang kolaborasi.
- Anggota grup Microsoft 365 hanya dapat menyertakan pengguna.
- Pengguna dan perwakilan layanan dapat menjadi pemilik grup Microsoft 365.
- Orang di luar organisasi Anda dapat menjadi anggota grup.
- Untuk informasi selengkapnya, lihat Pelajari tentang Grup Microsoft 365.
Catatan
Saat memasukkan grup keamanan yang ada ke dalam grup keamanan lain, hanya anggota dalam grup induk yang memiliki akses ke sumber daya dan aplikasi bersama. Untuk informasi selengkapnya tentang mengelola grup berlapis, lihat Cara mengelola grup.
Jenis keanggotaan
- Grup yang ditetapkan: Memungkinkan Anda menambahkan pengguna tertentu sebagai anggota grup dan memiliki izin unik.
- Grup keanggotaan dinamis untuk pengguna: Memungkinkan Anda menggunakan aturan untuk menambahkan dan menghapus pengguna sebagai anggota secara otomatis. Jika atribut anggota berubah, sistem akan melihat aturan Anda untuk grup keanggotaan dinamis untuk direktori tersebut. Sistem memeriksa untuk melihat apakah anggota memenuhi persyaratan aturan (ditambahkan), atau tidak lagi memenuhi persyaratan aturan (dihapus).
- Grup keanggotaan dinamis untuk perangkat: Memungkinkan Anda menggunakan aturan untuk menambahkan dan menghapus perangkat sebagai anggota secara otomatis. Jika atribut perangkat berubah, sistem melihat aturan Anda untuk grup keanggotaan dinamis untuk direktori untuk melihat apakah perangkat memenuhi persyaratan aturan (ditambahkan) atau tidak lagi memenuhi persyaratan aturan (dihapus).
Penting
Anda dapat membuat grup dinamis untuk perangkat atau pengguna, tetapi tidak untuk keduanya. Anda tidak dapat membuat grup perangkat berdasarkan atribut pemilik perangkat. Aturan keanggotaan perangkat hanya dapat mereferensikan atribusi perangkat. Untuk informasi selengkapnya, lihat Membuat grup dinamis.
Manajemen akses
ID Microsoft Entra membantu Anda memberikan akses ke sumber daya organisasi Anda dengan memberikan hak akses ke satu pengguna atau grup. Menggunakan grup memungkinkan pemilik sumber daya atau pemilik direktori Microsoft Entra menetapkan serangkaian izin akses ke semua anggota grup. Pemilik sumber daya atau direktori juga dapat memberikan hak manajemen grup kepada seseorang seperti manajer departemen atau administrator staf dukungan, yang memungkinkan orang tersebut untuk menambahkan dan menghapus anggota. Untuk mengetahui informasi selengkapnya tentang cara mengelola pemilik grup, lihat artikel Mengelola grup.
Sumber daya yang dapat dikelola oleh grup Microsoft Entra adalah:
- Bagian dari organisasi Microsoft Entra Anda, seperti izin untuk mengelola pengguna, aplikasi, penagihan, dan objek lainnya.
- Di luar organisasi Anda, seperti aplikasi non-Microsoft Software as a Service (SaaS).
- Layanan Azure
- Situs SharePoint
- Sumber daya lokal
Setiap aplikasi, sumber daya, dan layanan yang memerlukan izin akses perlu dikelola secara terpisah karena izin untuk satu aplikasi mungkin tidak sama dengan yang lain. Berikan akses menggunakan prinsip hak istimewa paling rendah untuk membantu mengurangi risiko serangan atau pelanggaran keamanan.
Jenis penugasan
Setelah membuat grup, Anda perlu memutuskan cara mengelola aksesnya.
Penugasan langsung. Pemilik sumber daya secara langsung menetapkan pengguna ke sumber daya.
Tugas kelompok. Pemilik sumber daya menetapkan grup Microsoft Entra ke sumber daya, yang secara otomatis memberi semua anggota grup akses ke sumber daya. Pemilik grup dan pemilik sumber daya mengelola keanggotaan grup, memungkinkan pemilik menambahkan atau menghapus anggota dari grup. Untuk informasi selengkapnya tentang mengelola keanggotaan grup, lihat artikel Grup terkelola.
Penugasan berbasis aturan. Pemilik sumber daya membuat grup dan menggunakan aturan untuk menentukan pengguna mana saja yang ditetapkan ke sumber daya tertentu. Aturan ini berbasis pada atribut yang ditetapkan untuk pengguna individual. Pemilik sumber daya mengelola aturan, menentukan atribut dan nilai mana yang diperlukan untuk memungkinkan akses sumber daya. Untuk informasi selengkapnya, lihat Membuat grup dinamis.
Penetapan otoritas eksternal. Akses berasal dari sumber eksternal, seperti direktori lokal atau aplikasi SaaS. Dalam situasi ini, pemilik sumber daya menetapkan grup untuk menyediakan akses ke sumber daya, lalu sumber eksternal mengelola anggota grup.
Praktik terbaik untuk mengelola grup di cloud
Berikut ini adalah praktik terbaik untuk mengelola grup di cloud:
-
Aktifkan manajemen grup layanan mandiri: Izinkan pengguna mencari dan bergabung dengan grup atau membuat dan mengelola grup Microsoft 365 mereka sendiri.
- Memberdayakan tim untuk mengatur diri mereka sendiri sambil mengurangi beban administratif pada TI.
- Terapkan kebijakan penamaan grup untuk memblokir penggunaan kata-kata terbatas dan memastikan konsistensi.
- Cegah grup tidak aktif berlama-lama dengan mengaktifkan kebijakan kedaluwarsa grup, yang secara otomatis menghapus grup yang tidak digunakan setelah periode tertentu, kecuali diperbarui oleh pemilik grup.
- Konfigurasikan grup untuk menerima semua pengguna yang bergabung atau memerlukan persetujuan secara otomatis.
- Untuk informasi selengkapnya, lihat Menyiapkan manajemen grup layanan mandiri di ID Microsoft Entra.
-
Memanfaatkan label sensitivitas: Menggunakan label sensitivitas untuk mengklasifikasikan dan mengatur grup Microsoft 365 berdasarkan kebutuhan keamanan dan kepatuhan mereka.
- Menyediakan kontrol akses terperinci dan memastikan bahwa sumber daya sensitif dilindungi.
- Untuk informasi selengkapnya, lihat Menetapkan label sensitivitas ke grup Microsoft 365 di Microsoft Entra ID
-
Mengotomatiskan keanggotaan dengan grup dinamis: Menerapkan aturan keanggotaan dinamis untuk secara otomatis menambahkan atau menghapus pengguna dan perangkat dari grup berdasarkan atribut seperti departemen, lokasi, atau jabatan.
- Meminimalkan pembaruan manual dan mengurangi risiko akses berkepanjangan.
- Fitur ini berlaku untuk grup Microsoft 365 dan Grup Keamanan.
-
Melakukan Tinjauan Akses Berkala: Menggunakan kemampuan Microsoft Entra Identity Governance untuk menjadwalkan tinjauan akses reguler.
- Memastikan bahwa keanggotaan dalam grup yang ditetapkan tetap akurat dan relevan dari waktu ke waktu.
- Untuk informasi selengkapnya, lihat Membuat atau memperbarui grup keanggotaan dinamis di microsoft Entra ID
-
Mengelola keanggotaan dengan paket akses: Membuat paket akses dengan Microsoft Entra Identity Governance untuk menyederhanakan manajemen beberapa keanggotaan grup. Paket akses dapat:
- Menyertakan alur kerja persetujuan untuk keanggotaan
- Menentukan kriteria untuk kedaluwarsa akses
- Menyediakan cara terpusat untuk memberikan, meninjau, dan mencabut akses di seluruh grup dan aplikasi
- Untuk informasi selengkapnya, lihat Membuat paket akses dalam pengelolaan pemberian hak
-
Menetapkan beberapa pemilik grup: Menetapkan setidaknya dua pemilik ke grup untuk memastikan kelangsungan dan mengurangi dependensi pada satu individu.
- Untuk informasi selengkapnya, lihat Mengelola grup Microsoft Entra dan keanggotaan grup
-
Menggunakan lisensi berbasis grup: lisensi berbasis grup menyederhanakan provisi pengguna dan memastikan penetapan lisensi yang konsisten.
- Gunakan grup keanggotaan dinamis untuk mengelola lisensi secara otomatis bagi pengguna yang memenuhi kriteria tertentu.
- Untuk informasi selengkapnya, lihat Apa itu lisensi berbasis grup di ID Microsoft Entra?
-
Menerapkan Kontrol Akses Berbasis Peran (RBAC): Menetapkan peran untuk mengontrol siapa yang dapat mengelola grup.
- RBAC mengurangi risiko penyalahgunaan hak istimewa dan menyederhanakan manajemen grup.
- Untuk informasi selengkapnya, lihat Ringkasan kontrol akses berbasis peran di microsoft Entra ID