Menetapkan peran Microsoft Entra (Pratinjau)
Pengelolaan Pemberian Hak mendukung siklus hidup akses untuk berbagai jenis sumber daya seperti Aplikasi, situs SharePoint, Grup, dan Teams. Terkadang pengguna memerlukan izin tambahan untuk menggunakan sumber daya ini dengan cara tertentu. Misalnya, pengguna mungkin perlu memiliki akses ke dasbor Power BI organisasi Anda, tetapi memerlukan peran Administrator Power BI untuk melihat metrik di seluruh organisasi. Meskipun fungsionalitas ID Microsoft Entra lainnya, seperti grup yang dapat ditetapkan peran, mungkin mendukung penetapan peran Microsoft Entra ini, akses yang diberikan melalui metode tersebut kurang eksplisit. Misalnya, Anda akan mengelola keanggotaan grup daripada mengelola penetapan peran pengguna secara langsung.
Dengan menetapkan peran Microsoft Entra kepada karyawan, dan tamu, menggunakan Pengelolaan Pemberian Hak, Anda dapat melihat hak pengguna untuk dengan cepat menentukan peran mana yang ditetapkan untuk pengguna tersebut. Saat Menyertakan peran Microsoft Entra sebagai sumber daya dalam paket akses, Anda juga dapat menentukan apakah penetapan peran tersebut "memenuhi syarat" atau "aktif".
Menetapkan peran Microsoft Entra melalui paket akses membantu mengelola penetapan peran secara efisien dalam skala besar dan meningkatkan siklus hidup penetapan peran.
Skenario untuk pendistribusian peran Microsoft Entra dengan paket akses
Mari kita bayangkan bahwa organisasi Anda baru-baru ini mempekerjakan 50 karyawan baru untuk tim Dukungan, dan bahwa Anda ditugaskan untuk memberikan karyawan baru ini akses ke sumber daya yang mereka butuhkan. Karyawan ini memerlukan akses ke Grup Dukungan dan aplikasi terkait dukungan tertentu. Mereka juga memerlukan tiga peran Microsoft Entra, termasuk peran Administrator Helpdesk, untuk melakukan pekerjaan mereka. Alih-alih menetapkan masing-masing dari 50 karyawan ke semua sumber daya dan peran, Anda bisa menyiapkan paket akses yang berisi situs SharePoint, Grup, dan peran Microsoft Entra tertentu. Kemudian, Anda dapat mengonfigurasi paket akses agar manajer sebagai pemberi persetujuan, dan berbagi tautan dengan tim Dukungan.
Sekarang, anggota baru yang bergabung dengan tim Dukungan dapat meminta akses ke paket akses ini di Akses Saya dan mendapatkan akses ke semua yang mereka butuhkan segera setelah manajer mereka menyetujui permintaan. Ini menghemat waktu dan energi Anda karena tim Dukungan berencana untuk berkembang secara global, mempekerjakan ~ 1.000 karyawan baru, tetapi Anda tidak lagi harus menetapkan setiap orang secara manual ke paket akses.
Catatan akses PIM:
Catatan
Kami menyarankan Anda menggunakan Privileged Identity Management untuk menyediakan akses tepat waktu sementara kepada pengguna untuk melakukan tugas yang memerlukan izin tinggi. Izin ini disediakan melalui Peran Microsoft Entra, yang ditandai sebagai "istimewa", dalam dokumentasi kami di sini: Peran bawaan Microsoft Entra. Pengelolaan Pemberian Hak lebih cocok untuk menetapkan bundel sumber daya kepada pengguna, yang dapat menyertakan peran Microsoft Entra, yang diperlukan untuk melakukan pekerjaan seseorang. Pengguna yang ditetapkan untuk mengakses paket cenderung memiliki akses yang lebih lama ke sumber daya. Meskipun kami menyarankan agar Anda mengelola peran dengan hak istimewa tinggi melalui Privileged Identity Management, Anda dapat menyiapkan kelayakan untuk peran tersebut melalui paket akses dalam Pengelolaan Pemberian Hak.
Prasyarat
Menggunakan fitur ini memerlukan lisensi Tata Kelola ID Microsoft Entra atau Microsoft Entra Suite. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat dasar-dasar lisensi Tata Kelola ID Microsoft Entra.
Menambahkan peran Microsoft Entra sebagai sumber daya dalam paket akses
Ikuti langkah-langkah ini untuk mengubah daftar grup yang tidak kompatibel atau paket akses lain untuk paket akses yang ada:
Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.
Telusuri ke tata kelola identitas>pengelolaan pemberian hak>paket akses.
Pada halaman Paket akses, buka paket akses yang ingin Anda tambahkan peran sumber dayanya dan pilih Peran sumber daya.
Pada halaman Tambahkan peran sumber daya ke halaman paket akses, pilih peran Microsoft Entra (Pratinjau) untuk membuka panel Pilih peran Microsoft Entra.
Pilih peran Microsoft Entra yang ingin Anda sertakan dalam paket akses.
Di daftar Peran, pilih Anggota yang Memenuhi Syarat atau Anggota Aktif.
Pilih Tambahkan.
Catatan
Jika Anda memilih Memenuhi Syarat, pengguna akan memenuhi syarat untuk peran tersebut dan dapat mengaktifkan tugas mereka menggunakan Privileged Identity Management di pusat admin Microsoft Entra. Jika Anda memilih Aktif, pengguna akan memiliki penetapan peran aktif hingga mereka tidak lagi memiliki akses ke paket akses. Untuk peran Entra yang ditandai sebagai "istimewa", Anda hanya dapat memilih Memenuhi Syarat. Anda dapat menemukan daftar peran istimewa di sini: Peran bawaan Microsoft Entra.
Menambahkan peran Microsoft Entra sebagai sumber daya dalam paket akses secara terprogram
Untuk menambahkan peran Microsoft Entra secara terprogram, Anda akan menggunakan kode berikut:
"role": {
"originId": "Eligible",
"displayName": "Eligible Member",
"originSystem": "DirectoryRole",
"resource": {
"id": "ea036095-57a6-4c90-a640-013edf151eb1"
}
},
"scope": {
"description": "Root Scope",
"displayName": "Root",
"isRootScope": true,
"originSystem": "DirectoryRole",
"originId": "c4e39bd9-1100-46d3-8c65-fb160da0071f"
}
}
Menambahkan peran Microsoft Entra sebagai sumber daya dalam paket akses menggunakan Graph
Anda dapat menambahkan peran Microsoft Entra sebagai sumber daya dalam paket akses menggunakan Microsoft Graph. Pengguna dalam role yang sesuai dengan aplikasi yang memiliki delegasi EntitlementManagement.ReadWrite.All permission, atau aplikasi dengan izin aplikasi EntitlementManagement.ReadWrite.All, dapat memanggil antarmuka pemrograman aplikasi (API) untuk membuat paket akses yang berisi peran Microsoft Entra dan menetapkan pengguna ke paket akses tersebut.
Menambahkan peran Microsoft Entra sebagai sumber daya dalam paket akses menggunakan PowerShell
Anda juga dapat menambahkan peran Microsoft Entra sebagai sumber daya dalam paket akses di PowerShell dengan cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas versi 1.16.0 atau yang lebih baru.
Skrip berikut mengilustrasikan penambahan peran Microsoft Entra sebagai sumber daya dalam paket akses:
Pertama, ambil ID katalog, dan sumber daya dalam katalog tersebut serta cakupan dan perannya, yang ingin Anda sertakan dalam paket akses. Gunakan skrip yang mirip dengan contoh berikut. Ini mengasumsikan ada sumber daya peran Microsoft Entra dalam katalog.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Entra Admins'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'DirectoryRole'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes
Kemudian, tetapkan peran Microsoft Entra dari sumber daya tersebut ke paket akses. Misalnya, jika Anda ingin menyertakan peran sumber daya pertama dari sumber daya yang telah dikembalikan sebelumnya sebagai peran sumber daya dalam paket akses, Anda akan menggunakan skrip yang mirip dengan yang berikut ini.
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$rparams = @{
role = @{
id = $rrs.Roles[0].Id
displayName = $rrs.Roles[0].DisplayName
description = $rrs.Roles[0].Description
originSystem = $rrs.Roles[0].OriginSystem
originId = $rrs.Roles[0].OriginId
resource = @{
id = $rrs.Id
originId = $rrs.OriginId
originSystem = $rrs.OriginSystem
}
}
scope = @{
id = $rsc.Scopes[0].Id
originId = $rsc.Scopes[0].OriginId
originSystem = $rsc.Scopes[0].OriginSystem
}
}
New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams