Akses Bersyarat: Aplikasi, tindakan, dan konteks autentikasi cloud

Aplikasi, tindakan, dan konteks autentikasi cloud adalah sinyal utama dalam kebijakan Akses Bersyarat. Kebijakan Akses Bersyarat memungkinkan administrator menetapkan kontrol untuk aplikasi, tindakan, atau konteks autentikasi tertentu.

  • Administrator dapat memilih dari daftar aplikasi yang menyertakan aplikasi Bawaan Microsoft dan aplikasi terintegrasi Azure Active Directory apa pun termasuk galeri, non-galeri, dan aplikasi yang diterbitkan melalui Proksi Aplikasi.
  • Administrator dapat memilih untuk menentukan kebijakan tidak berdasarkan aplikasi cloud tetapi pada tindakan pengguna seperti Mendaftarkan informasi keamanan atau Mendaftarkan atau menggabungkan perangkat, memungkinkan Akses Bersyarat untuk menegakkan kontrol di sekitar tindakan tersebut.
  • Administrator dapat menggunakan konteks autentikasi untuk memberikan lapisan keamanan tambahan di dalam aplikasi.

Menentukan kebijakan Akses Bersyarat dan menetapkan aplikasi cloud

Aplikasi cloud Microsoft

Banyak aplikasi cloud Microsoft yang ada disertakan dalam daftar aplikasi yang dapat dipilih dari daftar tersebut.

Administrator dapat menetapkan kebijakan Akses Bersyarat ke aplikasi cloud berikut ini dari Microsoft. Beberapa aplikasi seperti Office 365 dan Microsoft Azure Management dilengkapi dengan beberapa aplikasi atau layanan turunan terkait. Kami terus menambahkan lebih banyak aplikasi, sehingga daftar berikut akan terus bertambah dan dapat berubah.

  • Office 365
  • Azure Analysis Services
  • Azure DevOps
  • Azure Data Explorer
  • Azure Event Hubs
  • Azure Service Bus
  • Azure SQL Database dan Azure Synapse Analytics
  • Common Data Service
  • Microsoft Application Insights Analytics
  • Microsoft Azure Information Protection
  • Microsoft Azure Management
  • Microsoft Azure Subscription Management
  • Microsoft Defender for Cloud Apps
  • Microsoft Commerce Tools Access Control Portal
  • Microsoft Commerce Tools Authentication Service
  • Microsoft Forms
  • Microsoft Intune
  • Microsoft Intune Enrollment
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power Automate
  • Pencarian Microsoft di Bing
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Teams
  • Exchange Online
  • SharePoint
  • Yammer
  • Office Delve
  • Office Sway
  • Outlook Groups
  • Layanan Power BI
  • Project Online
  • Skype For Business Online
  • Jaringan Privat Maya (VPN)
  • Windows Defender ATP

Penting

Aplikasi yang tersedia untuk Akses Bersyarat telah melalui proses orientasi dan validasi. Daftar ini tidak mencakup semua aplikasi Microsoft, karena banyak aplikasi merupakan layanan backend dan tidak dimaksudkan untuk menerapkan kebijakan secara langsung. Jika mencari aplikasi yang hilang, Anda dapat menghubungi tim aplikasi tertentu atau membuat permintaan di UserVoice.

Office 365

Microsoft 365 menyediakan layanan produktivitas dan kolaborasi berbasis cloud seperti Exchange, SharePoint, dan Microsoft Teams. Layanan cloud Microsoft 365 sangat terintegrasi untuk memastikan pengalaman yang lancar dan kolaboratif. Integrasi ini dapat menyebabkan kebingungan saat membuat kebijakan karena beberapa aplikasi seperti Microsoft Teams memiliki dependensi pada aplikasi lain seperti SharePoint atau Exchange.

Office 365 Suite memungkinkan semua layanan tersebut dapat ditargetkan sekaligus. Sebaiknya gunakan Office 365 Suite baru, daripada menargetkan aplikasi cloud satu per satu untuk menghindari masalah pada dependensi layanan.

Penargetan grup aplikasi ini membantu menghindari masalah yang mungkin timbul karena dependensi dan kebijakan yang tidak konsisten. Misalnya: Aplikasi Exchange Online terikat dengan data Exchange Online tradisional seperti email, kalender, dan informasi kontak. Metadata terkait dapat diekspos melalui sumber daya yang berbeda seperti pencarian. Untuk memastikan bahwa semua metadata dilindungi seperti yang diinginkan, administrator harus menetapkan kebijakan ke aplikasi Office 365.

Administrator dapat mengecualikan seluruh rangkaian Office 365 atau aplikasi klien Office 365 tertentu dari kebijakan Akses Bersyarat.

Aplikasi utama berikut disertakan dalam aplikasi klien Office 365:

  • Exchange Online
  • Microsoft 365 Search Service
  • Microsoft Forms
  • Microsoft Planner (ProjectWorkManagement)
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Flow
  • Microsoft Office 365 Portal
  • aplikasi klien Microsoft Office
  • Microsoft Stream
  • Microsoft To-Do WebApp
  • Layanan Microsoft Whiteboard
  • Office Delve
  • Office Online
  • OneDrive
  • Power Apps
  • Power Automate
  • Portal kepatuhan keamanan &
  • SharePoint Online
  • Skype For Business Online
  • API Admin Penyewa Skype dan Teams
  • Sway
  • Yammer

Daftar lengkap semua layanan yang disertakan dapat ditemukan di artikel Aplikasi yang disertakan dalam suite aplikasi Office 365 Akses Bersyarat.

Microsoft Azure Management

Ketika kebijakan Akses Bersyarat ditargetkan ke aplikasi Microsoft Azure Management, dalam pemilih aplikasi kebijakan Akses Bersyarat, kebijakan akan diberlakukan untuk token yang dikeluarkan untuk ID aplikasi dari sekumpulan layanan yang terikat erat ke portal.

  • Azure Resource Manager
  • Portal Microsoft Azure, yang juga mencakup pusat admin Microsoft Entra
  • Azure Data Lake
  • Application Insights API
  • API Analitik Log

Karena kebijakan diterapkan ke portal manajemen Azure dan API, layanan, atau klien dengan dependensi layanan Azure API, dapat secara tidak langsung terpengaruh. Contohnya:

  • API model penyebaran klasik
  • Azure PowerShell
  • Azure CLI
  • Azure DevOps
  • Portal Azure Data Factory
  • Azure Event Hubs
  • Azure Service Bus
  • Azure SQL Database
  • Instans Terkelola SQL
  • Azure Synapse
  • Portal administrator langganan Visual Studio
  • Microsoft IoT Central

Catatan

Aplikasi Microsoft Azure Management berlaku untuk Azure PowerShell, yang memanggil Azure Resource Manager API. Ini tidak berlaku untuk Azure AD PowerShell, yang memanggil Microsoft Graph API.

Untuk informasi selengkapnya terkait cara menyiapkan contoh kebijakan untuk Microsoft Azure Management, lihat Akses Bersyarat: Memerlukan MFA untuk pengelolaan Azure.

Tip

Untuk Azure Government, Anda harus menargetkan aplikasi Azure Government Cloud Management API.

Aplikasi lain

Administrator dapat menambahkan aplikasi terdaftar Azure Active Directory apa pun ke kebijakan Akses Bersyarat. Aplikasi ini mencakup:

Catatan

Karena kebijakan Akses Bersyarat menetapkan persyaratan untuk mengakses layanan, Anda tidak dapat menerapkannya ke aplikasi klien (publik/native). Dengan kata lain, kebijakan tidak ditetapkan langsung pada aplikasi klien (publik/native), tetapi diterapkan ketika klien memanggil layanan. Misalnya, kebijakan yang ditetapkan pada layanan SharePoint berlaku untuk klien yang menggunakan SharePoint. Kebijakan yang ditetapkan di Exchange berlaku untuk upaya mengakses email menggunakan klien Outlook. Itulah sebabnya mengapa aplikasi klien (publik/native) tidak tersedia dalam pilihan di pemilih Aplikasi Cloud dan opsi Akses Bersyarat tidak tersedia di pengaturan aplikasi untuk aplikasi klien (publik/native) yang terdaftar di penyewa Anda.

Beberapa aplikasi tidak muncul di pemilih sama sekali. Satu-satunya cara untuk menyertakan aplikasi ini dalam kebijakan Akses Bersyarat adalah dengan menyertakan Semua aplikasi cloud.

Semua aplikasi cloud

Menerapkan kebijakan Akses Bersyarat ke Semua aplikasi cloud akan mengakibatkan kebijakan diberlakukan untuk semua token yang dikeluarkan untuk situs web dan layanan. Opsi ini mencakup aplikasi yang tidak dapat ditargetkan secara individual dalam kebijakan Akses Bersyarat, seperti Azure Active Directory.

Dalam beberapa kasus, kebijakan Semua aplikasi cloud secara tidak sengaja dapat memblokir akses pengguna. Kasus-kasus ini dikecualikan dari penegakan kebijakan dan meliputi:

  • Layanan yang diperlukan untuk mencapai postur keamanan yang diinginkan. Misalnya, panggilan pendaftaran perangkat dikecualikan dari kebijakan perangkat yang sesuai yang ditargetkan ke Semua aplikasi cloud.

  • Panggilan ke Azure AD Graph dan MS Graph, untuk mengakses profil pengguna, keanggotaan grup, dan informasi hubungan yang umumnya digunakan oleh aplikasi yang dikecualikan dari kebijakan. Cakupan yang dikecualikan tercantum di bawah ini. Persetujuan masih diperlukan bagi aplikasi untuk menggunakan izin ini.

    • Untuk klien asli:
      • Azure AD Graph: email, offline_access, openid, profil, User.read
      • MS Graph: User.read, People.read, dan UserProfile.read
    • Untuk klien rahasia/terautentikasi:
      • Azure AD Graph: email, offline_access, openid, profile, User.read, User.read.all, dan User.readbasic.all
      • MS Graph: User.read,User.read.all, User.read.All People.read, People.read.all, GroupMember.Read.All, Member.Read.Hidden, dan UserProfile.read

Tindakan pengguna

Tindakan pengguna adalah tugas yang dapat dilakukan oleh pengguna. Saat ini, Akses Bersyarat mendukung dua tindakan pengguna:

  • Mendaftarkan informasi keamanan: Tindakan pengguna ini memungkinkan diterapkannya kebijakan Akses Bersyarat saat pengguna yang diaktifkan untuk pendaftaran gabungan berupaya mendaftarkan informasi keamanan mereka. Informasi selengkapnya dapat ditemukan dalam artikel, Pendaftaran informasi keamanan gabungan.

  • Mendaftarkan atau menggabungkan perangkat: Tindakan pengguna ini memungkinkan administrator menerapkan kebijakan Akses Bersyarat saat pengguna mendaftarkan atau menggabungkan perangkat ke Azure Active Directory. Tindakan ini memberikan detail dalam mengonfigurasi autentikasi multifaktor untuk mendaftarkan atau menggabungkan perangkat, kebijakan di seluruh penyewa yang saat ini ada. Ada tiga pertimbangan utama dalam tindakan pengguna ini:

    • Require multi-factor authentication adalah satu-satunya kontrol akses yang tersedia pada tindakan pengguna ini dan lainnya dinonaktifkan. Pembatasan ini mencegah konflik dengan kontrol akses yang bergantung pada pendaftaran perangkat Azure Active Directory atau tidak berlaku untuk pendaftaran perangkat Azure Active Directory.
    • Kondisi Client apps, Filters for devices, dan Device state tidak tersedia pada tindakan pengguna ini karena bergantung pada pendaftaran perangkat Azure Active Directory untuk menerapkan kebijakan Akses Bersyarat.
    • Saat kebijakan Akses Bersyarat diaktifkan dengan tindakan pengguna ini, Anda harus mengatur Azure Active Directory>Perangkat>Pengaturan Perangkat - Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication ke Tidak. Jika tidak, kebijakan Akses Bersyarat dengan tindakan pengguna ini tidak akan diterapkan dengan benar. Informasi selengkapnya tentang pengaturan perangkat ini dapat ditemukan di Mengonfigurasi pengaturan perangkat.

Konteks autentikasi (Pratinjau)

Konteks autentikasi dapat digunakan untuk mengamankan data dan tindakan lebih lanjut dalam aplikasi. Aplikasi ini dapat berupa aplikasi kustom Anda sendiri, aplikasi line of business (LOB) kustom, aplikasi seperti SharePoint, atau aplikasi yang dilindungi oleh Aplikasi Pertahanan Microsoft untuk Cloud.

Misalnya, organisasi mungkin menyimpan file di situs SharePoint seperti menu makan siang atau resep saus BBQ rahasia mereka. Setiap orang mungkin memiliki akses ke situs menu makan siang, tetapi pengguna yang memiliki akses ke situs resep saus BBQ rahasia mungkin perlu mengakses dari perangkat terkelola dan menyetujui ketentuan penggunaan tertentu.

Mengonfigurasi konteks autentikasi

Konteks autentikasi dikelola di portal Microsoft Azure pada Microsoft Azure Active Directory>Keamanan>Akses Bersyarat>Konetks autentikasi.

Mengelola metode autentikasi di portal Microsoft Azure

Peringatan

  • Menghapus definisi konteks autentikasi tidak dimungkinkan selama pratinjau.
  • Pratinjau dibatasi hingga total 25 definisi konteks autentikasi di portal Microsoft Azure.

Buat definisi konteks autentikasi baru dengan memilih Konteks autentikasi baru di portal Microsoft Azure. Konfigurasikan atribut berikut:

  • Nama tampilan adalah nama yang digunakan untuk mengidentifikasi konteks autentikasi di Microsoft Azure AD dan di seluruh aplikasi yang menggunakan konteks autentikasi. Sebaiknya gunakan nama yang dapat digunakan di seluruh sumber daya, seperti "perangkat tepercaya", untuk mengurangi jumlah konteks autentikasi yang diperlukan. Memiliki set yang berkurang membatasi jumlah pengalihan dan memberikan pengalaman pengguna akhir ke pengguna akhir yang lebih baik.
  • Deskripsi menyediakan informasi selengkapnya tentang kebijakan yang digunakan oleh administrator Microsoft Azure AD dan yang menerapkan konteks autentikasi ke sumber daya.
  • Kotak centang Terbitkan ke aplikasi jika dicentang, mengiklankan konteks autentikasi ke aplikasi dan membuatnya tersedia untuk ditetapkan. Jika tidak dicentang konteks autentikasi tidak akan tersedia untuk sumber daya hilir.
  • ID berdasarkan baca-saja dan digunakan dalam token dan aplikasi untuk definisi konteks autentikasi khusus permintaan. Dicantumkan di sini untuk kasus pemecahan masalah dan penggunaan pengembangan.

Menambahkan ke kebijakan Akses Bersyarat

Administrator kemudian dapat memilih konteks autentikasi yang diterbitkan dalam kebijakan Akses Bersyarat pada Penugasan>Aplikasi atau tindakan Cloud dan memilih Konteks autentikasi dari menu Pilih target penerapan kebijakan.

Menambahkan konteks autentikasi Akses Bersyarat ke kebijakan

Beri tag sumber daya dengan konteks autentikasi

Untuk informasi selengkapnya tentang penggunaan konteks autentikasi dalam aplikasi, lihat artikel berikut ini.

Langkah berikutnya