Apa itu tinjauan akses Azure Active Directory?

Tinjauan akses Azure Active Directory (Azure AD) memungkinkan organisasi mengelola keanggotaan grup secara efisien, mengakses ke aplikasi perusahaan, dan penetapan peran. Akses pengguna dapat ditinjau secara berkala untuk memastikan hanya orang yang tepat yang memiliki akses berkelanjutan.

Berikut adalah video yang menyediakan gambaran umum singkat tinjauan akses:

Mengapa tinjauan akses penting?

Azure Active Directory memungkinkan Anda untuk berkolaborasi dengan pengguna dari dalam organisasi Anda dan dengan pengguna eksternal. Pengguna dapat bergabung dengan grup, mengundang tamu, terhubung ke aplikasi cloud, dan bekerja dari jarak jauh dari perangkat kantor atau pribadi mereka. Kenyamanan menggunakan layanan mandiri telah menyebabkan kebutuhan akan kemampuan manajemen akses yang lebih baik.

  • Ketika karyawan baru bergabung, bagaimana Anda memastikan mereka memiliki akses yang mereka butuhkan untuk menjadi produktif?
  • Saat orang memindahkan tim atau meninggalkan perusahaan, bagaimana Anda memastikan bahwa akses lama mereka dihapus?
  • Hak akses yang berlebihan dapat menyebabkan kompromi.
  • Hak akses yang berlebihan juga dapat menyebabkan temuan audit karena menunjukkan kurangnya kontrol atas akses.
  • Anda harus secara proaktif terlibat dengan pemilik sumber daya untuk memastikan mereka secara teratur meninjau siapa yang memiliki akses ke sumber daya mereka.

Kapan Anda harus menggunakan tinjauan akses?

  • Terlalu banyak pengguna dalam peran istimewa: Ada baiknya untuk memeriksa berapa banyak pengguna yang memiliki akses administratif, berapa banyak dari mereka adalah Administrator Global, dan jika ada tamu atau mitra undangan yang belum dihapus setelah ditugaskan untuk melakukan tugas administratif. Anda dapat mengesahkan ulang penetapan peran pengguna di peran Azure Active Directory seperti Administrator Global, atau peran sumber daya Azure seperti Administrator Akses Pengguna di pengalaman Azure Active Directory Privileged Identity Management (PIM).
  • Saat automasi tidak dimungkinkan: Anda dapat membuat aturan untuk keanggotaan dinamis pada grup keamanan atau Grup Microsoft 365, tetapi bagaimana jika data SDM tidak ada di Azure Active Directory atau jika pengguna masih memerlukan akses setelah meninggalkan grup untuk melatih penggantinya? Anda kemudian dapat membuat ulasan tentang grup tersebut untuk memastikan mereka yang masih membutuhkan akses harus memiliki akses berkelanjutan.
  • Saat grup digunakan untuk tujuan baru: Jika Anda memiliki grup yang akan disinkronkan ke Azure Active Directory, atau jika Anda berencana mengaktifkan aplikasi Salesforce untuk semua orang di grup tim Penjualan, akan berguna untuk meminta pemilik grup untuk meninjau keanggotaan grup sebelum grup digunakan dalam konten risiko yang berbeda.
  • Akses data penting bisnis: untuk sumber daya tertentu, seperti aplikasi penting bisnis, mungkin diperlukan sebagai bagian dari proses kepatuhan guna meminta orang mengonfirmasi ulang secara teratur dan memberikan pembenaran tentang mengapa mereka membutuhkan akses berkelanjutan.
  • Untuk mempertahankan daftar pengecualian kebijakan: Di dunia yang ideal, semua pengguna akan mengikuti kebijakan akses untuk mengamankan akses ke sumber daya organisasi Anda. Namun, terkadang ada kasus bisnis yang mengharuskan Anda membuat pengecualian. Sebagai admin IT, Anda dapat mengelola tugas ini, menghindari pengawasan pengecualian kebijakan, dan memberikan bukti kepada auditor bahwa pengecualian ini ditinjau secara teratur.
  • Minta pemilik grup untuk mengonfirmasi bahwa mereka masih membutuhkan tamu dalam grup mereka: Akses karyawan mungkin diotomatiskan dengan beberapa Manajemen Identitas & Akses (IAM) lokal, tetapi bukan tamu undangan. Jika grup memberi tamu akses ke konten sensitif bisnis, maka pemilik grup bertanggung jawab untuk mengonfirmasi bahwa tamu masih memiliki kebutuhan bisnis yang sah untuk akses.
  • Apakah tinjauan berulang secara berkala: Anda dapat mengatur ulasan akses berulang pengguna di frekuensi yang ditetapkan seperti mingguan, bulanan, triwulanan, atau tahunan, dan peninjau akan diberi tahu di awal setiap ulasan. Peninjau dapat menyetujui atau menolak akses dengan antarmuka yang ramah dan dengan bantuan rekomendasi cerdas.

Catatan

Jika Anda siap untuk mencoba Tinjauan akses, lihat Membuat tinjauan akses grup atau aplikasi

Di mana Anda membuat ulasan?

Bergantung pada apa yang ingin Anda tinjau, Anda akan membuat tinjauan akses di ulasan akses Azure AD, aplikasi perusahaan AAzure AD (dalam pratinjau), PIM Azure AD, atau pengelolaan pemberian hak Azure AD.

Hak akses pengguna Peninjau dapat Tinjauan dibuat di Pengalaman peninjau
Anggota kelompok keamanan
Anggota grup kantor
Peninjau yang ditentukan
Pemilik grup
Peninjauan mandiri
Ulasan akses Azure Active Directory
Grup Azure Active Directory
Panel akses
Ditetapkan ke aplikasi tersambung Peninjau yang ditentukan
Peninjauan mandiri
Ulasan akses Azure Active Directory
Aplikasi enterprise Azure Active Directory (dalam pratinjau)
Panel akses
Peran Microsoft Azure Active Directory Peninjau yang ditentukan
Peninjauan mandiri
Azure Active Directory Privileged Identity Management portal Microsoft Azure
Peran sumber daya Azure Peninjau yang ditentukan
Peninjauan mandiri
Azure Active Directory Privileged Identity Management portal Microsoft Azure
Tugas paket akses Peninjau yang ditentukan
Anggota grup
Peninjauan mandiri
Pengelolaan pemberian hak Microsoft Azure Active Directory Panel akses

Persyaratan lisensi

Menggunakan fitur ini memerlukan lisensi Azure AD Premium P2. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur Azure Active Directory yang tersedia secara umum.

Berapa banyak lisensi yang harus Anda miliki?

Direktori Anda memerlukan setidaknya lisensi Azure Active Directory Premium P2 sebanyak jumlah karyawan yang akan melakukan tugas berikut:

  • Pengguna anggota yang ditetapkan sebagai peninjau
  • Pengguna anggota yang melakukan tinjauan mandiri
  • Pengguna anggota sebagai pemilik grup yang melakukan tinjauan akses
  • Pengguna anggota sebagai pemilik aplikasi yang melakukan tinjauan akses

Untuk pengguna tamu, kebutuhan lisensi akan bergantung pada model lisensi yang Anda gunakan. Namun, aktivitas pengguna di bawah ini dianggap sebagai penggunaan Azure Active Directory Premium P2:

  • Pengguna tamu yang ditetapkan sebagai peninjau
  • Pengguna tamu yang melakukan tinjauan mandiri
  • Pengguna tamu sebagai pemilik grup yang melakukan tinjauan akses
  • Pengguna tamu sebagai pemilik aplikasi yang melakukan tinjauan akses

Lisensi Azure Active Directory Premium P2 tidak diperlukan untuk pengguna dengan peran Administrator Global atau Administrator Pengguna yang menyiapkan tinjauan akses, mengonfigurasi pengaturan, atau menerapkan keputusan dari ulasan.

Akses pengguna tamu Azure Active Directory didasarkan pada model penagihan pengguna aktif bulanan (MAU), yang menggantikan model penagihan rasio 1:5. Untuk informasi selengkapnya, lihat Harga Azure Active Directory External Identities.

Untuk informasi selengkapnya tentang lisensi, lihat Menetapkan atau menghapus lisensi menggunakan portal Microsoft Azure Active Directory.

Contoh skenario lisensi

Berikut adalah beberapa contoh skenario lisensi untuk membantu Anda menentukan jumlah lisensi yang harus Anda miliki.

Skenario Penghitungan Jumlah lisensi
Administrator membuat tinjauan akses Grup A dengan 75 pengguna dan 1 pemilik grup, dan menetapkan pemilik grup sebagai peninjau. 1 lisensi untuk pemilik grup sebagai peninjau 1
Administrator membuat tinjauan akses Grup B dengan 500 pengguna dan 3 pemilik grup, dan menetapkan 3 pemilik grup sebagai peninjau. 3 lisensi untuk setiap pemilik grup sebagai peninjau 3
Administrator membuat tinjauan akses Grup B dengan 500 pengguna. Menjadikannya tinjauan mandiri. 500 lisensi untuk setiap pengguna sebagai peninjau mandiri 500
Administrator membuat tinjauan akses Grup C dengan 50 pengguna anggota dan 25 pengguna tamu. Menjadikannya tinjauan mandiri. 50 lisensi untuk setiap pengguna sebagai peninjau mandiri.* 50
Administrator membuat tinjauan akses Grup D dengan 6 pengguna anggota dan 108 pengguna tamu. Menjadikannya tinjauan mandiri. 6 lisensi untuk setiap pengguna sebagai peninjau mandiri. Pengguna tamu ditagih berdasarkan pengguna aktif bulanan (MAU). Tidak diperlukan lisensi tambahan. * 6

* Harga Azure Active Directory External Identities (pengguna tamu) didasarkan pada pengguna aktif bulanan (MAU), yang merupakan jumlah pengguna unik dengan aktivitas autentikasi dalam satu bulan. Model ini menggantikan model penagihan rasio 1:5, yang memungkinkan hingga lima pengguna tamu untuk setiap lisensi Azure Active Directory Premium di penyewa Anda. Saat penyewa Anda ditautkan ke langganan dan Anda menggunakan fitur External Identities untuk berkolaborasi dengan pengguna tamu, Anda akan ditagih secara otomatis menggunakan model tagihan berbasis MAU. Untuk informasi selengkapnya, lihat Model penagihan untuk Azure Active Directory External Identities.

Langkah berikutnya