Pekerjaan prasyarat untuk menerapkan identitas Zero Trust dan kebijakan akses perangkat
Artikel ini menjelaskan prasyarat yang harus dipenuhi admin untuk menggunakan identitas Zero Trust yang direkomendasikan dan kebijakan akses perangkat, dan untuk menggunakan Akses Bersyarat. Ini juga membahas default yang direkomendasikan untuk mengonfigurasi platform klien untuk pengalaman akses menyeluruh (SSO) terbaik.
Prasyarat
Sebelum menggunakan identitas Zero Trust dan kebijakan akses perangkat yang direkomendasikan, organisasi Anda perlu memenuhi prasyarat. Persyaratannya berbeda untuk berbagai model identitas dan autentikasi yang tercantum:
- Khusus cloud
- Hibrid dengan autentikasi sinkronisasi hash kata sandi (PHS)
- Hibrid dengan autentikasi pass-through (PTA)
- Gabungan
Tabel berikut merinci fitur prasyarat dan konfigurasinya yang berlaku untuk semua model identitas, kecuali jika dicatat.
| Konfigurasi | Pengecualian | Pelisensian |
|---|---|---|
| Mengonfigurasi PHS. Fitur ini harus diaktifkan untuk mendeteksi kredensial yang bocor dan menindaklanjutinya untuk Akses Bersyarat berbasis risiko. Perhatikan bahwa ini diperlukan terlepas dari apakah organisasi Anda menggunakan autentikasi gabungan. | Khusus cloud | Microsoft 365 E3 atau E5 |
| Aktifkan akses menyeluruh yang mulus untuk memasukkan pengguna secara otomatis saat mereka berada di perangkat organisasi mereka yang terhubung ke jaringan organisasi Anda. | Khusus cloud dan federasi | Microsoft 365 E3 atau E5 |
| Mengonfigurasi lokasi bernama. Microsoft Entra ID Protection mengumpulkan dan menganalisis semua data sesi yang tersedia untuk menghasilkan skor risiko. Sebaiknya tentukan rentang IP publik organisasi Anda untuk jaringan Anda di konfigurasi lokasi bernama ID Microsoft Entra. Lalu lintas yang berasal dari rentang ini diberikan skor risiko yang berkurang, dan lalu lintas dari luar lingkungan organisasi diberi skor risiko yang lebih tinggi. | Microsoft 365 E3 atau E5 | |
| Daftarkan semua pengguna untuk pengaturan ulang kata sandi mandiri (SSPR) dan autentikasi multifaktor (MFA). Sebaiknya daftarkan pengguna untuk autentikasi multifaktor Microsoft Entra sebelumnya. Microsoft Entra ID Protection memanfaatkan autentikasi multifaktor Microsoft Entra untuk melakukan verifikasi keamanan tambahan. Selain itu, untuk pengalaman masuk terbaik, kami sarankan pengguna menginstal aplikasi Microsoft Authenticator dan aplikasi Microsoft Company Portal di perangkat mereka. Ini dapat diinstal dari app store untuk setiap platform. | Microsoft 365 E3 atau E5 | |
| Rencanakan implementasi gabungan hibrid Microsoft Entra Anda. Akses Bersyarat akan memastikan perangkat yang terhubung ke aplikasi bergabung atau sesuai dengan domain. Untuk mendukung ini pada komputer Windows, perangkat harus terdaftar dengan ID Microsoft Entra. Artikel ini membahas cara mengonfigurasi pendaftaran perangkat otomatis. | Khusus cloud | Microsoft 365 E3 atau E5 |
| Siapkan tim dukungan Anda. Memiliki paket untuk pengguna yang tidak dapat menyelesaikan MFA. Ini bisa menambahkannya ke grup pengecualian kebijakan, atau mendaftarkan informasi MFA baru untuk mereka. Sebelum membuat salah satu perubahan sensitif terhadap keamanan ini, Anda perlu memastikan bahwa pengguna aktual membuat permintaan. Mengharuskan manajer pengguna untuk membantu persetujuan adalah langkah yang efektif. | Microsoft 365 E3 atau E5 | |
| Mengonfigurasi tulis balik kata sandi ke AD lokal. Tulis balik kata sandi memungkinkan ID Microsoft Entra untuk mengharuskan pengguna mengubah kata sandi lokal mereka ketika penyusupan akun berisiko tinggi terdeteksi. Anda dapat mengaktifkan fitur ini menggunakan Microsoft Entra Koneksi dengan salah satu dari dua cara: aktifkan Tulis Balik Kata Sandi di layar fitur opsional penyiapan Microsoft Entra Koneksi, atau mengaktifkannya melalui Windows PowerShell. | Khusus cloud | Microsoft 365 E3 atau E5 |
| Mengonfigurasi perlindungan kata sandi Microsoft Entra. Perlindungan Kata Sandi Microsoft Entra mendeteksi dan memblokir kata sandi lemah yang diketahui dan variannya, dan juga dapat memblokir istilah lemah tambahan yang khusus untuk organisasi Anda. Daftar kata sandi terlarang global default secara otomatis diterapkan ke semua pengguna di penyewa Microsoft Entra. Anda dapat menentukan entri tambahan dalam daftar kata sandi terlarang kustom. Saat pengguna mengubah atau mereset kata sandi mereka, daftar kata sandi yang dilarang ini diperiksa untuk memberlakukan penggunaan kata sandi yang kuat. | Microsoft 365 E3 atau E5 | |
| Aktifkan Microsoft Entra ID Protection. Microsoft Entra ID Protection memungkinkan Anda mendeteksi potensi kerentanan yang memengaruhi identitas organisasi Anda dan mengonfigurasi kebijakan remediasi otomatis ke risiko masuk rendah, sedang, dan tinggi serta risiko pengguna. | Microsoft 365 E5 atau Microsoft 365 E3 dengan add-on Keamanan E5 | |
| Aktifkan autentikasi modern untuk Exchange Online dan untuk Skype for Business Online. Autentikasi modern adalah prasyarat untuk menggunakan MFA. Autentikasi modern diaktifkan secara default untuk klien Office 2016 dan 2019, SharePoint, dan OneDrive for Business. | Microsoft 365 E3 atau E5 | |
| Aktifkan evaluasi akses berkelanjutan untuk ID Microsoft Entra. Evaluasi akses berkelanjutan secara proaktif mengakhiri sesi pengguna aktif dan memberlakukan perubahan kebijakan penyewa mendekati real-time. | Microsoft 365 E3 atau E5 |
Konfigurasi klien yang disarankan
Bagian ini menjelaskan konfigurasi klien platform default yang kami sarankan untuk memberikan pengalaman SSO terbaik kepada pengguna Anda, serta prasyarat teknis untuk Akses Bersyarat.
Perangkat Windows
Kami merekomendasikan Windows 11 atau Windows 10 (versi 2004 atau yang lebih baru), karena Azure dirancang untuk memberikan pengalaman SSO termulus yang mungkin untuk ID Lokal dan Microsoft Entra. Perangkat yang diterbitkan kantor atau sekolah harus dikonfigurasi untuk bergabung dengan ID Microsoft Entra secara langsung atau jika organisasi menggunakan gabungan domain AD lokal, perangkat tersebut harus dikonfigurasi untuk mendaftar secara otomatis dan diam-diam dengan ID Microsoft Entra.
Untuk perangkat BYOD Windows, pengguna dapat menggunakan Tambahkan akun kerja atau sekolah. Perhatikan bahwa pengguna browser Google Chrome di perangkat Windows 11 atau Windows 10 perlu menginstal ekstensi untuk mendapatkan pengalaman masuk yang sama dengan pengguna Microsoft Edge. Selain itu, jika organisasi Anda memiliki perangkat Windows 8 atau 8.1 yang bergabung dengan domain, Anda dapat menginstal Microsoft Workplace Join untuk komputer non-Windows 10. Unduh paket untuk mendaftarkan perangkat dengan ID Microsoft Entra.
Perangkat iOS
Sebaiknya instal aplikasi Microsoft Authenticator di perangkat pengguna sebelum menyebarkan kebijakan Akses Bersyar atau MFA. Minimal, aplikasi harus diinstal ketika pengguna diminta untuk mendaftarkan perangkat mereka dengan ID Microsoft Entra dengan menambahkan akun kerja atau sekolah, atau ketika mereka menginstal aplikasi portal perusahaan Intune untuk mendaftarkan perangkat mereka ke dalam manajemen. Ini tergantung pada kebijakan Akses Bersyar yang dikonfigurasi.
Perangkat Android
Sebaiknya pengguna menginstal aplikasi Intune Company Portal dan aplikasi Microsoft Authenticator sebelum kebijakan Akses Bersyarat disebarkan atau jika diperlukan selama upaya autentikasi tertentu. Setelah penginstalan aplikasi, pengguna mungkin diminta untuk mendaftar dengan MICROSOFT Entra ID atau mendaftarkan perangkat mereka dengan Intune. Ini tergantung pada kebijakan Akses Bersyar yang dikonfigurasi.
Kami juga menyarankan agar perangkat milik organisasi distandarkan pada OEM dan versi yang mendukung Android for Work atau Samsung Knox untuk mengizinkan akun email, dikelola dan dilindungi oleh kebijakan Intune MDM.
Klien email yang direkomendasikan
Klien email berikut mendukung autentikasi modern dan Akses Bersyar.
| Platform | Klien | Versi/Catatan |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook untuk iOS | Terbaru |
| Android | Outlook untuk Android | Terbaru |
| macOS | Outlook | 2019 dan 2016 |
| Linux | Tidak didukung |
Platform klien yang direkomendasikan saat mengamankan dokumen
Klien berikut direkomendasikan ketika kebijakan dokumen aman telah diterapkan.
| Platform | Word/Excel/PowerPoint | OneNote | Aplikasi OneDrive | Aplikasi SharePoint | Klien sinkronisasi OneDrive |
|---|---|---|---|---|---|
| Windows 11 atau Windows 10 | Didukung | Didukung | T/A | T/A | Didukung |
| Windows 8.1 | Didukung | Didukung | T/A | T/A | Didukung |
| Android | Didukung | Didukung | Didukung | Didukung | T/A |
| iOS | Didukung | Didukung | Didukung | Didukung | T/A |
| macOS | Didukung | Didukung | T/A | T/A | Tidak didukung |
| Linux | Tidak didukung | Tidak didukung | Tidak didukung | Tidak didukung | Tidak didukung |
Dukungan klien Microsoft 365
Untuk informasi selengkapnya tentang dukungan klien di Microsoft 365, lihat artikel berikut ini:
- Dukungan Aplikasi Klien Microsoft 365 - Akses Bersyar
- Dukungan Aplikasi Klien Microsoft 365 - autentikasi multifaktor
Melindungi akun administrator
Untuk Microsoft 365 E3 atau E5 atau dengan lisensi Microsoft Entra ID P1 atau P2 terpisah, Anda dapat mewajibkan MFA untuk akun administrator dengan kebijakan Akses Bersyarat yang dibuat secara manual. Lihat Akses Bersyarat : Memerlukan MFA untuk administrator untuk detailnya.
Untuk edisi Microsoft 365 atau Office 365 yang tidak mendukung Akses Bersyarat, Anda dapat mengaktifkan default keamanan untuk mewajibkan MFA untuk semua akun.
Berikut adalah beberapa rekomendasi tambahan:
- Gunakan Microsoft Entra Privileged Identity Management untuk mengurangi jumlah akun administratif persisten.
- Gunakan manajemen akses istimewa untuk melindungi organisasi Anda dari pelanggaran yang mungkin menggunakan akun admin istimewa yang ada dengan akses berdiri ke data sensitif atau akses ke pengaturan konfigurasi penting.
- Buat dan gunakan akun terpisah yang ditetapkan peranadministrator Microsoft 365 hanya untuk administrasi. Admin harus memiliki akun pengguna mereka sendiri untuk penggunaan non-administratif reguler dan hanya menggunakan akun administratif jika perlu untuk menyelesaikan tugas yang terkait dengan peran atau fungsi pekerjaan mereka.
- Ikuti praktik terbaik untuk mengamankan akun istimewa di ID Microsoft Entra.
Langkah selanjutnya
Mengonfigurasi identitas Zero Trust umum dan kebijakan akses perangkat
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk