Bagikan melalui

Apa itu Akses Bersyarat?

Keamanan modern meluas di luar perimeter jaringan organisasi untuk menyertakan identitas pengguna dan perangkat. Organisasi sekarang menggunakan sinyal berbasis identitas sebagai bagian dari keputusan kontrol akses mereka. Akses Bersyarat Microsoft Entra menggabungkan sinyal secara bersama-sama, membuat keputusan, dan menegakkan kebijakan organisasi. Akses Bersyarat adalah mesin kebijakan Zero Trust Microsoft yang mempertimbangkan sinyal dari berbagai sumber saat menegakkan keputusan kebijakan.

Diagram memperlihatkan konsep sinyal Akses Bersyarat ditambah keputusan untuk menerapkan kebijakan organisasi.

Kebijakan Akses Bersayaraf yang paling sederhana adalah pernyataan if-then: jika pengguna ingin mengakses sumber daya, maka mereka harus menyelesaikan tindakan. Misalnya: Jika pengguna ingin mengakses aplikasi atau layanan seperti Microsoft 365, pengguna harus melakukan autentikasi multifaktor untuk mendapatkan akses.

Admin dihadapkan dengan dua tujuan utama:

  • Berdayakan pengguna untuk menjadi produktif di mana pun dan kapan pun
  • Melindungi aset organisasi

Gunakan kebijakan Akses Bersyar untuk menerapkan kontrol akses yang tepat saat diperlukan untuk menjaga keamanan organisasi Anda dan tidak mengganggu produktivitas.

Penting

Kebijakan Akses Bersyarat diberlakukan setelah autentikasi faktor pertama selesai. Akses Bersyarat tidak dimaksudkan untuk menjadi pertahanan garis depan organisasi untuk skenario seperti serangan denial-of-service (DoS), tetapi dapat menggunakan sinyal dari peristiwa ini untuk menentukan akses.

Sinyal umum

Akses Bersyarat menggunakan sinyal dari berbagai sumber untuk membuat keputusan akses.

Diagram yang memperlihatkan Akses Bersyarat sebagai mesin kebijakan Zero Trust menggabungkan sinyal dari berbagai sumber.

Beberapa sinyal ini meliputi:

  • Pengguna, grup, atau agen
    • Kebijakan dapat ditargetkan untuk pengguna, grup, dan agen tertentu yang memberi admin kontrol yang terperinci atas akses (Pratinjau).
    • Dukungan untuk identitas agen dan pengguna agen memperluas prinsip Zero Trust ke beban kerja AI.
  • Informasi lokasi IP
    • Organisasi dapat membuat rentang alamat IP yang dapat digunakan saat membuat keputusan kebijakan.
    • Admin dapat menentukan seluruh rentang IP negara/wilayah untuk memblokir atau mengizinkan lalu lintas.
  • Device
    • Pengguna dengan perangkat dari platform tertentu atau ditandai dengan status tertentu dapat digunakan saat memberlakukan kebijakan Akses Bersyarat.
    • Gunakan filter untuk perangkat agar mengarahkan kebijakan ke perangkat tertentu seperti workstation akses terbatas.
  • Application
    • Picu kebijakan Akses Bersyarat yang berbeda saat pengguna mencoba mengakses aplikasi tertentu.
    • Terapkan kebijakan ke aplikasi cloud tradisional, aplikasi lokal, dan sumber daya agen.
  • Deteksi risiko real time dan terhitung
    • Mengintegrasikan sinyal dari Microsoft Entra ID Protection untuk mengidentifikasi dan memulihkan pengguna berisiko, perilaku masuk, dan aktivitas agen.
  • Microsoft Defender untuk Aplikasi Cloud
    • Memantau dan mengontrol akses dan sesi aplikasi pengguna secara real time. Integrasi ini meningkatkan visibilitas dan kontrol atas akses dan aktivitas di lingkungan cloud Anda.

Keputusan umum

  • Memblokir akses adalah keputusan yang paling ketat.
  • Memberikan akses
  • Keputusan yang kurang ketat yang mungkin memerlukan satu atau beberapa opsi berikut:
    • Memerlukan otentikasi multifaktor
    • Memerlukan kekuatan autentikasi
    • Mengharuskan perangkat ditandai sebagai sesuai
    • Memerlukan perangkat gabungan hibrid Microsoft Entra
    • Memerlukan aplikasi klien yang disetujui
    • Memerlukan kebijakan perlindungan aplikasi
    • Memerlukan perubahan kata sandi
    • Mewajibkan ketentuan penggunaan

Kebijakan yang umum diterapkan

Banyak organisasi memiliki masalah akses umum yang dapat ditangani dengan kebijakan Akses Bersyarat, seperti:

  • Memerlukan autentikasi multifaktor untuk pengguna dengan peran administratif
  • Membutuhkan autentikasi multifaktor untuk tugas manajemen Azure
  • Memblokir masuk untuk pengguna yang mencoba menggunakan protokol autentikasi lama
  • Membutuhkan lokasi tepercaya untuk pendaftaran informasi keamanan
  • Memblokir atau memberikan akses dari lokasi tertentu
  • Memblokir perilaku proses masuk riskan
  • Memerlukan perangkat yang dikelola organisasi untuk aplikasi tertentu

Admin dapat membuat kebijakan dari awal atau memulai dengan kebijakan templat di portal atau dengan menggunakan Microsoft Graph API.

Pengalaman admin

Admin dengan setidaknya peran Pembaca Keamanan dapat menemukan Akses Bersyarat di pusat admin Microsoft Entra di bawah Entra ID>Akses Bersyarat.

Cuplikan layar halaman gambaran umum Akses Bersyarat.

  • Halaman Gambaran Umum menunjukkan ringkasan status kebijakan, agen, pengguna, perangkat, dan aplikasi, bersama dengan pemberitahuan umum dan keamanan dengan saran.
  • Halaman Cakupan menunjukkan ringkasan aplikasi dengan dan tanpa cakupan kebijakan Akses Bersyarat selama tujuh hari terakhir.

Pada halaman Kebijakan, admin dapat memfilter kebijakan Akses Bersyarat berdasarkan item seperti aktor, sumber daya target, kondisi, syarat yang diterapkan, status, atau tanggal. Pemfilteran ini memungkinkan admin menemukan kebijakan tertentu dengan cepat berdasarkan konfigurasinya.

Agen pengoptimalan Akses Bersyarat

Agen pengoptimalan Akses Bersyarat (pratinjau) dengan Microsoft Security Copilot menyarankan kebijakan baru dan perubahan pada yang sudah ada berdasarkan prinsip Zero Trust dan praktik terbaik Microsoft. Dengan satu klik, terapkan saran untuk memperbarui atau membuat kebijakan Akses Bersyarat secara otomatis. Agen membutuhkan setidaknya lisensi Microsoft Entra ID P1 dan unit komputasi keamanan (SCU).

Persyaratan lisensi

Menggunakan fitur ini memerlukan lisensi Microsoft Entra ID P1. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur Microsoft Entra ID yang tersedia secara umum.

Pelanggan dengan lisensi Microsoft 365 Business Premium juga dapat menggunakan fitur Akses Bersyarat.

Produk dan fitur lain yang berinteraksi dengan kebijakan Akses Bersyarat memerlukan lisensi yang sesuai untuk produk dan fitur tersebut, termasuk ID Beban Kerja Microsoft Entra, Perlindungan ID Entra Microsoft, dan Microsoft Purview.

Saat lisensi yang diperlukan untuk Akses Bersyarat kedaluwarsa, kebijakan tidak secara otomatis dinonaktifkan atau dihapus. Transisi mulus ini memungkinkan pelanggan bermigrasi jauh dari kebijakan Akses Bersyar tanpa perubahan mendadak pada postur keamanan mereka. Anda dapat melihat dan menghapus kebijakan yang tersisa, tetapi Anda tidak dapat memperbaruinya.

Pengaturan standar keamanan membantu melindungi dari serangan terkait identitas dan tersedia untuk semua pelanggan.

Zero Trust

Fitur ini membantu organisasi untuk menyelaraskan identitas mereka dengan tiga prinsip panduan arsitektur Zero Trust:

  • Memverifikasi secara eksplisit
  • Gunakan hak istimewa minimum
  • Mengasumsikan pembobolan

Untuk mengetahui selengkapnya tentang Zero Trust dan cara lain untuk menyelaraskan organisasi Anda dengan prinsip panduan, lihat Pusat Panduan Zero Trust.

Langkah berikutnya

Rencanakan penyebaran Akses Bersyarat Anda

  • Last updated on