Panduan mulai cepat untuk Manajemen Izin Microsoft Entra

  • Artikel

Selamat datang di Panduan Mulai Cepat untuk Manajemen Izin Microsoft Entra.

Manajemen Izin adalah solusi Cloud Infrastructure Entitlement Management (CIEM) yang memberikan visibilitas komprehensif ke dalam izin yang ditetapkan ke semua identitas. Identitas ini termasuk beban kerja yang terlalu istimewa dan identitas pengguna, tindakan, dan sumber daya di seluruh infrastruktur multicloud di Microsoft Azure, Amazon Web Services (AWS), dan Google Cloud Platform (GCP). Manajemen Izin membantu organisasi Anda secara efektif mengamankan dan mengelola izin cloud dengan mendeteksi, secara otomatis menyesuaikan ukuran, dan terus memantau izin yang tidak digunakan dan berlebihan.

Dengan panduan mulai cepat ini, Anda akan menyiapkan lingkungan multicloud, mengonfigurasi pengumpulan data, dan mengaktifkan akses izin untuk memastikan identitas cloud Anda dikelola dan diamankan.

Prasyarat

Sebelum memulai, Anda memerlukan akses ke alat-alat ini untuk proses orientasi:

  • Akses ke shell BASH lokal dengan Azure CLI atau Azure Cloud Shell menggunakan lingkungan BASH (Azure CLI disertakan).
  • Akses ke konsol AWS, Azure, dan GCP.
  • Pengguna harus memiliki penetapan peran Administrator Global untuk membuat pendaftaran aplikasi baru di penyewa Microsoft Entra diperlukan untuk onboarding AWS dan GCP.

Langkah 1: Siapkan Manajemen Izin

Untuk mengaktifkan Manajemen Izin, Anda harus memiliki penyewa Microsoft Entra (misalnya, pusat admin Microsoft Entra).

  • Jika Anda memiliki akun Azure, Anda secara otomatis memiliki penyewa pusat admin Microsoft Entra.
  • Jika Anda belum memilikinya, buat akun gratis di entra.microsoft.com.

Jika poin di atas terpenuhi, lanjutkan dengan:

Mengaktifkan Manajemen Izin Microsoft Entra di organisasi Anda

Pastikan Anda adalah Administrator Global. Pelajari selengkapnya tentang peran dan izin Manajemen Izin.

A diagram showing where Microsoft Entra intersect with Azure roles in the Microsoft Entra tenant.

Langkah 2: Onboarding lingkungan multicloud Anda

Sejauh ini Anda telah,

  1. Telah diberi peran Administrator Manajemen Izin di penyewa pusat admin Microsoft Entra Anda.
  2. Membeli lisensi atau mengaktifkan uji coba gratis 45 hari Anda untuk Manajemen Izin.
  3. Berhasil meluncurkan Manajemen Izin.

Sekarang, Anda akan mempelajari tentang peran dan pengaturan mode Pengontrol dan Pengumpulan data di Manajemen Izin.

Mengatur pengontrol

Pengontrol memberi Anda pilihan untuk menentukan tingkat akses yang Anda berikan kepada pengguna di Manajemen Izin.

  • Mengaktifkan pengontrol selama orientasi memberikan akses admin Manajemen Izin, atau akses baca dan tulis, sehingga pengguna dapat mengukur izin dengan tepat dan memulihkan langsung melalui Manajemen Izin (alih-alih masuk ke konsol AWS, Azure, atau GCP). 

  • Menonaktifkan pengontrol selama orientasi, atau tidak pernah mengaktifkannya, memberi pengguna Manajemen Izin akses baca-saja ke lingkungan Anda.

Catatan

Jika Anda tidak mengaktifkan pengontrol selama onboarding, Anda memiliki opsi untuk mengaktifkannya setelah onboarding selesai. Untuk mengatur pengontrol di Manajemen Izin setelah onboarding, lihat Mengaktifkan atau menonaktifkan pengontrol setelah onboarding. Untuk lingkungan AWS, setelah mengaktifkan pengontrol, Anda tidak dapat menonaktifkannya.

Untuk mengatur pengaturan pengontrol selama onboarding:

  1. Pilih Aktifkan untuk memberikan akses baca dan tulis ke Manajemen Izin.
  2. Pilih Nonaktifkan untuk memberikan akses baca-saja ke Manajemen Izin.

Mengonfigurasi kumpulan data

Ada tiga mode yang dapat dipilih untuk mengumpulkan data dalam Manajemen Izin.

  • Manajemen Izin Otomatis (disarankan) secara otomatis menemukan, onboard, dan memantau semua langganan saat ini dan yang akan datang.

  • Masukkan langganan individual secara manual untuk Manajemen Izin untuk menemukan, melakukan onboarding, dan memantau. Anda dapat memasukkan hingga 100 langganan per pengumpulan data.

  • Pilih Manajemen Izin secara otomatis menemukan semua langganan saat ini. Setelah ditemukan, Anda memilih langganan mana yang akan di-onboard dan memantau.

Catatan

Untuk menggunakan mode Otomatis atau Pilih , pengontrol harus diaktifkan saat mengonfigurasi pengumpulan data.

Untuk mengonfigurasi pengumpulan data:

  1. Di Manajemen Izin, buka halaman Pengumpul Data.
  2. Pilih lingkungan cloud: AWS, Azure, atau GCP.
  3. Klik Buat konfigurasi.

Catatan

Proses pengumpulan data membutuhkan waktu dan terjadi dalam interval sekitar 4-5 jam dalam banyak kasus. Jangka waktu tergantung pada ukuran sistem otorisasi yang Anda miliki dan berapa banyak data yang tersedia untuk pengumpulan.

Onboard Amazon Web Services (AWS)

Karena Manajemen Izin dihosting di Microsoft Entra, ada lebih banyak langkah yang harus diambil untuk onboarding lingkungan AWS Anda.

Untuk menyambungkan AWS ke Manajemen Izin, Anda harus membuat aplikasi Microsoft Entra di penyewa pusat admin Microsoft Entra tempat Manajemen Izin diaktifkan. Aplikasi Microsoft Entra ini digunakan untuk menyiapkan koneksi OIDC ke lingkungan AWS Anda.

OpenID Koneksi (OIDC) adalah protokol autentikasi yang dapat dioperasikan berdasarkan keluarga spesifikasi OAuth 2.0.

A diagram showing the connection between Microsoft Entra ID and an AWS cloud environment.

Prasyarat

Pengguna harus memiliki penetapan peran Administrator Global atau Administrator Manajemen Izin untuk membuat pendaftaran aplikasi baru di ID Microsoft Entra.

ID akun dan peran untuk:

  • Akun AWS OIDC: Akun anggota AWS yang Anda tetapkan untuk membuat dan menghosting koneksi OIDC melalui IdP OIDC
  • Akun Pencatatan AWS (opsional tetapi disarankan)
  • Akun AWS Management (opsional tetapi direkomendasikan)
  • Akun anggota AWS dipantau dan dikelola oleh Manajemen Izin (untuk mode manual)

Untuk menggunakan mode pengumpulan data Otomatis atau Pilih , Anda harus menyambungkan akun AWS Management Anda.

Selama langkah ini, Anda dapat mengaktifkan pengontrol dengan memasukkan nama wadah S3 dengan log aktivitas AWS CloudTrail (ditemukan di AWS Trails).

Untuk onboarding lingkungan AWS Anda dan mengonfigurasi pengumpulan data, lihat Onboard akun Amazon Web Services (AWS).

Onboard Microsoft Azure

Saat Anda mengaktifkan Manajemen Izin di penyewa Microsoft Entra, aplikasi perusahaan untuk CIEM dibuat. Untuk onboarding lingkungan Azure, Anda memberikan izin ke aplikasi ini untuk manajemen Izin.

  1. Di penyewa Microsoft Entra tempat manajemen Izin diaktifkan, temukan aplikasi perusahaan Cloud Infrastructure Entitlement Management (CIEM).

  2. Tetapkan peran Pembaca ke aplikasi CIEM untuk memungkinkan manajemen Izin membaca langganan Microsoft Entra di lingkungan Anda.

A diagram showing the connection between the Microsoft Entra role connections to an Azure subscription.

Prasyarat

  • Pengguna dengan Microsoft.Authorization/roleAssignments/write izin di cakupan grup langganan atau manajemen untuk menetapkan peran ke aplikasi CIEM.

  • Untuk menggunakan mode Pengumpulan data Otomatis atau Pilih , Anda harus menetapkan peran Pembaca di cakupan grup Manajemen.

  • Untuk mengaktifkan pengontrol, Anda harus menetapkan peran Administrator Akses Pengguna ke aplikasi CIEM.

Untuk onboarding lingkungan Azure Anda dan mengonfigurasi pengumpulan data, lihat Onboard langganan Microsoft Azure.

Onboard Google Cloud Platform (GCP)

Karena Manajemen Izin dihosting di Microsoft Azure, ada langkah tambahan yang harus dilakukan untuk onboarding lingkungan GCP Anda.

Untuk menyambungkan GCP ke Manajemen Izin, Anda harus membuat aplikasi pusat admin Microsoft Entra di penyewa Microsoft Entra tempat Manajemen Izin diaktifkan. Aplikasi pusat admin Microsoft Entra ini digunakan untuk menyiapkan koneksi OIDC ke lingkungan GCP Anda.

OpenID Koneksi (OIDC) adalah protokol autentikasi yang dapat dioperasikan berdasarkan keluarga spesifikasi OAuth 2.0.

A diagram showing the connection between the Microsoft Entra OIDC application and a GCP cloud environment.

Prasyarat

Pengguna dengan kemampuan untuk membuat pendaftaran aplikasi baru di Microsoft Entra (diperlukan untuk memfasilitasi koneksi OIDC) diperlukan untuk onboarding AWS dan GCP.

Detail ID untuk:

  • Proyek GCP OIDC: proyek GCP yang Ditunjuk oleh Anda untuk membuat dan menghosting koneksi OIDC melalui IdP OIDC.
    • Nomor proyek dan ID proyek
  • Identitas Beban Kerja GCP OIDC
    • ID kumpulan, ID penyedia kumpulan
  • Akun layanan GCP OIDC
    • Nama Rahasia IdP G-suite dan email pengguna IdP G-suite (opsional)
    • ID untuk proyek GCP yang ingin Anda onboarding (opsional, untuk mode manual)

Tetapkan peran Penampil dan Peninjau Keamanan ke akun layanan GCP di tingkat organisasi, folder, atau proyek untuk memberikan akses baca Manajemen izin ke lingkungan GCP Anda.

Selama langkah ini, Anda memiliki opsi untuk Mengaktifkan mode pengontrol dengan menetapkan peran Administrator Peran dan Administrator Keamanan ke akun layanan GCP di tingkat organisasi, folder, atau proyek.

Catatan

Cakupan default Manajemen Izin berada di tingkat proyek.

Untuk onboarding lingkungan GCP Anda dan mengonfigurasi pengumpulan data, lihat Onboard proyek GCP.

Ringkasan

Selamat! Anda telah selesai mengonfigurasi pengumpulan data untuk lingkungan Anda, dan proses pengumpulan data telah dimulai. Proses pengumpulan data membutuhkan waktu; sekitar 4-5 jam dalam banyak kasus. Jangka waktu tergantung pada jumlah sistem otorisasi yang telah Anda onboarding dan berapa banyak data yang tersedia untuk pengumpulan.

Kolom status di UI Manajemen Izin menunjukkan langkah pengumpulan data mana yang Anda gunakan.

  • Tertunda: Manajemen Izin belum mulai mendeteksi atau onboarding.
  • Penemuan: Manajemen Izin mendeteksi sistem otorisasi.
  • Sedang berlangsung: Manajemen Izin telah selesai mendeteksi sistem otorisasi dan sedang onboarding.
  • Onboarded: Pengumpulan data selesai, dan semua sistem otorisasi yang terdeteksi di-onboard ke Manajemen Izin.

Catatan

Saat proses pengumpulan data berlanjut, Anda dapat mulai menyiapkan pengguna dan grup di Manajemen Izin.

Langkah berikutnya

Referensi: