Merencanakan penerapan Akses Bersyarat

Merencanakan penerapan Akses Bersyarat Sangat penting untuk mencapai strategi akses organisasi Anda untuk aplikasi dan sumber daya.

Akses Bersyarat Azure Active Directory (Azure AD) menganalisis sinyal seperti pengguna, perangkat, dan lokasi untuk mengotomatiskan keputusan dan menerapkan kebijakan akses organisasi untuk sumber daya. Kebijakan Akses Bersyarat memungkinkan Anda membangun kondisi yang mengelola kontrol keamanan yang dapat memblokir akses, memerlukan autentikasi multifaktor, atau membatasi sesi pengguna saat diperlukan dan tidak mengganggu pengguna saat tidak diperlukan.

Dengan evaluasi dan penegakan ini, Akses Bersyarat menentukan dasar manajemen postur keamanan Zero Trust Microsoft.

Gambaran umum Akses Bersyarat

Microsoft menyediakan default keamanan yang memastikan tingkat keamanan dasar diaktifkan di penyewa yang tidak memiliki Azure AD Premium. Dengan Akses Bersyarat, Anda dapat membuat kebijakan yang memberikan perlindungan yang sama dengan default keamanan, tetapi dengan granularitas. Akses Bersyarat dan default keamanan tidak dimaksudkan untuk digabungkan karena membuat kebijakan Akses Bersyarat akan mencegah Anda mengaktifkan default keamanan.

Prasyarat

Memahami komponen kebijakan Akses Bersyarat

Kebijakan menjawab pertanyaan tentang siapa yang harus mengakses sumber daya Anda, sumber daya apa yang harus mereka akses, dan dalam kondisi apa. Kebijakan dapat dirancang untuk memberikan akses, membatasi akses dengan kontrol sesi, atau untuk memblokir akses. Anda membangun kebijakan Akses Bersyarat dengan menentukan pernyataan if-then: Jika penugasan terpenuhi, maka terapkan kontrol akses.

Mengajukan pertanyaan yang tepat

Berikut adalah beberapa pertanyaan umum tentang Penugasan dan Kontrol Akses. Dokumentasikan jawaban atas pertanyaan untuk setiap kebijakan sebelum menyusunnya.

Identitas beban kerja atau pengguna

  • Pengguna, grup, peran direktori, dan identitas beban kerja mana yang akan disertakan atau dikecualikan dari kebijakan tersebut?
  • Akun atau grup akses darurat apa yang harus dikecualikan dari kebijakan?

Aplikasi atau tindakan cloud

Apakah kebijakan ini akan berlaku untuk konteks aplikasi, tindakan pengguna, atau autentikasi apa pun? Jika ya-

  • Aplikasi apa yang akan diterapkan oleh kebijakan?
  • Tindakan pengguna apa yang akan tunduk pada kebijakan ini?
  • Konteks autentikasi apa yang akan diterapkan kebijakan ini?

Kondisi

  • Platform perangkat mana yang akan disertakan atau dikecualikan dari kebijakan?
  • Apa lokasi tepercaya organisasi?
  • Lokasi apa yang akan disertakan atau dikecualikan dari kebijakan?
  • Jenis aplikasi klien apa yang akan disertakan atau dikecualikan dari kebijakan?
  • Apakah Anda memiliki kebijakan yang akan mendorong pengecualian perangkat gabungan Azure AD atau perangkat gabungan Azure AD Hibrid dari kebijakan?
  • Jika menggunakan Perlindungan Identitas, apakah Anda ingin memasukkan perlindungan risiko masuk?

Berikan atau Blokir

Apakah Anda ingin memberikan akses ke sumber daya dengan mengharuskan satu atau beberapa hal berikut ini?

  • Memerlukan MFA
  • Memerlukan perangkat ditandai sebagai sesuai
  • Memerlukan perangkat yang tergabung dengan Hybrid Azure AD
  • Perlu aplikasi klien yang disetujui
  • Mewajibkan kebijakan perlindungan aplikasi
  • Mewajibkan perubahan kata sandi
  • Menggunakan Ketentuan Penggunaan

Kontrol sesi

Apakah Anda ingin menerapkan kontrol akses berikut ini pada aplikasi cloud?

  • Gunakan pembatasan yang diberlakukan aplikasi
  • Menggunakan Kontrol Aplikasi Akses Bersyarat
  • Menerapkan frekuensi masuk
  • Menggunakan sesi browser tetap
  • Mengkustomasi evaluasi akses berkelanjutan

Penerbitan token akses

Token akses memberikan atau menolak akses berdasarkan apakah pengguna yang mengajukan permintaan telah diotorisasi dan diautentikasi. Jika pemohon dapat membuktikan bahwa mereka adalah siapa yang mereka klaim, mereka dapat mengakses sumber daya atau fungsi yang dilindungi.

Diagram penerbitan token akses

Token akses secara default diterbitkan jika kondisi kebijakan Akses Bersyarat tidak memicu kontrol akses.

Ini tidak mencegah aplikasi memiliki otorisasi terpisah untuk memblokir akses. Misalnya, pertimbangkan kebijakan di mana:

  • JIKA pengguna berada di tim keuangan, MAKA paksa MFA untuk mengakses aplikasi penggajian mereka.
  • JIKA pengguna yang tidak berada di tim keuangan mencoba mengakses aplikasi penggajian, pengguna tersebut akan diberi token akses.
  • Untuk memastikan pengguna di luar grup keuangan tidak dapat mengakses aplikasi penggajian, kebijakan terpisah harus dibuat guna memblokir semua pengguna lain. Jika semua pengguna selain tim keuangan dan grup akun akses darurat, mengakses aplikasi penggajian, blokir akses.

Mengikutii praktik terbaik

Akses Bersyarat memberi Anda fleksibilitas konfigurasi yang tinggi. Namun, fleksibilitas besar juga berarti Anda harus meninjau setiap kebijakan konfigurasi dengan hati-hati sebelum merilisnya untuk menghindari hasil yang tidak diinginkan.

Menyiapkan akun akses darurat

Jika Anda salah mengonfigurasi kebijakan, kebijakan tersebut dapat mengunci organisasi dari portal Azure.

Kurangi dampak penguncian administrator yang tidak disengaja dengan membuat dua atau lebih akun akses darurat di organisasi Anda. Buat akun pengguna yang didedikasikan untuk administrasi kebijakan dan dikecualikan dari semua kebijakan Anda.

Menerapkan kebijakan Akses Bersyarat ke setiap aplikasi

Memastikan bahwa setiap aplikasi memiliki setidaknya satu kebijakan Akses Bersyarat yang diterapkan. Dari perspektif keamanan, membuat kebijakan yang mencakup Semua aplikasi cloud, lalu mengecualikan aplikasi yang tidak ingin diterapkan kebijakan lebih direkomendasikan. Tindakan ini memastikan Anda tidak perlu memperbarui kebijakan Akses Bersyarat setiap kali mengaktivasi aplikasi baru.

Penting

Berhati-hatilah dalam menggunakan blok dan semua aplikasi dalam satu kebijakan. Ini dapat mengunci admin dari portal Azure, dan pengecualian tidak dapat dikonfigurasi untuk titik akhir penting seperti Microsoft Graph.

Meminimalkan jumlah kebijakan Akses Bersyarat

Membuat kebijakan untuk setiap aplikasi tidak efisien dan mengarah ke administrasi yang kompleks. Akses Bersyarat memiliki batas, yaitu 195 kebijakan per penyewa. Sebaiknya Anda menganalisis aplikasi dan mengelompokkannya ke dalam aplikasi yang memiliki persyaratan sumber daya yang sama untuk pengguna yang sama. Misalnya, jika semua aplikasi Microsoft 365 atau semua aplikasi SDM memiliki persyaratan yang sama untuk pengguna yang sama, buat satu kebijakan dan sertakan semua aplikasi yang menerapkannya.

Menyiapkan mode khusus laporan

Mungkin sulit untuk memprediksi jumlah dan nama pengguna yang terpengaruh oleh inisiatif penyebaran umum seperti:

  • Memblokir autentikasi lama
  • Memerlukan MFA
  • Menerapkan kebijakan risiko masuk

Mode khusus laporan memungkinkan administrator untuk mengevaluasi dampak kebijakan Akses Bersyarat sebelum mengaktifkannya di lingkungan mereka. Pertama, konfigurasi kebijakan Anda dalam mode khusus laporan dan biarkan berjalan untuk interval sebelum menerapkannya di lingkungan Anda.

Merencanakan untuk mengatasi gangguan

Jika mengandalkan kontrol akses tunggal, seperti MFA atau lokasi jaringan, untuk mengamankan sistem IT, Anda rentan terhadap kegagalan akses jika kontrol akses tunggal tersebut menjadi tidak tersedia atau salah dikonfigurasikan.

Untuk mengurangi risiko penguncian selama gangguan tak terduga, rencanakan strategiyang akan diadopsi untuk organisasi Anda.

Menetapkan standar penamaan untuk kebijakan Anda

Standar penamaan membantu Anda menemukan kebijakan dan memahami tujuannya tanpa harus membukanya di portal admin Azure. Kami menyarankan agar Anda menamai kebijakan Anda untuk ditampilkan dengan:

  • Nomor Urut
  • Aplikasi cloud yang berlaku untuk
  • Respons
  • Berlaku untuk siapa
  • Kapan diberlakukan (jika berlaku)

Cuplikan layar yang memperlihatkan standar penamaan untuk kebijakan.

Contoh; Kebijakan yang mengharuskan MFA untuk pengguna pemasaran mengakses aplikasi Dynamics CRP dari jaringan eksternal mungkin memerlukan:

Standar penamaan

Nama deskriptif membantu Anda mempertahankan gambaran umum implementasi Akses Bersyarat Anda. Nomor Urut sangat membantu jika Anda perlu mereferensikan kebijakan dalam percakapan. Misalnya, ketika Anda berbicara dengan administrator di telepon, Anda dapat meminta mereka untuk membuka kebijakan CA01 untuk menyelesaikan masalah.

Standar penamaan untuk kontrol akses darurat

Selain kebijakan aktif Anda, terapkan kebijakan yang dinonaktifkan yang bertindak sebagai kontrol akses tangguh sekunder dalam skenario pemadaman atau darurat. Standar penamaan Anda untuk kebijakan kontinjensi harus mencakup:

  • AKTIFKAN DALAM KEADAAN DARURAT di awal untuk membuat nama menonjol di antara kebijakan lainnya.
  • Nama gangguan tersebut harus berlaku untuk.
  • Nomor urut pemesanan digunakan untuk membantu administrator mengetahui kebijakan urutan mana yang harus diaktifkan.

Contoh

Nama berikut menunjukkan bahwa kebijakan ini adalah yang pertama dari empat kebijakan yang diaktifkan jika ada gangguan MFA:

  • EM01 - AKTIFKAN DALAM KEADAAN DARURAT: Gangguan MFA [1/4] - Exchange SharePoint: Memerlukan gabungan Azure AD hibrid Untuk pengguna VIP.

Blokir negara tempat Anda tidak akan mengharapkan proses masuk.

Azure active directory memungkinkan Anda membuat lokasi bernama. Buat daftar negara yang diizinkan, lalu buat kebijakan blok jaringan dengan "negara yang diizinkan" ini sebagai pengecualian. Overhead ini lebih rendah untuk pelanggan yang terutama yang berdomisili di lokasi geografis yang lebih kecil.Pastikan untuk mengecualikan akun akses darurat Anda dari kebijakan ini.

Menyebarkan kebijakan Akses Bersyarat

Ketika kebijakan baru siap, sebarkan kebijakan Akses Bersyarat Anda secara bertahap.

Membangun kebijakan Akses Bersyarat Anda

Lihat kebijakan Akses Bersyarat umum untuk memulai. Cara yang nyaman adalah dengan menggunakan template Akses Bersyarat yang dilengkapi dengan rekomendasi Microsoft. Pastikan Anda mengecualikan akun akses darurat Anda.

Mengevaluasi dampak kebijakan

Sebelum Anda melihat dampak kebijakan Akses Bersyarat Anda di lingkungan produksi Anda, sebaiknya gunakan dua alat berikut untuk menjalankan simulasi.

Menyiapkan mode khusus laporan

Secara default, setiap kebijakan dibuat dalam mode khusus laporan. Kami merekomendasikan organisasi untuk menguji dan memantau penggunaan, guna memastikan hasil yang diinginkan, sebelum mengaktifkan setiap kebijakan.

Mengaktifkan kebijakan dalam mode khusus laporan. Setelah menyimpan kebijakan dalam mode khusus laporan, Anda dapat melihat dampaknya pada masuk secara real-time di log masuk. Dari log masuk, pilih peristiwa dan navigasi ke tab Khusus laporan untuk melihat hasil dari setiap kebijakan khusus laporan.

Anda bisa menampilkan dampak agregat kebijakan Akses Bersyarat Anda di buku kerja Wawasan dan Pelaporan. Untuk mengakses buku kerja, Anda memerlukan langganan Azure Monitor dan Anda harus mengalirkan log masuk ke ruang kerja analitik log .

Menyimulasikan proses masuk menggunakan alat What If

Cara lain untuk memvalidasi kebijakan Akses Bersyarat Anda adalah dengan menggunakan alat What If, yang menyimulasikan kebijakan mana yang akan berlaku untuk pengguna yang masuk dalam keadaan hipotetis. Pilih atribut masuk yang ingin Anda uji (seperti pengguna, aplikasi, platform perangkat, dan lokasi) dan lihat kebijakan mana yang akan berlaku.

Catatan

Meskipun proses simulasi memberi Anda gambaran yang baik tentang dampak yang ditimbulkan oleh kebijakan Akses Bersyarat, hal tersebut tidak menggantikan uji coba yang sebenarnya.

Menguji kebijakan Anda

Pastikan Anda menguji kriteria pengecualian kebijakan. Misalnya, Anda dapat mengecualikan pengguna atau grup dari kebijakan yang memerlukan MFA. Uji apakah pengguna yang dikecualikan diminta untuk MFA, karena kombinasi kebijakan lain mungkin memerlukan MFA untuk pengguna tersebut.

Lakukan setiap pengujian dalam rencana pengujian Anda dengan uji pengguna. Rencana pengujian penting untuk memiliki perbandingan antara hasil yang diharapkan dan hasil aktual. Tabel berikut menguraikan contoh kasus pengujian. Sesuaikan skenario dan hasil yang diharapkan berdasarkan bagaimana kebijakan Akses Bersyarat Anda dikonfigurasi.

Kebijakan Skenario Hasil yang diharapkan
Proses masuk yang berisiko Pengguna masuk ke Aplikasi menggunakan browser yang tidak disetujui Menghitung skor risiko berdasarkan peluang bahwa proses masuk tidak dilakukan oleh pengguna. Mengharuskan pengguna untuk memulihkan secara mandiri menggunakan MFA
Manajemen perangkat Pengguna yang berwenang mencoba masuk dari perangkat yang diotorisasi Akses diberikan
Manajemen perangkat Pengguna yang berwenang mencoba masuk dari perangkat yang tidak sah Akses diblokir
Perubahan kata sandi untuk pengguna berisiko Pengguna yang berwenang mencoba masuk dengan kredensial yang disusupi (masuk berisiko tinggi) Pengguna diminta untuk mengubah kata sandi atau akses diblokir berdasarkan kebijakan Anda

Menyebarkan dalam produksi

Setelah mengonfirmasi dampak menggunakan mode khusus laporan, administrator dapat memindahkan tombol Aktifkan kebijakan dari Laporkan saja ke Aktif.

Membatalkan kebijakan

Jika Anda perlu membatalkan kebijakan yang baru diterapkan, gunakan satu atau beberapa opsi berikut:

  • Nonaktifkan kebijakan. Menonaktifkan kebijakan akan memastikan kebijakan tidak berlaku saat pengguna mencoba masuk. Anda selalu dapat kembali dan mengaktifkan kebijakan ketika Anda ingin menggunakannya.

aktifkan citra kebijakan

  • Kecualikan pengguna atau grup dari kebijakan. Jika pengguna tidak dapat mengakses aplikasi, Anda dapat memilih untuk mengecualikan pengguna dari kebijakan tersebut.

Kecualikan pengguna dan grup

Catatan

Opsi ini harus digunakan dengan hemat, hanya dalam situasi di mana pengguna dipercaya. Pengguna harus ditambahkan kembali ke dalam kebijakan atau grup sesegera mungkin.

  • Hapus kebijakan. Jika kebijakan tidak lagi diperlukan, hapus kebijakan tersebut.

Memecahkan masalah kebijakan Akses Bersyarat

Saat pengguna mengalami masalah dengan kebijakan Akses Bersyarat, kumpulkan informasi berikut untuk memfasilitasi pemecahan masalah.

  • Nama Utama Pengguna
  • Nama tampilan Pengguna
  • Nama sistem operasi
  • Stempel waktu (perkiraan tidak masalah)
  • Aplikasi target
  • Tipe aplikasi klien (browser vs klien)
  • ID Korelasi (ID iini bersifat unik untuk masuk)

Jika pengguna menerima pesan dengan link Detail lebih lanjut, mereka dapat mengumpulkan sebagian besar informasi ini untuk Anda.

Tidak bisa masuk ke pesan kesalahan aplikasi

Setelah Anda mengumpulkan informasi, Lihat sumber daya berikut:

  • Masalah masuk dengan Akses Bersyarat – Memahami hasil masuk tak terduga yang terkait dengan Akses Bersyarat menggunakan pesan kesalahan dan log masuk Azure AD.
  • Menggunakan alat What-If - Pahami mengapa kebijakan atau tidak diterapkan kepada pengguna dalam keadaan tertentu atau jika kebijakan akan berlaku dalam keadaan yang diketahui.

Langkah berikutnya

Pelajari selengkapnya tentang Autentikasi multifaktor

Pelajari selengkapnya tentang Perlindungan Identitas

Kelola kebijakan Akses Bersyarat dengan Microsoft Graph API