Panduan referensi operasi manajemen Autentikasi Microsoft Azure Active Directory

Bagian panduan referensi operasi Microsoft Azure Active Directory ini menjelaskan pemeriksaan dan tindakan yang harus Anda lakukan untuk mengamankan dan mengelola kredensial, menentukan pengalaman autentikasi, mendelegasikan penetapan, mengukur penggunaan, dan menentukan kebijakan akses berdasarkan postur keamanan perusahaan.

Catatan

Rekomendasi ini berlaku tanggal penerbitan, tetapi dapat berubah dari waktu ke waktu. Organisasi harus terus mengevaluasi praktik identitas mereka seiring berkembangnya produk dan layanan Microsoft dari waktu ke waktu.

Proses operasional utama

Tetapkan pemilik ke tugas kunci

Mengelola Microsoft Azure Active Directory memerlukan eksekusi berkelanjutan dari tugas dan proses operasional kunci, yang mungkin bukan bagian dari proyek peluncuran. Anda masih harus menyiapkan tugas ini untuk mengoptimalkan lingkungan Anda. Tugas kunci dan pemilik yang direkomendasikan meliputi:

Tugas Pemilik
Mengelola siklus konfigurasi akses menyeluruh (SSO) di Microsoft Azure Active Directory Tim Operasi IAM
Merancang kebijakan akses bersyarat untuk aplikasi Microsoft Azure Active Directory Tim Arsitektur InfoSec
Mengarsipkan aktivitas masuk dalam sistem SIEM Tim Operasi InfoSec
Mengarsipkan kejadian risiko dalam sistem SIEM Tim Operasi InfoSec
Memprioritaskan dan menyelidiki laporan keamanan Tim Operasi InfoSec
Memprioritaskan dan menyelidiki kejadian risiko Tim Operasi InfoSec
Memprioritaskan dan menyelidiki pengguna yang ditandai untuk laporan risiko dan kerentanan dari Azure Active Directory Identity Protection Tim Operasi InfoSec

Catatan

Azure Active Directory Identity Protection memerlukan lisensi Azure Active Directory Premium P2. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur edisi Microsoft Azure Active Directory Gratis dan Microsoft Azure Active Directory Premium yang tersedia secara umum.

Saat meninjau daftar, Anda mungkin perlu menetapkan pemilik untuk tugas yang kehilangan pemilik atau menyesuaikan kepemilikan untuk tugas dengan pemilik yang tidak selaras dengan rekomendasi di atas.

Manajemen kredensial

Kebijakan kata sandi

Mengelola kata sandi dengan aman adalah salah satu bagian paling penting dari manajemen identitas dan akses serta sering kali menjadi target serangan terbesar. Microsoft Azure Active Directory mendukung beberapa fitur yang dapat membantu mencegah keberhasilan serangan.

Gunakan tabel di bawah ini untuk menemukan solusi yang direkomendasikan untuk mengurangi masalah yang perlu ditangani:

Masalah Rekomendasi
Tidak ada mekanisme untuk melindungi dari kata sandi yang lemah Aktifkan pengaturan ulang kata sandi mandiri (SSPR) dan perlindungan kata sandi Microsoft Azure Active Directory
Tidak ada mekanisme untuk mendeteksi kata sandi yang bocor Aktifkan sinkronisasi hash kata sandi (PHS) untuk mendapatkan wawasan
Menggunakan Layanan Federasi Direktori Aktif dan tidak dapat berpindah ke autentikasi terkelola Aktifkan Penguncian Cerdas Ekstranet Layanan Federasi Direktori Aktif dan/atau Penguncian Cerdas Microsoft Azure Active Directory
Kebijakan kata sandi menggunakan aturan berbasis kompleksitas seperti panjang, beberapa set karakter, atau masa berakhir Pertimbangkan kembali untuk mendukung Praktik Rekomendasi Microsoft dan alihkan pendekatan Anda ke manajemen kata sandi dan sebarkan perlindungan kata sandi Microsoft Azure Active Directory.
Pengguna tidak terdaftar untuk menggunakan autentikasi multifaktor (MFA) Daftarkan semua informasi keamanan pengguna agar dapat digunakan sebagai mekanisme untuk memverifikasi identitas pengguna bersama dengan kata sandi mereka
Tidak ada pencabutan kata sandi berdasarkan risiko pengguna Sebarkan kebijakan risiko pengguna Azure Active Directory Identity Protection untuk memaksa perubahan kata sandi pada kredensial yang bocor menggunakan SSPR
Tidak ada mekanisme penguncian cerdas untuk melindungi autentikasi berbahaya dari aktor jahat yang berasal dari alamat IP yang diidentifikasi Sebarkan autentikasi yang dikelola cloud dengan sinkronisasi hash kata sandi atau autentikasi pass-through (PTA)

Aktifkan pengaturan ulang kata sandi layanan mandiri dan perlindungan kata sandi

Pengguna yang perlu mengubah atau menyetel ulang kata sandi mereka adalah salah satu sumber volume dan biaya panggilan staf dukungan terbesar. Selain biaya, mengubah kata sandi sebagai alat untuk mengurangi risiko pengguna adalah langkah mendasar dalam meningkatkan postur keamanan organisasi Anda.

Setidaknya, sebaiknya sebarkan pengaturan ulang kata sandi mandiri (SSPR) Microsoft Azure Active Directory dan perlindungan kata sandi lokal untuk mencapai:

  • Alihkan panggilan staf dukungan.
  • Ganti penggunaan kata sandi sementara.
  • Ganti solusi manajemen kata sandi layanan mandiri yang ada yang bergantung pada solusi lokal.
  • Menghilangkan kata sandi yang buruk di organisasi Anda.

Catatan

Untuk organisasi dengan langganan Azure Active Directory Premium P2, sebaiknya gunakan SSPR dan gunakan sebagai bagian dari Kebijakan Risiko Pengguna Perlindungan Identitas.

Manajemen kredensial yang kuat

Kata sandi sendiri tidak cukup aman untuk mencegah aktor buruk mendapatkan akses ke lingkungan Anda. Minimal, tiap pengguna dengan akun istimewa harus diaktifkan untuk autentikasi multifaktor (MFA). Idealnya, Anda harus mengaktifkan pendaftaran gabungan dan mengharuskan semua pengguna mendaftar MFA dan SSPR menggunakan pengalaman pendaftaran gabungan. Terakhir, sebaiknya adopsi strategi untuk memberikan ketahanan guna mengurangi risiko penguncian karena keadaan yang tidak terduga.

Combined user experience flow

Ketahanan autentikasi penonaktifan lokal

Selain manfaat kesederhanaan dan memungkinkan deteksi kredensial yang bocor, Sinkronisasi Hash Kata Sandi (PHS) Microsoft Azure Active Directory dan Azure Active Directory Multifactor Authentication memungkinkan pengguna mengakses aplikasi SaaS dan Microsoft 365 terlepas dari penonaktifan lokal karena serangan siber seperti NotPetya. Dimungkinkan juga untuk mengaktifkan PHS saat bersama dengan federasi. Mengaktifkan PHS memungkinkan pengembalian autentikasi saat layanan federasi tidak tersedia.

Jika organisasi lokal Anda tidak memiliki strategi ketahanan penonaktifan atau memiliki strategi yang tidak terintegrasi dengan Microsoft Azure Active Directory, Anda harus menggunakan Azure AD PHS dan menentukan rencana pemulihan bencana yang menyertakan PHS. Mengaktifkan Azure AD PHS akan memungkinkan pengguna mengautentikasi Microsoft Azure Active Directory jika Direktori Aktif lokal Anda tidak tersedia.

password hash sync flow

Untuk lebih memahami opsi autentikasi Anda, lihat Memilih metode autentikasi yang tepat untuk solusi identitas hibrid Microsoft Azure Active Directory Anda.

Penggunaan kredensial terprogram

Skrip Microsoft Azure Active Directory menggunakan PowerShell atau aplikasi yang menggunakan API Microsoft Graph memerlukan autentikasi yang aman. Manajemen kredensial yang buruk yang menjalankan skrip dan alat tersebut meningkatkan risiko pencurian kredensial. Jika Anda menggunakan skrip atau aplikasi yang mengandalkan kata sandi hard coded atau permintaan kata sandi, Anda harus terlebih dahulu meninjau kata sandi dalam file konfigurasi atau kode sumber, lalu mengganti dependensi tersebut dan menggunakan Identitas Terkelola Azure, Autentikasi Windows Terpadu, atau sertifikat jika memungkinkan. Untuk aplikasi tempat solusi sebelumnya tidak dimungkinkan, pertimbangkan untuk menggunakan Azure Key Vault.

Jika Anda menentukan ada perwakilan layanan dengan kredensial kata sandi dan Anda tidak yakin bagaimana kredensial kata sandi tersebut diamankan oleh skrip atau aplikasi, hubungi pemilik aplikasi untuk lebih memahami pola penggunaan.

Microsoft juga menyarankan Anda menghubungi pemilik aplikasi untuk memahami pola penggunaan jika ada perwakilan layanan dengan kredensial kata sandi.

Pengalaman autentikasi

Autentikasi lokal

Autentikasi Federasi dengan autentikasi Windows terintegrasi (IWA) atau autentikasi terkelola Akses Menyeluruh Tanpa Hambatan (SSO) dengan sinkronisasi hash kata sandi atau autentikasi pass-through adalah pengalaman pengguna terbaik ketika berada di dalam jaringan perusahaan dengan pandangan ke pengendali domain lokal. Ini meminimalkan kelelahan perintah kredensial dan mengurangi risiko pengguna menjadi mangsa serangan phishing. Jika Anda sudah menggunakan autentikasi yang dikelola cloud dengan PHS atau PTA, tetapi pengguna masih perlu mengetikkan kata sandi mereka saat mengautentikasi secara lokal, Anda harus segera menyebarkan SSO Tanpa Gangguan. Di sisi lain, jika Anda saat ini difederasi dengan rencana untuk pada akhirnya bermigrasi ke autentikasi yang dikelola cloud, Anda harus menerapkan SSO Tanpa Gangguan sebagai bagian dari proyek migrasi.

Kebijakan akses kepercayaan perangkat

Seperti pengguna di organisasi Anda, perangkat adalah identitas inti yang ingin Anda lindungi. Anda dapat menggunakan identitas perangkat untuk melindungi sumber daya Anda kapan saja dan dari lokasi mana pun. Mengautentikasi perangkat dan menjelaskan jenis kepercayaannya meningkatkan postur keamanan dan kegunaan Anda dengan:

Anda dapat melakukan tujuan ini dengan membawa identitas perangkat dan mengelolanya di Microsoft Azure Active Directory menggunakan salah satu metode berikut:

  • Organisasi dapat menggunakan Microsoft Intune untuk mengelola perangkat dan memberlakukan kebijakan kepatuhan, membuktikan kesehatan perangkat, dan menetapkan kebijakan akses bersyarat berdasarkan apakah perangkat mematuhinya. Microsoft Intune dapat mengelola perangkat iOS, desktop Mac (Melalui integrasi JAMF), desktop Windows (secara asli menggunakan Manajemen Perangkat Bergerak untuk Windows 10, dan manajemen bersama dengan Microsoft Endpoint Configuration Manager) dan perangkat seluler Android.
  • Hybrid Azure AD join menyediakan manajemen dengan Kebijakan Grup atau Microsoft Endpoint Configuration Manager di lingkungan dengan perangkat komputer gabungan domain Microsoft Azure Active Directory. Organisasi dapat menyebarkan lingkungan terkelola melalui PHS maupun PTA dengan SSO Tanpa Gangguan. Membawa perangkat Anda ke Microsoft Azure Active Directory memaksimalkan produktivitas pengguna melalui SSO di seluruh sumber daya cloud dan lokal Anda sambil memungkinkan Anda mengamankan akses ke sumber daya cloud dan lokal Anda dengan Akses Bersyarat secara bersamaan.

Jika Anda memiliki perangkat Windows gabungan domain yang tidak terdaftar di cloud, atau perangkat Windows gabungan domain yang terdaftar di cloud, tetapi tanpa kebijakan akses bersyarat, Anda harus mendaftarkan perangkat yang tidak terdaftar dan, dalam kedua kasus, gunakan Hybrid Azure AD join sebagai kontrol dalam kebijakan akses bersyarat Anda.

A screenshot of grant in conditional access policy requiring hybrid device

Jika Anda mengelola perangkat dengan MDM atau Microsoft Intune, tetapi tidak menggunakan kontrol perangkat dalam kebijakan akses bersyarat, sebaiknya gunakan Memerlukan perangkat untuk ditandai sebagai sesuai sebagai kontrol dalam kebijakan tersebut.

A screenshot of grant in conditional access policy requiring device compliance

Windows Hello untuk Bisnis

Di Windows 10, Windows Hello for Business mengganti kata sandi dengan autentikasi dua faktor yang kuat pada PC. Windows Hello for Business memungkinkan pengalaman MFA yang lebih efisien bagi pengguna dan mengurangi ketergantungan Anda pada kata sandi. Jika Anda belum mulai meluncurkan perangkat Windows 10, atau hanya menyebarkannya sebagian, sebaiknya tingkatkan ke Windows 10 dan aktifkan Windows Hello for Business di semua perangkat.

Jika Anda ingin mempelajari selengkapnya tentang autentikasi tanpa kata sandi, lihat Dunia tanpa kata sandi dengan Microsoft Azure Active Directory.

Autentikasi dan penugasan aplikasi

Akses menyeluruh untuk aplikasi

Menyediakan mekanisme akses menyeluruh standar ke seluruh perusahaan sangat penting untuk pengalaman pengguna terbaik, pengurangan risiko, kemampuan untuk melaporkan, dan tata kelola. Jika Anda menggunakan aplikasi yang mendukung SSO dengan Microsoft Azure Active Directory, tetapi saat ini dikonfigurasi untuk menggunakan akun lokal, Anda harus mengonfigurasi ulang aplikasi tersebut untuk menggunakan SSO dengan Microsoft Azure Active Directory. Demikian juga, jika Anda menggunakan aplikasi apa pun yang mendukung SSO dengan Microsoft Azure Active Directory, tetapi menggunakan IdP lain, Anda juga harus mengonfigurasi ulang aplikasi tersebut untuk menggunakan SSO dengan Microsoft Azure Active Directory. Untuk aplikasi yang tidak mendukung protokol federasi, tetapi mendukung autentikasi berbasis formulir, sebaiknya konfigurasikan aplikasi untuk menggunakan vaulting kata sandi dengan Proksi Aplikasi Microsoft Azure Active Directory.

AppProxy Password-based Sign-on

Catatan

Jika Anda tidak memiliki mekanisme untuk menemukan aplikasi yang tidak dikelola di organisasi Anda, sebaiknya terapkan proses penemuan menggunakan solusi cloud access security broker (CASB) seperti Aplikasi Pertahanan Microsoft untuk Cloud.

Terakhir, jika Anda memiliki galeri aplikasi Microsoft Azure Active Directory dan menggunakan aplikasi yang mendukung SSO dengan Microsoft Azure Active Directory, sebaiknya cantumkan aplikasi di galeri aplikasi.

Migrasi aplikasi Layanan Federasi Direktori Aktif ke Microsoft Azure Active Directory

Migrasi aplikasi dari Layanan Federasi Direktori Aktif ke Microsoft Azure Active Directory mengaktifkan kemampuan tambahan pada keamanan, pengelolaan yang lebih konsisten, dan pengalaman kolaborasi yang lebih baik. Jika Anda memiliki aplikasi yang dikonfigurasi dalam Layanan Federasi Direktori Aktif yang mendukung SSO dengan Microsoft Azure Active Directory, Anda harus mengonfigurasi ulang aplikasi tersebut untuk menggunakan SSO dengan Microsoft Azure Active Directory. Jika Anda memiliki aplikasi yang dikonfigurasi di Layanan Federasi Direktori Aktif dengan konfigurasi yang tidak biasa yang tidak didukung oleh Microsoft Azure Active Directory, Anda harus menghubungi pemilik aplikasi untuk memahami apakah konfigurasi khusus tersebut merupakan persyaratan mutlak aplikasi. Jika tidak diperlukan, Anda harus mengonfigurasi ulang aplikasi untuk menggunakan SSO dengan Microsoft Azure Active Directory.

Azure AD as the primary identity provider

Catatan

Azure AD Connect Health for ADFS dapat digunakan untuk mengumpulkan detail konfigurasi tentang tiap aplikasi yang berpotensi dimigrasikan ke Microsoft Azure Active Directory.

Menetapkan pengguna ke aplikasi

Menetapkan pengguna ke aplikasi paling baik dipetakan saat menggunakan grup, karena mereka memungkinkan fleksibilitas dan kemampuan yang lebih besar untuk mengelola sesuai skala. Manfaat menggunakan grup termasuk keanggotaan grup dinamis berbasis atribut dan delegasi untuk pemilik aplikasi. Oleh karena itu, jika Anda sudah menggunakan dan mengelola grup, sebaiknya lakukan tindakan berikut untuk meningkatkan manajemen sesuai skala:

  • Mendelegasikan manajemen grup dan tata kelola kepada pemilik aplikasi.
  • Mengizinkan akses layanan mandiri ke aplikasi.
  • Menentukan grup dinamis jika atribut pengguna dapat secara konsisten menentukan akses ke aplikasi.
  • Menerapkan pengesahan ke grup yang digunakan untuk akses aplikasi menggunakan ulasan akses Microsoft Azure Active Directory.

Di sisi lain, jika Anda menemukan aplikasi yang memiliki penugasan ke pengguna individual, pastikan untuk menerapkan tata kelola di sekitar aplikasi tersebut.

Kebijakan akses

Lokasi bernama

Dengan lokasi bernama di Microsoft Azure Active Directory, Anda dapat memberi label rentang alamat IP tepercaya di organisasi Anda. Microsoft Azure Active Directory menggunakan lokasi bernama untuk:

  • Mencegah positif palsu dalam kejadian risiko. Masuk dari lokasi jaringan tepercaya menurunkan risiko masuk pengguna.
  • Mengonfigurasikan Akses Bersyarat berbasis lokasi.

Named location

Berdasarkan prioritas, gunakan tabel di bawah ini untuk menemukan solusi yang direkomendasikan yang paling sesuai dengan kebutuhan organisasi Anda:

Prioritas Skenario Rekomendasi
1 Jika Anda menggunakan PHS atau PTA dan lokasi bernama belum ditentukan Tentukan lokasi bernama untuk meningkatkan deteksi kejadian risiko
2 Jika Anda difederasi dan tidak menggunakan klaim "insideCorporateNetwork" serta lokasi bernama belum ditentukan Tentukan lokasi bernama untuk meningkatkan deteksi kejadian risiko
3 Jika Anda tidak menggunakan lokasi bernama dalam kebijakan akses bersyarat dan tidak ada risiko atau kontrol perangkat dalam kebijakan akses bersyarat Mengonfigurasi kebijakan akses bersyarat untuk menyertakan lokasi bernama
4 Jika Anda difederasi dan menggunakan klaim "insideCorporateNetwork" serta lokasi bernama belum ditentukan Tentukan lokasi bernama untuk meningkatkan deteksi kejadian risiko
5 Jika Anda menggunakan alamat IP tepercaya dengan MFA daripada lokasi bernama dan menandainya sebagai tepercaya Menentukan lokasi bernama dan menandainya sebagai tepercaya untuk meningkatkan deteksi kejadian risiko

Kebijakan akses berbasis risiko

Microsoft Azure Active Directory dapat menghitung risiko untuk tiap masuk dan tiap pengguna. Menggunakan risiko sebagai kriteria dalam kebijakan akses dapat memberikan pengalaman pengguna yang lebih baik, misalnya, lebih sedikit permintaan autentikasi, dan keamanan yang lebih baik, misalnya, hanya meminta pengguna ketika diperlukan, dan mengotomatiskan respons dan perbaikan.

Sign-in risk policy

Jika Anda sudah memiliki lisensi Azure Active Directory Premium P2 yang mendukung penggunaan risiko dalam kebijakan akses, tetapi tidak digunakan, kami sangat menyarankan untuk menambahkan risiko ke postur keamanan Anda.

Kebijakan akses aplikasi klien

Microsoft Intune Application Management (MAM) menyediakan kemampuan untuk mendorong kontrol perlindungan data seperti enkripsi penyimpanan, PIN, pembersihan penyimpanan jarak jauh, dll. agar kompatibel dengan aplikasi seluler klien seperti Outlook Mobile. Selain itu, kebijakan akses bersyarat dapat dibuat untuk membatasi akses ke layanan cloud seperti Exchange Online dari aplikasi yang disetujui atau kompatibel.

Jika karyawan Anda menginstal aplikasi berkemampuan MAM seperti aplikasi seluler Office untuk mengakses sumber daya perusahaan seperti Exchange Online atau SharePoint Online, dan Anda juga mendukung BYOD (bawa perangkat Anda sendiri), sebaiknya terapkan kebijakan MAM aplikasi untuk mengelola konfigurasi aplikasi di perangkat yang dimiliki secara pribadi tanpa pendaftaran MDM, lalu perbarui kebijakan akses bersyarat Anda untuk hanya mengizinkan akses dari klien berkemampuan MAM.

Conditional Access Grant control

Jika karyawan menginstal aplikasi berkemampuan MAM pada sumber daya perusahaan dan akses dibatasi pada perangkat Intune Managed, Anda harus mempertimbangkan untuk menyebarkan kebijakan MAM aplikasi untuk mengelola konfigurasi aplikasi untuk perangkat pribadi, dan memperbarui kebijakan Akses Bersyarat untuk hanya mengizinkan akses dari klien yang berkemampuan MAM.

Implementasi Akses Bersyarat

Akses Bersyarat adalah alat penting untuk meningkatkan postur keamanan organisasi Anda. Oleh karena itu, penting bagi Anda untuk mengikuti praktik terbaik ini:

  • Memastikan semua aplikasi SaaS memiliki setidaknya satu kebijakan yang diterapkan
  • Menghindari penggabungan filter Semua aplikasi dengan kontrol blokir untuk menghindari risiko penguncian
  • Menghindari penggunaan Semua pengguna sebagai filter dan secara tidak sengaja menambahkan Tamu
  • Memigrasikan semua kebijakan "warisan" ke portal Microsoft Azure
  • Menangkap semua kriteria untuk pengguna, perangkat, dan aplikasi
  • Menggunakan kebijakan Akses Bersyarat untuk menerapkan MFA, bukan menggunakan MFA per pengguna
  • Memiliki seperangkat kebijakan inti kecil yang dapat berlaku untuk beberapa aplikasi
  • Menentukan grup pengecualian kosong dan menambahkan ke kebijakan untuk memiliki strategi pengecualian
  • Merencanakan tindakan darurat akun tanpa kontrol MFA
  • Memastikan pengalaman yang konsisten pada seluruh aplikasi klien Microsoft 365, misalnya, Teams, OneDrive, Outlook, dll.) dengan menerapkan serangkaian kontrol yang sama bagi layanan seperti Exchange Online dan SharePoint Online
  • Penugasan terhadap kebijakan harus diterapkan melalui grup, bukan individu
  • Melakukan tinjauan rutin terhadap grup pengecualian yang digunakan dalam kebijakan untuk membatasi waktu pengguna berada di luar postur keamanan. Jika Anda memiliki Microsoft Azure Active Directory P2, Anda dapat menggunakan tinjauan akses untuk mengotomatiskan proses

Area permukaan akses

Autentikasi warisan

Kredensial yang kuat seperti MFA tidak dapat melindungi aplikasi menggunakan protokol autentikasi warisan, yang menjadikannya vektor serangan yang disukai oleh aktor jahat. Mengunci autentikasi warisan sangat penting untuk meningkatkan postur keamanan akses.

Autentikasi warisan adalah istilah yang mengacu pada protokol autentikasi yang digunakan oleh aplikasi seperti:

  • Klien Office lama yang tidak menggunakan autentikasi modern (misalnya, klien Office 2010)
  • Klien yang menggunakan protokol email seperti IMAP/SMTP/POP

Penyerang sangat menyukai protokol ini - pada kenyataannya, hampir 100% serangan password spray menggunakan protokol autentikasi warisan! Peretas menggunakan protokol autentikasi warisan, karena mereka tidak mendukung masuk interaktif, yang diperlukan untuk tantangan keamanan tambahan seperti autentikasi multifaktor dan autentikasi perangkat.

Jika autentikasi warisan banyak digunakan di lingkungan Anda, Anda sesegera mungkin harus berencana untuk memigrasikan klien warisan ke klien yang mendukung autentikasi modern. Dalam token yang sama, jika Anda memiliki beberapa pengguna yang sudah menggunakan autentikasi modern, tetapi yang lainnya masih menggunakan autentikasi warisan, Anda harus mengambil langkah-langkah berikut untuk mengunci klien autentikasi warisan:

  1. Gunakan laporan Aktivitas Masuk untuk mengidentifikasi pengguna yang masih menggunakan autentikasi warisan dan merencanakan remediasi:

    a. Tingkatkan ke klien berkemampuan autentikasi modern untuk pengguna yang terpengaruh.

    b. Rencanakan kerangka waktu langsung untuk mengunci per langkah di bawah ini.

    c. Identifikasi aplikasi warisan apa yang memiliki dependensi keras pada autentikasi warisan. Lihat langkah 3 di bawah ini.

  2. Nonaktifkan protokol warisan di sumber (misalnya Exchange Mailbox) untuk pengguna yang tidak menggunakan auth warisan untuk menghindari lebih banyak paparan.

  3. Untuk akun yang tersisa (idealnya identitas non-manusia seperti akun layanan), gunakan pasca-autentikasi akses bersyarat untuk membatasi protokol warisan.

Dalam serangan pemberian persetujuan terlarang, penyerang membuat aplikasi terdaftar Microsoft Azure Active Directory yang meminta akses ke data seperti informasi kontak, email, atau dokumen. Pengguna mungkin memberikan persetujuan untuk aplikasi berbahaya melalui serangan phishing saat mendarat di situs web berbahaya.

Di bawah ini adalah daftar aplikasi dengan izin yang mungkin ingin Anda teliti untuk layanan cloud Microsoft:

  • Aplikasi dengan Izin *.ReadWrite aplikasi atau yang didelegasikan
  • Aplikasi dengan izin yang didelegasikan dapat membaca, mengirim, atau mengelola email atas nama pengguna
  • Aplikasi yang diberikan menggunakan izin berikut:
Sumber daya Izin
Exchange Online EAS.AccessAsUser.All
EWS.AccessAsUser.All
Mail.Read
Microsoft Graph API Mail.Read
Mail.Read.Shared
Mail.ReadWrite
  • Aplikasi yang diberikan peniruan pengguna penuh dari pengguna yang masuk. Contohnya:
Sumber daya Izin
Microsoft Graph API Directory.AccessAsUser.All
REST API Azure user_impersonation

Untuk menghindari skenario ini, Anda harus merujuk ke mendeteksi dan memulihkan pemberian persetujuan terlarang di Office 365 untuk mengidentifikasi dan memperbaiki aplikasi apa pun dengan pemberian atau aplikasi terlarang yang memiliki lebih banyak pemberian daripada yang diperlukan. Selanjutnya, hapus semua layanan mandiri dan tetapkan prosedur tata kelola. Terakhir, jadwalkan ulasan rutin izin aplikasi dan hapus ketika tidak diperlukan.

Pengaturan pengguna dan grup

Di bawah ini adalah pengaturan pengguna dan grup yang dapat dikunci jika tidak ada kebutuhan bisnis eksplisit:

Pengaturan pengguna

  • Pengguna Eksternal - kolaborasi eksternal dapat terjadi secara organik di perusahaan dengan layanan seperti Teams, Power BI, SharePoint Online, dan Microsoft Azure Information Protection. Jika Anda memiliki batasan eksplisit untuk mengontrol kolaborasi eksternal yang dimulai pengguna, sebaiknya aktifkan pengguna eksternal menggunakan pengelolaan Pemberian Hak Microsoft Azure Active Directory atau operasi terkontrol seperti melalui staf dukungan Anda. Jika Anda tidak ingin mengizinkan kolaborasi eksternal organik untuk layanan, Anda dapat memblokir anggota agar tidak mengundang pengguna eksternal sepenuhnya. Atau, Anda juga dapat mengizinkan atau memblokir domain tertentu dalam undangan pengguna eksternal.
  • Registrasi Aplikasi - ketika Pendaftaran aplikasi diaktifkan, pengguna akhir dapat melakukan onboarding aplikasi sendiri dan memberikan akses ke data mereka. Contoh umum Pendaftaran aplikasi adalah pengguna yang mengaktifkan plug-in Outlook, atau asisten suara seperti Alexa dan Siri untuk membaca email dan kalender mereka atau mengirim email atas nama mereka. Jika pelanggan memutuskan untuk menonaktifkan Pendaftaran aplikasi, tim InfoSec dan IAM harus terlibat dalam manajemen pengecualian (pendaftaran aplikasi yang diperlukan berdasarkan persyaratan bisnis), karena mereka perlu mendaftarkan aplikasi dengan akun admin, dan kemungkinan besar harus merancang proses untuk mengoperasionalkan proses.
  • Portal Administrasi - organisasi dapat mengunci bilah Microsoft Azure Active Directory di portal Microsoft Azure agar non-administrator tidak dapat mengakses manajemen Microsoft Azure Active Directory di portal Microsoft Azure dan mengalami kebingungan. Buka pengaturan pengguna di portal manajemen Microsoft Azure Active Directory untuk membatasi akses:

Administration portal restricted access

Catatan

Non-adminstrator masih dapat mengakses antarmuka manajemen Microsoft Azure Active Directory melalui baris perintah dan antarmuka terprogram lainnya.

Pengaturan grup

Manajemen Grup Layanan Mandiri/Pengguna dapat membuat grup Keamanan/grup Microsoft 365. Jika tidak ada inisiatif layanan mandiri saat ini untuk grup di cloud, pelanggan mungkin memutuskan untuk menonaktifkannya hingga mereka siap menggunakan kemampuan ini.

Lalu lintas dari lokasi tidak terduga

Penyerang berasal dari berbagai belahan dunia. Kelola risiko ini menggunakan kebijakan akses bersyarat dengan lokasi sebagai syarat. Kondisi lokasi kebijakan Akses Bersyarat memungkinkan Anda memblokir akses untuk lokasi tempat tidak ada alasan bisnis untuk masuk.

Create a new named location

Jika tersedia, gunakan solusi security information and event management (SIEM) untuk menganalisis dan menemukan pola akses di seluruh wilayah. Jika Anda tidak menggunakan produk SIEM, atau tidak menelan informasi autentikasi dari Microsoft Azure Active Directory, sebaiknya gunakan Azure Monitor untuk mengidentifikasi pola akses di seluruh wilayah.

Penggunaan akses

Log Microsoft Azure Active Directory yang diarsipkan dan yang terintegrasi dengan rencana respons insiden

Memiliki akses ke aktivitas masuk, audit, dan kejadian risiko untuk Microsoft Azure Active Directory sangat penting untuk pemecahan masalah, analitik penggunaan, dan investigasi forensik. Microsoft Azure Active Directory menyediakan akses ke sumber-sumber ini melalui REST API yang memiliki periode penyimpanan terbatas. Sistem security information and event management (SIEM), atau teknologi arsip yang setara, adalah kunci untuk penyimpanan audit dan dukungan jangka panjang. Untuk mengaktifkan penyimpanan jangka panjang Log Microsoft Azure Active Directory, Anda harus menambahkannya ke solusi SIEM yang ada atau menggunakan Azure Monitor. Arsipkan log yang dapat digunakan sebagai bagian dari rencana respons insiden dan investigasi Anda.

Ringkasan

Ada 12 aspek untuk Infrastruktur identitas yang aman. Daftar ini akan membantu Anda lebih mengamankan dan mengelola kredensial, menentukan pengalaman autentikasi, mendelegasikan penugasan, mengukur penggunaan, dan menentukan kebijakan akses berdasarkan postur keamanan perusahaan.

  • Tetapkan pemilik ke tugas kunci.
  • Terapkan solusi untuk mendeteksi kata sandi yang lemah atau bocor, meningkatkan manajemen dan perlindungan kata sandi, dan lebih mengamankan akses pengguna ke sumber daya.
  • Kelola identitas perangkat untuk melindungi sumber daya Anda kapan saja dan dari lokasi mana pun.
  • Terapkan autentikasi tanpa kata sandi.
  • Sediakan mekanisme akses menyeluruh standar di seluruh organisasi.
  • Migrasikan aplikasi dari Layanan Federasi Direktori Aktif ke Microsoft Azure Active Directory untuk memungkinkan keamanan yang lebih baik dan pengelolaan yang lebih konsisten.
  • Tetapkan pengguna ke aplikasi menggunakan grup untuk memungkinkan fleksibilitas dan kemampuan yang lebih besar untuk mengelola sesuai skala.
  • Konfigurasikan kebijakan akses berbasis risiko.
  • Kunci protokol autentikasi warisan.
  • Deteksi dan pulihkan pemberian persetujuan terlarang.
  • Kunci pengaturan pengguna dan grup.
  • Aktifkan penyimpanan jangka panjang log Microsoft Azure Active Directory untuk pemecahan masalah, analitik penggunaan, dan investigasi forensik.

Langkah berikutnya

Mulai dengan pemeriksaan dan tindakan operasional tata kelola identitas.