Panduan referensi operasi manajemen identitas dan akses Microsoft Entra
Bagian panduan referensi operasi Microsoft Entra ini menjelaskan pemeriksaan dan tindakan yang harus Anda pertimbangkan untuk mengamankan dan mengelola siklus hidup identitas dan penugasannya.
Catatan
Rekomendasi ini berlaku tanggal penerbitan, tetapi dapat berubah dari waktu ke waktu. Organisasi harus terus mengevaluasi praktik identitas mereka seiring berkembangnya produk dan layanan Microsoft dari waktu ke waktu.
Proses operasi kunci
Tetapkan pemilik ke tugas kunci
Mengelola ID Microsoft Entra memerlukan eksekusi berkelanjutan dari tugas dan proses operasional utama yang mungkin bukan bagian dari proyek peluncuran. Anda masih harus menyiapkan tugas-tugas ini untuk mempertahankan lingkungan Anda. Tugas kunci dan pemilik yang direkomendasikan meliputi:
| Tugas | Pemilik |
|---|---|
| Menentukan proses cara membuat langganan Microsoft Azure | Bervariasi menurut organisasi |
| Memutuskan pihak yang mendapatkan lisensi Enterprise Mobility + Security | Tim Operasi IAM |
| Memutuskan pihak yang mendapatkan lisensi Microsoft 365 | Tim Produktivitas |
| Memutuskan pihak yang mendapatkan lisensi lain, contohnya, Dynamics, Visual Studio Codespaces | Pemilik Aplikasi |
| Menetapkan lisensi | Tim Operasi IAM |
| Memecahkan masalah dan memperbaiki kesalahan penetapan lisensi | Tim Operasi IAM |
| Memprovisikan identitas ke aplikasi di ID Microsoft Entra | Tim Operasi IAM |
Saat meninjau daftar, Anda mungkin perlu menetapkan pemilik untuk tugas yang kehilangan pemilik atau menyesuaikan kepemilikan untuk tugas dengan pemilik yang tidak selaras dengan rekomendasi di atas.
Menetapkan bacaan yang direkomendasikan pemilik
Sinkronisasi identitas lokal
Mengidentifikasi dan mengatasi masalah sinkronisasi
Microsoft menyarankan agar Anda memiliki garis besar dan pemahaman baik tentang masalah di lingkungan lokal Anda yang dapat mengakibatkan masalah sinkronisasi ke cloud. Karena alat otomatis seperti IdFix dan Microsoft Entra Koneksi Health dapat menghasilkan volume positif palsu yang tinggi, kami sarankan Anda mengidentifikasi kesalahan sinkronisasi yang telah dibiarkan tanpa alamat selama lebih dari 100 hari dengan membersihkan objek tersebut dalam kesalahan. Kesalahan sinkronisasi jangka panjang yang belum terselesaikan dapat menghasilkan insiden dukungan. Pemecahan masalah kesalahan selama sinkronisasi memberikan gambaran umum tentang berbagai jenis kesalahan sinkronisasi, beberapa skenario yang dapat menyebabkan kesalahan tersebut dan cara potensial untuk memperbaiki kesalahan.
Konfigurasi Microsoft Entra Koneksi Sync
Untuk mengaktifkan semua pengalaman hibrid, postur keamanan berbasis perangkat, dan integrasi dengan MICROSOFT Entra ID, Anda harus menyinkronkan akun pengguna yang digunakan karyawan Anda untuk masuk ke desktop mereka.
Jika Anda tidak menyinkronkan pengguna hutan yang masuk, maka Anda harus mengubah sinkronisasi untuk berasal dari hutan yang tepat.
Lingkup sinkronisasi dan pemfilteran objek
Menghapus wadah objek yang diketahui yang tidak perlu disinkronkan memiliki manfaat operasi berikut:
- Lebih sedikit sumber kesalahan sinkronisasi
- Siklus sinkronisasi yang lebih cepat
- Kurang “sampah” untuk dibawa maju dari lokal, contohnya, polusi daftar alamat global untuk akun layanan lokal yang tidak relevan di cloud
Catatan
Jika menemukan bahwa Anda mengimpor banyak objek yang tidak diekspor ke cloud, Anda harus memfilter berdasarkan OU atau atribut tertentu.
Contoh objek yang akan dikecualikan adalah:
- Akun Layanan yang tidak digunakan untuk aplikasi cloud
- Grup yang tidak dimaksudkan untuk digunakan dalam skenario cloud seperti yang digunakan untuk memberikan akses ke sumber daya
- Pengguna atau kontak yang merupakan identitas eksternal yang dimaksudkan untuk diwakili dengan Microsoft Entra Kolaborasi B2B
- Akun Komputer tempat karyawan tidak dimaksudkan untuk mengakses aplikasi cloud, contohnya, server
Catatan
Jika identitas manusia tunggal memiliki beberapa akun yang diprovisi dari sesuatu seperti migrasi domain warisan, merger, atau akuisisi, Anda hanya harus menyinkronkan akun yang digunakan oleh pengguna setiap hari, contohnya, apa yang digunakan untuk masuk ke komputer mereka.
Idealnya, Anda ingin mencapai keseimbangan antara mengurangi jumlah objek untuk disinkronkan dan kompleksitas dalam aturan. Umumnya, kombinasi antara pemfilteran OU/kontainer ditambah pemetaan atribut sederhana ke atribut cloudFiltered adalah kombinasi pemfilteran yang efektif.
Penting
Jika Anda menggunakan pemfilteran grup dalam produksi, Anda harus beralih ke pendekatan pemfilteran lain.
Sinkronisasi kegagalan atau pemulihan bencana
Microsoft Entra Koneksi memainkan peran utama dalam proses provisi. Jika Server Sinkronisasi offline karena alasan apa pun, perubahan pada lokal tidak dapat diperbarui di cloud dan dapat mengakibatkan masalah akses bagi pengguna. Oleh karena itu, penting untuk menentukan strategi failover yang memungkinkan administrator untuk dengan cepat melanjutkan sinkronisasi setelah server sinkronisasi offline. Strategi tersebut dapat termasuk dalam kategori berikut:
- Menyebarkan Microsoft Entra Koneksi Server dalam Mode Penahapan - memungkinkan administrator untuk "mempromosikan" server penahapan ke produksi dengan sakelar konfigurasi sederhana.
- Gunakan Virtualisasi - Jika Microsoft Entra Koneksi disebarkan di komputer virtual (VM), admin dapat memanfaatkan tumpukan virtualisasi mereka untuk melakukan migrasi langsung atau menyebarkan ulang VM dengan cepat dan oleh karena itu melanjutkan sinkronisasi.
Jika organisasi Anda tidak memiliki strategi pemulihan bencana dan failover untuk Sinkronisasi, Anda tidak boleh ragu untuk menyebarkan Microsoft Entra Koneksi dalam Mode Penahapan. Demikian juga, jika ada ketidakcocokan antara konfigurasi produksi dan penahapan, Anda harus menggarisbawarkan ulang mode penahapan Microsoft Entra Koneksi agar sesuai dengan konfigurasi produksi, termasuk versi dan konfigurasi perangkat lunak.
Tetap terkini
Microsoft memperbarui Microsoft Entra Koneksi secara teratur. Tetap terkini untuk memanfaatkan peningkatan kinerja, perbaikan bug, dan kemampuan baru yang disediakan setiap versi baru.
Jika versi Microsoft Entra Koneksi Anda lebih dari enam bulan, Anda harus meningkatkan ke versi terbaru.
Jangkar sumber
Menggunakan ms-DS-consistencyguid sebagai jangkar sumber memungkinkan migrasi objek yang lebih mudah di seluruh hutan dan domain, yang umum dalam konsolidasi/pembersihan Domain AD, merger, akuisisi, dan divestasi.
Jika saat ini Anda menggunakan ObjectGuid sebagai jangkar sumber, kami sarankan Anda beralih menggunakan ms-DS-ConsistencyGuid.
Aturan kustom
Aturan kustom Microsoft Entra Koneksi menyediakan kemampuan untuk mengontrol alur atribut antara objek lokal dan objek cloud. Namun, menggunakan atau menyalahgunakan aturan kustom secara berlebihan dapat memperkenalkan risiko berikut:
- Kompleksitas pemecahan masalah
- Degradasi kinerja saat melakukan operasi yang kompleks di seluruh objek
- Probabilitas yang lebih tinggi dari divergensi konfigurasi antara server produksi dan server pentahapan
- Overhead tambahan saat meningkatkan Microsoft Entra Koneksi jika aturan kustom dibuat dalam prioritas lebih besar dari 100 (digunakan oleh aturan bawaan)
Jika Anda menggunakan aturan yang terlalu kompleks, Anda harus menyelidiki alasan kompleksitas dan menemukan peluang untuk penyederhanaan. Demikian juga, jika Anda telah membuat aturan kustom dengan nilai prioritas di atas 100, Anda harus memperbaiki aturan sehingga tidak berisiko atau bertentangan dengan kumpulan default.
Contoh menyalahgunakan aturan kustom meliputi:
- Kompensasi data kotor dalam direktori - Dalam hal ini, disarankan untuk bekerja dengan pemilik tim AD dan membersihkan data di direktori sebagai tugas remediasi, dan menyesuaikan proses untuk menghindari pengenalan ulang data yang buruk.
- Remediasi satu kali pengguna individu - Adalah umum untuk menemukan aturan bahwa outlier kasus khusus, biasanya karena masalah dengan pengguna tertentu.
- "CloudFiltering" yang terlalu rumit - Meskipun mengurangi jumlah objek adalah praktik yang baik, ada risiko pembuatan dan cakupan sinkronisasi yang terlalu rumit menggunakan banyak aturan sinkronisasi. Jika ada logika kompleks untuk menyertakan/mengecualikan objek di luar pemfilteran OU, disarankan untuk menangani logika ini di luar sinkronisasi dan memberi label objek dengan atribut "cloudFiltered" sederhana yang dapat mengalir dengan Aturan Sinkronisasi sederhana.
Dokumentasi konfigurasi Microsoft Entra Koneksi
Microsoft Entra Koneksi Configuration Documenter adalah alat yang dapat Anda gunakan untuk menghasilkan dokumentasi penginstalan Microsoft Entra Koneksi untuk memungkinkan pemahaman yang lebih baik tentang konfigurasi sinkronisasi, membangun keyakinan untuk mendapatkan hal-hal yang benar, dan untuk mengetahui apa yang diubah saat Anda menerapkan build atau konfigurasi baru Microsoft Entra Koneksi atau menambahkan atau memperbarui aturan sinkronisasi kustom. Kemampuan alat saat ini meliputi:
- Dokumentasi konfigurasi lengkap Microsoft Entra Koneksi Sync.
- Dokumentasi perubahan apa pun dalam konfigurasi dua server Microsoft Entra Koneksi Sync atau perubahan dari garis besar konfigurasi tertentu.
- Pembuatan skrip penyebaran PowerShell untuk memigrasi perbedaan aturan sinkronisasi atau kustomisasi dari satu server ke server lainnya.
Penugasan ke aplikasi dan sumber daya
Lisensi berbasis grup untuk layanan cloud Microsoft
ID Microsoft Entra menyederhanakan pengelolaan lisensi melalui lisensi berbasis grup untuk layanan cloud Microsoft. Dengan cara ini, IAM menyediakan infrastruktur grup dan manajemen yang didelegasikan dari berbagai grup tersebut kepada tim yang tepat dalam organisasi. Ada beberapa cara untuk menyiapkan keanggotaan grup di ID Microsoft Entra, termasuk:
Disinkronkan dari lokal - Grup dapat berasal dari direktori lokal, yang mungkin cocok untuk organisasi yang telah menetapkan proses manajemen grup yang dapat diperluas untuk menetapkan lisensi di Microsoft 365.
Berbasis atribut/dinamis - Grup dapat dibuat di cloud didasarkan pada ekspresi didasarkan pada atribut pengguna, contohnya, Departemen sama dengan “penjualan”. MICROSOFT Entra ID mempertahankan anggota grup, menjaganya tetap konsisten dengan ekspresi yang ditentukan. Menggunakan grup semacam ini untuk penetapan lisensi mengaktifkan penetapan lisensi berbasis atribut, yang cocok untuk organisasi yang memiliki kualitas data tinggi di direktori.
Kepemilikan yang didelegasikan - Grup dapat dibuat di cloud dan dapat ditunjuk sebagai pemilik. Dengan cara ini, Anda dapat memberdayakan pemilik bisnis, contohnya, tim Kolaborasi atau tim BI, untuk menentukan siapa yang harus memiliki akses.
Jika saat ini Anda menggunakan proses manual untuk menetapkan lisensi dan komponen kepada pengguna, kami sarankan Anda menerapkan lisensi berbasis grup. Jika proses Anda saat ini tidak memantau kesalahan lisensi atau apa yang Ditetapkan versus Tersedia, Anda harus menentukan peningkatan pada proses untuk mengatasi kesalahan lisensi dan memantau penetapan lisensi.
Aspek lain dari manajemen lisensi adalah definisi paket layanan (komponen lisensi) yang harus diaktifkan didasarkan pada fungsi pekerjaan dalam organisasi. Memberikan akses ke paket layanan yang tidak diperlukan, dapat mengakibatkan pengguna melihat alat di portal Office yang belum mereka latih atau tidak boleh digunakan. Hal ini dapat mendorong volume meja bantuan tambahan, provisi yang tidak perlu, serta membahayakan kepatuhan dan tata kelola, contohnya, saat provisi OneDrive for Business kepada individu yang mungkin tidak diizinkan berbagi konten.
Gunakan panduan berikut untuk menentukan paket layanan kepada pengguna:
- Admin harus mendefinisikan “bundel” paket layanan yang akan ditawarkan kepada pengguna didasarkan pada peran mereka, misalnya, pekerja kerah putih versus pekerja lantai.
- Buat grup berdasarkan klaster dan tetapkan lisensi dengan paket layanan.
- Secara opsional, atribut dapat didefinisikan untuk menyimpan paket bagi pengguna.
Penting
Lisensi berbasis grup di MICROSOFT Entra ID memperkenalkan konsep pengguna dalam status kesalahan lisensi. Jika melihat adanya kesalahan lisensi, maka Anda harus segera mengidentifikasi dan menyelesaikan masalah penetapan lisensi.
Manajemen siklus hidup
Jika saat ini Anda menggunakan alat, seperti Microsoft Identity Manager atau sistem pihak ketiga, yang bergantung pada infrastruktur lokal, kami sarankan Anda membongkar penugasan dari alat yang ada, menerapkan lisensi berbasis grup dan menentukan manajemen siklus hidup grup berdasarkan grup. Demikian juga, jika proses Anda yang ada tidak memperhitungkan karyawan atau karyawan baru yang meninggalkan organisasi, Anda harus menggunakan lisensi berbasis grup didasarkan pada grup dinamis dan menentukan siklus hidup keanggotaan grup. Terakhir, jika lisensi berbasis grup disebarkan terhadap grup lokal yang tidak memiliki manajemen siklus hidup, pertimbangkan menggunakan grup cloud untuk mengaktifkan kemampuan seperti kepemilikan yang didelegasikan atau keanggotaan dinamis berbasis atribut.
Penetapan aplikasi dengan grup “Semua pengguna”
Pemilik sumber daya dapat percaya bahwa grup Semua pengguna hanya terdiri atas Karyawan Perusahaan ketika mereka mungkin benar-benar terdiri atas Karyawan Perusahaan dan Tamu. Akibatnya, Anda harus berhati-hati ketika menggunakan grup Semua pengguna untuk penetapan aplikasi dan memberikan akses ke sumber daya seperti konten atau aplikasi SharePoint.
Penting
Jika grup Semua pengguna diaktifkan dan digunakan untuk kebijakan Akses Bersyar, aplikasi, atau penetapan sumber daya, pastikan untuk mengamankan grup jika Anda tidak ingin grup menyertakan pengguna tamu. Selain itu, Anda harus memperbaiki tugas lisensi dengan membuat dan menetapkan ke grup yang hanya terdiri atas Karyawan Perusahaan. Di sisi lain, jika Anda menemukan bahwa grup Semua pengguna diaktifkan tetapi tidak digunakan untuk memberikan akses ke sumber daya, pastikan panduan operasi organisasi Anda adalah sengaja menggunakan grup tersebut (yang mencakup Karyawan Perusahaan dan Tamu).
Provisi pengguna yang diautomasi ke aplikasi
Provisi pengguna otomatis untuk aplikasi adalah cara terbaik untuk menciptakan provisi, deprovisi, dan siklus hidup identitas yang konsisten di berbagai sistem.
Jika saat ini Anda memprovisikan aplikasi dengan cara ad-hoc atau menggunakan hal-hal seperti file CSV, JIT, atau solusi lokal yang tidak mengatasi manajemen siklus hidup, kami sarankan Anda menerapkan provisi aplikasi dengan ID Microsoft Entra untuk aplikasi yang didukung dan menentukan pola yang konsisten untuk aplikasi yang belum didukung oleh ID Microsoft Entra.
Garis besar siklus sinkronisasi delta Microsoft Entra Koneksi
Penting untuk memahami volume perubahan di organisasi Anda dan memastikan bahwa tidak perlu waktu terlalu lama untuk memiliki waktu sinkronisasi yang dapat diprediksi.
Frekuensi sinkronisasi delta default adalah 30 menit. Jika sinkronisasi delta memakan waktu lebih dari 30 menit secara konsisten, atau ada perbedaan signifikan antara performa sinkronisasi delta penahapan dan produksi, Anda harus menyelidiki dan meninjau faktor-faktor yang memengaruhi performa Microsoft Entra Koneksi.
Pembacaan rekomendasi pemecahan masalah Microsoft Entra Koneksi
- Menyiapkan atribut direktori untuk sinkronisasi dengan Microsoft 365 dengan menggunakan alat IdFix
- Microsoft Entra Koneksi: Pemecahan Masalah Kesalahan selama sinkronisasi
Ringkasan
Ada lima aspek untuk infrastruktur Identitas yang aman. Daftar ini akan membantu Anda dengan cepat menemukan dan mengambil tindakan yang diperlukan untuk mengamankan dan mengelola siklus hidup identitas dan haknya di organisasi Anda.
- Tetapkan pemilik ke tugas kunci.
- Menemukan dan mengatasi masalah sinkronisasi.
- Tentukan strategi kegagalan untuk pemulihan bencana.
- Sederhanakan manajemen lisensi dan penetapan aplikasi.
- Provisi pengguna otomatis ke aplikasi.
Langkah berikutnya
Mulai dengan Pemeriksaan dan tindakan manajemen autentikasi.