Mengelola akses untuk aplikasi di lingkungan Anda

Tata Kelola ID Microsoft Entra memungkinkan Anda menyeimbangkan kebutuhan organisasi akan keamanan dan produktivitas karyawan dengan proses dan visibilitas yang tepat. Fitur-fiturnya memastikan bahwa orang yang tepat memiliki akses yang tepat ke sumber daya yang tepat di organisasi Anda di waktu yang tepat.

Organisasi dengan persyaratan kepatuhan atau rencana manajemen risiko memiliki aplikasi sensitif atau penting bagi bisnis. Sensitivitas aplikasi dapat didasarkan pada tujuannya atau data yang dikandungnya, seperti informasi keuangan atau informasi pribadi pelanggan organisasi. Untuk aplikasi tersebut, hanya sebagian dari semua pengguna di organisasi yang biasanya akan diberi wewenang untuk memiliki akses, dan akses hanya boleh diizinkan berdasarkan persyaratan bisnis yang di dokumentasikan. Sebagai bagian dari kontrol organisasi Anda untuk mengelola akses, Anda dapat menggunakan fitur Microsoft Entra untuk:

• menyiapkan akses yang sesuai
• memprovisikan pengguna ke aplikasi
• memberlakukan pemeriksaan akses
• menghasilkan laporan untuk menunjukkan bagaimana kontrol tersebut digunakan untuk memenuhi tujuan kepatuhan dan manajemen risiko Anda.

Selain skenario tata kelola akses aplikasi, Anda juga dapat menggunakan fitur Tata Kelola ID Microsoft Entra dan fitur Microsoft Entra lainnya untuk skenario lain, seperti meninjau dan menghapus pengguna dari organisasi lain atau mengelola pengguna yang dikecualikan dari kebijakan Akses Bersyariah. Jika organisasi Anda memiliki beberapa administrator di MICROSOFT Entra ID atau Azure, menggunakan B2B atau manajemen grup layanan mandiri, maka Anda harus merencanakan penyebaran tinjauan akses untuk skenario tersebut.

Persyaratan lisensi

Menggunakan fitur ini memerlukan lisensi Tata Kelola ID Microsoft Entra. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Tata Kelola ID Microsoft Entra dasar-dasar lisensi.

Mulai mengelola akses ke aplikasi

Tata Kelola ID Microsoft Entra dapat diintegrasikan dengan banyak aplikasi, menggunakan standar seperti OpenID Koneksi, SAML, SCIM, SQL, dan LDAP. Melalui standar ini, Anda dapat menggunakan ID Microsoft Entra dengan banyak aplikasi SaaS populer, aplikasi lokal, dan aplikasi yang telah dikembangkan organisasi Anda. Setelah Anda menyiapkan lingkungan Microsoft Entra, seperti yang dijelaskan di bagian di bawah ini, rencana tiga langkah mencakup cara menghubungkan aplikasi ke ID Microsoft Entra dan mengaktifkan fitur tata kelola identitas yang akan digunakan untuk aplikasi tersebut.

1. Menentukan kebijakan organisasi Anda untuk mengelola akses ke aplikasi
2. Integrasikan aplikasi dengan ID Microsoft Entra untuk memastikan hanya pengguna yang berwenang yang dapat mengakses aplikasi, dan meninjau akses pengguna yang ada ke aplikasi untuk mengatur garis besar semua pengguna yang telah ditinjau. Ini memungkinkan autentikasi dan provisi pengguna
3. Sebarkan kebijakan tersebut untuk mengontrol akses menyeluruh (SSO) serta mengotomatiskan penetapan akses untuk aplikasi tersebut

Prasyarat sebelum mengonfigurasi ID Microsoft Entra dan Tata Kelola ID Microsoft Entra untuk tata kelola identitas

Sebelum memulai proses mengatur akses aplikasi dari Tata Kelola ID Microsoft Entra, Anda harus memeriksa lingkungan Microsoft Entra Anda dikonfigurasi dengan tepat.

• Pastikan ID Microsoft Entra dan lingkungan Microsoft Online Services Anda siap untuk persyaratan kepatuhan agar aplikasi dapat diintegrasikan dan dilisensikan dengan benar. Kepatuhan adalah tanggung jawab bersama antara Microsoft, penyedia layanan cloud (CSP), dan organisasi. Untuk menggunakan ID Microsoft Entra untuk mengatur akses ke aplikasi, Anda harus memiliki salah satu kombinasi lisensi berikut di penyewa Anda:

  • Tata Kelola ID Microsoft Entra dan prasyaratnya, Microsoft Entra ID P1
  • Tata Kelola ID Microsoft Entra Step Up untuk Microsoft Entra ID P2 dan prasyaratnya, baik Microsoft Entra ID P2 atau Enterprise Mobility + Security (EMS) E5

  Penyewa Anda harus memiliki setidaknya lisensi sebanyak jumlah pengguna anggota (non-tamu) yang diatur, termasuk yang memiliki atau dapat meminta akses ke aplikasi, menyetujui, atau meninjau akses ke aplikasi. Dengan lisensi yang sesuai untuk pengguna tersebut, Anda kemudian dapat mengelola akses ke hingga 1500 aplikasi per pengguna.

• Jika Anda akan mengatur akses tamu ke aplikasi, tautkan penyewa Microsoft Entra Anda ke langganan untuk penagihan MAU. Langkah ini diperlukan sebelum meminta tamu atau meninjau akses mereka. Untuk informasi selengkapnya, lihat model penagihan untuk MICROSOFT Entra External ID.

• Periksa apakah MICROSOFT Entra ID sudah mengirim log auditnya, dan secara opsional log lain, ke Azure Monitor. Azure Monitor bersifat opsional, tetapi berguna untuk mengatur akses ke aplikasi, karena Microsoft Entra hanya menyimpan peristiwa audit hingga 30 hari di log auditnya. Anda dapat menyimpan data audit lebih lama dari periode retensi default, yang diuraikan dalam Berapa lama MICROSOFT Entra ID menyimpan data pelaporan?, dan menggunakan buku kerja Azure Monitor serta kueri dan laporan kustom tentang data audit historis. Anda dapat memeriksa konfigurasi Microsoft Entra untuk melihat apakah konfigurasi tersebut menggunakan Azure Monitor, di ID Microsoft Entra di pusat admin Microsoft Entra, dengan mengklik Buku Kerja. Jika integrasi ini tidak dikonfigurasi, dan Anda memiliki langganan Azure dan berada dalam Global Administrator peran atau Security Administrator , Anda dapat mengonfigurasi ID Microsoft Entra untuk menggunakan Azure Monitor.

• Pastikan hanya pengguna yang berwenang yang berada dalam peran administratif yang sangat istimewa di penyewa Microsoft Entra Anda. Administrator di Administrator Global, Administrator Tata Kelola Identitas, Administrator Pengguna, Administrator Aplikasi, Administrator Aplikasi Cloud, dan Administrator Peran Istimewa dapat membuat perubahan pada pengguna dan penetapan peran aplikasi mereka. Jika keanggotaan peran tersebut belum ditinjau baru-baru ini, Anda memerlukan pengguna yang berada di Administrator Global atau Administrator Peran Istimewa untuk memastikan bahwa tinjauan akses peran direktori ini dimulai. Anda juga harus memastikan bahwa pengguna dalam peran Azure dalam langganan yang menyimpan Azure Monitor, Logic Apps, dan sumber daya lain yang diperlukan untuk pengoperasian konfigurasi Microsoft Entra Anda telah ditinjau.

• Periksa bahwa penyewa Anda memiliki isolasi yang sesuai. Jika organisasi Anda menggunakan Direktori Aktif lokal, dan domain AD ini tersambung ke ID Microsoft Entra, maka Anda perlu memastikan bahwa operasi administratif yang sangat istimewa untuk layanan yang dihosting cloud diisolasi dari akun lokal. Periksa bahwa Anda telah mengonfigurasi sistem untuk melindungi lingkungan cloud Microsoft 365 Anda dari kompromi lokal.

Setelah Anda memeriksa lingkungan Microsoft Entra Anda siap, lalu lanjutkan untuk menentukan kebijakan tata kelola untuk aplikasi Anda.

Langkah berikutnya

• Menentukan kebijakan tata kelola
• Mengintegrasikan aplikasi dengan ID Microsoft Entra
• Menyebarkan kebijakan tata kelola