Apa itu Azure Active Directory Identity Governance?

Azure Active Directory (Azure AD) Identity Governance memungkinkan Anda menyeimbangkan kebutuhan organisasi Anda akan keamanan dan produktivitas karyawan dengan proses dan visibilitas yang tepat. Fitur ini memberi Anda kemampuan untuk memastikan bahwa orang yang tepat memiliki akses yang tepat ke sumber daya yang tepat. Fitur Azure AD dan Enterprise Mobility + Security ini dan terkait memungkinkan Anda untuk mengurangi risiko akses dengan melindungi, memantau, dan mengaudit akses ke aset penting sambil memastikan produktivitas karyawan dan mitra bisnis.

Manajemen Identitas memberi organisasi kemampuan untuk melakukan tugas-tugas berikut di seluruh karyawan, mitra bisnis, dan vendor, serta di seluruh layanan dan aplikasi baik lokal maupun di cloud:

  • Mengatur siklus hidup identitas
  • Mengatur siklus hidup akses
  • Mengamankan akses istimewa untuk administrasi

Secara khusus, hal ini dimaksudkan untuk membantu organisasi mengatasi empat pertanyaan utama ini:

  • Pengguna yang harus memiliki akses ke sumber daya tertentu?
  • Apa yang dilakukan pengguna tersebut dengan akses tersebut?
  • Apakah ada kontrol organisasi yang efektif untuk mengelola akses?
  • Dapatkah auditor memverifikasi bahwa kontrol berfungsi?

Siklus hidup identitas

Identity Governance membantu organisasi mencapai keseimbangan antara produktivitas - Seberapa cepat seseorang dapat mengakses sumber daya yang mereka butuhkan, seperti saat mereka bergabung dengan organisasi saya? Dan keamanan - Bagaimana akses mereka harus berubah dari waktu ke waktu, seperti karena perubahan status pekerjaan orang tersebut? Manajemen siklus hidup identitas adalah dasar untuk Identity Governance, dan tata kelola yang efektif dalam skala besar memerlukan modernisasi infrastruktur manajemen siklus hidup identitas untuk aplikasi.

Siklus hidup identitas

Bagi banyak organisasi, siklus hidup identitas untuk karyawan terkait dengan representasi pengguna tersebut dalam sistem HCM (manajemen sumber daya manusia). Microsoft Azure AD Premium secara otomatis memelihara identitas pengguna untuk orang-orang yang diwakili dalam Workday dan SuccessFactors baik di Active Directory Domain Services dan Microsoft Azure AD, seperti yang dijelaskan dalam aplikasi SDM cloud untuk panduan perencanaan provisi pengguna Microsoft Azure AD. Azure Active Directory Premium juga menyertakan Microsoft Identity Manager, yang dapat mengimpor rekaman dari sistem HCM lokal seperti SAP HCM, Oracle eBusiness, dan Oracle PeopleSoft.

Semakin banyak, skenario memerlukan kolaborasi dengan orang-orang di luar organisasi Anda. Kolaborasi Azure Active Directory B2B memungkinkan Anda berbagi aplikasi dan layanan organisasi dengan aman dengan pengguna tamu dan mitra eksternal dari organisasi mana pun, sambil mempertahankan kontrol atas data perusahaan Anda sendiri. Pengelolaan pemberian hak Azure Active Directory memungkinkan Anda memilih pengguna organisasi mana yang diizinkan untuk meminta akses dan ditambahkan sebagai tamu B2B ke direktori organisasi Anda, dan memastikan bahwa tamu ini dihapus saat mereka tidak lagi memerlukan akses.

Organisasi dapat mengotomatiskan proses manajemen siklus hidup identitas dengan menggunakan Alur Kerja Siklus Hidup. Alur kerja dapat dibuat untuk menjalankan tugas secara otomatis bagi pengguna sebelum mereka memasuki organisasi, saat mereka mengubah status selama waktu mereka di organisasi, dan saat mereka meninggalkan organisasi. Misalnya, alur kerja dapat dikonfigurasi untuk mengirim email dengan kata sandi sementara ke manajer pengguna baru, atau email selamat datang untuk pengguna pada hari pertama mereka.

Mengakses siklus hidup

Organisasi memerlukan proses untuk mengelola akses di luar apa yang awalnya disediakan untuk pengguna saat identitas pengguna tersebut dibuat. Selain itu, organisasi perusahaan harus dapat menskalakan secara efisien untuk dapat mengembangkan dan menegakkan kebijakan dan kontrol akses secara berkelanjutan.

Mengakses siklus hidup

Biasanya, delegasi IT mengakses keputusan persetujuan kepada pembuat keputusan bisnis. Selain itu, IT dapat melibatkan pengguna itu sendiri. Misalnya, pengguna yang mengakses data pelanggan rahasia dalam aplikasi pemasaran perusahaan di Eropa perlu mengetahui kebijakan perusahaan. Pengguna tamu mungkin tidak menyadari persyaratan penanganan data dalam organisasi tempat mereka telah diundang.

Organisasi dapat mengotomatiskan proses siklus hidup akses melalui teknologi seperti grup dinamis, ditambah dengan penyediaan pengguna ke aplikasi SaaS atau aplikasi yang terintegrasi dengan SCIM. Organisasi juga dapat mengontrol pengguna tamu mana yang memiliki akses ke aplikasi lokal. Hak akses ini kemudian dapat ditinjau secara berkala menggunakan tinjauan akses Azure Active Directory berulang. Pengelolaan pemberian hak Azure Active Directory juga memungkinkan Anda menentukan bagaimana pengguna meminta akses di seluruh paket keanggotaan grup dan tim, peran aplikasi, dan peran SharePoint Online. Untuk mengetahui informasi selengkapnya, lihat bagian menyederhanakan tugas tata kelola identitas dengan otomatisasi di bawah ini untuk memilih fitur Azure AD yang sesuai untuk skenario otomatisasi siklus hidup akses Anda.

Akses siklus hidup dapat diotomatisasi menggunakan alur kerja. Alur kerja dapat dibuat untuk menambahkan pengguna ke grup secara otomatis, di mana akses ke aplikasi dan sumber daya diberikan. Pengguna juga dapat dipindahkan ketika kondisi mereka dalam organisasi berubah ke grup yang berbeda dan bahkan dapat dihapus sepenuhnya dari semua grup.

Saat pengguna mencoba mengakses aplikasi, Azure Active Directory memberlakukan kebijakan Akses Bersyarat. Misalnya, kebijakan Akses Bersyarat dapat mencakup menampilkan persyaratan penggunaan dan memastikan pengguna telah menyetujui persyaratan tersebut sebelum dapat mengakses aplikasi. Untuk informasi selengkapnya, lihat mengatur akses ke aplikasi di lingkungan Anda.

Siklus hidup akses istimewa

Secara historis, akses istimewa telah dijelaskan oleh vendor lain sebagai kemampuan terpisah dari Identity Governance. Namun, di Microsoft, menurut kami mengatur akses istimewa adalah bagian penting dari Tata Kelola Identitas, terutama mengingat potensi penyalahgunaan yang terkait dengan hak administrator tersebut dapat menyebabkan organisasi. Karyawan, vendor, dan kontraktor yang mengambil hak administratif perlu diatur.

Siklus hidup akses istimewa

Azure Active Directory Privileged Identity Management (PIM) menyediakan kontrol tambahan yang disesuaikan untuk mengamankan hak akses untuk sumber daya, di Azure Active Directory, Azure, dan Layanan Online Microsoft lainnya. Akses tepat waktu, dan kemampuan peringatan perubahan peran yang disediakan oleh Azure Active Directory Privileged Identity Management, selain autentikasi multifaktor dan Akses Bersyarat, menyediakan serangkaian kontrol tata kelola yang komprehensif untuk membantu mengamankan sumber daya perusahaan Anda (peran sumber daya direktori, Microsoft 365, dan Azure). Seperti halnya bentuk akses lainnya, organisasi dapat menggunakan tinjauan akses untuk mengonfigurasi sertifikasi ulang akses berulang untuk semua pengguna dalam peran administrator.

Kapabilitas tata kelola di fitur Azure Active Directory lainnya

Selain fitur yang tercantum di atas, fitur Azure Active Directory tambahan yang sering digunakan untuk menyediakan skenario tata kelola identitas meliputi:

Kemampuan Skenario Fitur
Siklus hidup identitas (karyawan) Admin dapat mengaktifkan penyediaan akun pengguna dari Workday atau SDM cloud SuccessFactors, atau SDM lokal. SDM cloud ke penyediaan pengguna Azure Active Directory
Siklus hidup identitas (tamu) Admin dapat mengaktifkan orientasi pengguna tamu layanan mandiri dari penyewa Azure Active Directory lain, federasi langsung, One Time Passcode (OTP) atau akun Google. Pengguna tamu secara otomatis disediakan dan dicabut sesuai dengan kebijakan siklus hidup. Pengelolaan pemberian hak menggunakan B2B
Pengelolaan pemberian hak Pemilik sumber daya dapat membuat paket akses yang berisi aplikasi, Teams, Grup Azure Active Directory dan Microsoft 365, serta situs SharePoint Online. Pengelolaan pemberian hak
Alur Kerja Siklus Hidup Admin dapat mengaktifkan otomatisasi proses siklus hidup berdasarkan kondisi pengguna. Alur Kerja Siklus Hidup
Permintaan akses Pengguna akhir dapat meminta keanggotaan grup atau akses aplikasi. Pengguna akhir, termasuk tamu dari organisasi lain, dapat meminta akses ke paket akses. Pengelolaan pemberian hak
Alur kerja Pemilik sumber daya dapat menentukan pemberi persetujuan dan pemberi persetujuan eskalasi untuk permintaan akses dan pemberi persetujuan untuk permintaan aktivasi peran. Pengelolaan pemberian hak dan Privileged Identity Management
Kebijakan dan manajemen peran Admin dapat menentukan kebijakan akses bersyarat untuk akses run-time ke aplikasi. Pemilik sumber daya dapat menentukan kebijakan untuk akses pengguna melalui paket akses. Kebijakan Akses bersyarat dan Pengelolaan pemberian hak
Sertifikasi akses Admin dapat mengaktifkan sertifikasi ulang akses berulang untuk: Aplikasi SaaS, aplikasi lokal, keanggotaan grup cloud, penetapan peran Azure AD atau Sumber Daya Azure. Hapus akses sumber daya secara otomatis, blokir akses tamu, dan hapus akun tamu. Ulasan akses, juga muncul di Privileged Identity Management
Pemenuhan dan penyediaan Penyediaan dan pembatalan penyediaan akses otomatis ke dalam aplikasi yang terhubung dengan Azure AD, termasuk melalui SCIM, LDAP, SQL dan ke situs Online SharePoint. penyediaan pengguna
Pelaporan dan analitik Admin dapat mengambil log audit penyediaan pengguna terbaru dan aktivitas masuk. Integrasi dengan Azure Monitor dan 'yang memiliki akses' melalui paket akses. Laporan Azure Active Directory dan pemantauan
Akses dengan hak istimewa Akses tepat waktu dan terjadwal, peringatan, alur kerja persetujuan untuk peran Azure Active Directory (termasuk peran kustom) dan peran Sumber Daya Azure. Azure Active Directory Privileged Identity Management
Audit Admin dapat diberi tahu tentang pembuatan akun admin. Pemberitahuan Azure Active Directory Privileged Identity Management

Memulai

Lihat tab Memulai dari Tata Kelola Identitas di portal Microsoft Azure untuk mulai menggunakan pengelolaan pemberian hak, tinjauan akses, Privileged Identity Management, dan Ketentuan penggunaan, dan melihat beberapa kasus penggunaan umum.

Memulai Identity Governance

Ada juga tutorial untuk mengelola akses ke sumber daya dalam pengelolaan pemberian hak, mengaktifkan pengguna eksternal ke Azure AD melalui proses persetujuan, mengatur akses ke aplikasi Anda dan pengguna aplikasi yang ada.

Jika Anda memiliki umpan balik tentang fitur Identity Governance, klik Ada umpan balik? di portal Microsoft Azure untuk mengirim umpan balik Anda. Tim secara teratur meninjau umpan balik Anda.

Meskipun tidak ada solusi atau rekomendasi yang sempurna untuk setiap pelanggan, panduan konfigurasi berikut juga menyediakan kebijakan dasar yang disarankan Microsoft untuk Anda ikuti guna memastikan tenaga kerja yang lebih aman dan produktif.

Menyederhanakan tugas tata kelola identitas dengan otomatisasi

Setelah mulai menggunakan fitur tata kelola identitas ini, Anda dapat dengan mudah mengotomatiskan skenario tata kelola identitas umum. Tabel berikut ini memperlihatkan cara memulai untuk setiap skenario:

Skenario untuk mengotomatiskan Panduan automasi
Membuat, memperbarui, dan menghapus akun pengguna AD dan Azure AD secara otomatis untuk karyawan Merencanakan cloud HR ke provisi pengguna Azure AD
Memperbarui keanggotaan grup, berdasarkan perubahan pada atribut pengguna anggota Membuat grup yang dinamis
Menetapkan lisensi pemberian lisensi berdasarkan grup
Menambahkan dan menghapus keanggotaan grup, peran aplikasi, dan peran situs SharePoint pengguna berdasarkan perubahan pada atribut pengguna Mengonfigurasi kebijakan penugasan otomatis untuk paket akses dalam pengelolaan pemberian hak (pratinjau)
Menambahkan dan menghapus keanggotaan grup pengguna, peran aplikasi, dan peran situs SharePoint, pada tanggal tertentu Mengonfigurasi pengaturan siklus hidup untuk paket akses di pengelolaan pemberian hak
Menjalankan alur kerja kustom saat pengguna meminta atau menerima akses, atau akses dihapus Memicu Logic Apps dalam pengelolaan pemberian hak (pratinjau)
Secara teratur memiliki keanggotaan tamu di grup Microsoft dan Teams yang ditinjau, dan menghapus keanggotaan tamu yang ditolak Membuat tinjauan akses
Menghapus akun tamu yang ditolak oleh peninjau Meninjau dan menghapus pengguna eksternal yang tidak lagi memiliki akses sumber daya
Menghapus akun tamu yang tidak memiliki penetapan paket akses Mengelola siklus hidup pengguna eksternal
Memprovisikan pengguna ke dalam aplikasi lokal dan cloud yang memiliki direktori atau database mereka sendiri Mengonfigurasi provisi pengguna otomatis dengan penetapan pengguna atau filter cakupan
Tugas terjadwal lainnya Mengotomatiskan tugas tata kelola identitas dengan Azure Automation dan Microsoft Graph melalui modul PowerShell Microsoft.Graph.Identity.Governance

Lampiran - peran paling tidak istimewa untuk mengelola dalam fitur Identity Governance

Ini adalah praktik terbaik untuk menggunakan peran yang paling tidak istimewa untuk melakukan tugas administratif dalam Identity Governance. Kami menyarankan agar Anda menggunakan Azure Active Directory Privileged Identity Management untuk mengaktifkan peran yang diperlukan untuk melakukan tugas-tugas ini. Berikut ini adalah peran direktori dengan hak istimewa paling sedikit untuk mengonfigurasi fitur Tata Kelola Identitas:

Fitur Peran istimewa paling rendah
Pengelolaan pemberian hak Administrator Tata Kelola Identitas
Tinjauan akses Administrator Pengguna (dengan pengecualian tinjauan akses peran Azure atau Azure AD, yang memerlukan Administrator Peran Istimewa)
Manajemen Identitas Hak Istimewa Administrator Peran Istimewa
Persyaratan penggunaan Administrator Keamanan atau Administrator Akses Bersyarat

Catatan

Peran paling tidak istimewa untuk Pengelolaan pemberian hak telah berubah dari peran Administrator Pengguna ke peran Administrator Tata Kelola Identitas.

Langkah berikutnya