Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Sebelum siapa pun dapat menggunakan Azure, mereka memerlukan identitas yang aman dan dikelola dengan baik. ID Microsoft Entra adalah tulang punggung manajemen identitas dan akses di Azure. Artikel ini memancang Anda melalui langkah-langkah penting untuk membangun fondasi identitas yang kuat. Baik Anda menyiapkan penyewa baru atau memperketat keamanan di penyewa yang sudah ada, praktik terbaik ini membantu Anda melindungi akses ke sumber daya cloud Anda sejak hari pertama.
Prasyarat:Buat akun Azure. Startup dapat memeriksa apakah Anda memenuhi syarat untuk kredit Azure.
Membuat akun pengguna individual
Setiap orang yang membutuhkan akses ke Azure harus memiliki akun pengguna mereka sendiri di Microsoft Entra. Penyiapan ini membantu memastikan akuntabilitas dan memudahkan untuk melacak perubahan dan menerapkan kebijakan keamanan.
Tambahkan domain kustom. Ketika Anda membuat sebuah tenant Microsoft Entra, tenant tersebut secara otomatis memiliki domain bawaan (yourtenant.onmicrosoft.com). Saat Anda menambahkan domain kustom (misalnya, contoso.com), pengguna dapat masuk dengan nama yang sudah dikenal seperti alex@contoso.com. Jika Anda membuat akun sebelum menambahkan domain kustom, Anda perlu memperbaruinya nanti. Untuk langkah-langkah mendetail, lihat Menambahkan nama domain kustom Anda ke penyewa Anda di Microsoft Entra.
Buat akun unik untuk setiap pengguna. Jangan izinkan akun bersama. Akun bersama menyulitkan untuk melacak dan menetapkan tanggung jawab atas perubahan. Untuk petunjuknya, lihat Cara membuat, mengundang, dan menghapus pengguna di Microsoft Entra.
Membuat akun akses darurat. Buat dua akun akses darurat untuk memastikan Anda dapat mengakses penyewa jika metode masuk normal gagal.
Menetapkan peran manajemen identitas
Microsoft Entra menggunakan kontrol akses berbasis peran (RBAC) untuk menetapkan peran kepada pengguna, grup yang dapat ditetapkan peran, atau perwakilan layanan. Peran ini menentukan tindakan apa yang dapat mereka lakukan dalam Microsoft Entra, Pusat Admin Microsoft 365, Pertahanan Microsoft, Microsoft Purview, dan banyak lagi. Ini termasuk membuat akun, mengelola grup, dan mengonfigurasi kebijakan keamanan.
Gunakan peran bawaan. Microsoft menyediakan peran yang telah ditentukan sebelumnya untuk tugas umum. Setiap peran memiliki sekumpulan izin tertentu. Misalnya, peran Administrator Pengguna dapat membuat dan mengelola akun pengguna. Tinjau daftar peran bawaan Microsoft Entra dan tetapkan hanya apa yang Anda butuhkan.
Tetapkan peran berdasarkan hak istimewa paling sedikit. Hanya beri pengguna izin yang mereka butuhkan untuk melakukan pekerjaan mereka. Jika seseorang tidak perlu mengelola Microsoft Entra, Pusat Admin Microsoft 365, Pertahanan Microsoft, atau Microsoft Purview, biarkan sebagai pengguna biasa tanpa penetapan peran.
Gunakan akses just-in-time. Jika organisasi Anda memiliki lisensi untuk Microsoft Entra Privileged Identity Management (PIM), Anda dapat mengizinkan pengguna mengaktifkan izin yang ditinggikan hanya jika diperlukan, dan untuk waktu yang terbatas. Penyiapan ini mengurangi risiko memiliki terlalu banyak pengguna dengan akses tingkat tinggi permanen.
Batasi akses peran Administrator Global. Peran Administrator Global memiliki kontrol penuh atas penyewa Microsoft Entra Anda. Jangan gunakan peran ini untuk tugas sehari-hari.
Tinjau penetapan peran secara teratur. Periksa siapa yang memiliki peran yang ditetapkan dan hapus yang tidak lagi diperlukan. Anda dapat menggunakan laporan dan pemberitahuan bawaan untuk membantu memantau perubahan.
Untuk informasi selengkapnya, lihat Praktik terbaik untuk peran Microsoft Entra.
Mengonfigurasi autentikasi multifaktor
Autentikasi multifaktor (MFA) membantu melindungi organisasi Anda dari kredensial yang disusupi dan akses yang tidak sah.
Memahami default keamanan. Penyewa Microsoft Entra baru memiliki default keamanan yang diaktifkan secara otomatis. Pengaturan ini mengharuskan semua pengguna untuk mendaftar MFA, mengharuskan administrator untuk melakukan MFA setiap masuk, dan mengharuskan pengguna akhir untuk melakukan MFA jika diperlukan.
Gunakan Akses Kondisional untuk skenario tingkat lanjut. Jika organisasi Anda membutuhkan lebih banyak fleksibilitas, Anda dapat membuat kebijakan Akses Bersyarat untuk memberlakukan MFA hanya dalam situasi tertentu, seperti saat pengguna masuk dari lokasi yang tidak dikenal. Default keamanan dan Akses Bersyar tidak dapat digunakan secara bersamaan. Untuk mengaktifkan Akses Bersyar, Anda harus terlebih dahulu menonaktifkan default keamanan dan memperoleh lisensi premium. Lihat Mengamankan masuk pengguna dengan autentikasi multifaktor Microsoft Entra.