Ringkasan keamanan manajemen identitas Azure
Manajemen identitas adalah proses autentikasi dan otorisasi prinsip keamanan. Ini juga melibatkan informasi pengontrolan tentang prinsip (identitas) tersebut. Prinsip (identitas) keamanan dapat mencakup layanan, aplikasi, pengguna, grup, dll. Solusi identitas dan manajemen akses Microsoft membantu IT melindungi akses ke aplikasi dan sumber daya di seluruh pusat data perusahaan dan ke cloud. Perlindungan tersebut memungkinkan tingkat validasi tambahan, seperti autentikasi multifaktor dan kebijakan Akses Bersyar. Pemantauan aktivitas yang mencurigakan melalui pelaporan keamanan lanjutan, audit, dan pemberitahuan membantu mengurangi potensi masalah keamanan. Microsoft Entra ID P1 atau P2 menyediakan akses menyeluruh (SSO) ke ribuan aplikasi perangkat lunak cloud sebagai layanan (SaaS) dan akses ke aplikasi web yang Anda jalankan secara lokal.
Dengan memanfaatkan manfaat keamanan ID Microsoft Entra, Anda dapat:
- Buat dan kelola identitas tunggal untuk tiap pengguna di seluruh perusahaan hibrid Anda, menjaga agar pengguna, grup, dan perangkat tetap sinkron.
- Memberikan akses SSO ke aplikasi Anda, termasuk ribuan aplikasi SaaS yang diintegrasi sebelumnya.
- Aktifkan keamanan akses aplikasi dengan memberlakukan autentikasi multifaktor berbasis aturan untuk aplikasi lokal dan cloud.
- Provisikan akses jarak jauh yang aman ke aplikasi web lokal melalui proksi aplikasi Microsoft Entra.
Tujuan artikel ini adalah untuk memberikan gambaran umum tentang fitur keamanan Azure inti yang membantu manajemen identitas. Kami juga menyediakan tautan ke artikel yang memberikan detail setiap fitur sehingga Anda dapat mempelajari lebih lanjut.
Artikel ini berfokus pada kapabilitas manajemen inti Azure Identity berikut:
- Akses menyeluruh
- Proksi terbalik
- Autentikasi multifaktor
- Kontrol akses berbasis peran Azure (Azure RBAC)
- Pemantauan keamanan, pemberitahuan, dan laporan berbasis pembelajaran mesin
- Manajemen identitas dan akses pelanggan
- Pendaftaran perangkat
- Manajemen identitas istimewa
- Perlindungan identitas
- Manajemen identitas hibrid/Azure AD tersambung
- Tinjauan akses Microsoft Entra
Akses menyeluruh
Akses menyeluruh (SSO) berarti kemampuan untuk mengakses semua aplikasi dan sumber daya yang Anda perlukan untuk berbisnis, dengan masuk hanya sekali menggunakan satu akun pengguna. Setelah masuk, Anda dapat mengakses semua aplikasi yang Anda butuhkan tanpa harus mengautentikasi (misalnya, mengetik kata sandi) untuk kedua kalinya.
Banyak organisasi mengandalkan aplikasi SaaS seperti Microsoft 365, Box, dan Salesforce untuk produktivitas pengguna. Secara historis, staf IT perlu membuat dan memperbarui akun pengguna secara individual di setiap aplikasi SaaS, dan pengguna harus mengingat kata sandi untuk setiap aplikasi SaaS.
MICROSOFT Entra ID memperluas lingkungan Active Directory lokal ke cloud, memungkinkan pengguna untuk menggunakan akun organisasi utama mereka untuk masuk tidak hanya ke perangkat dan sumber daya perusahaan yang bergabung dengan domain mereka, tetapi juga ke semua aplikasi web dan SaaS yang mereka butuhkan untuk pekerjaan mereka.
Tidak hanya pengguna yang tidak harus mengelola beberapa set nama pengguna dan kata sandi, Anda dapat memprovisikan atau membatalkan provisi akses aplikasi secara otomatis, berdasarkan grup organisasi dan status karyawan mereka. MICROSOFT Entra ID memperkenalkan kontrol tata kelola keamanan dan akses tempat Anda dapat mengelola akses pengguna secara terpusat di seluruh aplikasi SaaS.
Pelajari lebih lanjut:
- Gambaran umum tentang SSO
- Video tentang dasar-dasar autentikasi
- Rangkaian mulai cepat tentang manajemen aplikasi
Proksi terbalik
Proksi aplikasi Microsoft Entra memungkinkan Anda menerbitkan aplikasi di jaringan privat, seperti situs SharePoint , Outlook Web App, dan aplikasi berbasis IIS di dalam jaringan privat Anda dan menyediakan akses aman ke pengguna di luar jaringan Anda. Proksi Aplikasi menyediakan akses jarak jauh dan SSO untuk banyak jenis aplikasi web lokal dengan ribuan aplikasi SaaS yang didukung Microsoft Entra ID. Karyawan dapat masuk ke aplikasi Anda dari rumah di perangkat mereka sendiri dan mengautentikasi melalui proksi berbasis cloud ini.
Pelajari lebih lanjut:
- Mengaktifkan proksi aplikasi Microsoft Entra
- Menerbitkan aplikasi menggunakan proksi aplikasi Microsoft Entra
- Akses menyeluruh dengan Proksi Aplikasi
- Bekerja dengan Akses Bersyarat
Autentikasi multifaktor
Autentikasi multifaktor Microsoft Entra adalah metode autentikasi yang memerlukan penggunaan lebih dari satu metode verifikasi dan menambahkan lapisan keamanan kedua yang penting untuk masuk dan transaksi pengguna. Autentikasi multifaktor membantu melindungi akses ke data dan aplikasi sambil memenuhi permintaan pengguna untuk proses masuk sederhana. Ini memberikan autentikasi yang kuat melalui berbagai opsi verifikasi: panggilan telepon, pesan teks, atau pemberitahuan aplikasi seluler atau kode verifikasi, dan token OAuth pihak ketiga.
Pelajari selengkapnya: Cara kerja autentikasi multifaktor Microsoft Entra
Azure RBAC
Azure RBAC merupakan sistem otorisasi yang dibuat di Azure Resource Manager yang menyediakan pengelolaan akses mendetail untuk sumber daya Azure. Azure RBAC memungkinkan Anda mengontrol tingkat akses yang pengguna miliki secara terperinci. Misalnya, Anda dapat membatasi pengguna untuk hanya mengelola jaringan virtual dan pengguna lain untuk mengelola semua sumber daya dalam grup sumber daya. Azure mencakup beberapa peran bawaan yang dapat Anda gunakan. Berikut adalah empat peran bawaan dasar. Tiga peran yang pertama berlaku untuk semua jenis sumber daya.
- Pemilik - Memiliki akses penuh ke semua sumber daya termasuk hak untuk mendelegasikan akses kepada orang lain.
- Kontributor - Dapat membuat dan mengelola semua jenis sumber daya Azure tetapi tidak dapat memberi akses kepada orang lain.
- Pembaca - Dapat melihat sumber daya Azure yang ada.
- Administrator Akses Pengguna - Memungkinkan Anda mengelola akses pengguna ke sumber daya Azure.
Pelajari lebih lanjut:
Pemantauan keamanan, pemberitahuan, dan laporan berbasis pembelajaran mesin
Pemantauan keamanan, pemberitahuan, dan laporan berbasis pembelajaran mesin yang mengidentifikasi pola akses yang tidak konsisten dapat membantu Anda melindungi bisnis Anda. Anda dapat menggunakan akses ID Microsoft Entra dan laporan penggunaan untuk mendapatkan visibilitas ke dalam integritas dan keamanan direktori organisasi Anda. Dengan informasi ini, admin direktori dapat menentukan dengan lebih baik lokasi kemungkinan risiko keamanan mungkin berada sehingga mereka dapat merencanakan secara memadai untuk mengurangi risiko tersebut.
Di portal Azure, laporan termasuk dalam kategori berikut:
- Laporan anomali: Berisi peristiwa masuk yang ditemukan anomali. Tujuan kami adalah untuk membuat Anda menyadari aktivitas tersebut dan memungkinkan Anda menentukan apakah suatu peristiwa mencurigakan.
- Laporan Aplikasi Terintegrasi: Memberikan wawasan tentang bagaimana aplikasi cloud digunakan di organisasi Anda. MICROSOFT Entra ID menawarkan integrasi dengan ribuan aplikasi cloud.
- Laporan kesalahan: Menunjukkan kesalahan yang mungkin terjadi saat Anda memprovisikan akun ke aplikasi eksternal.
- Laporan khusus pengguna: Menampilkan data aktivitas masuk perangkat untuk pengguna tertentu.
- Log aktivitas: Berisi catatan semua peristiwa yang diaudit dalam 24 jam terakhir, 7 hari terakhir, atau 30 hari terakhir, serta perubahan aktivitas grup, dan reset kata sandi serta aktivitas pendaftaran.
Pelajari selengkapnya: Panduan pelaporan ID Microsoft Entra
Manajemen identitas dan akses pelanggan
Azure AD B2C adalah layanan manajemen identitas global yang sangat tersedia untuk aplikasi yang berhadapan dengan konsumen yang menskalakan hingga ratusan juta identitas. Ini dapat diintegrasikan di seluruh platform seluler dan web. Konsumen Anda dapat masuk ke semua aplikasi Anda melalui pengalaman yang dapat disesuaikan menggunakan akun sosial yang ada atau dengan membuat info masuk baru.
Di masa lalu, pengembang aplikasi yang ingin mendaftarkan pelanggan dan memasukkan mereka ke aplikasi akan menulis kode mereka sendiri. Dan mereka akan menggunakan database atau sistem lokal untuk menyimpan nama pengguna dan kata sandi. Azure AD B2C menawarkan cara yang lebih baik untuk mengintegrasikan manajemen identitas konsumen ke dalam aplikasi dengan bantuan platform berbasis standar yang aman dan serangkaian kebijakan yang dapat diperluas.
Saat Anda menggunakan Azure AD B2C, konsumen dapat mendaftar untuk aplikasi Anda dengan menggunakan akun sosial yang ada (Facebook, Google, Amazon, LinkedIn) atau dengan membuat info masuk baru (alamat email dan kata sandi, atau nama pengguna dan kata sandi).
Pelajari lebih lanjut:
Pendaftaran perangkat
Pendaftaran perangkat Microsoft Entra adalah fondasi untuk skenario Akses Bersyariah berbasis perangkat. Saat perangkat terdaftar, pendaftaran perangkat Microsoft Entra menyediakan perangkat dengan identitas yang digunakannya untuk mengautentikasi perangkat saat pengguna masuk. Perangkat yang diautentikasi dan atribut perangkat kemudian dapat digunakan untuk menerapkan kebijakan Akses Bersyarat untuk aplikasi yang dihosting di cloud dan lokal.
Ketika dikombinasikan dengan solusi manajemen perangkat seluler seperti Intune, atribut perangkat di ID Microsoft Entra diperbarui dengan informasi tambahan tentang perangkat. Anda kemudian dapat membuat aturan Akses Bersyarat yang memberlakukan akses dari perangkat untuk memenuhi standar Anda untuk keamanan dan kepatuhan.
Pelajari lebih lanjut:
- Mulai menggunakan pendaftaran perangkat Microsoft Entra
- Pendaftaran perangkat otomatis dengan ID Microsoft Entra untuk perangkat yang bergabung dengan domain Windows
Manajemen identitas istimewa
Dengan Microsoft Entra Privileged Identity Management, Anda dapat mengelola, mengontrol, dan memantau identitas istimewa dan akses ke sumber daya di ID Microsoft Entra serta microsoft layanan online lainnya, seperti Microsoft 365 dan Microsoft Intune.
Pengguna terkadang perlu melakukan operasi hak istimewa di sumber daya Azure atau Microsoft 365, atau di aplikasi SaaS lainnya. Kebutuhan ini sering berarti bahwa organisasi harus memberi pengguna akses istimewa permanen di ID Microsoft Entra. Akses tersebut adalah risiko keamanan yang berkembang untuk sumber daya yang dihosting cloud, karena organisasi tidak dapat memantau dengan cukup apa yang dilakukan pengguna dengan hak istimewa administrator mereka. Selain itu, jika akun pengguna dengan akses istimewa disusupi, pelanggaran itu dapat memengaruhi keamanan cloud organisasi secara keseluruhan. Microsoft Entra Privileged Identity Management membantu mengurangi risiko ini.
Dengan Microsoft Entra Privileged Identity Management, Anda dapat:
- Lihat pengguna mana yang merupakan administrator Microsoft Entra.
- Mengaktifkan akses administratif sesuai permintaan, just-in-time (JIT) ke layanan Microsoft seperti Microsoft 365 dan Intune.
- Mendapatkan laporan tentang riwayat akses administrator dan perubahan penugasan administrator.
- Mendapatkan pemberitahuan tentang akses ke peran istimewa.
Pelajari lebih lanjut:
- Apa itu Microsoft Entra Privileged Identity Management?
- Menetapkan peran direktori Microsoft Entra di PIM
Perlindungan identitas
Microsoft Entra ID Protection adalah layanan keamanan yang menyediakan tampilan terkonsolidasi ke dalam deteksi risiko dan potensi kerentanan yang memengaruhi identitas organisasi Anda. Perlindungan Identitas memanfaatkan kemampuan deteksi anomali Microsoft Entra yang ada, yang tersedia melalui laporan Aktivitas Anomali Microsoft Entra. Identity Protection juga memperkenalkan jenis deteksi risiko baru yang dapat mendeteksi anomali secara real time.
Pelajari selengkapnya: Microsoft Entra ID Protection
Manajemen identitas hibrid (Microsoft Entra Koneksi)
Solusi identitas Microsoft mencakup kapabilitas lokal dan berbasis cloud, yang menciptakan satu identitas pengguna untuk autentikasi dan otorisasi ke semua sumber daya, di mana pun lokasinya. Kami menyebutnya identitas hibrida. Microsoft Entra Koneksi adalah alat Microsoft yang dirancang untuk memenuhi dan mencapai tujuan identitas hibrid Anda. Ini memungkinkan Anda memberikan identitas umum untuk pengguna Anda untuk aplikasi Microsoft 365, Azure, dan SaaS yang terintegrasi dengan ID Microsoft Entra. Firewall Manager menyediakan fitur-fitur berikut:
- Sinkronisasi
- AD FS dan integrasi federasi
- Autentikasi pass-through
- Pemantauan Kesehatan
Pelajari lebih lanjut:
Tinjauan akses Microsoft Entra
Tinjauan akses Microsoft Entra memungkinkan organisasi mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran istimewa secara efisien.
Pelajari selengkapnya: Tinjauan akses Microsoft Entra