Membuat rencana keamanan untuk akses eksternal ke sumber daya

Sebelum Anda membuat paket keamanan akses eksternal, tinjau dua artikel berikut, yang menambahkan konteks dan informasi untuk paket keamanan.

Sebelum Anda mulai

Artikel ini adalah nomor 3 dalam serangkaian 10 artikel. Kami sarankan Anda meninjau artikel secara berurutan. Buka bagian Langkah berikutnya untuk melihat seluruh seri.

Dokumentasi rencana keamanan

Untuk paket keamanan Anda, dokumentasikan informasi berikut:

  • Aplikasi dan sumber daya yang dikelompokkan untuk akses
  • Kondisi masuk untuk pengguna eksternal
    • Status perangkat, lokasi masuk, persyaratan aplikasi klien, risiko pengguna, dll.
  • Kebijakan untuk menentukan waktu peninjauan dan penghapusan akses
  • Populasi pengguna dikelompokkan untuk pengalaman serupa

Untuk menerapkan paket keamanan, Anda dapat menggunakan kebijakan manajemen identitas dan akses Microsoft, atau Penyedia Identitas (IdP) lain.

Pelajari selengkapnya: Gambaran umum manajemen identitas dan akses

Menggunakan grup untuk akses

Lihat tautan berikut ke artikel tentang strategi pengelompokan sumber daya:

Dokumentasikan aplikasi yang dikelompokkan. Pertimbangannya meliputi:

  • Profil risiko - menilai risiko jika aktor jahat mendapatkan akses ke aplikasi
    • Identifikasi aplikasi sebagai Risiko Tinggi, Sedang, atau Rendah. Kami sarankan Anda tidak mengelompokkan Berisiko tinggi dengan Risiko rendah.
    • Aplikasi dokumen yang tidak dapat dibagikan dengan pengguna eksternal
  • Kerangka kerja kepatuhan - menentukan kerangka kerja kepatuhan untuk aplikasi
    • Mengidentifikasi persyaratan akses dan tinjauan
  • Aplikasi untuk peran atau departemen - menilai aplikasi yang dikelompokkan untuk peran, atau departemen, akses
  • Aplikasi kolaborasi - mengidentifikasi aplikasi kolaborasi yang dapat diakses pengguna eksternal, seperti Teams atau SharePoint
    • Untuk aplikasi produktivitas, pengguna eksternal mungkin memiliki lisensi, atau Anda mungkin menyediakan akses

Dokumentasikan informasi berikut untuk akses aplikasi dan grup sumber daya oleh pengguna eksternal.

  • Nama grup deskriptif, misalnya High_Risk_External_Access_Finance
  • Aplikasi dan sumber daya dalam grup
  • Pemilik aplikasi dan sumber daya serta informasi kontak mereka
  • Tim TI mengontrol akses, atau kontrol didelegasikan ke pemilik bisnis
  • Prasyarat untuk akses: pemeriksaan latar belakang, pelatihan, dll.
  • Persyaratan kepatuhan untuk mengakses sumber daya
  • Tantangan, misalnya autentikasi multifaktor (MFA) untuk beberapa sumber daya
  • Irama untuk ulasan, oleh siapa, dan di mana hasil didokumentasikan

Tip

Gunakan jenis rencana tata kelola ini untuk akses internal.

Kondisi masuk dokumen untuk pengguna eksternal

Tentukan persyaratan masuk untuk pengguna eksternal yang meminta akses. Persyaratan dasar pada profil risiko sumber daya, dan penilaian risiko pengguna selama masuk. Mengonfigurasi kondisi masuk menggunakan Akses Bersyarat: kondisi dan hasil. Misalnya, Anda dapat memerlukan MFA.

Pelajari selengkapnya: Apa itu Akses Bersyar?

Kondisi masuk profil risiko sumber daya

Pertimbangkan kebijakan berbasis risiko berikut untuk memicu MFA.

  • Rendah - MFA untuk beberapa set aplikasi
  • Sedang - MFA ketika ada risiko lain
  • Tinggi - pengguna eksternal selalu menggunakan MFA

Pelajari lebih lanjut:

Kondisi masuk pengguna dan perangkat

Gunakan tabel berikut untuk membantu menilai kebijakan untuk mengatasi risiko.

Risiko pengguna atau masuk Kebijakan yang diusulkan
Perangkat Perlu perangkat yang sesuai
Mobile apps Perlu aplikasi yang disetujui
Perlindungan identitas berisiko tinggi Perlu pengguna mengubah kata sandi
Lokasi jaringan Untuk mengakses proyek rahasia, perlu masuk dari rentang alamat IP

Untuk menggunakan status perangkat sebagai input kebijakan, daftarkan atau gabungkan perangkat ke penyewa Anda. Untuk mempercayai klaim perangkat dari penyewa rumah, konfigurasikan pengaturan akses lintas penyewa. Lihat, Mengubah pengaturan akses masuk.

Anda dapat menggunakan kebijakan risiko perlindungan identitas. Namun, mitigasi masalah di penyewa beranda pengguna. Lihat, Kebijakan Akses Bersyarat Umum: Autentikasi multifaktor berbasis risiko masuk.

Untuk lokasi jaringan, Anda dapat membatasi akses ke rentang alamat IP yang Anda miliki. Gunakan metode ini jika mitra eksternal mengakses aplikasi saat berada di lokasi Anda. Lihat, Akses Bersyar: Memblokir akses berdasarkan lokasi

Kebijakan tinjauan akses dokumen

Kebijakan dokumen yang menentukan kapan harus meninjau akses sumber daya, dan menghapus akses akun untuk pengguna eksternal. Input mungkin mencakup:

  • Persyaratan kerangka kerja kepatuhan
  • Kebijakan dan proses bisnis internal
  • Perilaku pengguna

Umumnya, organisasi menyesuaikan kebijakan, namun mempertimbangkan parameter berikut:

Metode kontrol akses

Beberapa fitur, misalnya pengelolaan pemberian izin, tersedia dengan lisensi Microsoft Entra ID P1 atau P2. Lisensi Microsoft 365 E5 dan Office 365 E5 menyertakan lisensi Microsoft Entra ID P2. Pelajari selengkapnya di bagian pengelolaan pemberian izin berikut.

Catatan

Lisensi untuk satu pengguna. Oleh karena itu, pengguna, administrator, dan pemilik bisnis dapat memiliki kontrol akses yang didelegasikan. Skenario ini dapat terjadi dengan Microsoft Entra ID P2 atau Microsoft 365 E5, dan Anda tidak perlu mengaktifkan lisensi untuk semua pengguna. 50.000 pengguna eksternal pertama gratis. Jika Anda tidak mengaktifkan lisensi P2 untuk pengguna internal lainnya, mereka tidak dapat menggunakan pengelolaan pemberian izin.

Kombinasi Lain dari Microsoft 365, Office 365, dan MICROSOFT Entra ID memiliki fungsionalitas untuk mengelola pengguna eksternal. Lihat, panduan Microsoft 365 untuk keamanan &kepatuhan.

Mengatur akses dengan Microsoft Entra ID P2 dan Microsoft 365 atau Office 365 E5

Microsoft Entra ID P2, yang disertakan dalam Microsoft 365 E5, memiliki kemampuan keamanan dan tata kelola tambahan.

Menyediakan, masuk, meninjau akses, dan mencabut akses

Entri dalam huruf tebal adalah tindakan yang direkomendasikan.

Fitur Provisi pengguna eksternal Terapkan persyaratan masuk Meninjau akses Akses deprovisi
Kolaborasi Microsoft Entra B2B Undang melalui email, kata sandi satu kali (OTP), layanan mandiri T/A Tinjauan mitra berkala Hapus akun
Membatasi rincian masuk
Pengelolaan pemberian hak Menambahkan pengguna berdasarkan penugasan atau akses layanan mandiri T/A Tinjauan akses Kedaluwarsa, atau penghapusan dari, paket akses
Grup Office 365 T/A T/A Meninjau keanggotaan grup Kedaluwarsa atau penghapusan grup
Penghapusan dari grup
Grup keamanan Microsoft Entra T/A Kebijakan Akses Bersyar: Menambahkan pengguna eksternal ke grup keamanan sesuai kebutuhan T/A T/A

Akses sumber daya

Entri dalam huruf tebal adalah tindakan yang direkomendasikan.

Fitur Akses aplikasi dan sumber daya Akses SharePoint dan OneDrive Akses Teams Keamanan email dan dokumen
Pengelolaan pemberian hak Menambahkan pengguna berdasarkan penugasan atau akses layanan mandiri Paket akses Paket akses T/A
Grup Office 365 T/A Akses ke situs dan isi grup Akses ke tim dan konten grup T/A
Label sensitivitas T/A Mengklasifikasikan dan membatasi akses secara manual dan otomatis Mengklasifikasikan dan membatasi akses secara manual dan otomatis Mengklasifikasikan dan membatasi akses secara manual dan otomatis
Grup keamanan Microsoft Entra Kebijakan Akses Bersyarat untuk akses yang tidak disertakan dalam paket akses T/A T/A T/A

Pengelolaan pemberian izin

Gunakan pengelolaan pemberian hak untuk menyediakan dan mendeprovisi akses ke grup dan tim, aplikasi, dan situs SharePoint. Tentukan organisasi yang terhubung memberikan akses, permintaan layanan mandiri, dan alur kerja persetujuan. Untuk memastikan akses berakhir dengan benar, tentukan kebijakan kedaluwarsa dan tinjauan akses untuk paket.

Pelajari lebih lanjut: Membuat paket akses baru dalam pengelolaan pemberian hak

Mengelola akses dengan Microsoft Entra ID P1, Microsoft 365, Office 365 E3

Menyediakan, masuk, meninjau akses, dan mencabut akses

Item dalam huruf tebal adalah tindakan yang direkomendasikan.

Fitur Provisi pengguna eksternal Terapkan persyaratan masuk Meninjau akses Akses deprovisi
Kolaborasi Microsoft Entra B2B Undang melalui email, OTP, layanan mandiri Federasi B2B langsung Tinjauan mitra berkala Hapus akun
Membatasi rincian masuk
Grup Microsoft 365 atau Office 365 T/A T/A T/A Kedaluwarsa atau penghapusan grup
Penghapusan dari grup
Kelompok keamanan T/A Menambah pengguna eksternal ke grup keamanan (organisasi, tim, proyek, dll.) T/A T/A
kebijakan Akses Bersyarat T/A Masuk kebijakan Akses Bersyarat untuk pengguna eksternal T/A T/A

Akses sumber daya

Fitur Akses aplikasi dan sumber daya Akses SharePoint dan OneDrive Akses Teams Keamanan email dan dokumen
Grup Microsoft 365 atau Office 365 T/A Akses ke situs grup dan konten terkait Akses ke tim grup Microsoft 365 dan konten terkait T/A
Label sensitivitas T/A Mengklasifikasikan dan membatasi akses secara manual Mengklasifikasikan dan membatasi akses secara manual Mengklasifikasikan secara manual untuk membatasi dan mengenkripsi
kebijakan Akses Bersyarat Kebijakan Akses Bersyarat untuk kontrol akses T/A T/A T/A
Metode lain T/A Membatasi akses situs SharePoint dengan grup keamanan
Melarang berbagi langsung
Membatasi undangan eksternal dari tim T/A

Langkah berikutnya

Gunakan serangkaian artikel berikut untuk mempelajari tentang mengamankan akses eksternal ke sumber daya. Kami sarankan Anda mengikuti pesanan yang tercantum.

  1. Menentukan postur keamanan Anda untuk akses eksternal dengan ID Microsoft Entra

  2. Menemukan status kolaborasi eksternal saat ini di organisasi Anda

  3. Membuat rencana keamanan untuk akses eksternal ke sumber daya (Anda di sini)

  4. Mengamankan akses eksternal dengan grup di MICROSOFT Entra ID dan Microsoft 365

  5. Transisi ke kolaborasi yang diatur dengan kolaborasi Microsoft Entra B2B

  6. Mengelola akses eksternal dengan pengelolaan pemberian hak Microsoft Entra

  7. Mengelola akses eksternal ke sumber daya dengan kebijakan Akses Bersyarah

  8. Mengontrol akses eksternal ke sumber daya di ID Microsoft Entra dengan label sensitivitas

  9. Mengamankan akses eksternal ke Microsoft Teams, SharePoint, dan OneDrive for Business dengan ID Microsoft Entra

  10. Mengonversi akun tamu lokal ke akun tamu Microsoft Entra B2B