Membuat rencana keamanan untuk akses eksternal ke sumber daya
Sebelum Anda membuat paket keamanan akses eksternal, tinjau dua artikel berikut, yang menambahkan konteks dan informasi untuk paket keamanan.
- Menentukan postur keamanan Anda untuk akses eksternal dengan ID Microsoft Entra
- Menemukan status kolaborasi eksternal saat ini di organisasi Anda
Sebelum Anda mulai
Artikel ini adalah nomor 3 dalam serangkaian 10 artikel. Kami sarankan Anda meninjau artikel secara berurutan. Buka bagian Langkah berikutnya untuk melihat seluruh seri.
Dokumentasi rencana keamanan
Untuk paket keamanan Anda, dokumentasikan informasi berikut:
- Aplikasi dan sumber daya yang dikelompokkan untuk akses
- Kondisi masuk untuk pengguna eksternal
- Status perangkat, lokasi masuk, persyaratan aplikasi klien, risiko pengguna, dan sebagainya.
- Kebijakan untuk menentukan waktu peninjauan dan penghapusan akses
- Populasi pengguna dikelompokkan untuk pengalaman serupa
Untuk menerapkan paket keamanan, Anda dapat menggunakan kebijakan manajemen identitas dan akses Microsoft, atau Penyedia Identitas (IdP) lain.
Pelajari selengkapnya: Gambaran umum manajemen identitas dan akses
Menggunakan grup untuk akses
Lihat tautan berikut ke artikel tentang strategi pengelompokan sumber daya:
- File grup Microsoft Teams, utas percakapan, dan sumber daya lainnya
- Merumuskan strategi akses eksternal untuk Teams
- Lihat, Mengamankan akses eksternal ke Microsoft Teams, SharePoint, dan OneDrive for Business dengan ID Microsoft Entra
- Gunakan paket akses pengelolaan pemberian hak untuk membuat dan mendelegasikan manajemen paket aplikasi, grup, tim, situs SharePoint, dan sebagainya.
- Menerapkan kebijakan Akses Bersyar ke hingga 250 aplikasi, dengan persyaratan akses yang sama
- Menentukan akses untuk grup aplikasi pengguna eksternal
Dokumentasikan aplikasi yang dikelompokkan. Pertimbangannya meliputi:
- Profil risiko - menilai risiko jika aktor jahat mendapatkan akses ke aplikasi
- Identifikasi aplikasi sebagai Risiko Tinggi, Sedang, atau Rendah. Kami sarankan Anda tidak mengelompokkan Berisiko tinggi dengan Risiko rendah.
- Aplikasi dokumen yang tidak dapat dibagikan dengan pengguna eksternal
- Kerangka kerja kepatuhan - menentukan kerangka kerja kepatuhan untuk aplikasi
- Mengidentifikasi persyaratan akses dan tinjauan
- Aplikasi untuk peran atau departemen - menilai aplikasi yang dikelompokkan untuk peran, atau departemen, akses
- Aplikasi kolaborasi - mengidentifikasi aplikasi kolaborasi yang dapat diakses pengguna eksternal, seperti Teams atau SharePoint
- Untuk aplikasi produktivitas, pengguna eksternal mungkin memiliki lisensi, atau Anda mungkin menyediakan akses
Dokumentasikan informasi berikut untuk akses aplikasi dan grup sumber daya oleh pengguna eksternal.
- Nama grup deskriptif, misalnya High_Risk_External_Access_Finance
- Aplikasi dan sumber daya dalam grup
- Pemilik aplikasi dan sumber daya serta informasi kontak mereka
- Tim TI mengontrol akses, atau kontrol didelegasikan ke pemilik bisnis
- Prasyarat untuk akses: pemeriksaan latar belakang, pelatihan, dan sebagainya.
- Persyaratan kepatuhan untuk mengakses sumber daya
- Tantangan, misalnya autentikasi multifaktor untuk beberapa sumber daya
- Irama untuk ulasan, oleh siapa, dan di mana hasil didokumentasikan
Tip
Gunakan jenis rencana tata kelola ini untuk akses internal.
Kondisi masuk dokumen untuk pengguna eksternal
Tentukan persyaratan masuk untuk pengguna eksternal yang meminta akses. Persyaratan dasar pada profil risiko sumber daya, dan penilaian risiko pengguna selama masuk. Mengonfigurasi kondisi masuk menggunakan Akses Bersyarat: kondisi dan hasil. Misalnya, Anda dapat memerlukan autentikasi multifaktor.
Pelajari selengkapnya: Apa itu Akses Bersyar?
Kondisi masuk profil risiko sumber daya
Pertimbangkan kebijakan berbasis risiko berikut untuk memicu autentikasi multifaktor.
- Rendah - autentikasi multifaktor untuk beberapa set aplikasi
- Sedang - autentikasi multifaktor saat ada risiko lain
- Tinggi - pengguna eksternal selalu menggunakan autentikasi multifaktor
Selengkapnya:
- Tutorial: Menerapkan autentikasi multifaktor untuk pengguna tamu B2B
- Mempercayai autentikasi multifaktor dari penyewa eksternal
Kondisi masuk pengguna dan perangkat
Gunakan tabel berikut untuk membantu menilai kebijakan untuk mengatasi risiko.
| Risiko pengguna atau masuk | Kebijakan yang diusulkan |
|---|---|
| Perangkat | Perlu perangkat yang sesuai |
| Mobile apps | Perlu aplikasi yang disetujui |
| Risiko pengguna Microsoft Entra ID Protection tinggi | Perlu pengguna mengubah kata sandi |
| Lokasi jaringan | Untuk mengakses proyek rahasia, perlu masuk dari rentang alamat IP |
Untuk menggunakan status perangkat sebagai input kebijakan, daftarkan, atau gabungkan perangkat ke penyewa Anda. Untuk mempercayai klaim perangkat dari penyewa rumah, konfigurasikan pengaturan akses lintas penyewa. Lihat, Mengubah pengaturan akses masuk.
Anda dapat menggunakan kebijakan risiko perlindungan identitas. Namun, mitigasi masalah di penyewa beranda pengguna. Lihat, Kebijakan Akses Bersyarat Umum: Autentikasi multifaktor berbasis risiko masuk.
Untuk lokasi jaringan, Anda dapat membatasi akses ke rentang alamat IP yang Anda miliki. Gunakan metode ini jika mitra eksternal mengakses aplikasi saat berada di lokasi Anda. Lihat, Akses Bersyar: Memblokir akses berdasarkan lokasi
Kebijakan tinjauan akses dokumen
Kebijakan dokumen yang menentukan kapan harus meninjau akses sumber daya, dan menghapus akses akun untuk pengguna eksternal. Input mungkin mencakup:
- Persyaratan kerangka kerja kepatuhan
- Kebijakan dan proses bisnis internal
- Perilaku pengguna
Umumnya, organisasi menyesuaikan kebijakan, namun mempertimbangkan parameter berikut:
- Tinjauan akses pengelolaan pemberian hak:
- Mengubah pengaturan siklus hidup untuk paket akses dalam pengelolaan pemberian hak
- Membuat tinjauan akses paket akses dalam pengelolaan pemberian hak
- Menambahkan organisasi yang terhubung dalam pengelolaan pemberian izin: Mengelompokkan pengguna dari mitra dan menjadwalkan tinjauan
- Grup Microsoft 365
- Opsi:
- Jika pengguna eksternal tidak menggunakan paket akses atau grup Microsoft 365, tentukan kapan akun menjadi tidak aktif atau dihapus
- Menghapus rincian masuk untuk akun yang tidak masuk selama 90 hari
- Menilai akses secara teratur untuk pengguna eksternal
Metode kontrol akses
Beberapa fitur, misalnya pengelolaan pemberian izin, tersedia dengan lisensi Microsoft Entra ID P1 atau P2. Lisensi Microsoft 365 E5 dan Office 365 E5 menyertakan lisensi Microsoft Entra ID P2. Pelajari selengkapnya di bagian pengelolaan pemberian izin berikut.
Catatan
Lisensi untuk satu pengguna. Oleh karena itu, pengguna, administrator, dan pemilik bisnis dapat memiliki kontrol akses yang didelegasikan. Skenario ini dapat terjadi dengan Microsoft Entra ID P2 atau Microsoft 365 E5, dan Anda tidak perlu mengaktifkan lisensi untuk semua pengguna. 50.000 pengguna eksternal pertama gratis. Jika Anda tidak mengaktifkan lisensi P2 untuk pengguna internal lainnya, mereka tidak dapat menggunakan pengelolaan pemberian izin.
Kombinasi Lain dari Microsoft 365, Office 365, dan MICROSOFT Entra ID memiliki fungsionalitas untuk mengelola pengguna eksternal. Lihat, panduan Microsoft 365 untuk keamanan dan kepatuhan.
Mengatur akses dengan Microsoft Entra ID P2 dan Microsoft 365 atau Office 365 E5
Microsoft Entra ID P2, yang disertakan dalam Microsoft 365 E5, memiliki kemampuan keamanan dan tata kelola tambahan.
Menyediakan, masuk, meninjau akses, dan mencabut akses
Entri dalam huruf tebal adalah tindakan yang direkomendasikan.
| Fitur | Provisi pengguna eksternal | Terapkan persyaratan masuk | Meninjau akses | Akses deprovisi |
|---|---|---|---|---|
| Kolaborasi Microsoft Entra B2B | Undang melalui email, kata sandi satu kali (OTP), layanan mandiri | T/A | Tinjauan mitra berkala | Hapus akun Membatasi rincian masuk |
| Pengelolaan pemberian hak | Menambahkan pengguna berdasarkan penugasan atau akses layanan mandiri | T/A | Tinjauan akses | Kedaluwarsa, atau penghapusan dari, paket akses |
| Grup Office 365 | T/A | T/A | Meninjau keanggotaan grup | Kedaluwarsa atau penghapusan grup Penghapusan dari grup |
| Grup keamanan Microsoft Entra | T/A | Kebijakan Akses Bersyar: Menambahkan pengguna eksternal ke grup keamanan sesuai kebutuhan | T/A | T/A |
Akses sumber daya
Entri dalam huruf tebal adalah tindakan yang direkomendasikan.
| Fitur | Akses aplikasi dan sumber daya | Akses SharePoint dan OneDrive | Akses Teams | Keamanan email dan dokumen |
|---|---|---|---|---|
| Pengelolaan pemberian hak | Menambahkan pengguna berdasarkan penugasan atau akses layanan mandiri | Paket akses | Paket akses | T/A |
| Grup Office 365 | T/A | Akses ke situs dan konten grup | Akses ke tim dan konten grup | T/A |
| Label sensitivitas | T/A | Mengklasifikasikan dan membatasi akses secara manual dan otomatis | Mengklasifikasikan dan membatasi akses secara manual dan otomatis | Mengklasifikasikan dan membatasi akses secara manual dan otomatis |
| Grup keamanan Microsoft Entra | Kebijakan Akses Bersyarat untuk akses yang tidak disertakan dalam paket akses | T/A | T/A | T/A |
Pengelolaan pemberian hak
Gunakan pengelolaan pemberian hak untuk menyediakan dan mendeprovisi akses ke grup dan tim, aplikasi, dan situs SharePoint. Tentukan organisasi yang terhubung memberikan akses, permintaan layanan mandiri, dan alur kerja persetujuan. Untuk memastikan akses berakhir dengan benar, tentukan kebijakan kedaluwarsa dan tinjauan akses untuk paket.
Pelajari lebih lanjut: Membuat paket akses baru dalam pengelolaan pemberian hak
Mengelola akses dengan Microsoft Entra ID P1, Microsoft 365, Office 365 E3
Menyediakan, masuk, meninjau akses, dan mencabut akses
Item dalam huruf tebal adalah tindakan yang direkomendasikan.
| Fitur | Provisi pengguna eksternal | Terapkan persyaratan masuk | Meninjau akses | Akses deprovisi |
|---|---|---|---|---|
| Kolaborasi Microsoft Entra B2B | Undang melalui email, OTP, layanan mandiri | Federasi B2B langsung | Tinjauan mitra berkala | Hapus akun Membatasi rincian masuk |
| Grup Microsoft 365 atau Office 365 | T/A | T/A | T/A | Kedaluwarsa atau penghapusan grup Penghapusan dari grup |
| Kelompok keamanan | T/A | Menambahkan pengguna eksternal ke grup keamanan (organisasi, tim, proyek, dan sebagainya) | T/A | T/A |
| kebijakan Akses Bersyarat | T/A | Masuk kebijakan Akses Bersyarat untuk pengguna eksternal | T/A | T/A |
Akses sumber daya
| Fitur | Akses aplikasi dan sumber daya | Akses SharePoint dan OneDrive | Akses Teams | Keamanan email dan dokumen |
|---|---|---|---|---|
| Grup Microsoft 365 atau Office 365 | T/A | Akses ke situs grup dan konten terkait | Akses ke tim grup Microsoft 365 dan konten terkait | T/A |
| Label sensitivitas | T/A | Mengklasifikasikan dan membatasi akses secara manual | Mengklasifikasikan dan membatasi akses secara manual | Mengklasifikasikan secara manual untuk membatasi dan mengenkripsi |
| kebijakan Akses Bersyarat | Kebijakan Akses Bersyarat untuk kontrol akses | T/A | T/A | T/A |
| Metode lain | T/A | Membatasi akses situs SharePoint dengan grup keamanan Melarang berbagi langsung |
Membatasi undangan eksternal dari tim | T/A |
Langkah berikutnya
Gunakan serangkaian artikel berikut untuk mempelajari tentang mengamankan akses eksternal ke sumber daya. Kami sarankan Anda mengikuti pesanan yang tercantum.
Menentukan postur keamanan Anda untuk akses eksternal dengan ID Microsoft Entra
Menemukan status kolaborasi eksternal saat ini di organisasi Anda
Membuat rencana keamanan untuk akses eksternal ke sumber daya (Anda di sini)
Mengamankan akses eksternal dengan grup di MICROSOFT Entra ID dan Microsoft 365
Transisi ke kolaborasi yang diatur dengan kolaborasi Microsoft Entra B2B
Mengelola akses eksternal dengan pengelolaan pemberian hak Microsoft Entra
Mengelola akses eksternal ke sumber daya dengan kebijakan Akses Bersyarah
Mengontrol akses eksternal ke sumber daya di ID Microsoft Entra dengan label sensitivitas
Mengonversi akun tamu lokal ke akun tamu Microsoft Entra B2B