Mengamankan akses eksternal dengan grup di MICROSOFT Entra ID dan Microsoft 365

Grup adalah bagian dari strategi kontrol akses. Anda dapat menggunakan grup keamanan Microsoft Entra dan Grup Microsoft 365 sebagai dasar untuk mengamankan akses ke sumber daya. Gunakan grup untuk mekanisme kontrol akses berikut:

Grup memiliki peran berikut:

  • Pemilik grup – mengelola pengaturan grup dan keanggotaannya
  • Anggota – mewarisi izin dan akses yang ditetapkan ke grup
  • Tamu – adalah anggota di luar organisasi Anda

Sebelum Anda mulai

Artikel ini adalah nomor 4 dalam serangkaian 10 artikel. Kami sarankan Anda meninjau artikel secara berurutan. Buka bagian Langkah berikutnya untuk melihat seluruh seri.

Strategi grup

Untuk mengembangkan strategi grup untuk mengamankan akses eksternal ke sumber daya Anda, pertimbangkan postur keamanan yang Anda inginkan.

Pelajari selengkapnya: Menentukan postur keamanan Anda untuk akses eksternal

Pembuatan grup

Tentukan siapa yang diberikan izin untuk membuat grup: Administrator, karyawan, dan/atau pengguna eksternal. Pertimbangkan skenario berikut:

Undangan ke grup

Sebagai bagian dari strategi grup, pertimbangkan siapa yang dapat mengundang orang, atau menambahkannya, ke grup. Anggota grup dapat menambahkan anggota lain, atau pemilik grup dapat menambahkan anggota. Tentukan siapa yang dapat diundang. Secara default, pengguna eksternal dapat ditambah ke grup.

Menetapkan pengguna ke grup

Pengguna ditetapkan ke grup secara manual, berdasarkan atribut pengguna di objek pengguna mereka, atau pengguna ditetapkan berdasarkan kriteria lain. Pengguna ditetapkan ke grup secara dinamis berdasarkan atribut mereka. Misalnya, Anda dapat menetapkan pengguna ke grup berdasarkan:

  • Jabatan atau departemen pekerjaan
  • Organisasi mitra tempat mereka berada
    • Secara manual, atau melalui organisasi yang terhubung
  • Jenis pengguna anggota atau tamu
  • Partisipasi dalam proyek
    • Secara manual…
  • Lokasi

Grup dinamis memiliki pengguna atau perangkat, tetapi tidak keduanya. Untuk menetapkan pengguna ke grup dinamis, tambahkan kueri berdasarkan atribut pengguna. Cuplikan layar berikut memiliki kueri yang menambahkan pengguna ke grup jika mereka adalah anggota departemen keuangan.

Screenshot of options and entries under Dynamic membership rules.

Pelajari selengkapnya: Membuat atau memperbarui grup dinamis di ID Microsoft Entra

Menggunakan grup untuk satu fungsi

Saat menggunakan grup, penting untuk memiliki satu fungsi. Jika grup digunakan untuk memberikan akses ke sumber daya, jangan gunakan untuk tujuan lain. Kami merekomendasikan konvensi penamaan kelompok keamanan yang membuat tujuannya jelas:

  • Secure_access_finance_apps
  • Team_membership_finance_team
  • Location_finance_building

Jenis grup

Anda dapat membuat grup keamanan dan Grup Microsoft 365 Microsoft Entra di portal Azure atau portal Admin Microsoft 365. Gunakan salah satu jenis grup untuk mengamankan akses eksternal.

Pertimbangan Grup keamanan Microsoft Entra manual dan dinamis Grup Microsoft 365
Grup berisi Pengguna
Grup
Perwakilan layanan
Perangkat
Hanya pengguna
Tempat grup dibuat Portal Azure
Portal Microsoft 365, jika email diaktifkan)
PowerShell
Microsoft Graph
Portal pengguna akhir
Portal Microsoft 365
Portal Azure
PowerShell
Microsoft Graph
Di aplikasi Microsoft 365
Siapa membuat, secara default Administrator
Pengguna
Administrator
Pengguna
Siapa ditambahkan, secara default Pengguna internal (anggota penyewa) dan pengguna tamu Anggota penyewa dan tamu dari organisasi
Akses diberikan kepada Sumber daya yang ditetapkan. Sumber daya terkait grup:
(Kotak surat grup, situs, tim, obrolan, dan sumber daya Microsoft 365 lainnya)
Sumber daya lain tempat grup ditambahkan
Dapat digunakan dengan Akses Bersyarat
pengelolaan pemberian izin
lisensi grup
Akses Bersyarat
pengelolaan pemberian izin
label sensitivitas

Catatan

Gunakan Grup Microsoft 365 untuk membuat dan mengelola sekumpulan sumber daya Microsoft 365, seperti Tim dan situs dan konten terkaitnya.

Grup keamanan Microsoft Entra

Grup keamanan Microsoft Entra dapat memiliki pengguna atau perangkat. Gunakan grup ini untuk mengelola akses ke:

  • Sumber daya Azure
    • Aplikasi Microsoft 365
    • Aplikasi kustom
    • Aplikasi Software as a Service (SaaS) seperti Dropbox ServiceNow
  • Data dan langganan Azure
  • Layanan Azure

Gunakan grup keamanan Microsoft Entra untuk menetapkan:

Pelajari lebih lanjut:

Catatan

Gunakan kelompok keamanan untuk menetapkan hingga 1.500 aplikasi.

Screenshot of entries and options under New Group.

Kelompok keamanan yang mendukung email

Untuk membuat grup keamanan dengan dukungan email, buka pusat admin Microsoft 365. Aktifkan grup keamanan untuk email selama pembuatan. Anda tidak dapat mengaktifkannya nanti. Anda tidak dapat membuat grup di portal Azure.

Organisasi hibrid dan grup keamanan Microsoft Entra

Organisasi hibrid memiliki infrastruktur untuk lokal dan ID Microsoft Entra. Organisasi hibrid yang menggunakan Direktori Aktif dapat membuat grup keamanan lokal dan menyinkronkannya ke cloud. Oleh karena itu, hanya pengguna di lingkungan lokal yang dapat ditambahkan ke grup keamanan.

Penting

Lindungi infrastruktur lokal Anda dari penyusupan. Lihat, Melindungi Microsoft 365 dari serangan lokal.

Grup Microsoft 365

Grup Microsoft 365 adalah layanan keanggotaan untuk akses di seluruh Microsoft 365. Mereka dapat dibuat dari portal Azure, atau pusat admin Microsoft 365. Saat membuat Grup Microsoft 365, Anda memberikan akses ke sekelompok sumber daya untuk kolaborasi.

Pelajari lebih lanjut:

peran Grup Microsoft 365

  • Pemilik grup
    • Menambahkan atau menghapus anggota
    • Menghapus percakapan dari kotak masuk bersama
    • Mengubah pengaturan grup
    • Mengganti nama grup
    • Memperbarui deskripsi atau gambar
  • Anggota
  • Tamu
    • Apakah anggota dari luar organisasi Anda
    • Memiliki beberapa batasan fungsionalitas di Teams

Pengaturan Grup Microsoft 365

Pilih alias email, privasi, dan apakah akan mengaktifkan grup untuk tim.

Screenshot of options and entries under Edit settings.

Setelah penyiapan, tambahkan anggota, dan konfigurasikan pengaturan untuk penggunaan email, dll.

Langkah berikutnya

Gunakan serangkaian artikel berikut untuk mempelajari tentang mengamankan akses eksternal ke sumber daya. Kami sarankan Anda mengikuti pesanan yang tercantum.

  1. Menentukan postur keamanan Anda untuk akses eksternal dengan ID Microsoft Entra

  2. Menemukan status kolaborasi eksternal saat ini di organisasi Anda

  3. Membuat rencana keamanan untuk akses eksternal ke sumber daya

  4. Mengamankan akses eksternal dengan grup di MICROSOFT Entra ID dan Microsoft 365 (Anda di sini)

  5. Transisi ke kolaborasi yang diatur dengan kolaborasi Microsoft Entra B2B

  6. Mengelola akses eksternal dengan pengelolaan pemberian hak Microsoft Entra

  7. Mengelola akses eksternal ke sumber daya dengan kebijakan Akses Bersyarah

  8. Mengontrol akses eksternal ke sumber daya di ID Microsoft Entra dengan label sensitivitas

  9. Mengamankan akses eksternal ke Microsoft Teams, SharePoint, dan OneDrive for Business dengan ID Microsoft Entra

  10. Mengonversi akun tamu lokal ke akun tamu Microsoft Entra B2B