panduan referensi operasi Tata Kelola ID Microsoft Entra
Bagian panduan referensi operasi Microsoft Entra ini menjelaskan pemeriksaan dan tindakan yang harus Anda ambil untuk menilai dan membuktikan akses yang diberikan identitas, audit, dan kontrol yang tidak memiliki hak istimewa, audit, dan kontrol perubahan pada lingkungan.
Nota
Rekomendasi ini saat ini pada tanggal penerbitan tetapi dapat berubah dari waktu ke waktu. Organisasi harus terus mengevaluasi praktik tata kelola mereka saat produk dan layanan Microsoft berkembang dari waktu ke waktu.
Proses operasional utama
Menetapkan pemilik ke tugas kunci
Mengelola MICROSOFT Entra ID memerlukan eksekusi berkelanjutan dari tugas dan proses operasional utama, yang mungkin bukan bagian dari proyek peluncuran. Masih penting untuk menyiapkan tugas-tugas ini untuk mengoptimalkan lingkungan Anda. Tugas utama dan pemilik yang direkomendasikan meliputi:
| Tugas | Pemilik |
|---|---|
| Mengarsipkan log audit Microsoft Entra dalam sistem SIEM | Tim Operasi InfoSec |
| Menemukan aplikasi yang dikelola di luar kepatuhan | Tim Operasi IAM |
| Meninjau akses ke aplikasi secara teratur | Tim Arsitektur InfoSec |
| Meninjau akses ke identitas eksternal secara teratur | Tim Arsitektur InfoSec |
| Meninjau secara teratur siapa yang memiliki peran istimewa | Tim Arsitektur InfoSec |
| Tentukan gerbang keamanan untuk mengaktifkan peran istimewa | Tim Arsitektur InfoSec |
| Meninjau pemberian persetujuan secara teratur | Tim Arsitektur InfoSec |
| Mendesain Katalog dan Paket Akses untuk aplikasi dan sumber daya yang berbasis untuk karyawan di organisasi | Pemilik Aplikasi |
| Menentukan Kebijakan Keamanan untuk menetapkan pengguna ke paket akses | Tim InfoSec + Pemilik Aplikasi |
| Jika kebijakan menyertakan alur kerja persetujuan, tinjau persetujuan alur kerja secara teratur | Pemilik Aplikasi |
| Tinjau pengecualian dalam kebijakan keamanan, seperti kebijakan Akses Bersyar, menggunakan tinjauan akses | Tim Operasi InfoSec |
Saat meninjau daftar, Anda mungkin perlu menetapkan pemilik untuk tugas yang kehilangan pemilik atau menyesuaikan kepemilikan untuk tugas dengan pemilik yang tidak selaras dengan rekomendasi yang disediakan.
Bacaan yang direkomendasikan pemilik
Pengujian perubahan konfigurasi
Ada perubahan yang memerlukan pertimbangan khusus saat pengujian, dari teknik sederhana seperti meluncurkan subset target pengguna hingga menyebarkan perubahan dalam penyewa pengujian paralel. Jika Anda belum menerapkan strategi pengujian, Anda harus menentukan pendekatan pengujian berdasarkan pedoman dalam tabel:
| Skenario | Rekomendasi |
|---|---|
| Mengubah jenis autentikasi dari federasi ke PHS/PTA atau sebaliknya | Gunakan peluncuran bertahap untuk menguji efek mengubah jenis autentikasi. |
| Meluncurkan kebijakan Akses Bersyar baru | Buat kebijakan Akses Bersyar baru dan tetapkan untuk menguji pengguna. |
| Onboarding lingkungan pengujian aplikasi | Tambahkan aplikasi ke lingkungan produksi, sembunyikan dari panel MyApps, dan tetapkan untuk menguji pengguna selama fase jaminan kualitas (QA). |
| Perubahan aturan sinkronisasi | Lakukan perubahan dalam pengujian Microsoft Entra Connect dengan konfigurasi yang sama yang saat ini sedang dalam produksi, juga dikenal sebagai mode penahapan, dan analisis Hasil Ekspor. Jika puas, tukar ke produksi saat siap. |
| Perubahan branding | Uji di penyewa pengujian terpisah. |
| Meluncurkan fitur baru | Jika fitur mendukung peluncuran ke sekumpulan pengguna target, identifikasi pengguna pilot dan bangun. Misalnya, pengaturan ulang kata sandi mandiri dan autentikasi multifaktor dapat menargetkan pengguna atau grup tertentu. |
| Pindah ke aplikasi dari Penyedia Identitas (IdP) lokal, misalnya, Direktori Aktif, ke ID Microsoft Entra | Jika aplikasi mendukung beberapa konfigurasi IdP, misalnya, Salesforce, konfigurasikan dan uji ID Microsoft Entra selama jendela perubahan (jika aplikasi memperkenalkan halaman). Jika aplikasi tidak mendukung beberapa IdP, jadwalkan pengujian selama jendela kontrol perubahan dan waktu henti program. |
| Memperbarui aturan untuk grup keanggotaan dinamis | Buat grup dinamis paralel dengan aturan baru. Bandingkan dengan hasil terhitung, misalnya, jalankan PowerShell dengan kondisi yang sama. Jika lulus pengujian, tukar tempat di mana grup lama digunakan (jika layak). |
| Memigrasikan lisensi produk | Lihat Mengubah lisensi untuk satu pengguna dalam grup berlisensi di ID Microsoft Entra. |
| Mengubah aturan Layanan Federasi Direktori Aktif seperti Otorisasi, Penerbitan, MFA | Gunakan klaim grup untuk menargetkan subset pengguna. |
| Mengubah pengalaman autentikasi Layanan Federasi Direktori Aktif atau perubahan di seluruh farm serupa | Buat farm paralel dengan nama host yang sama, terapkan perubahan konfigurasi, uji dari klien menggunakan file HOSTS, aturan perutean NLB, atau perutean serupa. Jika platform target tidak mendukung file HOSTS (misalnya perangkat seluler), kontrol berubah. |
Tinjauan akses
Mengakses tinjauan ke aplikasi
Seiring waktu, pengguna mungkin mengumpulkan akses ke sumber daya saat mereka berpindah ke berbagai tim dan posisi. Penting bahwa pemilik sumber daya meninjau akses ke aplikasi secara teratur. Proses peninjauan ini dapat melibatkan penghapusan hak istimewa yang tidak lagi diperlukan sepanjang siklus hidup pengguna. Tinjauan akses Microsoft Entra memungkinkan organisasi mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran secara efisien. Pemilik sumber daya harus meninjau akses pengguna secara teratur untuk memastikan hanya orang yang tepat yang terus memiliki akses. Idealnya, Anda harus mempertimbangkan untuk menggunakan tinjauan akses Microsoft Entra untuk tugas ini.
Nota
Setiap pengguna yang berinteraksi dengan tinjauan akses harus memiliki lisensi Microsoft Entra ID P2 berbayar.
Tinjauan akses ke identitas eksternal
Sangat penting untuk menjaga akses ke identitas eksternal dibatasi hanya untuk sumber daya yang diperlukan, selama waktu yang diperlukan. Buat proses tinjauan akses otomatis reguler untuk semua identitas eksternal dan akses aplikasi menggunakan tinjauan akses Microsoft Entra. Jika proses sudah ada di tempat, pertimbangkan untuk menggunakan tinjauan akses Microsoft Entra. Setelah aplikasi dihentikan atau tidak lagi digunakan, hapus semua identitas eksternal yang memiliki akses ke aplikasi.
Nota
Setiap pengguna yang berinteraksi dengan tinjauan akses harus memiliki lisensi Microsoft Entra ID P2 berbayar.
Manajemen akun istimewa
Penggunaan akun istimewa
Peretas sering menargetkan akun admin dan elemen lain dari akses istimewa untuk mendapatkan akses cepat ke data dan sistem sensitif. Karena pengguna dengan peran istimewa cenderung terakumulasi dari waktu ke waktu, penting untuk meninjau dan mengelola akses admin secara teratur dan menyediakan akses istimewa just-in-time ke ID Microsoft Entra dan sumber daya Azure.
Jika tidak ada proses di organisasi Anda untuk mengelola akun istimewa atau saat ini Anda memiliki admin yang menggunakan akun pengguna reguler mereka untuk mengelola layanan dan sumber daya, Anda harus segera mulai menggunakan akun terpisah. Misalnya, satu untuk aktivitas sehari-hari reguler, dan yang lainnya untuk akses istimewa dan dikonfigurasi dengan MFA. Lebih baik lagi, jika organisasi Anda memiliki langganan Microsoft Entra ID P2, maka Anda harus segera menyebarkan Microsoft Entra Privileged Identity Management (PIM). Dalam token yang sama, Anda juga harus meninjau akun istimewa tersebut dan menetapkan peran yang kurang istimewa jika berlaku.
Aspek lain dari manajemen akun istimewa yang harus diterapkan adalah dalam menentukan tinjauan akses untuk akun tersebut, baik secara manual atau otomatis melalui PIM.
Bacaan yang direkomendasikan manajemen akun istimewa
Akun akses darurat
Microsoft menyarankan agar organisasi memiliki dua akun akses darurat khusus cloud yang secara permanen menetapkan peran Administrator Global. Akun-akun ini sangat istimewa dan tidak ditetapkan untuk individu tertentu. Akun terbatas pada skenario darurat atau "pecahkan kaca" di mana akun normal tidak dapat digunakan atau semua administrator lain secara tidak sengaja dikunci. Akun-akun ini harus dibuat mengikuti rekomendasi akun akses darurat.
Akses istimewa ke portal Azure EA
Portal Azure Perjanjian Enterprise (Azure EA) memungkinkan Anda membuat langganan Azure terhadap Perjanjian Enterprise utama, yang merupakan peran kuat dalam perusahaan. Adalah umum untuk bootstrap pembuatan portal ini bahkan sebelum mendapatkan ID Microsoft Entra. Dalam hal ini, perlu menggunakan identitas Microsoft Entra untuk menguncinya, menghapus akun pribadi dari portal, memastikan bahwa delegasi yang tepat ada, dan mengurangi risiko penguncian.
Agar jelas, jika tingkat otorisasi portal EA saat ini diatur ke "mode campuran", Anda harus menghapus akun Microsoft apa pun dari semua akses istimewa di portal EA dan mengonfigurasi portal EA untuk menggunakan akun Microsoft Entra saja. Jika peran yang didelegasikan portal EA tidak dikonfigurasi, Anda juga harus menemukan dan menerapkan peran yang didelegasikan untuk departemen dan akun.
Bacaan yang direkomendasikan akses istimewa
Pengelolaan pemberian izin
Pengelolaan pemberian hak (EM) memungkinkan pemilik aplikasi untuk membundel sumber daya dan menetapkannya ke persona tertentu dalam organisasi (baik internal maupun eksternal). EM memungkinkan pendaftaran dan delegasi layanan mandiri kepada pemilik bisnis sambil menjaga kebijakan tata kelola untuk memberikan akses, menetapkan durasi akses, dan mengizinkan alur kerja persetujuan.
Nota
Microsoft Entra Entitlement Management memerlukan lisensi Microsoft Entra ID P2.
Ringkasan
Ada delapan aspek untuk tata kelola Identitas yang aman. Daftar ini membantu Anda mengidentifikasi tindakan yang harus Anda ambil untuk menilai dan membuktikan akses yang diberikan kepada identitas, audit, dan kontrol yang tidak istimewa dan istimewa pada lingkungan.
- Tetapkan pemilik ke tugas kunci.
- Menerapkan strategi pengujian.
- Gunakan tinjauan akses Microsoft Entra untuk mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran secara efisien.
- Buat proses tinjauan akses otomatis reguler untuk semua jenis identitas eksternal dan akses aplikasi.
- Buat proses tinjauan akses untuk meninjau dan mengelola akses admin secara teratur dan menyediakan akses istimewa just-in-time ke ID Microsoft Entra dan sumber daya Azure.
- Menyediakan akun darurat yang akan disiapkan untuk mengelola ID Microsoft Entra untuk pemadaman tak terduga.
- Kunci akses ke portal Azure EA.
- Terapkan Pengelolaan Pemberian Hak untuk menyediakan akses yang diatur ke kumpulan sumber daya.
Langkah berikutnya
Mulai menggunakan pemeriksaan dan tindakan operasional Microsoft Entra.