Bagikan melalui

Dasar-dasar Microsoft Entra

  • Artikel

ID Microsoft Entra menyediakan batas identitas dan akses untuk sumber daya Azure dan memercayai aplikasi. Sebagian besar persyaratan pemisahan lingkungan dapat dipenuhi dengan administrasi yang didelegasikan dalam satu penyewa Microsoft Entra. Konfigurasi ini mengurangi overhead manajemen sistem Anda. Namun, beberapa kasus tertentu, misalnya isolasi sumber daya dan identitas yang lengkap, memerlukan beberapa penyewa.

Anda harus menentukan arsitektur pemisahan lingkungan Anda berdasarkan kebutuhan Anda. Area yang perlu dipertimbangkan meliputi:

  • Pemisahan sumber daya. Jika sumber daya dapat mengubah objek direktori seperti objek pengguna, dan perubahan tersebut dapat mengganggu sumber daya lain, sumber daya mungkin perlu diisolasi dalam arsitektur multipenyewa.

  • Pemisahan konfigurasi. Konfigurasi seluruh penyewa memengaruhi semua sumber daya. Efek dari beberapa konfigurasi di seluruh penyewa dapat dilingkup dengan kebijakan Akses Bersyar dan metode lainnya. Jika Anda memiliki kebutuhan untuk konfigurasi penyewa yang berbeda yang tidak dapat dilingkup dengan kebijakan Akses Bersyar, Anda mungkin memerlukan arsitektur multi-penyewa.

  • Pemisahan administratif. Anda dapat mendelegasikan administrasi grup manajemen, langganan, grup sumber daya, sumber daya, dan beberapa kebijakan dalam satu penyewa. Administrator Global selalu memiliki akses ke semua yang ada di dalam penyewa. Jika Anda perlu memastikan bahwa lingkungan tidak berbagi administrator dengan lingkungan lain, Anda memerlukan arsitektur multi-penyewa.

Agar tetap aman, Anda harus mengikuti praktik terbaik untuk provisi identitas, manajemen autentikasi, tata kelola identitas, manajemen siklus hidup, dan operasi secara konsisten di semua penyewa.

Terminologi

Daftar istilah ini biasanya dikaitkan dengan ID Microsoft Entra dan relevan dengan konten ini:

Penyewa Microsoft Entra. Instans khusus dan tepercaya ID Microsoft Entra yang dibuat secara otomatis saat organisasi Anda mendaftar untuk langganan layanan cloud Microsoft. Contoh langganan termasuk Microsoft Azure, Microsoft Intune, atau Microsoft 365. Penyewa Microsoft Entra umumnya mewakili satu organisasi atau batas keamanan. Penyewa Microsoft Entra mencakup pengguna, grup, perangkat, dan aplikasi yang digunakan untuk melakukan manajemen identitas dan akses (IAM) untuk sumber daya penyewa.

Lingkungan. Dalam konteks konten ini, lingkungan adalah kumpulan langganan Azure, sumber daya Azure, dan aplikasi yang terkait dengan satu atau beberapa tenet Microsoft Entra. Penyewa Microsoft Entra menyediakan sarana kontrol identitas untuk mengatur akses ke sumber daya ini.

Lingkungan produksi. Dalam konteks konten ini, lingkungan produksi adalah lingkungan hidup dengan infrastruktur dan layanan yang berinteraksi langsung dengan pengguna akhir. Misalnya, lingkungan yang dihadapi perusahaan atau pelanggan.

Lingkungan non-produksi. Dalam konteks konten ini, lingkungan nonproduksi mengacu pada lingkungan yang digunakan untuk:

  • Pengembangan

  • Pengujian

  • Tujuan laboratorium

Lingkungan non-produksi biasanya disebut sebagai lingkungan sandbox.

Identitas. Identitas adalah objek direktori yang dapat diautentikasi dan diotorisasi untuk akses ke sumber daya. Objek identitas ada untuk identitas manusia dan identitas non-manusia. Entitas non-manusia meliputi:

  • Objek aplikasi

  • Identitas beban kerja (sebelumnya digambarkan sebagai perwakilan layanan)

  • Identitas Terkelola

  • Perangkat

Identitas manusia adalah objek pengguna yang umumnya mewakili orang-orang dalam suatu organisasi. Identitas ini dibuat dan dikelola langsung di ID Microsoft Entra atau disinkronkan dari Active Directory lokal ke ID Microsoft Entra untuk organisasi tertentu. Jenis identitas ini disebut sebagai identitas lokal. Mungkin juga ada objek pengguna yang diundang dari organisasi mitra atau idP sosial menggunakan kolaborasi Microsoft Entra B2B. Dalam konten ini, kami menyebut jenis identitas ini sebagai identitas eksternal.

Identitas non-manusia mencakup identitas apa pun yang tidak terkait dengan manusia. Jenis identitas ini adalah objek seperti aplikasi yang membutuhkan identitas untuk dapat dijalankan. Dalam konten ini, kami menyebut jenis identitas ini sebagai identitas beban kerja. Berbagai istilah digunakan untuk mendeskripsikan jenis identitas ini, termasuk objek aplikasi dan perwakilan layanan.

  • Objek aplikasi. Aplikasi Microsoft Entra didefinisikan oleh objek aplikasinya. Objek berada di penyewa Microsoft Entra tempat aplikasi terdaftar. Penyewa dikenal sebagai penyewa "beranda" aplikasi.

    • Aplikasi Penyewa tunggal dibuat hanya untuk mengotorisasi identitas yang berasal dari penyewa "beranda".

    • Aplikasi multi-penyewa memungkinkan identitas dari penyewa Microsoft Entra mana pun untuk mengautentikasi.

  • Objek perwakilan layanan. Meskipun ada pengecualian, objek aplikasi dapat dianggap sebagai definisi aplikasi. Objek perwakilan layanan dapat dianggap sebagai instans aplikasi. Perwakilan layanan umumnya mereferensikan objek aplikasi, dan satu objek aplikasi direferensikan oleh beberapa perwakilan layanan di seluruh direktori.

Objek perwakilan layanan juga merupakan identitas direktori yang dapat melakukan tugas secara independen dari campur tangan manusia. Perwakilan layanan menentukan kebijakan akses dan izin untuk pengguna atau aplikasi di penyewa Microsoft Entra. Mekanisme ini mengaktifkan fitur inti seperti autentikasi pengguna atau aplikasi selama masuk dan otorisasi selama akses sumber daya.

ID Microsoft Entra memungkinkan objek perwakilan aplikasi dan layanan untuk mengautentikasi dengan kata sandi (juga dikenal sebagai rahasia aplikasi), atau dengan sertifikat. Penggunaan kata sandi untuk perwakilan layanan tidak disarankan dan sebaiknya gunakan sertifikat bila memungkinkan.

  • Identitas terkelola untuk sumber daya Azure. Identitas terkelola adalah perwakilan layanan khusus dalam ID Microsoft Entra. Jenis perwakilan layanan ini dapat digunakan untuk mengautentikasi terhadap layanan yang mendukung autentikasi Microsoft Entra tanpa perlu menyimpan kredensial dalam kode Anda atau menangani manajemen rahasia. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan identitas terkelola untuk sumber daya Azure?

  • Identitas perangkat: Identitas perangkat memverifikasi perangkat dalam alur autentikasi telah menjalani proses untuk membuktikan perangkat sah dan memenuhi persyaratan teknis. Setelah perangkat berhasil menyelesaikan proses ini, identitas terkait dapat digunakan untuk lebih mengontrol akses ke sumber daya organisasi. Dengan ID Microsoft Entra, perangkat dapat mengautentikasi dengan sertifikat.

Beberapa skenario lama memerlukan identitas manusia untuk digunakan dalam skenario non-manusia. Misalnya, ketika akun layanan digunakan dalam aplikasi lokal seperti skrip atau pekerjaan batch memerlukan akses ke ID Microsoft Entra. Pola ini tidak disarankan dan sebaiknya Anda menggunakan sertifikat. Namun, jika Anda menggunakan identitas manusia dengan kata sandi untuk autentikasi, lindungi akun Microsoft Entra Anda dengan autentikasi multifaktor Microsoft Entra.

Identitas hibrid. Identitas hibrid adalah identitas yang mencakup lingkungan lokal dan cloud. Keuntungannya, Anda dapat menggunakan identitas yang sama untuk mengakses sumber daya lokal dan cloud. Sumber otoritas dalam skenario ini biasanya merupakan direktori lokal, dan siklus hidup identitas seputar provisi, deprovisi, dan penetapan sumber daya juga didorong dari lokal. Untuk informasi selengkapnya, lihat Dokumentasi identitas hibrid.

Objek direktori. Penyewa Microsoft Entra berisi objek umum berikut:

  • Objek pengguna mewakili identitas manusia dan identitas non-manusia untuk layanan yang saat ini tidak mendukung perwakilan layanan. Objek pengguna berisi atribut yang memiliki informasi yang diperlukan tentang pengguna termasuk detail pribadi, keanggotaan grup, perangkat, dan peran yang diberikan kepada pengguna.

  • Objek perangkat mewakili perangkat yang terkait dengan penyewa Microsoft Entra. Objek perangkat berisi atribut yang memiliki informasi yang diperlukan tentang perangkat. Ini termasuk sistem operasi, pengguna terkait, status kepatuhan, dan sifat asosiasi dengan penyewa Microsoft Entra. Asosiasi ini dapat mengambil beberapa formulir bergantung pada sifat interaksi dan tingkat kepercayaan perangkat.

    • Domain Hibrid Bergabung. Perangkat yang dimiliki oleh organisasi dan bergabung ke Active Directory lokal dan ID Microsoft Entra. Biasanya perangkat dibeli dan dikelola oleh organisasi dan Configuration Manager Pusat Sistem.

    • Microsoft Entra Domain Bergabung. Perangkat yang dimiliki oleh organisasi dan bergabung ke penyewa Microsoft Entra organisasi. Biasanya perangkat yang dibeli dan dikelola oleh organisasi yang bergabung ke ID Microsoft Entra dan dikelola oleh layanan seperti Microsoft Intune.

    • Microsoft Entra terdaftar. Perangkat yang tidak dimiliki oleh organisasi, misalnya, perangkat pribadi, yang digunakan untuk mengakses sumber daya perusahaan. Organisasi mungkin mengharuskan perangkat didaftarkan melalui Manajemen Perangkat Seluler (MDM), atau diberlakukan melalui Manajemen Aplikasi Seluler (MAM) tanpa pendaftaran untuk mengakses sumber daya. Kemampuan ini dapat disediakan oleh layanan seperti Microsoft Intune.

  • Objek grup berisi objek untuk tujuan menetapkan akses sumber daya, menerapkan kontrol, atau konfigurasi. Objek grup berisi atribut yang memiliki informasi yang diperlukan tentang grup termasuk nama, deskripsi, anggota grup, pemilik grup, dan jenis grup. Grup di Microsoft Entra ID mengambil beberapa formulir berdasarkan persyaratan organisasi dan dapat dikuasai dalam ID Microsoft Entra atau disinkronkan dari Active Directory lokal Domain Services (AD DS).

    • Grup yang ditetapkan. Di grup yang ditetapkan, pengguna ditambahkan ke atau dihapus dari grup secara manual, disinkronkan dari AD DS lokal, atau diperbarui sebagai bagian dari alur kerja skrip otomatis. Grup yang ditetapkan dapat disinkronkan dari AD DS lokal atau dapat di-homed di MICROSOFT Entra ID.

    • Grup keanggotaan dinamis. Di grup Dinamis, pengguna ditetapkan ke grup secara otomatis berdasarkan atribut yang ditentukan. Penetapan ini memungkinkan keanggotaan grup diperbarui secara dinamis berdasarkan data yang disimpan dalam objek pengguna. Grup dinamis hanya dapat di-homed di MICROSOFT Entra ID.

Akun Microsoft (MSA). Anda dapat membuat langganan dan penyewa Azure menggunakan Akun Microsoft (MSA). Akun Microsoft adalah akun pribadi (kebalikan dari akun organisasi) dan biasanya digunakan oleh pengembang dan untuk skenario percobaan. Saat digunakan, akun pribadi selalu dijadikan tamu di penyewa Microsoft Entra.

Area fungsi microsoft Entra

Ini adalah area fungsi yang disediakan oleh ID Microsoft Entra yang relevan dengan lingkungan yang terisolasi. Untuk mempelajari selengkapnya tentang kemampuan ID Microsoft Entra, lihat Apa itu ID Microsoft Entra?.

Autentikasi

Autentikasi. MICROSOFT Entra ID menyediakan dukungan untuk protokol autentikasi yang sesuai dengan standar terbuka seperti OpenID Connect, OAuth, dan SAML. ID Microsoft Entra juga menyediakan kemampuan untuk memungkinkan organisasi menggabungkan penyedia identitas lokal yang ada seperti Layanan Federasi Direktori Aktif (AD FS) untuk mengautentikasi akses ke aplikasi terintegrasi Microsoft Entra.

MICROSOFT Entra ID menyediakan opsi autentikasi kuat terkemuka di industri yang dapat digunakan organisasi untuk mengamankan akses ke sumber daya. Autentikasi multifaktor Microsoft Entra, autentikasi perangkat, dan kemampuan tanpa kata sandi memungkinkan organisasi untuk menyebarkan opsi autentikasi yang kuat yang sesuai dengan persyaratan tenaga kerja mereka.

Akses menyeluruh (SSO). Dengan akses menyeluruh, pengguna masuk sekali dengan satu akun untuk mengakses semua sumber daya yang mempercayai direktori seperti perangkat yang bergabung dengan domain, sumber daya perusahaan, aplikasi perangkat lunak sebagai layanan (SaaS), dan semua aplikasi terintegrasi Microsoft Entra. Untuk informasi selengkapnya, lihat akses menyeluruh ke aplikasi di ID Microsoft Entra.

Authorization

Penetapan akses sumber daya. MICROSOFT Entra ID menyediakan dan mengamankan akses ke sumber daya. Menetapkan akses ke sumber daya di MICROSOFT Entra ID dapat dilakukan dengan dua cara:

  • Penugasan pengguna: Pengguna diberi akses yang ditetapkan secara langsung ke sumber daya, dan peran atau izin yang sesuai ditetapkan ke pengguna.

  • Penugasan grup: Grup yang berisi satu atau beberapa pengguna ditetapkan ke sumber daya, dan peran atau izin yang sesuai ditetapkan ke grup

Kebijakan akses aplikasi. MICROSOFT Entra ID menyediakan kemampuan untuk mengontrol lebih lanjut dan mengamankan akses ke aplikasi organisasi Anda.

Akses Bersyarat. Kebijakan Akses Bersyarat Microsoft Entra adalah alat untuk membawa konteks pengguna dan perangkat ke dalam alur otorisasi saat mengakses sumber daya Microsoft Entra. Organisasi harus mengeksplorasi penggunaan kebijakan Akses Bersyarat untuk mengizinkan, menolak, atau meningkatkan autentikasi berdasarkan konteks pengguna, risiko, perangkat, dan jaringan. Untuk informasi selengkapnya, lihat dokumentasi Microsoft Entra Conditional Access.

Perlindungan ID Microsoft Entra. Fitur ini memungkinkan organisasi untuk mengotomatiskan deteksi dan perbaikan risiko berbasis identitas, menyelidiki risiko, dan mengekspor data deteksi risiko ke utilitas pihak ketiga untuk analisis lebih lanjut. Untuk informasi selengkapnya, lihat gambaran umum tentang Microsoft Entra ID Protection.

Administrasi

Manajemen Identitas. MICROSOFT Entra ID menyediakan alat untuk mengelola siklus hidup identitas pengguna, grup, dan perangkat. Microsoft Entra Connect memungkinkan organisasi memperluas solusi manajemen identitas lokal saat ini ke cloud. Microsoft Entra Connect mengelola provisi, deprovisi, dan pembaruan identitas ini di ID Microsoft Entra.

MICROSOFT Entra ID juga menyediakan portal dan Microsoft Graph API untuk memungkinkan organisasi mengelola identitas atau mengintegrasikan manajemen identitas Microsoft Entra ke dalam alur kerja atau otomatisasi yang ada. Untuk mempelajari lebih lanjut tentang Microsoft Graph, lihat Menggunakan API Microsoft Graph.

Manajemen perangkat. ID Microsoft Entra digunakan untuk mengelola siklus hidup dan integrasi dengan infrastruktur manajemen perangkat cloud dan lokal. Azure AD juga digunakan untuk menentukan kebijakan mengontrol akses dari cloud atau perangkat lokal ke data organisasi Anda. MICROSOFT Entra ID menyediakan layanan siklus hidup perangkat di direktori dan provisi kredensial untuk mengaktifkan autentikasi. Azure AD juga mengelola atribut kunci perangkat dalam sistem yang merupakan tingkat kepercayaan. Detail ini penting untuk merancang kebijakan akses sumber daya. Untuk informasi selengkapnya, lihat dokumentasi Microsoft Entra Manajemen Perangkat.

Manajemen Konfigurasi. MICROSOFT Entra ID memiliki elemen layanan yang perlu dikonfigurasi dan dikelola untuk memastikan layanan dikonfigurasi ke persyaratan organisasi. Elemen ini termasuk manajemen domain, konfigurasi SSO, dan sebagian kecil manajemen aplikasi nama. MICROSOFT Entra ID menyediakan portal dan Microsoft Graph API untuk memungkinkan organisasi mengelola elemen-elemen ini atau berintegrasi ke dalam proses yang ada. Untuk mempelajari lebih lanjut tentang Microsoft Graph, lihat Menggunakan API Microsoft Graph.

Pemerintahan

Siklus hidup identitas. MICROSOFT Entra ID menyediakan kemampuan untuk membuat, mengambil, menghapus, dan memperbarui identitas di direktori, termasuk identitas eksternal. MICROSOFT Entra ID juga menyediakan layanan untuk mengotomatiskan siklus hidup identitas untuk memastikannya dipertahankan sesuai dengan kebutuhan organisasi Anda. Misalnya, menggunakan Tinjauan Akses untuk menghapus pengguna eksternal yang belum masuk selama jangka waktu tertentu.

Pelaporan dan analitik. Aspek penting dari tata kelola identitas adalah visibilitas ke dalam tindakan pengguna. ID Microsoft Entra memberikan wawasan tentang pola keamanan dan penggunaan lingkungan Anda. Wawasan ini mencakup informasi terperinci tentang:

  • Apa yang diakses pengguna Anda

  • Dari mana mereka mengaksesnya

  • Perangkat yang mereka gunakan

  • Aplikasi yang digunakan untuk mengakses

ID Microsoft Entra juga menyediakan informasi tentang tindakan yang sedang dilakukan dalam ID Microsoft Entra, dan melaporkan risiko keamanan. Untuk informasi selengkapnya, lihat Laporan dan pemantauan Microsoft Entra.

Pengauditan. Audit memberikan keterlacakan melalui log untuk semua perubahan yang dilakukan oleh fitur tertentu dalam ID Microsoft Entra. Contoh aktivitas yang ditemukan dalam log audit mencakup perubahan yang dilakukan pada sumber daya apa pun dalam ID Microsoft Entra seperti menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan. Pelaporan di MICROSOFT Entra ID memungkinkan Anda mengaudit aktivitas masuk, proses masuk berisiko, dan pengguna yang ditandai berisiko. Untuk informasi selengkapnya, lihat Laporan aktivitas audit di portal Azure.

Sertifikasi akses. Sertifikasi akses adalah proses untuk membuktikan bahwa pengguna berhak untuk memiliki akses ke sumber daya pada suatu titik waktu. Tinjauan akses Microsoft Entra terus meninjau keanggotaan grup atau aplikasi dan memberikan wawasan untuk menentukan apakah akses diperlukan atau harus dihapus. Tindakan ini memungkinkan organisasi untuk secara efektif mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran untuk memastikan hanya orang yang tepat yang memiliki akses berkelanjutan. Untuk informasi selengkapnya, lihat Apa itu tinjauan akses Microsoft Entra?

Akses Istimewa. Microsoft Entra Privileged Identity Management (PIM) menyediakan aktivasi peran berbasis waktu dan berbasis persetujuan untuk mengurangi risiko izin akses yang berlebihan, tidak perlu, atau disalahgunakan ke sumber daya Azure. Hal ini digunakan untuk melindungi akun istimewa dengan menurunkan waktu pemaparan hak istimewa dan meningkatkan visibilitas ke dalam penggunaannya melalui laporan dan peringatan.

Manajemen layanan mandiri

Pendaftaran kredensial. MICROSOFT Entra ID menyediakan kemampuan untuk mengelola semua aspek siklus hidup identitas pengguna dan kemampuan layanan mandiri untuk mengurangi beban kerja staf dukungan organisasi.

Manajemen grup. ID Microsoft Entra menyediakan kemampuan yang memungkinkan pengguna meminta keanggotaan dalam grup untuk akses sumber daya dan membuat grup yang dapat digunakan untuk mengamankan sumber daya atau kolaborasi. Kemampuan ini dapat dikontrol oleh organisasi agar kontrol yang sesuai diberlakukan.

Identitas dan Manajemen Akses (IAM) Pelanggan

Azure AD B2C. Azure AD B2C adalah layanan yang dapat diaktifkan dalam langganan Azure guna memberikan identitas kepada konsumen untuk aplikasi yang dihadapi oleh pelanggan organisasi Anda. Ini adalah pulau identitas terpisah dan pengguna ini tidak muncul di penyewa Microsoft Entra organisasi. Azure AD B2C dikelola oleh administrator di penyewa yang terkait dengan langganan Azure.

Langkah berikutnya