Mengonfigurasi Microsoft Entra untuk peningkatan keamanan (Pratinjau)

Di Microsoft Entra, kami mengelompokkan rekomendasi keamanan kami ke dalam beberapa tema berdasarkan Secure Future Initiative (SFI). Struktur ini memungkinkan organisasi untuk secara logis memecah proyek menjadi potongan yang dapat dikonsumsi terkait.

Tip

Beberapa organisasi mungkin mengambil rekomendasi ini persis seperti yang ditulis, sementara yang lain mungkin memilih untuk melakukan modifikasi berdasarkan kebutuhan bisnis mereka sendiri. Dalam rilis awal panduan ini, kami berfokus pada penyewa tenaga kerja tradisional. Penyewa tenaga kerja ini adalah untuk karyawan Anda, aplikasi bisnis internal, dan sumber daya organisasi lainnya.

Kami menyarankan agar semua kontrol berikut diimplementasikan di mana lisensi tersedia. Pola dan praktik ini membantu menyediakan fondasi untuk sumber daya lain yang dibangun di atas solusi ini. Kontrol lainnya akan ditambahkan ke dokumen ini dari waktu ke waktu.

Penilaian otomatis

Memeriksa panduan ini secara manual terhadap konfigurasi penyewa dapat memakan waktu dan rawan kesalahan. Penilaian Zero Trust mengubah proses ini dengan otomatisasi untuk menguji item konfigurasi keamanan ini dan banyak lagi. Pelajari selengkapnya di Apa itu Penilaian Zero Trust?

Melindungi identitas dan rahasia

Kurangi risiko terkait kredensial dengan menerapkan standar identitas modern.

Periksa	Lisensi minimum yang diperlukan
Aplikasi tidak memiliki rahasia klien yang dikonfigurasi	Tidak ada (disertakan dengan ID Microsoft Entra)
Perwakilan layanan tidak memiliki sertifikat atau kredensial yang terkait dengannya	Tidak ada (disertakan dengan ID Microsoft Entra)
Aplikasi tidak memiliki sertifikat dengan kedaluwarsa lebih dari 180 hari	Tidak ada (disertakan dengan ID Microsoft Entra)
Sertifikat aplikasi harus diputar secara berkala	Tidak ada (disertakan dengan ID Microsoft Entra)
Menerapkan standar untuk rahasia dan sertifikat aplikasi	Tidak ada (disertakan dengan ID Microsoft Entra)
Aplikasi layanan Microsoft tidak memiliki kredensial yang dikonfigurasi	Tidak ada (disertakan dengan ID Microsoft Entra)
Pengaturan persetujuan pengguna dibatasi	Tidak ada (disertakan dengan ID Microsoft Entra)
Alur kerja persetujuan admin diaktifkan	Tidak ada (disertakan dengan ID Microsoft Entra)
Administrator Global Tinggi terhadap rasio pengguna istimewa	Tidak ada (disertakan dengan ID Microsoft Entra)
Akun istimewa adalah identitas asli cloud	Tidak ada (disertakan dengan ID Microsoft Entra)
Semua penetapan peran istimewa diaktifkan tepat waktu dan tidak aktif secara permanen	Microsoft Entra ID P2
Semua penetapan peran istimewa Microsoft Entra dikelola dengan PIM	Microsoft Entra ID P2
Metode autentikasi passkey diaktifkan	Tidak ada (disertakan dengan ID Microsoft Entra)
Pengesahan kunci keamanan diberlakukan	Tidak ada (disertakan dengan ID Microsoft Entra)
Akun istimewa memiliki metode tahan phishing yang terdaftar	Microsoft Entra ID P1
Peran bawaan Microsoft Entra istimewa ditargetkan dengan kebijakan Akses Bersyar untuk memberlakukan metode tahan phishing	Microsoft Entra ID P1
Memerlukan pemberitahuan pengaturan ulang kata sandi untuk peran administrator	Microsoft Entra ID P1
Kebijakan autentikasi lama blokir dikonfigurasi	Microsoft Entra ID P1
Kode akses sementara diaktifkan	Microsoft Entra ID P1
Membatasi Kode Akses Sementara ke Penggunaan Tunggal	Microsoft Entra ID P1
Migrasi dari kebijakan MFA dan SSPR warisan	Microsoft Entra ID P1
Memblokir administrator untuk menggunakan SSPR	Microsoft Entra ID P1
Pengaturan ulang kata sandi mandiri tidak menggunakan pertanyaan keamanan	Microsoft Entra ID P1
Metode autentikasi SMS dan Panggilan Suara dinonaktifkan	Microsoft Entra ID P1
Mengamankan halaman pendaftaran MFA (Info Keamanan Saya)	Microsoft Entra ID P1
Menggunakan autentikasi cloud	Microsoft Entra ID P1
Semua pengguna diharuskan mendaftar untuk MFA	Microsoft Entra ID P2
Pengguna memiliki metode autentikasi yang kuat yang dikonfigurasi	Microsoft Entra ID P1
Aktivitas masuk pengguna menggunakan perlindungan token	Microsoft Entra ID P1
Semua aktivitas masuk pengguna menggunakan metode autentikasi tahan phishing	Microsoft Entra ID P1
Semua aktivitas masuk berasal dari perangkat terkelola	Microsoft Entra ID P1
Metode autentikasi kunci keamanan diaktifkan	Tidak ada (disertakan dengan ID Microsoft Entra)
Peran istimewa tidak ditetapkan ke identitas kedaluarsa	Microsoft Entra ID P2
Aplikasi Microsoft Authenticator menunjukkan konteks masuk	Microsoft Entra ID P1
Pengaturan aktivitas mencurigakan laporan aplikasi Microsoft Authenticator diaktifkan	Microsoft Entra ID P1
Kedaluwarsa kata sandi dinonaktifkan	Microsoft Entra ID P1
Ambang penguncian cerdas diatur ke 10 atau kurang	Microsoft Entra ID P1
Durasi penguncian cerdas diatur ke minimal 60	Microsoft Entra ID P1
Menambahkan istilah organisasi ke daftar kata sandi yang dilarang	Microsoft Entra ID P1
Memerlukan autentikasi multifaktor untuk gabungan perangkat dan pendaftaran perangkat menggunakan tindakan pengguna	Microsoft Entra ID P1
Solusi Kata Sandi Admin Lokal disebarkan	Microsoft Entra ID P1
Sinkronisasi Entra Connect dikonfigurasi dengan Kredensial Perwakilan Layanan	Tidak ada (disertakan dengan ID Microsoft Entra)
Tidak ada penggunaan ADAL di penyewa	Tidak ada (disertakan dengan ID Microsoft Entra)
Memblokir modul Azure AD PowerShell warisan	Tidak ada (disertakan dengan ID Microsoft Entra)
Mengaktifkan default keamanan ID Microsoft Entra untuk penyewa gratis	Tidak ada (disertakan dengan ID Microsoft Entra)

Melindungi penyewa dan mengisolasi sistem produksi

Periksa	Lisensi minimum yang diperlukan
Izin untuk membuat penyewa baru terbatas pada peran Pembuat Penyewa	Tidak ada (disertakan dengan ID Microsoft Entra)
Mengaktifkan tindakan yang dilindungi untuk mengamankan pembuatan dan perubahan kebijakan Akses Bersyar	Microsoft Entra ID P1
Akses tamu terbatas pada penyewa yang disetujui	Microsoft Entra ID Gratis
Tamu tidak diberi peran direktori dengan hak istimewa tinggi	Microsoft Entra ID Gratis Microsoft Entra ID P2 atau Microsoft ID Governance untuk PIM
Tamu tidak dapat mengundang tamu lain	Microsoft Entra ID Gratis
Tamu memiliki akses terbatas ke objek direktori	Microsoft Entra ID Gratis
Kunci properti instans aplikasi dikonfigurasi untuk semua aplikasi multipenyewa	Microsoft Entra ID Gratis
Tamu tidak memiliki sesi masuk berumur panjang	Microsoft Entra ID P1
Akses tamu dilindungi oleh metode autentikasi yang kuat	Microsoft Entra ID Gratis Microsoft Entra ID P1 direkomendasikan untuk Akses Bersyar
Pendaftaran layanan mandiri tamu melalui alur pengguna dinonaktifkan	Microsoft Entra ID Gratis
Pengaturan akses lintas penyewa keluar dikonfigurasi	Microsoft Entra ID Gratis Microsoft Entra ID P1 direkomendasikan untuk Akses Bersyar
Tamu tidak memiliki aplikasi di penyewa	Tidak ada (disertakan dengan ID Microsoft Entra)
Semua tamu memiliki sponsor	Microsoft Entra ID Gratis
Identitas tamu tidak aktif dinonaktifkan atau dihapus dari penyewa	Microsoft Entra ID Gratis
Semua kebijakan pengelolaan pemberian hak memiliki tanggal kedaluwarsa	Microsoft Entra ID P2 atau Microsoft ID Governance untuk pemberian hak terkelola dan tinjauan akses
Semua kebijakan penetapan pengelolaan pemberian hak yang berlaku untuk pengguna eksternal memerlukan organisasi yang terhubung	Microsoft Entra ID P2 atau Microsoft ID Governance untuk pemberian hak terkelola dan tinjauan akses
Semua kebijakan penetapan pengelolaan pemberian hak yang berlaku untuk pengguna eksternal memerlukan persetujuan	Microsoft Entra ID P2 atau Microsoft ID Governance untuk pemberian hak terkelola dan tinjauan akses
Semua paket pengelolaan pemberian hak yang berlaku untuk tamu memiliki kedaluwarsa atau tinjauan akses yang dikonfigurasi dalam kebijakan penugasan mereka	Microsoft Entra ID P2 atau Microsoft ID Governance untuk pemberian hak terkelola dan tinjauan akses
Mengelola administrator lokal di perangkat yang bergabung dengan Microsoft Entra	Tidak ada (disertakan dengan ID Microsoft Entra)
Membatasi pengguna nonadministrator untuk memulihkan kunci BitLocker untuk perangkat milik mereka	Tidak ada (disertakan dengan ID Microsoft Entra)

Lindungi jaringan

Lindungi perimeter jaringan Anda.

Periksa	Lisensi minimum yang diperlukan
Lokasi bernama dikonfigurasi	Microsoft Entra ID P1
Kebijakan pembatasan penyewa v2 dikonfigurasi	Microsoft Entra ID P1
Profil penerusan Akses Internet diaktifkan	Microsoft Entra Internet Access
Pemfilteran konten web Akses Aman Global diaktifkan dan dikonfigurasi	Microsoft Entra Internet Access
Validasi jaringan dikonfigurasi melalui Evaluasi Akses Berkelanjutan Universal	Microsoft Entra ID P1 atau Add-on Microsoft Entra Suite untuk Microsoft Entra ID P2

Lindungi sistem rekayasa

Lindungi aset perangkat lunak dan tingkatkan keamanan kode.

Periksa	Lisensi minimum yang diperlukan
Akun akses darurat dikonfigurasi dengan tepat	Microsoft Entra ID P1
Aktivasi peran Administrator Global memicu alur kerja persetujuan	Microsoft Entra ID P2
Administrator Global tidak memiliki akses berdiri ke langganan Azure	Tidak ada (disertakan dengan ID Microsoft Entra)
Membuat aplikasi baru dan perwakilan layanan dibatasi untuk pengguna istimewa	Microsoft Entra ID P1
Aplikasi tidak aktif tidak memiliki izin Microsoft Graph API yang sangat istimewa	Microsoft Entra ID P1
Aplikasi tidak aktif tidak memiliki peran bawaan yang sangat istimewa	Microsoft Entra ID P1
Pendaftaran aplikasi menggunakan URI pengalihan yang aman	Microsoft Entra ID P1
Perwakilan layanan menggunakan URI pengalihan yang aman	Microsoft Entra ID P1
Pendaftaran aplikasi tidak boleh memiliki URI pengalihan domain yang menggantung atau ditinggalkan	Microsoft Entra ID P1
Persetujuan khusus sumber daya dibatasi	Microsoft Entra ID P1
Identitas Beban Kerja tidak diberi peran istimewa	Microsoft Entra ID P1
Aplikasi perusahaan harus memerlukan penugasan eksplisit atau provisi terlingkup	Microsoft Entra ID P1
Aplikasi perusahaan memiliki pemilik	Tidak ada (disertakan dengan ID Microsoft Entra)
Batasi jumlah maksimum perangkat per pengguna hingga 10	Tidak ada (disertakan dengan ID Microsoft Entra)
Kebijakan Akses Bersyar untuk Stasiun Kerja Akses Istimewa dikonfigurasi	Microsoft Entra ID P1

Memantau dan mendeteksi ancaman cyber

Mengumpulkan dan menganalisis log keamanan dan pemberitahuan triase.

Periksa	Lisensi minimum yang diperlukan
Pengaturan diagnostik dikonfigurasi untuk semua log Microsoft Entra	Microsoft Entra ID P1
Aktivasi peran istimewa memiliki pemantauan dan pemberitahuan yang dikonfigurasi	Microsoft Entra ID P2
Pemberitahuan aktivasi untuk penetapan peran Administrator Global	Microsoft Entra ID P2
Pemberitahuan aktivasi untuk semua penetapan peran istimewa	Microsoft Entra ID P2
Pengguna istimewa masuk dengan metode tahan phishing	Microsoft Entra ID P1
Semua pengguna berisiko tinggi di-triase	Microsoft Entra ID P2
Semua rincian masuk berisiko tinggi di-triase	Microsoft Entra ID P2
[Semua identitas beban kerja berisiko di-triase]
Peristiwa pembuatan penyewa di-triase	Microsoft Entra ID P1
Semua aktivitas masuk pengguna menggunakan metode autentikasi yang kuat	Microsoft Entra ID P1
Rekomendasi Microsoft Entra prioritas tinggi ditangani	Microsoft Entra ID P1
Pemberitahuan Perlindungan ID diaktifkan	Microsoft Entra ID P2
Tidak ada aktivitas masuk autentikasi warisan	Microsoft Entra ID P1
Semua rekomendasi Microsoft Entra ditangani	Microsoft Entra ID P1

Mempercepat respons dan remediasi

Meningkatkan respons insiden keamanan dan komunikasi insiden.

Periksa	Lisensi minimum yang diperlukan
Identitas Beban Kerja dikonfigurasi dengan kebijakan berbasis risiko	ID Pekerjaan Microsoft Entra
Membatasi rincian masuk berisiko tinggi	Microsoft Entra ID P2
Membatasi akses ke pengguna berisiko tinggi	Microsoft Entra ID P2

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2026-01-29