Bagikan melalui


Merencanakan penyebaran tinjauan akses Microsoft Entra

Tinjauan akses Microsoft Entra membantu organisasi Anda menjaga Enterprise lebih aman dengan mengelola siklus hidup akses sumber dayanya. Dengan tinjauan akses, Anda dapat:

  • Jadwalkan ulasan reguler atau lakukan ulasan ad-hoc untuk menemukan siapa yang memiliki akses ke sumber daya tertentu, seperti aplikasi dan grup.

  • Melacak tinjauan untuk wawasan, kepatuhan, atau alasan kebijakan.

  • Mendelegasikan tinjauan kepada admin, pemilik bisnis, atau pengguna tertentu yang dapat membuktikan sendiri perlunya akses berkelanjutan.

  • Menggunakan wawasan untuk menentukan secara efisien apakah pengguna harus terus memiliki akses.

  • Mengotomatiskan hasil peninjauan, seperti menghapus akses pengguna ke sumber daya.

    Diagram yang menunjukkan alur tinjauan akses.

Tinjauan akses adalah kemampuan Tata Kelola ID Microsoft Entra. Kemampuan lainnya adalah pengelolaan pemberian hak, Privileged Identity Management (PIM), alur kerja siklus hidup, provisi, dan ketentuan penggunaan. Bersama-sama, mereka membantu Anda menjawab empat pertanyaan ini:

  • Pengguna mana yang harus memiliki akses ke sumber daya mana?
  • Apa yang dilakukan pengguna tersebut dengan akses tersebut?
  • Apakah ada kontrol organisasi yang efektif untuk mengelola akses?
  • Apakah auditor memverifikasi bahwa kontrol berfungsi?

Merencanakan penyebaran tinjauan akses sangat penting untuk memastikan Anda mencapai strategi tata kelola yang diinginkan untuk pengguna di organisasi Anda.

Manfaat utama

Manfaat utama mengaktifkan tinjauan akses adalah:

  • Kolaborasi kontrol: Tinjauan akses memungkinkan Anda mengelola akses ke semua sumber daya yang dibutuhkan pengguna Anda. Ketika pengguna berbagi dan berkolaborasi, Anda dapat yakin bahwa informasi tersebut hanya di antara pengguna yang berwenang.
  • Mengelola risiko: Tinjauan akses memberi Anda cara untuk meninjau akses ke data dan aplikasi, yang menurunkan risiko kebocoran data dan tumpahan data. Anda mendapatkan kemampuan untuk secara teratur meninjau akses mitra eksternal ke sumber daya perusahaan.
  • Kepatuhan dan tata kelola alamat: Dengan tinjauan akses, Anda dapat menata kelola dan mensertifikasi ulang siklus hidup akses ke grup, aplikasi, dan situs. Anda dapat mengontrol dan melacak tinjauan untuk kepatuhan atau aplikasi sensitif risiko khusus untuk organisasi Anda.
  • Mengurangi biaya: Tinjauan akses dibuat di cloud dan aslinya berfungsi dengan sumber daya cloud seperti grup, aplikasi, dan paket akses. Menggunakan tinjauan akses lebih murah daripada membuat alat Anda sendiri atau memutakhirkan perangkat lokal Anda.

Sumber daya pelatihan

Video berikut membantu Anda mempelajari tinjauan akses:

Lisensi

Fitur ini memerlukan langganan Tata Kelola ID Microsoft Entra atau Microsoft Entra Suite, untuk pengguna organisasi Anda. Beberapa kemampuan, dalam fitur ini, dapat beroperasi dengan langganan Microsoft Entra ID P2. Untuk informasi selengkapnya, lihat artikel setiap kemampuan untuk detail selengkapnya. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Tata Kelola ID Microsoft Entra dasar-dasar lisensi.

Catatan

Untuk membuat tinjauan pengguna yang tidak aktif dan dengan rekomendasi afiliasi pengguna-ke-grup memerlukan lisensi Tata Kelola ID Microsoft Entra.

Merencanakan proyek penyebaran tinjauan akses

Pertimbangkan kebutuhan organisasi Anda untuk menentukan strategi penyebaran tinjauan akses di lingkungan Anda.

Melibatkan pemangku kepentingan yang tepat

Ketika proyek teknologi gagal, mereka biasanya melakukannya karena harapan yang tidak sesuai dengan dampak, hasil, dan tanggung jawab. Untuk menghindari perangkap ini, pastikan Anda melibatkan pemangku kepentingan yang tepat dan peran proyek tersebut jelas.

Untuk tinjauan akses, Anda mungkin akan menyertakan perwakilan dari tim berikut dalam organisasi Anda:

  • Administrasi TI mengelola infrastruktur TI Anda serta mengelola investasi cloud dan aplikasi perangkat lunak sebagai layanan (SaaS). Tim ini:

    • Meninjau akses istimewa ke infrastruktur dan aplikasi, termasuk Microsoft 365 dan ID Microsoft Entra.
    • Menjadwalkan dan menjalankan tinjauan akses pada grup yang digunakan untuk memelihara daftar pengecualian atau proyek percontohan IT, untuk mempertahankan daftar akses terbaru.
    • Memastikan bahwa akses terprogram (berskrip) ke sumber daya melalui perwakilan layanan diatur dan ditinjau.
    • Mengotomatiskan proses seperti onboarding dan offboarding pengguna, permintaan akses, dan sertifikasi akses.
  • Tim keamanan memastikan rencana tersebut memenuhi persyaratan keamanan organisasi Anda dan memberlakukan Zero Trust. Tim ini:

    • Mengurangi risiko dan memperkuat keamanan
    • Memberlakukan akses hak istimewa paling sedikit ke sumber daya dan aplikasi
    • Menggunakan alat untuk melihat sumber otoritatif terpusat, siapa yang memiliki akses ke apa, dan berapa lama.
  • Tim pengembangan membuat dan memelihara aplikasi untuk organisasi Anda. Tim ini:

    • Kontrol yang dapat mengakses dan mengelola komponen di SaaS, platform sebagai layanan (PaaS), dan infrastruktur sebagai layanan (IaaS), sumber daya yang terdiri dari solusi yang dikembangkan.
    • Mengelola grup yang dapat mengakses aplikasi dan alat untuk pengembangan aplikasi internal.
    • Memerlukan identitas dengan hak istimewa yang memiliki akses ke perangkat lunak produksi atau solusi yang dihosting untuk pelanggan Anda.
  • Unit bisnis mengelola proyek dan memiliki aplikasi. Tim ini:

    • Meninjau dan menyetujui atau menolak akses ke grup dan aplikasi untuk pengguna internal dan eksternal.
    • Menjadwalkan dan melakukan peninjauan untuk membuktikan akses berkelanjutan bagi karyawan dan identitas eksternal seperti mitra bisnis.
    • Perlu karyawan untuk memiliki akses ke aplikasi yang diperlukan untuk pekerjaan mereka.
    • Mengizinkan departemen untuk mengelola akses bagi pengguna mereka.
  • Tata kelola perusahaan memastikan bahwa organisasi mengikuti kebijakan internal dan mematuhi peraturan. Tim ini:

    • Meminta atau menjadwalkan tinjauan akses baru.
    • Menilai proses dan prosedur untuk meninjau akses, yang termasuk dokumentasi dan penyimpanan catatan untuk kepatuhan.
    • Meninjau hasil tinjauan sebelumnya untuk sebagian besar sumber daya penting.
    • Memvalidasi kontrol yang tepat untuk memenuhi kebijakan keamanan dan privasi wajib.
    • Memerlukan proses akses berulang yang mudah diaudit dan dilaporkan.

Catatan

Untuk tinjauan yang memerlukan evaluasi manual, rencanakan peninjau yang memadai dan siklus tinjauan yang memenuhi kebutuhan kebijakan dan kepatuhan Anda. Jika siklus peninjauan terlalu sering atau pengulas terlalu sedikit, kualitas mungkin hilang dan terlalu banyak atau terlalu sedikit orang yang memiliki akses. Kami sarankan Anda menetapkan tanggung jawab yang jelas untuk berbagai pemangku kepentingan dan departemen yang terlibat dalam tinjauan akses. Semua tim dan individu yang berpartisipasi harus memahami peran dan kewajiban masing-masing untuk menjunjung tinggi prinsip hak istimewa paling sedikit.

Merencanakan komunikasi

Komunikasi sangat penting untuk keberhasilan setiap proses bisnis baru. Secara proaktif berkomunikasi dengan pengguna tentang bagaimana dan kapan pengalaman mereka akan berubah. Beri tahu mereka cara mendapatkan dukungan jika mengalami masalah.

Menyampaikan perubahan dalam akuntabilitas

Tinjauan akses mendukung pengalihan tanggung jawab untuk meninjau dan menindaklanjuti akses berkelanjutan ke pemilik bisnis. Memisahkan keputusan akses dari departemen IT akan mendorong keputusan akses yang lebih akurat. Shift ini adalah perubahan budaya dalam akuntabilitas dan tanggung jawab pemilik sumber daya. Sampaikan perubahan ini secara proaktif dan pastikan pemilik sumber daya terlatih dan mampu menggunakan wawasan untuk membuat keputusan yang baik.

Departemen TI ingin tetap memegang kendali untuk semua keputusan akses terkait infrastruktur dan penetapan peran istimewa.

Mengkustomisasi komunikasi email

Saat menjadwalkan peninjauan, Anda mencalonkan pengguna yang melakukan peninjauan ini. Peninjau ini kemudian akan menerima email pemberitahuan tentang tinjauan baru yang diberikan kepada mereka dan pengingat sebelum tinjauan yang diberikan kepada mereka kedaluwarsa.

Email yang dikirim ke peninjau dapat dikustomisasi untuk menyertakan pesan singkat yang mendorong mereka untuk menindaklanjuti tinjauan. Gunakan teks tambahan untuk:

  • Menyertakan pesan pribadi kepada peninjau, sehingga mereka memahami bahwa pesan tersebut dikirim oleh departemen kepatuhan atau IT Anda.

  • Menyertakan referensi ke informasi internal tentang apa yang diharapkan dari tinjauan dan referensi tambahan atau materi pelatihan.

    Cuplikan layar yang menunjukkan email peninjau.

Setelah Anda memilih Mulai tinjauan, peninjau akan diarahkan ke portal Akses Saya untuk tinjauan akses grup dan aplikasi. Portal akan memberi mereka gambaran umum tentang semua pengguna yang memiliki akses ke sumber daya yang akan ditinjau dan rekomendasi sistem berdasarkan informasi akses dan masuk terakhir.

Merencanakan uji coba

Sebaiknya Anda mencoba terlebih dahulu tinjauan akses dengan kelompok kecil dan menargetkan sumber daya yang tidak penting. Uji coba dapat membantu Anda menyesuaikan proses dan komunikasi sesuai kebutuhan. Hal ini dapat membantu Anda meningkatkan kemampuan pengguna dan peninjau untuk memenuhi persyaratan keamanan dan kepatuhan.

Dalam uji coba tersebut, Anda sebaiknya:

  • Memulai dengan tinjauan yang hasilnya tidak akan diterapkan secara otomatis dan Anda dapat mengontrol implikasinya.
  • Pastikan semua pengguna memiliki alamat email yang valid yang tercantum di ID Microsoft Entra. Konfirmasi bahwa mereka menerima komunikasi email untuk mengambil tindakan yang tepat.
  • Mendokumentasikan akses apa pun yang dihapus sebagai bagian dari uji coba jika Anda perlu memulihkannya dengan cepat.
  • Memantau log audit untuk memastikan bahwa semua kejadian diaudit dengan benar.

Untuk informasi selengkapnya, lihat Praktik terbaik untuk pilot.

Pengantar tinjauan akses

Bagian ini memperkenalkan konsep tinjauan akses yang harus Anda ketahui sebelum Anda merencanakan tinjauan.

Jenis sumber daya apa saja yang dapat ditinjau?

Setelah mengintegrasikan sumber daya organisasi Anda dengan ID Microsoft Entra, seperti pengguna, aplikasi, dan grup, sumber daya tersebut dapat dikelola dan ditinjau.

Target umum untuk peninjauan meliputi:

Siapa yang akan membuat dan mengelola tinjauan akses?

Peran administratif yang diperlukan untuk membuat, mengelola, atau membaca tinjauan akses tergantung pada jenis sumber daya yang keanggotaannya sedang ditinjau. Tabel berikut menunjukkan peran yang diperlukan untuk setiap jenis sumber daya.

Jenis Sumber Daya Membuat dan mengelola tinjauan akses (pembuat) Membaca hasil tinjauan akses
Grup atau aplikasi Global Administrator

Admin Pengguna

Administrator Tata Kelola Identitas

Administrator Peran Istimewa (hanya melakukan ulasan untuk grup yang dapat diberikan peran Microsoft Entra)

Pemilik grup (jika diaktifkan oleh admin)

Administrator Global

Pembaca Global

Admin Pengguna

Administrator Tata Kelola Identitas

Administrator Peran Privileged

Pembaca Keamanan

Pemilik grup (jika diaktifkan oleh admin)

Peran Microsoft Entra Global Administrator

Administrator Peran Privileged

Administrator Global

Pembaca Global

Admin Pengguna

Administrator Peran Privileged

Pembaca Keamanan

Peran sumber daya Azure Administrator Akses Pengguna (untuk sumber daya)

Pemilik sumber daya

Peran kustom dengan izin Microsoft.Authorization/*.

Administrator Akses Pengguna (untuk sumber daya)

Pemilik sumber daya

Pembaca (untuk sumber daya)

Peran kustom dengan izin Microsoft.Authorization/*/read.

Paket akses Administrator Global

Administrator Tata Kelola Identitas

Pemilik katalog (untuk paket akses)

Manajer paket akses (untuk paket akses)

Administrator Global

Pembaca Global

Admin Pengguna

Administrator Tata Kelola Identitas

Pemilik katalog (untuk paket akses)

Manajer paket akses (untuk paket akses)

Pembaca keamanan

Untuk informasi selengkapnya, lihat Izin peran administrator di ID Microsoft Entra.

Siapa yang akan meninjau akses ke sumber daya?

Pembuat tinjauan akses akan memutuskan pada saat pembuatan siapa yang akan melakukan peninjauan. Pengaturan ini tidak dapat diubah setelah peninjauan dimulai. Peninjau diwakili oleh:

  • Pemilik sumber daya yang merupakan pemilik bisnis sumber daya.
  • Delegasi yang dipilih secara individual, seperti yang dipilih oleh administrator tinjauan akses.
  • Pengguna yang membuktikan sendiri kebutuhan mereka akan akses berkelanjutan.
  • Manajer yang meninjau akses bawahan langsung mereka ke sumber daya.

Catatan

Saat Anda memilih Pemilik sumber daya atau Manajer, administrator menunjuk peninjau fallback, yang dihubungi jika kontak utama tidak tersedia.

Saat Anda membuat tinjauan akses, administrator dapat memilih satu atau beberapa peninjau. Semua peninjau dapat memulai dan melakukan peninjauan dengan memilih pengguna untuk melanjutkan akses ke sumber daya atau menghapusnya.

Komponen tinjauan akses

Sebelum Anda melaksanakan tinjauan akses, rencanakan jenis tinjauan yang relevan dengan organisasi Anda. Untuk melakukannya, Anda perlu membuat keputusan bisnis tentang apa yang ingin Anda tinjau dan tindakan yang harus diambil berdasarkan ulasan tersebut.

Untuk membuat kebijakan tinjauan akses, Anda harus memiliki informasi berikut:

  • Apa sumber daya untuk ditinjau?

  • Akses siapa yang sedang ditinjau?

  • Seberapa sering peninjauan akan dilakukan?

  • Siapa yang akan melakukan peninjauan?

    • Bagaimana mereka akan diberitahu untuk meninjau?
    • Garis waktu apa yang akan diberlakukan untuk peninjauan?
  • Tindakan otomatis apa yang harus diterapkan berdasarkan peninjauan?

    • Apa yang terjadi jika peninjau tidak merespons tepat waktu?
  • Tindakan manual apa yang diambil sebagai hasilnya berdasarkan tinjauan?

  • Komunikasi apa yang harus dikirim berdasarkan tindakan yang diambil?

Contoh rencana tinjauan akses

Komponen Nilai
Sumber daya untuk ditinjau Akses ke Microsoft Dynamics.
Meninjau frekuensi Bulanan.
Siapa yang melakukan peninjauan Manajer Program grup bisnis Dynamics.
Pemberitahuan Email dikirim pada awal peninjauan ke alias Dynamics-Pms.

Menyertakan pesan khusus yang mendorong peninjau untuk menjamin persetujuan mereka.

Garis Waktu 48 jam dari pemberitahuan.
Tindakan otomatis Hapus akses dari akun mana pun yang tidak memiliki proses masuk interaktif dalam 90 hari, dengan menghapus pengguna dari Akses dinamis grup keamanan.

Lakukan tindakan jika tidak ditinjau dalam garis waktu.

Tindakan manual Peninjau dapat melakukan persetujuan penghapusan sebelum tindakan otomatis jika diinginkan.

Mengotomatiskan tindakan berdasarkan tinjauan akses

Anda dapat memilih agar penghapusan akses otomatis dengan mengatur opsi Terapkan hasil otomatis ke sumber daya ke Aktifkan.

Cuplikan layar yang menunjukkan perencanaan tinjauan akses.

Setelah peninjauan selesai dan telah berakhir, pengguna yang tidak disetujui oleh peninjau akan secara otomatis dihapus dari sumber daya atau tetap memiliki akses berkelanjutan. Opsi bisa berarti menghapus keanggotaan grup mereka atau penugasan aplikasi mereka, atau mencabut hak mereka untuk diangkat ke peran istimewa.

Mengikuti rekomendasi

Rekomendasi ditampilkan kepada peninjau sebagai bagian dari pengalaman peninjau dan menunjukkan aktivitas masuk terakhir seseorang ke penyewa atau akses terakhir ke aplikasi. Informasi ini akan membantu pengulas membuat keputusan akses yang tepat. Memilih Ikuti rekomendasi berarti mengikuti rekomendasi tinjauan akses. Pada akhir tinjauan akses, sistem menerapkan rekomendasi ini secara otomatis kepada pengguna yang belum ditanggapi oleh peninjau.

Rekomendasi didasarkan pada kriteria dalam tinjauan akses. Misalnya, jika Anda mengonfigurasi tinjauan untuk menghapus akses tanpa proses masuk interaktif selama 90 hari, rekomendasinya bahwa semua pengguna yang sesuai dengan kriteria tersebut harus dihapus. Microsoft terus berupaya meningkatkan rekomendasi.

Meninjau akses pengguna tamu

Gunakan tinjauan akses untuk meninjau dan membersihkan identitas mitra kolaborasi dari organisasi eksternal. Konfigurasi tinjauan per mitra dapat memenuhi persyaratan kepatuhan.

Identitas eksternal dapat diberikan akses ke sumber daya perusahaan. Identitas bisa:

  • Ditambahkan ke grup.
  • Diundang ke Tim.
  • Ditugaskan ke aplikasi perusahaan atau paket akses.
  • Menetapkan peran istimewa di ID Microsoft Entra atau dalam langganan Azure.

Untuk informasi selengkapnya, lihat skrip sampel. Skrip menunjukkan tempat identitas eksternal yang diundang ke penyewa digunakan. Anda dapat melihat keanggotaan grup, penetapan peran, dan penetapan aplikasi pengguna eksternal di ID Microsoft Entra. Skrip tidak akan menampilkan penetapan apa pun di luar ID Microsoft Entra, misalnya, penetapan hak langsung ke sumber daya SharePoint, tanpa menggunakan grup.

Saat membuat tinjauan akses untuk grup atau aplikasi, Anda dapat memilih untuk membiarkan peninjau fokus pada Semua pengguna atau pengguna Tamu saja. Dengan memilih Pengguna tamu saja, peninjau diberi daftar identitas eksternal yang berfokus dari Microsoft Entra business to business (B2B) yang memiliki akses ke sumber daya.

Cuplikan layar yang menunjukkan peninjauan pengguna tamu.

Penting

Daftar ini tidak akan menyertakan member eksternal yang memiliki userType anggota. Daftar ini juga tidak akan menyertakan pengguna yang diundang di luar kolaborasi Microsoft Entra B2B. Contohnya adalah pengguna yang memiliki akses ke konten bersama secara langsung melalui SharePoint.

Merencanakan tinjauan akses untuk paket akses

Paket akses dapat sangat menyederhanakan tata kelola dan strategi tinjauan akses Anda. Paket akses adalah paket semua sumber daya dengan akses yang dibutuhkan pengguna untuk mengerjakan proyek atau melakukan tugas mereka. Misalnya, Anda mungkin ingin membuat paket akses yang menyertakan semua aplikasi yang dibutuhkan pengembang di organisasi Anda atau semua aplikasi yang harus diakses oleh pengguna eksternal. Administrator atau pengelola paket akses yang didelegasikan kemudian mengelompokkan sumber daya (grup atau aplikasi) dan peran yang dibutuhkan pengguna untuk sumber daya tersebut.

Saat Anda membuat paket akses, Anda dapat membuat satu atau beberapa kebijakan paket akses yang menetapkan kondisi di mana pengguna dapat meminta paket akses, seperti apa proses persetujuannya, dan seberapa sering seseorang harus meminta kembali akses atau meminta akses mereka ditinjau. Tinjauan akses dikonfigurasi saat Anda membuat atau mengedit kebijakan paket akses tersebut.

Pilih tab Siklus hidup dan gulir ke bawah ke tinjauan akses.

Cuplikan layar yang menunjukkan tab Siklus hidup.

Merencanakan tinjauan akses untuk grup

Selain paket akses, meninjau keanggotaan grup adalah cara paling efektif untuk mengatur akses. Menetapkan akses ke sumber daya melalui Kelompok keamanan atau grup Microsoft 365. Tambahkan pengguna ke grup tersebut untuk mendapatkan akses.

Satu grup dapat diberikan akses ke semua sumber daya yang sesuai. Anda dapat menetapkan akses grup ke sumber daya individual atau ke paket akses yang mengelompokkan aplikasi dan sumber daya lainnya. Dengan metode ini, Anda dapat meninjau akses ke grup daripada akses individu ke setiap aplikasi.

Keanggotaan grup dapat ditinjau oleh:

  • Administrators.
  • Pemilik grup.
  • Pengguna yang dipilih, yang dberikan kemampuan peninjauan saat peninjauan dibuat.
  • Anggota kelompok yang membuktikan sendiri.
  • Manajer yang meninjau akses bawahan langsung mereka.

Kepemilikan grup

Pemilik grup meninjau keanggotaan karena mereka paling memenuhi syarat untuk mengetahui siapa yang membutuhkan akses. Kepemilikan grup berbeda dengan jenis grup:

  • Grup yang dibuat di Microsoft 365 dan MICROSOFT Entra ID memiliki satu atau beberapa pemilik yang ditentukan dengan baik. Dalam kebanyakan kasus, pemilik ini menjadi peninjau yang sempurna untuk grup mereka sendiri karena mereka tahu siapa yang harus memiliki akses.

    Misalnya, Microsoft Teams menggunakan Grup Microsoft 365 sebagai model otorisasi yang mendasari untuk memberi pengguna akses ke sumber daya yang ada di SharePoint, Exchange, OneNote, atau layanan Microsoft 365 lainnya. Pembuat tim secara otomatis menjadi pemilik dan harus bertanggung jawab untuk membuktikan keanggotaan grup tersebut.

  • Grup yang dibuat secara manual di pusat admin Microsoft Entra atau melalui pembuatan skrip melalui Microsoft Graph mungkin belum tentu memiliki pemilik yang ditentukan. Tentukan baik melalui pusat admin Microsoft Entra di bagian Pemilik grup atau melalui Microsoft Graph.

  • Grup yang disinkronkan dari Active Directory lokal tidak dapat memiliki pemilik di ID Microsoft Entra. Saat membuat tinjauan akses untuk mereka, pilih individu yang paling cocok untuk memutuskan keanggotaan di dalam grupnya.

Catatan

Tentukan kebijakan bisnis yang menentukan bagaimana grup dibuat untuk memastikan kepemilikan dan akuntabilitas grup yang jelas untuk peninjauan keanggotaan secara berkala.

Meninjau keanggotaan grup pengecualian dalam kebijakan Akses Bersyarat

Untuk mempelajari cara meninjau keanggotaan grup yang dikecualikan, lihat Menggunakan tinjauan akses Microsoft Entra untuk mengelola pengguna yang dikecualikan dari kebijakan Akses Bersyar.

Meninjau keanggotaan grup pengguna tamu

Untuk mempelajari cara meninjau akses pengguna tamu ke keanggotaan grup, lihat Mengelola akses tamu dengan tinjauan akses Microsoft Entra.

Meninjau akses ke grup lokal

Tinjauan akses tidak dapat mengubah keanggotaan grup yang Anda sinkronkan dari AD lokal dengan Microsoft Entra Connect. Pembatasan ini karena sumber otoritas untuk grup yang berasal dari AD adalah AD lokal. Untuk mengontrol akses ke aplikasi berbasis grup AD, gunakan tulis balik grup Microsoft Entra Cloud Sync.

Hingga Anda bermigrasi ke grup Microsoft Entra dengan tulis balik grup, Anda masih dapat menggunakan tinjauan akses untuk menjadwalkan dan mempertahankan tinjauan rutin grup lokal yang ada. Dalam hal ini, admin kemudian akan mengambil tindakan di grup lokal setelah setiap tinjauan selesai. Strategi ini menjadikan tinjauan akses sebagai alat untuk semua tinjauan.

Anda dapat menggunakan hasil dari tinjauan akses di grup lokal dan memprosesnya lebih lanjut, baik dengan:

Misalnya, untuk mengambil hasil untuk grup yang dikelola Windows Server AD, gunakan skrip sampel PowerShell ini. Skrip menguraikan panggilan Microsoft Graph yang diperlukan dan mengekspor perintah Windows Server AD PowerShell untuk melakukan perubahan.

Merencanakan tinjauan akses untuk aplikasi

Saat meninjau semua orang yang ditetapkan ke aplikasi, Anda meninjau pengguna, termasuk karyawan dan identitas eksternal, yang dapat mengautentikasi ke aplikasi tersebut menggunakan identitas Microsoft Entra mereka. Pilih untuk meninjau aplikasi saat Anda perlu mengetahui siapa yang memiliki akses ke aplikasi tertentu, alih-alih paket akses atau grup.

Rencanakan peninjauan untuk aplikasi dalam skenario berikut saat:

  • Pengguna diberikan akses langsung ke aplikasi (di luar grup atau paket akses).
  • Aplikasi mengekspos informasi penting atau sensitif.
  • Aplikasi memiliki persyaratan kepatuhan khusus yang harus Anda dibuktikan.
  • Anda mencurigai akses yang tidak pantas.

Sebelum Anda membuat tinjauan akses untuk aplikasi, aplikasi perlu diintegrasikan dengan ID Microsoft Entra sebagai aplikasi di penyewa Anda, dengan pengguna yang ditetapkan ke peran aplikasi, dan opsi Penugasan pengguna diperlukan? pada aplikasi yang diatur ke Ya. Jika diatur ke Tidak, semua pengguna di direktori Anda, termasuk identitas eksternal, dapat mengakses aplikasi dan Anda tidak dapat meninjau akses ke aplikasi.

Cuplikan layar yang menunjukkan perencanaan tugas aplikasi.

Kemudian tetapkan pengguna dan grup yang ingin Anda tinjau.

Baca selengkapnya tentang cara mempersiapkan tinjauan akses pengguna ke aplikasi.

Peninjau untuk aplikasi

Tinjauan akses bisa untuk anggota grup atau untuk pengguna yang ditetapkan ke aplikasi. Aplikasi di ID Microsoft Entra tidak selalu memiliki pemilik, itulah sebabnya opsi untuk memilih pemilik aplikasi sebagai peninjau tidak dimungkinkan. Anda selanjutnya dapat mencakup tinjauan untuk meninjau hanya pengguna tamu yang ditetapkan ke aplikasi, daripada meninjau semua akses.

Merencanakan tinjauan peran id Microsoft Entra dan sumber daya Azure

Privileged Identity Management menyederhanakan cara perusahaan mengelola akses istimewa ke sumber daya di ID Microsoft Entra. Menggunakan PIM menjaga daftar peran istimewa di ID Microsoft Entra dan sumber daya Azure lebih kecil. Ini juga meningkatkan keamanan keseluruhan direktori.

Tinjauan akses memungkinkan peninjau untuk membuktikan apakah pengguna masih perlu memiliki peran. Sama seperti tinjauan akses untuk paket akses, ulasan untuk peran Microsoft Entra dan sumber daya Azure diintegrasikan ke dalam pengalaman pengguna admin PIM.

Tinjau penetapan peran berikut secara berkala:

  • Administrator Global
  • Admin Pengguna
  • Administrator Autentikasi dengan Hak Istimewa
  • Administrator Akses Bersyarat
  • Administrator Keamanan
  • Semua peran administrasi Microsoft 365 dan Dynamics Service

Peran yang ditinjau mencakup penetapan permanen dan memenuhi syarat.

Di bagian Peninjau, pilih satu atau beberapa orang untuk meninjau semua pengguna. Atau Anda dapat memilih Manajer, agar manajer meninjau akses orang yang mereka kelola, atau Anggota (mandiri) agar anggota meninjau akses mereka sendiri.

Cuplikan layar yang menunjukkan pemilihan peninjau.

Menyebarkan tinjauan akses

Setelah Anda menyiapkan strategi dan rencana untuk meninjau akses untuk sumber daya yang terintegrasi dengan ID Microsoft Entra, sebarkan dan kelola tinjauan dengan menggunakan sumber daya berikut.

Meninjau paket akses

Untuk mengurangi risiko akses kedaluwarsa, administrator dapat mengaktifkan tinjauan berkala pengguna yang memiliki penetapan aktif ke paket akses. Ikuti petunjuk dalam artikel yang tercantum dalam tabel.

Artikel cara kerja Deskripsi
Membuat tinjauan akses Aktifkan tinjauan paket akses.
Melakukan tinjauan akses Lakukan tinjauan akses untuk pengguna lain yang ditetapkan ke paket akses.
Meninjau sendiri paket akses yang ditetapkan Lakukan tinjauan mandiri paket akses yang ditetapkan.

Catatan

Pengguna yang meninjau sendiri dan mengatakan bahwa mereka tidak lagi membutuhkan akses tidak akan langsung dihapus dari paket akses. Mereka akan dihapus dari paket aket akses saat tinjauan berakhir atau jika administrator menghentikan tinjauan.

Meninjau grup dan aplikasi

Kebutuhan akses ke grup dan aplikasi untuk karyawan dan tamu kemungkinan akan berubah seiring waktu. Untuk mengurangi risiko yang terkait dengan penetapan akses kedaluwarsa, administrator dapat membuat tinjauan akses untuk anggota grup atau akses aplikasi. Ikuti petunjuk dalam artikel yang tercantum dalam tabel.

Artikel cara kerja Deskripsi
Membuat tinjauan akses Buat satu atau beberapa tinjauan akses untuk anggota grup atau akses aplikasi.
Melakukan tinjauan akses Lakukan tinjauan akses untuk anggota grup atau pengguna yang memiliki akses ke aplikasi.
Meninjau sendiri akses Anda Memungkinkan anggota untuk meninjau akses mereka sendiri ke grup atau aplikasi.
Menyelesaikan tinjauan akses Melihat tinjauan akses dan menerapkan hasilnya.
Mengambil tindakan untuk grup lokal Gunakan contoh skrip PowerShell untuk bertindak pada tinjauan akses untuk grup lokal.

Meninjau peran Microsoft Entra

Untuk mengurangi risiko yang terkait dengan penetapan peran kedaluarsa, tinjau secara teratur akses peran Microsoft Entra istimewa.

Cuplikan layar yang memperlihatkan daftar Tinjau keanggotaan peran Microsoft Entra.

Ikuti petunjuk dalam artikel yang tercantum dalam tabel.

Artikel cara kerja Deskripsi
Membuat tinjauan akses Buat tinjauan akses untuk peran Microsoft Entra istimewa di PIM.
Meninjau sendiri akses Anda Jika Anda ditetapkan ke peran administratif, setujui atau tolak akses ke peran Anda.
Menyelesaikan tinjauan akses Melihat tinjauan akses dan menerapkan hasilnya.

Meninjau peran sumber daya Azure

Untuk mengurangi risiko yang terkait dengan penetapan peran yang kedaluwarsa, tinjau akses peran sumber daya Azure dengan hak istimewa secara berkala.

Cuplikan layar yang memperlihatkan meninjau peran Microsoft Entra.

Ikuti petunjuk dalam artikel yang tercantum dalam tabel.

Artikel cara kerja Deskripsi
Membuat tinjauan akses Membuat tinjauan akses untuk peran sumber daya Azure dengan hak istimewa di Privileged Identity Management.
Meninjau sendiri akses Anda Jika Anda ditetapkan ke peran administratif, setujui atau tolak akses ke peran Anda.
Menyelesaikan tinjauan akses Melihat tinjauan akses dan menerapkan hasilnya.

Menggunakan API Tinjauan Akses

Untuk berinteraksi dengan dan mengelola sumber daya yang dapat ditinjau, lihat metode Microsoft Graph API dan pemeriksaan otorisasi izin aplikasi. Metode tinjauan akses di API Microsoft Graph tersedia untuk konteks aplikasi dan pengguna. Saat Anda menjalankan skrip dalam konteks aplikasi, akun yang digunakan untuk menjalankan API (prinsip layanan) harus diberikan izin AccessReview.Read.All untuk meminta informasi tinjauan akses.

Tugas tinjauan akses populer untuk diotomatisasi menggunakan Microsoft Graph API untuk tinjauan akses adalah:

  • Membuat dan memulai tinjauan akses.
  • Mengakhiri tinjauan akses secara manual sebelum dijadwalkan berakhir.
  • Mendaftar semua tinjauan akses yang sedang berjalan dan statusnya.
  • Melihat riwayat rangkaian peninjauan serta keputusan dan tindakan yang diambil dalam setiap tinjauan.
  • Mengumpulkan keputusan dari tinjauan akses.
  • Mengumpulkan keputusan dari tinjauan yang telah selesai yang peninjaunya membuat keputusan yang berbeda dari apa yang direkomendasikan sistem.

Saat Anda membuat kueri Microsoft Graph API baru untuk otomatisasi, gunakan Graph Explorer untuk membangun dan menjelajahi kueri Microsoft Graph sebelum Anda memasukkannya ke dalam skrip dan kode. Langkah ini dapat membantu Anda mengulangi kueri dengan cepat sehingga Anda mendapatkan hasil yang dicari tanpa mengubah kode skrip.

Memantau tinjauan akses

Aktivitas tinjauan akses dicatat dan tersedia dari log audit Microsoft Entra. Anda dapat memfilter data audit pada kategori, jenis aktivitas, dan rentang tanggal. Berikut adalah contoh kueri.

Kategori Kebijakan
Jenis aktivitas Membuat tinjauan akses
Memperbarui tinjauan akses
Tinjauan akses berakhir
Menghapus tinjauan akses
Menyetujui keputusan
Menolak keputusan
Mengatur ulang keputusan
Menerapkan keputusan
Rentang tanggal Tujuh hari

Untuk kueri dan analisis tinjauan akses yang lebih canggih, dan untuk melacak perubahan dan penyelesaian tinjauan, ekspor log audit Microsoft Entra Anda ke Azure Log Analytics atau Azure Event Hubs. Saat log audit disimpan di Analitik Log, Anda dapat menggunakan bahasa pemrogram analitik yang efektif dan membuat dasbor Anda sendiri.

Langkah berikutnya

Pelajari tentang teknologi terkait berikut: