Menentukan kebijakan organisasi untuk mengatur akses ke aplikasi di lingkungan Anda
Setelah mengidentifikasi satu atau beberapa aplikasi yang ingin Anda gunakan ID Microsoft Entra untuk mengatur akses, tuliskan kebijakan organisasi untuk menentukan pengguna mana yang harus memiliki akses, dan batasan lain yang harus disediakan sistem.
Mengidentifikasi aplikasi dan perannya dalam cakupan
Organisasi dengan persyaratan kepatuhan atau rencana manajemen risiko memiliki aplikasi sensitif atau penting bagi bisnis. Jika aplikasi ini adalah aplikasi yang sudah ada di lingkungan Anda, Anda mungkin sudah mendokumentasikan kebijakan akses untuk siapa yang 'harus memiliki akses' ke aplikasi ini. Jika belum, Anda mungkin perlu berkonsultasi dengan berbagai pemangku kepentingan, seperti tim kepatuhan dan manajemen risiko, untuk memastikan bahwa kebijakan yang digunakan untuk mengotomatiskan keputusan akses sesuai untuk skenario Anda.
Kumpulkan peran dan izin yang disediakan setiap aplikasi. Beberapa aplikasi mungkin hanya memiliki satu peran, misalnya, aplikasi yang hanya memiliki peran "Pengguna". Aplikasi yang lebih kompleks dapat memunculkan beberapa peran yang akan dikelola melalui ID Microsoft Entra. Peran aplikasi ini biasanya secara luas membatasi akses yang akan dimiliki pengguna dengan peran tersebut dalam aplikasi. Misalnya, aplikasi yang memiliki persona administrator mungkin memiliki dua peran, "Pengguna" dan "Administrator". Aplikasi lain juga dapat mengandalkan keanggotaan grup atau klaim untuk pemeriksaan peran yang lebih halus, yang dapat diberikan kepada aplikasi dari ID Microsoft Entra dalam provisi atau klaim yang dikeluarkan menggunakan protokol SSO federasi, atau ditulis ke AD sebagai keanggotaan grup keamanan. Akhirnya, mungkin ada peran khusus aplikasi yang tidak muncul di ID Microsoft Entra - mungkin aplikasi tidak mengizinkan menentukan administrator di ID Microsoft Entra, sebagai gantinya mengandalkan aturan otorisasinya sendiri untuk mengidentifikasi administrator. SAP Cloud Identity Services hanya memiliki satu peran, Pengguna, tersedia untuk penugasan.
Catatan
Jika Anda menggunakan aplikasi dari galeri aplikasi Microsoft Entra yang mendukung provisi, maka ID Microsoft Entra dapat mengimpor peran yang ditentukan dalam aplikasi dan secara otomatis memperbarui manifes aplikasi dengan peran aplikasi secara otomatis, setelah provisi dikonfigurasi.
Pilih peran dan grup mana yang memiliki keanggotaan yang akan diatur dalam ID Microsoft Entra. Berdasarkan persyaratan kepatuhan dan manajemen risiko, organisasi sering memprioritaskan peran atau grup aplikasi yang memberikan akses istimewa atau akses ke informasi sensitif.
Menentukan kebijakan organisasi terkait prasyarat dan batasan lain untuk mengakses aplikasi
Di bagian ini, Anda akan menuliskan kebijakan organisasi yang Anda rencanakan untuk digunakan dalam menentukan akses ke aplikasi. Anda dapat mencatat hal ini dalam bentuk tabel di spreadsheet, misalnya
| Peran Aplikasi | Prasyarat untuk akses | Pemberi Izin | Durasi default pengaksesan | Pemisahan batasan tugas | kebijakan Akses Bersyarat |
|---|---|---|---|---|---|
| Penjualan Barat | Anggota tim penjualan | manajer pengguna | Tinjauan tahunan | Tidak dapat memiliki akses Penjualan Timur | Autentikasi multifaktor (MFA) dan perangkat terdaftar yang diperlukan untuk akses |
| Penjualan Barat | Setiap karyawan di luar penjualan | kepala departemen Penjualan | 90 hari | T/A | MFA dan perangkat terdaftar diperlukan untuk akses |
| Penjualan Barat | Perwakilan penjualan non-karyawan | kepala departemen Penjualan | 30 hari | T/A | MFA diperlukan untuk akses |
| Penjualan Timur | Anggota tim penjualan | manajer pengguna | Tinjauan tahunan | Tidak dapat memiliki akses Penjualan Barat | MFA dan perangkat terdaftar diperlukan untuk akses |
| Penjualan Timur | Setiap karyawan di luar penjualan | kepala departemen Penjualan | 90 hari | T/A | MFA dan perangkat terdaftar diperlukan untuk akses |
| Penjualan Timur | Perwakilan penjualan non-karyawan | kepala departemen Penjualan | 30 hari | T/A | MFA diperlukan untuk akses |
Jika Anda sudah memiliki definisi peran organisasi, lihat cara memigrasikan peran organisasi untuk informasi selengkapnya.
Identifikasi apakah ada persyaratan prasyarat, standar yang harus dipenuhi pengguna sebelum mereka diberi akses ke aplikasi. Misalnya, dalam keadaan normal, hanya karyawan tetap, atau yang berada di departemen atau pusat biaya tertentu, yang harus diizinkan untuk memiliki akses ke aplikasi departemen tertentu. Selain itu, Anda mungkin memerlukan kebijakan pengelolaan pemberian hak untuk pengguna dari beberapa departemen lain yang meminta akses untuk memiliki satu atau beberapa pemberi izin tambahan. Meskipun beberapa tahap persetujuan dapat memperlambat proses keseluruhan pengguna dalam mendapatkan akses, tahap tambahan ini memastikan permintaan akses sesuai dan keputusan dapat dipertanggungjawabkan. Misalnya, permintaan akses oleh karyawan dapat memiliki dua tahap persetujuan, pertama oleh manajer pengguna yang meminta, dan kedua oleh salah satu pemilik sumber daya yang bertanggung jawab atas data yang disimpan dalam aplikasi.
Tentukan berapa lama pengguna yang telah disetujui untuk akses, harus memiliki akses, dan kapan akses tersebut harus hilang. Untuk banyak aplikasi, pengguna mungkin mempertahankan akses tanpa batas waktu, sampai mereka tidak lagi berafiliasi dengan organisasi. Dalam beberapa situasi, akses mungkin terkait dengan proyek atau milestone tertentu, sehingga ketika proyek berakhir, akses terhapus secara otomatis. Atau, jika hanya beberapa pengguna yang menggunakan aplikasi melalui kebijakan, Anda dapat mengonfigurasi tinjauan triwulanan atau tahunan mengenai akses semua orang melalui kebijakan tersebut, sehingga ada pengawasan reguler.
Jika organisasi Anda sudah mengatur akses dengan model peran organisasi, rencanakan untuk membawa model peran organisasi tersebut ke dalam ID Microsoft Entra. Anda mungkin memiliki peran organisasi yang menentukan yang menetapkan akses berdasarkan properti pengguna, seperti posisi atau departemen mereka. Pada akhirnya, proses ini dapat memastikan pengguna kehilangan akses ketika akses tidak lagi diperlukan lagi, bahkan jika tidak ada tanggal akhir proyek yang telah ditentukan sebelumnya.
Tanyakan apakah ada pemisahan batasan tugas. Misalnya, Anda mungkin memiliki aplikasi dengan dua peran aplikasi, Penjualan Barat dan Penjualan Timur, dan Anda ingin memastikan bahwa pengguna hanya dapat memiliki satu wilayah penjualan pada satu waktu. Sertakan daftar pasangan peran aplikasi apa pun yang tidak kompatibel untuk aplikasi Anda, sehingga jika pengguna memiliki satu peran, mereka tidak diizinkan untuk meminta peran kedua.
Pilih kebijakan Akses Bersyar yang sesuai untuk akses ke aplikasi. Sebaiknya analisis aplikasi dan kelompokkan ke dalam aplikasi yang memiliki persyaratan sumber daya yang sama untuk pengguna yang sama. Jika ini adalah aplikasi SSO federasi pertama yang Anda integrasikan dengan Tata Kelola ID Microsoft Entra untuk tata kelola identitas, Anda mungkin perlu membuat kebijakan Akses Bersyarat baru untuk mengekspresikan batasan, seperti persyaratan untuk autentikasi Multifaktor (MFA) atau akses berbasis lokasi. Anda dapat mengonfigurasi pengguna agar diharuskan menyetujui ketentuan penggunaan. Lihat merencanakan penyebaran Akses Bersyar untuk pertimbangan selengkapnya tentang cara menentukan kebijakan Akses Bersyar.
Tentukan bagaimana pengecualian dalam kriteria Anda harus ditangani. Misalnya, aplikasi biasanya hanya tersedia untuk karyawan yang ditunjuk, tetapi auditor atau vendor mungkin memerlukan akses sementara untuk proyek tertentu. Atau, karyawan yang bepergian mungkin memerlukan akses dari lokasi yang biasanya diblokir karena organisasi Anda tidak berada di lokasi tersebut. Dalam situasi ini, Anda dapat memilih untuk juga memiliki kebijakan pengelolaan pemberian hak untuk persetujuan yang mungkin memiliki tahapan yang berbeda, atau batas waktu yang berbeda, atau pemberi izin yang berbeda. Vendor yang masuk sebagai pengguna tamu di penyewa Microsoft Entra Anda mungkin tidak memiliki manajer, jadi sebagai gantinya permintaan akses mereka dapat disetujui oleh sponsor untuk organisasi mereka, atau oleh pemilik sumber daya, atau petugas keamanan.
Sebagai kebijakan organisasi untuk siapa yang harus memiliki akses sedang ditinjau oleh pemangku kepentingan, maka Anda dapat mulai mengintegrasikan aplikasi dengan ID Microsoft Entra. Dengan begitu pada langkah selanjutnya Anda siap untuk menyebarkan kebijakan yang disetujui organisasi untuk akses di Tata Kelola ID Microsoft Entra.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk