Menyebarkan kebijakan organisasi untuk mengatur akses ke aplikasi yang terintegrasi dengan ID Microsoft Entra
Di bagian sebelumnya, Anda menentukan kebijakan tata kelola untuk aplikasi dan mengintegrasikan aplikasi tersebut dengan ID Microsoft Entra. Di bagian ini, Anda mengonfigurasi fitur Akses Bersyar dan pengelolaan pemberian hak Microsoft Entra untuk mengontrol akses berkelanjutan ke aplikasi Anda. Anda menetapkan
- Kebijakan Akses Bersyarat, tentang cara pengguna mengautentikasi ke ID Microsoft Entra untuk aplikasi yang terintegrasi dengan ID Microsoft Entra untuk akses menyeluruh
- Kebijakan pengelolaan pemberian hak, terkait cara pengguna mendapatkan dan menyimpan penugasan ke peran aplikasi dan keanggotaan dalam grup
- Kebijakan tinjauan akses, terkait seberapa sering keanggotaan grup ditinjau
Setelah kebijakan ini disebarkan, Anda kemudian dapat memantau perilaku BERKELANJUTAN ID Microsoft Entra saat pengguna meminta dan diberi akses ke aplikasi.
Menyebarkan kebijakan Akses Bersyar untuk pemberlakuan SSO
Di bagian ini, Anda menetapkan kebijakan Akses Bersyarat yang berada dalam cakupan untuk menentukan apakah pengguna yang berwenang dapat masuk ke aplikasi, berdasarkan faktor-faktor seperti kekuatan autentikasi pengguna atau status perangkat.
Akses Bersyarat hanya dimungkinkan untuk aplikasi yang mengandalkan MICROSOFT Entra ID untuk akses menyeluruh (SSO). Jika aplikasi tidak dapat diintegrasikan untuk SSO, lanjutkan ke bagian berikutnya.
- Unggah dokumen ketentuan penggunaan (TOU), jika diperlukan. Jika Anda mengharuskan pengguna untuk menerima ketentuan penggunaan (TOU) sebelum mengakses aplikasi, buat dan unggah dokumen TOU sehingga dapat disertakan dalam kebijakan Akses Bersyarat.
- Verifikasi pengguna siap untuk autentikasi multifaktor Microsoft Entra. Sebaiknya anda memerlukan autentikasi multifaktor Microsoft Entra untuk aplikasi penting bisnis yang terintegrasi melalui federasi. Untuk aplikasi ini, harus ada kebijakan yang mengharuskan pengguna untuk memenuhi persyaratan autentikasi multifaktor sebelum ID Microsoft Entra mengizinkan mereka untuk masuk ke aplikasi. Beberapa organisasi juga dapat memblokir akses berdasarkan lokasi, atau mengharuskan pengguna untuk mengakses dari perangkat terdaftar. Jika belum ada kebijakan yang sesuai yang mencakup kondisi yang diperlukan untuk autentikasi, lokasi, perangkat, dan TOU, tambahkan kebijakan ke penyebaran Akses Bersyar Anda.
- Bawa titik akhir web aplikasi ke dalam cakupan kebijakan Akses Bersyar yang sesuai. Jika Anda memiliki kebijakan Akses Bersyar yang sudah ada yang dibuat untuk aplikasi lain yang tunduk pada persyaratan tata kelola yang sama, Anda dapat memperbarui kebijakan tersebut agar kebijakan tersebut juga berlaku untuk aplikasi ini, untuk menghindari memiliki sejumlah besar kebijakan. Setelah Anda membuat pembaruan, periksa untuk memastikan bahwa kebijakan yang diharapkan sedang diterapkan. Anda dapat melihat kebijakan apa yang akan berlaku untuk seorang pengguna menggunakan alat bagaimana jika Akses Bersyarat.
- Buat tinjauan akses berulang jika ada pengguna yang memerlukan pengecualian kebijakan sementara. Dalam beberapa kasus, mungkin tidak mungkin untuk segera menerapkan kebijakan Akses Bersyar untuk setiap pengguna yang berwenang. Misalnya, beberapa pengguna mungkin tidak memiliki perangkat terdaftar yang sesuai. Jika perlu mengecualikan satu atau beberapa pengguna dari kebijakan Akses Bersyar dan mengizinkan mereka mengakses, maka konfigurasikan tinjauan akses untuk grup pengguna yang dikecualikan dari kebijakan Akses Bersyar.
- Dokumentasikan masa pakai token dan pengaturan sesi aplikasi. Berapa lama pengguna yang telah ditolak akses berkelanjutan dapat terus menggunakan aplikasi federasi tergantung pada masa pakai sesi aplikasi sendiri, dan pada masa pakai token akses. Masa pakai sesi untuk aplikasi tergantung pada aplikasi itu sendiri. Untuk mempelajari selengkapnya tentang mengontrol masa pakai token akses, lihat masa pakai token yang dapat dikonfigurasi.
Menyebarkan kebijakan pengelolaan pemberian hak untuk mengotomatiskan penetapan akses
Di bagian ini, Anda mengonfigurasi pengelolaan pemberian hak Microsoft Entra sehingga pengguna dapat meminta akses ke peran aplikasi Anda atau ke grup yang digunakan oleh aplikasi. Untuk melakukan tugas-tugas ini, Anda harus berada dalam peran Administrator Global, Administrator Tata Kelola Identitas, atau didelegasikan sebagai pembuat katalog dan pemilik aplikasi.
Catatan
Setelah akses hak istimewa paling sedikit, sebaiknya gunakan peran Administrator Tata Kelola Identitas di sini.
- Paket akses untuk aplikasi yang diatur harus berada dalam katalog yang ditunjuk. Jika Anda belum memiliki katalog untuk skenario tata kelola aplikasi Anda, buat katalog di pengelolaan pemberian izin Microsoft Entra. Jika Anda memiliki beberapa katalog untuk dibuat, Anda dapat menggunakan skrip PowerShell untuk membuat setiap katalog.
- Isi katalog dengan sumber daya yang diperlukan. Tambahkan aplikasi, dan grup Microsoft Entra apa pun yang diandalkan aplikasi, sebagai sumber daya dalam katalog tersebut. Jika Anda memiliki banyak sumber daya, Anda dapat menggunakan skrip PowerShell untuk menambahkan setiap sumber daya ke katalog.
- Buat paket akses untuk setiap peran atau grup yang dapat diminta pengguna. Untuk setiap aplikasi, dan untuk setiap peran atau grup aplikasi mereka, buat paket akses yang mencakup peran atau grup tersebut sebagai sumber dayanya. Pada tahap mengonfigurasi paket akses ini, konfigurasikan kebijakan penetapan paket akses pertama di setiap paket akses menjadi kebijakan untuk penugasan langsung, sehingga hanya administrator yang dapat membuat penugasan. Dalam kebijakan itu, tetapkan persyaratan tinjauan akses untuk pengguna yang ada, jika ada, sehingga mereka tidak menyimpan akses tanpa batas waktu. Jika Anda memiliki banyak paket akses, Anda dapat menggunakan skrip PowerShell untuk membuat setiap paket akses dalam katalog.
- Konfigurasikan paket akses untuk memberlakukan persyaratan pemisahan tugas. Jika Anda memiliki persyaratan pemisahan tugas, konfigurasikan paket akses yang tidak kompatibel atau grup yang ada untuk paket akses Anda. Jika skenario Anda memerlukan kemampuan untuk mengambil alih pemeriksaan pemisahan tugas, maka Anda juga dapat menyiapkan paket akses tambahan untuk skenario penimpaan tersebut.
- Tambahkan penugasan pengguna yang ada, yang sudah memiliki akses ke aplikasi, ke paket akses. Untuk setiap paket akses, tetapkan pengguna aplikasi yang ada dalam peran yang sesuai, atau anggota grup tersebut, ke paket akses dan kebijakan penugasan langsungnya. Anda dapat langsung menetapkan pengguna ke paket akses menggunakan pusat admin Microsoft Entra, atau secara massal melalui Graph atau PowerShell.
- Buat kebijakan tambahan untuk memungkinkan pengguna meminta akses. Di setiap paket akses, buat kebijakan penetapan paket akses tambahan bagi pengguna untuk meminta akses. Konfigurasikan persetujuan dan persyaratan tinjauan akses berulang dalam kebijakan tersebut.
- Buat tinjauan akses berulang untuk grup lain yang digunakan oleh aplikasi. Jika ada grup yang digunakan oleh aplikasi tetapi bukan peran sumber daya untuk paket akses, maka buat tinjauan akses untuk keanggotaan grup tersebut.
Menampilkan laporan terkait akses
MICROSOFT Entra ID dan Tata Kelola ID Microsoft Entra dengan Azure Monitor menyediakan beberapa laporan untuk membantu Anda memahami siapa yang memiliki akses ke aplikasi dan jika mereka menggunakan akses tersebut.
- Administrator, atau pemilik katalog, dapat mengambil daftar pengguna yang memiliki penetapan paket akses, melalui pusat admin Microsoft Entra, Graph, atau PowerShell.
- Anda juga dapat mengirim log audit ke Azure Monitor dan melihat riwayat perubahan pada paket akses, di pusat admin Microsoft Entra, atau melalui PowerShell.
- Anda dapat melihat 30 hari terakhir masuk ke aplikasi dalam laporan rincian masuk di pusat admin Microsoft Entra, atau melalui Grafik.
- Anda juga dapat mengirim log masuk ke Azure Monitor untuk mengarsipkan aktivitas masuk hingga dua tahun.
Melakukan pemantauan untuk menyesuaikan akses dan kebijakan pengelolaan pemberian hak sesuai kebutuhan
Secara berkala, seperti mingguan, bulanan, atau triwulanan, berdasarkan volume perubahan penetapan akses aplikasi untuk aplikasi Anda, gunakan pusat admin Microsoft Entra untuk memastikan bahwa akses diberikan sesuai dengan kebijakan. Anda juga dapat memastikan bahwa pengguna yang diidentifikasi untuk disetujui dan ditinjau masih merupakan individu yang benar untuk tugas-tugas ini.
Perhatikan penetapan peran aplikasi dan perubahan keanggotaan grup. Jika Anda memiliki ID Microsoft Entra yang dikonfigurasi untuk mengirim log auditnya ke Azure Monitor, gunakan
Application role assignment activity
di Azure Monitor untuk memantau dan melaporkan penetapan peran aplikasi apa pun yang tidak dibuat melalui pengelolaan pemberian hak. Jika ada penetapan peran yang dibuat oleh pemilik aplikasi secara langsung, Anda harus menghubungi pemilik aplikasi tersebut untuk menentukan apakah penugasan tersebut diotorisasi. Selain itu, jika aplikasi bergantung pada grup keamanan Microsoft Entra, pantau juga perubahan pada grup tersebut.Perhatikan juga pengguna yang diberikan akses langsung dalam aplikasi. Jika kondisi berikut terpenuhi, pengguna dapat memperoleh akses ke aplikasi tanpa menjadi bagian dari ID Microsoft Entra, atau tanpa ditambahkan ke penyimpanan akun pengguna aplikasi oleh ID Microsoft Entra:
- Aplikasi ini memiliki penyimpanan akun pengguna lokal dalam aplikasi
- Penyimpanan akun pengguna berada dalam database atau di direktori LDAP
- Aplikasi ini tidak hanya bergantung pada ID Microsoft Entra untuk akses menyeluruh.
Untuk aplikasi dengan properti dalam daftar sebelumnya, Anda harus secara teratur memeriksa bahwa pengguna hanya ditambahkan ke penyimpanan pengguna lokal aplikasi melalui provisi Microsoft Entra. Jika pengguna yang dibuat langsung di aplikasi, hubungi pemilik aplikasi untuk menentukan apakah penugasan tersebut diotorisasi.
Pastikan pemberi izin dan peninjau selalu diperbarui. Untuk setiap paket akses yang Anda konfigurasi di bagian sebelumnya, pastikan kebijakan penetapan paket akses terus memiliki pemberi izin dan peninjau yang benar. Perbarui kebijakan tersebut jika pemberi izin dan peninjau yang sebelumnya dikonfigurasi tidak lagi ada di organisasi, atau berada dalam peran yang berbeda.
Validasi bahwa peninjau membuat keputusan selama peninjauan. Pantau bahwa tinjauan akses berulang untuk paket akses tersebut berhasil diselesaikan, untuk memastikan peninjau berpartisipasi dan membuat keputusan terkait menyetujui atau menolak kebutuhan akses pengguna yang berkelanjutan.
Periksa apakah provisi dan deprovisi berfungsi seperti yang diharapkan. Jika sebelumnya Anda telah mengonfigurasi provisi pengguna ke aplikasi, maka ketika hasil peninjauan diterapkan, atau penugasan pengguna ke paket akses kedaluwarsa, ID Microsoft Entra mulai membatalkan penyediaan pengguna yang ditolak dari aplikasi. Anda dapat memantau proses deprovisi pengguna. Jika provisi menunjukkan kesalahan dengan aplikasi, Anda dapat mengunduh log provisi untuk menyelidiki apakah ada masalah dengan aplikasi.
Perbarui konfigurasi Microsoft Entra dengan peran atau perubahan grup apa pun dalam aplikasi. Jika administrator aplikasi menambahkan peran aplikasi baru dalam manifesnya, memperbarui peran yang ada, atau bergantung pada grup tambahan, maka Anda perlu memperbarui paket akses dan tinjauan akses untuk memperhitungkan peran atau grup baru tersebut.