Menyebarkan kebijakan organisasi untuk mengatur akses ke aplikasi yang terintegrasi dengan ID Microsoft Entra

Di bagian sebelumnya, Anda menentukan kebijakan tata kelola untuk aplikasi dan mengintegrasikan aplikasi tersebut dengan ID Microsoft Entra. Di bagian ini, Anda akan mengonfigurasi fitur Akses Bersyarat dan manajemen hak akses Microsoft Entra untuk mengontrol akses berkelanjutan ke aplikasi Anda. Anda akan menetapkan

• Kebijakan Akses Bersyarat, tentang bagaimana pengguna mengautentikasi ke ID Microsoft Entra untuk aplikasi yang terintegrasi dengan ID Microsoft Entra untuk masuk tunggal
• Kebijakan pengelolaan pemberian hak, terkait cara pengguna mendapatkan dan menyimpan penugasan ke peran aplikasi dan keanggotaan dalam grup
• Kebijakan tinjauan akses, terkait seberapa sering keanggotaan grup ditinjau

Setelah kebijakan ini disebarkan, Anda kemudian dapat memantau perilaku berkelanjutan Microsoft Entra ID saat pengguna meminta akses dan diberi akses ke aplikasi.

Menerapkan kebijakan Akses Kondisional untuk pemberlakuan SSO

Di bagian ini, Anda menetapkan kebijakan Akses Bersyarat yang berada dalam cakupan untuk menentukan apakah pengguna yang berwenang dapat masuk ke aplikasi, berdasarkan faktor-faktor seperti kekuatan autentikasi pengguna atau status perangkat.

Akses Bersyarat hanya dimungkinkan untuk aplikasi yang mengandalkan MICROSOFT Entra ID untuk akses menyeluruh (SSO). Jika aplikasi tidak dapat diintegrasikan untuk SSO, lanjutkan ke bagian berikutnya.

1. Unggah dokumen ketentuan penggunaan (TOU), jika diperlukan. Jika Anda mengharuskan pengguna untuk menerima ketentuan penggunaan (TOU) sebelum mengakses aplikasi, buat dan unggah dokumen TOU sehingga dapat disertakan dalam kebijakan Akses Bersyarat.
2. Verifikasi bahwa pengguna siap untuk autentikasi multifaktor Microsoft Entra. Sebaiknya anda memerlukan autentikasi multifaktor Microsoft Entra untuk aplikasi penting bisnis yang terintegrasi melalui federasi. Untuk aplikasi ini, harus ada kebijakan yang mengharuskan pengguna untuk memenuhi persyaratan autentikasi multifaktor sebelum ID Microsoft Entra mengizinkan mereka untuk masuk ke aplikasi. Beberapa organisasi juga dapat memblokir akses berdasarkan lokasi, atau mengharuskan pengguna untuk mengakses dari perangkat terdaftar. Jika belum ada kebijakan yang sesuai yang mencakup kondisi yang diperlukan untuk autentikasi, lokasi, perangkat, dan Ketentuan Penggunaan, tambahkan sebuah kebijakan ke penyebaran Akses Kondisional Anda.
3. Bawa titik akhir web aplikasi ke dalam cakupan kebijakan Akses Bersyarat yang sesuai. Jika Anda memiliki kebijakan Akses Bersyarat yang sudah ada yang dibuat untuk aplikasi lain yang tunduk pada persyaratan tata kelola yang sama, Anda dapat memperbarui kebijakan tersebut agar kebijakan tersebut juga dapat diterapkan pada aplikasi ini, untuk menghindari memiliki sejumlah besar kebijakan. Setelah Anda membuat pembaruan, periksa untuk memastikan bahwa kebijakan yang diharapkan sedang diterapkan. Anda dapat melihat kebijakan apa yang akan berlaku untuk seorang pengguna dengan alat What If Akses Bersyarat.
4. Buat tinjauan akses berulang jika ada pengguna yang memerlukan pengecualian kebijakan sementara. Dalam beberapa kasus, mungkin tidak mungkin untuk segera menerapkan kebijakan Akses Bersyarat untuk setiap pengguna yang berwenang. Misalnya, beberapa pengguna mungkin tidak memiliki perangkat terdaftar yang sesuai. Jika perlu mengecualikan satu atau beberapa pengguna dari kebijakan Akses Bersyarat dan mengizinkan mereka mengakses, maka konfigurasikan tinjauan akses untuk grup pengguna yang dikecualikan dari kebijakan Akses Bersyarat.
5. Dokumentasikan masa pakai token dan pengaturan sesi aplikasi. Berapa lama pengguna yang telah ditolak akses berkelanjutan dapat terus menggunakan aplikasi federasi tergantung pada masa pakai sesi aplikasi sendiri, dan pada masa pakai token akses. Masa pakai sesi untuk aplikasi tergantung pada aplikasi itu sendiri. Untuk mempelajari selengkapnya tentang mengontrol masa pakai token akses, lihat masa pakai token yang dapat dikonfigurasi.

Menyebarkan kebijakan pengelolaan pemberian hak untuk mengotomatiskan penetapan akses

Di bagian ini, Anda mengonfigurasi pengelolaan pemberian hak Microsoft Entra sehingga pengguna dapat meminta akses ke peran aplikasi Anda atau ke grup yang digunakan oleh aplikasi. Untuk melakukan tugas-tugas ini, peran default yang paling tidak istimewa adalah peran Administrator Tata Kelola Identitas, atau pengguna lain dapat didelegasikan sebagai pembuat katalog, dan juga menjadi pemilik aplikasi.

Catatan

Setelah akses hak istimewa paling sedikit, sebaiknya gunakan peran Administrator Tata Kelola Identitas di sini.

1. Paket akses untuk aplikasi yang diatur harus berada dalam katalog yang ditunjuk. Jika Anda belum memiliki katalog untuk skenario tata kelola aplikasi Anda, buat katalog di pengelolaan pemberian izin Microsoft Entra. Jika Anda memiliki beberapa katalog untuk dibuat, Anda dapat menggunakan skrip PowerShell untuk membuat setiap katalog, seperti yang ditunjukkan dalam membuat katalog menggunakan PowerShell.
2. Isi katalog dengan sumber daya yang diperlukan. Tambahkan aplikasi, dan grup Microsoft Entra apa pun yang diandalkan aplikasi, sebagai sumber daya dalam katalog tersebut. Jika Anda memiliki banyak sumber daya, Anda dapat menggunakan skrip PowerShell untuk menambahkan setiap sumber daya ke katalog, seperti yang ditunjukkan dalam menambahkan aplikasi sebagai sumber daya ke katalog.
3. Buat paket akses untuk setiap peran atau grup yang dapat diminta pengguna. Untuk setiap aplikasi, dan untuk setiap peran atau grup aplikasi mereka, buat paket akses yang mencakup peran atau grup tersebut sebagai sumber dayanya. Pada tahap mengonfigurasi paket akses ini, konfigurasikan kebijakan penetapan paket akses pertama di setiap paket akses menjadi kebijakan untuk penugasan langsung, sehingga hanya administrator yang dapat membuat penugasan. Dalam kebijakan itu, tetapkan persyaratan tinjauan akses untuk pengguna yang ada, jika ada, sehingga mereka tidak menyimpan akses tanpa batas waktu. Jika Anda memiliki banyak paket akses, Anda dapat menggunakan skrip PowerShell untuk membuat setiap paket akses dalam katalog, seperti yang ditunjukkan pada membuat paket akses untuk aplikasi dengan satu peran.
4. Konfigurasikan paket akses untuk memberlakukan persyaratan pemisahan tugas. Jika Anda memiliki persyaratan pemisahan tugas, konfigurasikan paket akses yang tidak kompatibel atau grup yang ada untuk paket akses Anda. Jika skenario Anda memerlukan kemampuan untuk melebihkan pemeriksaan pemisahan tugas, maka Anda juga dapat menyiapkan paket akses tambahan untuk skenario penggantian tersebut.
5. Tambahkan penugasan pengguna yang ada, yang sudah memiliki akses ke aplikasi, ke paket akses. Untuk setiap paket akses, tetapkan pengguna aplikasi yang ada dalam peran yang sesuai, atau anggota grup tersebut, ke paket akses dan kebijakan penugasan langsungnya. Anda dapat secara langsung menetapkan seorang pengguna ke paket akses menggunakan pusat admin Microsoft Entra, atau dalam jumlah besar melalui Graph atau PowerShell seperti yang tertulis dalam menambahkan penugasan bagi pengguna yang sudah ada.
6. Buat kebijakan tambahan untuk memungkinkan pengguna meminta akses. Di setiap paket akses, buat kebijakan penetapan paket akses tambahan bagi pengguna untuk meminta akses. Konfigurasikan persetujuan dan persyaratan tinjauan akses berulang dalam kebijakan tersebut.
7. Buat tinjauan akses berulang untuk grup lain yang digunakan oleh aplikasi. Jika ada grup yang digunakan oleh aplikasi tetapi bukan peran sumber daya untuk paket akses, maka buat tinjauan akses untuk keanggotaan grup tersebut.

Menampilkan laporan terkait akses

MICROSOFT Entra ID dan Tata Kelola ID Microsoft Entra dengan Azure Monitor menyediakan beberapa laporan untuk membantu Anda memahami siapa yang memiliki akses ke aplikasi dan jika mereka menggunakan akses tersebut. Ini termasuk:

• Administrator, atau pemilik katalog, dapat mengambil daftar pengguna yang memiliki penetapan paket akses, melalui pusat administrasi Microsoft Entra, Graph, atau PowerShell.
• Anda juga dapat mengirim log audit ke Azure Monitor dan melihat riwayat perubahan pada paket akses, di pusat admin Microsoft Entra, atau melalui PowerShell.
• Anda dapat melihat 30 hari terakhir masuk ke aplikasi dalam laporan rincian masuk di pusat admin Microsoft Entra, atau melalui Grafik. Anda juga dapat mengirim log masuk ke Azure Monitor untuk mengarsipkan aktivitas masuk hingga dua tahun.

Ada laporan tambahan yang tersedia di Microsoft Entra. Untuk informasi selengkapnya tentang laporan dalam manajemen hak akses, lihat Menampilkan laporan dan log dalam manajemen hak akses.

Anda juga dapat menggunakan Azure Data Explorer untuk menyimpan dan melaporkan data saat ini atau historis dari Microsoft Entra, Microsoft Entra ID Governance, dan sumber lainnya. Untuk informasi selengkapnya, lihat Laporan yang dikustomisasi di Azure Data Explorer menggunakan data dari MICROSOFT Entra ID.

Melakukan pemantauan untuk menyesuaikan akses dan kebijakan pengelolaan pemberian hak sesuai kebutuhan

Secara berkala, seperti mingguan, bulanan, atau triwulanan, berdasarkan volume perubahan penetapan akses aplikasi untuk aplikasi Anda, gunakan pusat admin Microsoft Entra untuk memastikan bahwa akses diberikan sesuai dengan kebijakan. Anda juga dapat memastikan bahwa pengguna yang diidentifikasi untuk disetujui dan ditinjau masih merupakan individu yang benar untuk tugas-tugas ini.

• Perhatikan penetapan peran aplikasi dan perubahan keanggotaan grup. Jika Anda memiliki ID Microsoft Entra yang dikonfigurasi untuk mengirim log auditnya ke Azure Monitor, gunakan Application role assignment activity di Azure Monitor untuk memantau dan melaporkan penetapan peran aplikasi apa pun yang tidak dibuat melalui pengelolaan pemberian hak. Jika ada penetapan peran yang dibuat oleh pemilik aplikasi secara langsung, Anda harus menghubungi pemilik aplikasi tersebut untuk menentukan apakah penugasan tersebut diotorisasi. Selain itu, jika aplikasi bergantung pada grup keamanan Microsoft Entra, pantau juga perubahan pada grup tersebut.

• Perhatikan juga pengguna yang diberikan akses langsung dalam aplikasi. Jika kondisi berikut terpenuhi, pengguna dapat memperoleh akses ke aplikasi tanpa menjadi bagian dari ID Microsoft Entra, atau tanpa ditambahkan ke penyimpanan akun pengguna aplikasi oleh ID Microsoft Entra:

  • Aplikasi ini memiliki penyimpanan akun pengguna lokal dalam aplikasi
  • Penyimpanan akun pengguna berada dalam database atau di direktori LDAP
  • Aplikasi ini tidak hanya bergantung pada Microsoft Entra ID untuk masuk tunggal.

  Untuk aplikasi dengan properti dalam daftar sebelumnya, Anda sebaiknya memeriksa secara teratur bahwa pengguna hanya ditambahkan ke penyimpanan pengguna lokal aplikasi melalui provisi Microsoft Entra. Jika pengguna yang dibuat langsung di aplikasi, hubungi pemilik aplikasi untuk menentukan apakah penugasan tersebut diotorisasi.

• Pastikan pemberi izin dan peninjau selalu mendapatkan pembaruan terkini. Untuk setiap paket akses yang Anda konfigurasi di bagian sebelumnya, pastikan kebijakan penetapan paket akses terus memiliki pemberi izin dan peninjau yang benar. Perbarui kebijakan tersebut jika pemberi izin dan peninjau yang sebelumnya dikonfigurasi tidak lagi ada di organisasi, atau berada dalam peran yang berbeda.

• Validasi bahwa peninjau membuat keputusan selama peninjauan. Pantau bahwa tinjauan akses berulang untuk paket akses tersebut berhasil diselesaikan, untuk memastikan peninjau berpartisipasi dan membuat keputusan terkait menyetujui atau menolak kebutuhan akses pengguna yang berkelanjutan.

• Periksa apakah provisi dan deprovisi berfungsi seperti yang diharapkan. Jika sebelumnya Anda telah mengonfigurasi penyediaan pengguna ke aplikasi, maka ketika hasil peninjauan diterapkan, atau penugasan pengguna ke paket akses kedaluwarsa, Microsoft Entra ID memulai proses penghentian penyediaan bagi pengguna yang ditolak dari aplikasi. Anda dapat memantau proses deprovisi pengguna. Jika provisi menunjukkan kesalahan dengan aplikasi, Anda dapat mengunduh log provisi untuk menyelidiki apakah ada masalah dengan aplikasi.

• Perbarui konfigurasi Microsoft Entra dengan peran atau perubahan grup apa pun dalam aplikasi. Jika Administrator Aplikasi menambahkan peran aplikasi baru dalam manifes, memperbarui peran yang ada, atau bergantung pada grup tambahan, maka Anda perlu memperbarui paket akses dan tinjauan akses untuk memperhitungkan peran atau grup baru tersebut.

Langkah berikutnya

• Rencana penerapan tinjauan akses