Mengonfigurasi pengaturan peran Microsoft Entra di Privileged Identity Management
Dalam Privileged Identity Management (PIM) di MICROSOFT Entra ID, yang merupakan bagian dari Microsoft Entra, pengaturan peran menentukan properti penetapan peran. Properti ini mencakup persyaratan autentikasi dan persetujuan multifaktor untuk aktivasi, durasi maksimum penugasan, dan pengaturan pemberitahuan. Artikel ini memperlihatkan kepada Anda cara mengonfigurasi pengaturan peran dan menyiapkan alur kerja persetujuan untuk menentukan siapa yang dapat menyetujui atau menolak permintaan untuk meningkatkan hak istimewa.
Anda harus memiliki setidaknya peran Administrator Peran Istimewa untuk mengelola pengaturan peran PIM untuk peran Microsoft Entra. Pengaturan peran ditentukan per peran. Semua tugas untuk peran yang sama mengikuti pengaturan peran yang sama. Pengaturan peran satu peran independen dari pengaturan peran peran peran lain.
Pengaturan peran PIM juga dikenal sebagai kebijakan PIM.
Buka pengaturan peran
Untuk membuka pengaturan untuk peran Microsoft Entra:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.
Telusuri peran Microsoft Entra>Privileged Identity Management>tata kelola>identitas.
Di halaman ini Anda akan melihat daftar peran Microsoft Entra yang tersedia di penyewa, termasuk peran bawaan dan kustom.
Pilih peran dengan pengaturan yang ingin Anda konfigurasi.
Pilih Pengaturan peran. Pada halaman Pengaturan peran, Anda dapat melihat pengaturan peran PIM saat ini untuk peran yang dipilih.
Pilih Edit untuk memperbarui pengaturan peran.
Pilih Perbarui.
Pengaturan peran
Bagian ini membahas opsi pengaturan peran.
Durasi maksimal aktivasi
Gunakan penggeser Durasi maksimum aktivasi untuk mengatur waktu maksimum (dalam jam) permintaan aktivasi untuk penetapan peran tetap aktif sebelum berakhir masa berlakunya. Nilai ini dapat berupa satu hingga 24 jam.
Saat aktivasi, memerlukan autentikasi multifaktor
Anda dapat mengharuskan pengguna yang memenuhi syarat untuk peran untuk membuktikan siapa mereka dengan menggunakan fitur autentikasi multifaktor di ID Microsoft Entra sebelum mereka dapat mengaktifkan. Autentikasi multifaktor membantu melindungi akses ke data dan aplikasi. Ini menyediakan lapisan keamanan lain dengan menggunakan bentuk autentikasi kedua.
Pengguna mungkin tidak diminta untuk autentikasi multifaktor jika mereka diautentikasi dengan kredensial yang kuat atau memberikan autentikasi multifaktor sebelumnya dalam sesi.
Jika tujuan Anda adalah memastikan bahwa pengguna harus memberikan autentikasi selama aktivasi, Anda dapat menggunakan Aktifkan aktivasi, memerlukan konteks autentikasi Akses Bersyarat Microsoft Entra bersama dengan Kekuatan Autentikasi. Opsi ini mengharuskan pengguna untuk mengautentikasi selama aktivasi dengan menggunakan metode yang berbeda dari yang mereka gunakan untuk masuk ke komputer.
Misalnya, jika pengguna masuk ke komputer dengan menggunakan Windows Hello untuk Bisnis, Anda dapat menggunakan Aktifkan aktivasi, memerlukan konteks autentikasi Akses Bersyarat Microsoft Entra dan Kekuatan Autentikasi. Opsi ini mengharuskan pengguna untuk melakukan masuk tanpa kata sandi dengan Microsoft Authenticator saat mereka mengaktifkan peran.
Setelah pengguna menyediakan masuk tanpa kata sandi dengan Microsoft Authenticator sekali dalam contoh ini, mereka dapat melakukan aktivasi berikutnya dalam sesi ini tanpa autentikasi lain. Masuk tanpa kata sandi dengan Microsoft Authenticator sudah menjadi bagian dari token mereka.
Kami menyarankan agar Anda mengaktifkan fitur autentikasi multifaktor ID Microsoft Entra untuk semua pengguna. Untuk informasi selengkapnya, lihat Merencanakan penyebaran autentikasi multifaktor Microsoft Entra.
Saat aktivasi, perlu konteks autentikasi Akses Bersyarat Microsoft Entra
Anda dapat mengharuskan pengguna yang memenuhi syarat untuk peran untuk memenuhi persyaratan kebijakan Akses Bersyarat. Misalnya, Anda dapat mengharuskan pengguna untuk menggunakan metode autentikasi tertentu yang diberlakukan melalui Kekuatan Autentikasi, meningkatkan peran dari perangkat yang mematuhi Intune, dan mematuhi ketentuan penggunaan.
Untuk menerapkan persyaratan ini, Anda membuat konteks autentikasi Akses Bersyarat.
Konfigurasikan kebijakan Akses Bersyar yang memberlakukan persyaratan untuk konteks autentikasi ini.
Cakupan kebijakan Akses Bersyar harus mencakup semua atau pengguna yang memenuhi syarat untuk peran. Jangan membuat kebijakan Akses Bersyar yang dilingkup ke konteks autentikasi dan peran direktori secara bersamaan. Selama aktivasi, pengguna belum memiliki peran, sehingga kebijakan Akses Bersyar tidak akan berlaku.
Lihat langkah-langkah di akhir bagian ini tentang situasi saat Anda mungkin memerlukan dua kebijakan Akses Bersyar. Seseorang harus dilingkup ke konteks autentikasi dan yang lain harus dilingkup ke peran.
Konfigurasikan konteks autentikasi dalam pengaturan PIM untuk peran tersebut.
Jika pengaturan PIM memiliki Aktifkan aktivasi, wajibkan konteks autentikasi Akses Bersyarat Microsoft Entra dikonfigurasi, kebijakan Akses Bersyarat menentukan kondisi yang harus dipenuhi pengguna untuk memenuhi persyaratan akses.
Ini berarti bahwa prinsip keamanan dengan izin untuk mengelola kebijakan Akses Bersyar, seperti Administrator Akses Bersyar atau Administrator Keamanan, dapat mengubah persyaratan, menghapusnya, atau memblokir pengguna yang memenuhi syarat agar tidak mengaktifkan peran tersebut. Prinsip keamanan yang dapat mengelola kebijakan Akses Bersyar harus dianggap sangat istimewa dan dilindungi.
Kami menyarankan agar Anda membuat dan mengaktifkan kebijakan Akses Bersyarah untuk konteks autentikasi sebelum konteks autentikasi dikonfigurasi dalam pengaturan PIM. Sebagai mekanisme perlindungan cadangan, jika tidak ada kebijakan Akses Bersyarat di penyewa yang menargetkan konteks autentikasi yang dikonfigurasi dalam pengaturan PIM, selama aktivasi peran PIM, fitur autentikasi multifaktor di MICROSOFT Entra ID diperlukan sebagai aktivasi Aktif, memerlukan pengaturan autentikasi multifaktor akan diatur.
Mekanisme perlindungan cadangan ini dirancang untuk hanya melindungi dari skenario ketika pengaturan PIM diperbarui sebelum kebijakan Akses Bersyariah dibuat karena kesalahan konfigurasi. Mekanisme perlindungan cadangan ini tidak dipicu jika kebijakan Akses Bersyar dinonaktifkan, berada dalam mode khusus laporan, atau memiliki pengguna yang memenuhi syarat yang dikecualikan dari kebijakan.
Pengaturan konteks Aktivasi Aktif memerlukan Akses Bersyarat Microsoft Entra menentukan persyaratan konteks autentikasi yang harus dipenuhi pengguna saat mengaktifkan peran. Setelah peran diaktifkan, pengguna tidak dicegah menggunakan sesi penjelajahan, perangkat, atau lokasi lain untuk menggunakan izin.
Misalnya, pengguna mungkin menggunakan perangkat yang mematuhi Intune untuk mengaktifkan peran. Kemudian setelah peran diaktifkan, mereka mungkin masuk ke akun pengguna yang sama dari perangkat lain yang tidak sesuai dengan Intune dan menggunakan peran yang diaktifkan sebelumnya dari sana.
Untuk mencegah situasi ini, buat dua kebijakan Akses Bersyar:
- Kebijakan Akses Bersyar pertama menargetkan konteks autentikasi. Ini harus memiliki semua pengguna atau pengguna yang memenuhi syarat dalam cakupannya. Kebijakan ini menentukan persyaratan yang harus dipenuhi pengguna untuk mengaktifkan peran.
- Kebijakan Akses Bersyar kedua menargetkan peran direktori. Kebijakan ini menentukan persyaratan yang harus dipenuhi pengguna untuk masuk dengan peran direktori yang diaktifkan.
Kedua kebijakan dapat memberlakukan persyaratan yang sama atau berbeda tergantung pada kebutuhan Anda.
Opsi lain adalah mencakup kebijakan Akses Bersyar yang memberlakukan persyaratan tertentu kepada pengguna yang memenuhi syarat secara langsung. Misalnya, Anda dapat mengharuskan pengguna yang memenuhi syarat untuk peran tertentu untuk selalu menggunakan perangkat yang mematuhi Intune.
Untuk mempelajari selengkapnya tentang konteks autentikasi Akses Bersyar, lihat Akses Bersyar: Aplikasi cloud, tindakan, dan konteks autentikasi.
Memerlukan justifikasi saat aktivasi
Anda dapat mengharuskan pengguna untuk memasukkan pembenaran bisnis saat mereka mengaktifkan penugasan yang memenuhi syarat.
Memerlukan informasi tiket saat aktivasi
Anda dapat mengharuskan pengguna untuk memasukkan nomor tiket dukungan saat mereka mengaktifkan penugasan yang memenuhi syarat. Opsi ini adalah bidang khusus informasi. Korelasi dengan informasi dalam sistem tiket apa pun tidak diberlakukan.
Mewajibkan persetujuan untuk mengaktifkan peran ini
Anda dapat memerlukan persetujuan untuk aktivasi penugasan yang memenuhi syarat. Pemberi izin tidak harus memiliki peran apa pun. Saat Anda menggunakan opsi ini, Anda harus memilih setidaknya satu pemberi izin. Kami menyarankan agar Anda memilih setidaknya dua pemberi persetujuan. Jika tidak ada pemberi izin tertentu yang dipilih, Administrator Peran Istimewa/Administrator Global akan menjadi pemberi izin default.
Untuk mempelajari selengkapnya tentang persetujuan, lihat Menyetujui atau menolak permintaan untuk peran Microsoft Entra dalam Privileged Identity Management.
Durasi penugasan
Saat mengonfigurasi pengaturan untuk peran, Anda dapat memilih dari dua opsi durasi penugasan untuk setiap jenis penugasan: memenuhi syarat dan aktif. Opsi ini menjadi durasi maksimal default saat pengguna ditetapkan untuk peran dalam Privileged Identity Management.
Anda dapat memilih salah satu opsi durasi tugas yang memenuhi syarat ini.
Pengaturan | Deskripsi |
---|---|
Izinkan penugasan permanen yang memenuhi syarat | Administrator sumber daya dapat menetapkan penugasan permanen yang memenuhi syarat. |
Buat penetapan yang memenuhi syarat kedaluwarsa setelah | Administrator sumber daya dapat mengharuskan semua penetapan yang memenuhi syarat memiliki tanggal mulai dan berakhir yang ditentukan. |
Anda juga dapat memilih salah satu opsi durasi penugasan aktif ini.
Pengaturan | Deskripsi |
---|---|
Izinkan penugasan aktif permanen | Administrator sumber daya dapat menetapkan penetapan aktif permanen. |
Buat penugasan yang memenuhi syarat kedaluwarsa setelah | Administrator sumber daya dapat mengharuskan semua penetapan aktif memiliki tanggal mulai dan berakhir yang ditentukan. |
Semua tugas yang memiliki tanggal akhir yang ditentukan dapat diperbarui oleh Administrator Global dan Administrator Peran Istimewa. Selain itu, pengguna dapat memulai permintaan layanan mandiri untuk memperpanjang atau memperbarui penetapan peran.
Mewajibkan autentikasi multifaktor saat penetapan aktif
Anda dapat mengharuskan administrator menyediakan autentikasi multifaktor saat mereka membuat penugasan aktif (dibandingkan dengan yang memenuhi syarat). Privileged Identity Management tidak dapat memberlakukan autentikasi multifaktor saat pengguna menggunakan penetapan peran mereka karena mereka sudah aktif dalam peran sejak ditetapkan.
Administrator mungkin tidak dimintai autentikasi multifaktor jika diautentikasi dengan kredensial yang kuat atau autentikasi multifaktor yang disediakan sebelumnya dalam sesi ini.
Memerlukan justifikasi pada penugasan aktif
Anda dapat mengharuskan pengguna memasukkan pembenaran bisnis saat mereka membuat penugasan aktif (dibandingkan dengan yang memenuhi syarat).
Pada tab Pemberitahuan di halaman Pengaturan peran, Privileged Identity Management memungkinkan kontrol terperinci atas siapa yang menerima pemberitahuan dan pemberitahuan mana yang mereka terima. Anda memiliki opsi berikut:
- Menonaktifkan email: Anda dapat menonaktifkan email tertentu dengan menghapus kotak centang penerima default dan menghapus penerima lain.
- Batasi email ke alamat email tertentu: Anda dapat menonaktifkan email yang dikirim ke penerima default dengan mengosongkan kotak centang penerima default. Kemudian, Anda dapat menambahkan alamat email lain sebagai penerima. Jika Anda ingin menambahkan lebih dari satu alamat email, pisahkan dengan menggunakan titik koma (;).
- Mengirim email ke penerima default dan penerima lainnya: Anda bisa mengirim email ke penerima default dan penerima lain. Pilih kotak centang penerima default dan tambahkan alamat email untuk penerima lain.
- Hanya email penting: Untuk setiap jenis email, Anda dapat memilih kotak centang untuk menerima email penting saja. Dengan opsi ini, Privileged Identity Management terus mengirim email ke penerima yang ditentukan hanya ketika email memerlukan tindakan segera. Misalnya, email yang meminta pengguna untuk memperluas penetapan peran mereka tidak dipicu. Email yang mengharuskan admin menyetujui permintaan ekstensi dipicu.
Catatan
Satu peristiwa di Privileged Identity Management dapat menghasilkan pemberitahuan email ke beberapa penerima – penerima tugas, pemberi izin, atau administrator. Jumlah maksimum pemberitahuan yang dikirim per satu peristiwa adalah 1000. Jika jumlah penerima melebihi 1000 – hanya 1000 penerima pertama yang akan menerima pemberitahuan email. Ini tidak mencegah penerima tugas, administrator, atau pemberi persetujuan lain menggunakan izin mereka di ID Microsoft Entra dan Privileged Identity Management.
Mengelola pengaturan peran dengan menggunakan Microsoft Graph
Untuk mengelola pengaturan peran Microsoft Entra dengan menggunakan API PIM di Microsoft Graph, gunakan jenis sumber daya unifiedRoleManagementPolicy dan metode terkait.
Di Microsoft Graph, pengaturan peran disebut sebagai aturan. Mereka ditetapkan ke peran Microsoft Entra melalui kebijakan kontainer. Setiap peran Microsoft Entra diberi objek kebijakan tertentu. Anda dapat mengambil semua kebijakan yang dilingkup ke peran Microsoft Entra. Untuk setiap kebijakan, Anda dapat mengambil kumpulan aturan terkait dengan menggunakan $expand
parameter kueri. Sintaks untuk permintaan adalah sebagai berikut:
GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules
Untuk informasi selengkapnya tentang cara mengelola pengaturan peran melalui API PIM di Microsoft Graph, lihat Pengaturan peran dan PIM. Untuk contoh cara memperbarui aturan, lihat Memperbarui aturan di PIM dengan menggunakan Microsoft Graph.