Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Microsoft Entra Suite menyediakan kemampuan untuk menyebarkan solusi yang kuat untuk mengatur siapa yang dapat mengakses aplikasi lokal dan warisan dalam skenario kerja jarak jauh modern. Microsoft Entra Private Access memungkinkan organisasi untuk memodernisasi bagaimana pengguna terhubung dengan aman ke aplikasi web, aplikasi warisan, dan sumber daya lain yang ada di jaringan privat baik pengguna berada di tempat maupun mengakses dari jarak jauh. Pengelolaan pemberian hak memungkinkan organisasi mengelola identitas dan mengakses siklus hidup dalam skala besar, dengan mengotomatiskan alur kerja permintaan akses, penetapan akses, ulasan, dan kedaluwarsa.
Mirip dengan aplikasi cloud, aplikasi lokal yang mendukung provisi atau federasi, atau grup keamanan, aplikasi yang dikonfigurasi untuk koneksi melalui Microsoft Entra Private Access dapat diintegrasikan ke dalam Pengelolaan Pemberian Hak, memungkinkan organisasi untuk mempertahankan proses tata kelola yang konsisten di berbagai sumber daya dari banyak jenis.
Secara tradisional, Proksi Aplikasi Entra telah digunakan untuk menyediakan akses jarak jauh yang aman ke aplikasi berbasis web lokal tanpa memerlukan VPN. Pengguna yang bekerja dari jarak jauh mungkin masih memerlukan akses ke aplikasi berbasis non-web yang secara tradisional memerlukan VPN untuk protokol seperti MSSQL, SSH, atau RDP. Ini menyajikan dua masalah utama:
- Sebagian besar VPN memberikan akses ke seluruh jaringan
- Beberapa VPN dulu memberikan akses kepada siapa pun yang memiliki aplikasi klien dan tidak memeriksa apakah pengguna benar-benar memerlukan akses.
Skenario Umum
Skenario berikut menggambarkan bagaimana Microsoft Entra Suite dapat membantu memodernisasi lingkungan Anda dengan mengatur siapa yang dapat mengakses aplikasi di jaringan privat.
Skenario 1: Penggantian VPN untuk aplikasi terintegrasi non-Active Directory
Tata Kelola ID Entra dapat menetapkan siapa yang harus memiliki akses ke aplikasi lokal, memungkinkan pengguna mengakses aplikasi dengan aman melalui Akses Privat Entra saat pengguna tidak berada di tempat.
Banyak organisasi memiliki aplikasi di jaringan privat yang memungkinkan pengguna yang ditetapkan untuk mengakses aplikasi tersebut saat pengguna berada di jaringan organisasi mereka. Melalui konektor provisi Microsoft Entra, Entra ID Governance dapat mengatur pembuatan akun pengguna di sebagian besar sistem lokal, seperti direktori LDAP atau database SQL.
Tergantung pada skenario Anda, akan ada dua atau tiga objek di Entra yang mewakili aplikasi dunia nyata Anda:
- Akan ada objek aplikasi yang mewakili koneksi Akses Privat Entra ke titik akhir aplikasi tersebut.
- Jika aplikasi digabungkan ke direktori Microsoft Entra Anda sebagai penyedia identitas, akan ada objek aplikasi yang mewakili autentikasi pengguna ke titik akhir aplikasi, seperti menggunakan SAML, OAuth, atau OpenID Connect.
- Jika aplikasi menggunakan konektor agen provisi lokal untuk disediakan melalui LDAP, SQL, PowerShell, SOAP, atau REST, maka akan ada objek aplikasi yang mewakili integrasi provisi tersebut.
- Jika aplikasi menggunakan grup Direktori Aktif yang dibuat oleh Microsoft Entra (lihat Skenario 3 di bawah), maka akan ada grup
Sertakan sumber daya aplikasi terkait dalam paket akses, dan saat pengguna meminta paket dan disetujui, mereka akan menerima penetapan peran aplikasi di setiap aplikasi. Ini akan menyebabkan mereka diprovisikan ke aplikasi (jika diperlukan), Microsoft Entra akan mengeluarkan token federasi untuk pengguna untuk aplikasi tersebut berdasarkan permintaan, dan pengguna akan diizinkan mengakses aplikasi tersebut dengan Akses Privat Entra. Saat penetapan paket akses pengguna berakhir, akun mereka dihapus dari aplikasi, dan kemampuan mereka untuk terhubung ke aplikasi juga dicabut.
Skenario 2: Penggantian VPN untuk aplikasi Terintegrasi Direktori Aktif lokal
Organisasi sering menghadapi tantangan dalam mengaktifkan akses aman ke aplikasi terintegrasi AD untuk pengguna hibrid—mereka yang identitasnya ada di cloud dan lokal. Dengan menggunakan Akses Privat Entra, pengelolaan pemberian hak, dan tulis balik grup, organisasi dapat menerapkan akses yang diatur untuk pengguna hibrid ke aplikasi lokal yang terintegrasi dengan AD.
Sebuah grup di Entra dikonfigurasi untuk penulisan balik grup, yang menyinkronkan keanggotaan grup Entra dengan grup AD lokal di tempat. Pengguna memulai proses dengan mengirimkan permintaan paket akses di Entra yang berisi grup keamanan Entra. Setelah permintaan disetujui, pengguna diberi paket akses dan ditambahkan ke grup.
Melalui sinkronisasi ulang grup, keanggotaan grup Entra milik pengguna dicerminkan dalam grup AD lokal yang sesuai. Sinkronisasi ini memastikan keanggotaan grup AD lokal selalu diperbarui dengan perubahan yang dilakukan di Entra. Grup AD lokal, pada gilirannya, dikonfigurasi untuk menyediakan akses ke aplikasi lokal target. Keanggotaan grup telah dikonfigurasi dengan kebijakan cakupan akses privat, yang menentukan kondisi di mana pengguna dapat terhubung dengan aman ke sumber daya lokal.
Dengan akses pengguna yang disediakan, mereka sekarang dapat terhubung dengan aman ke aplikasi lokal melalui Entra Private Access.
Skenario 3: Penggantian VPN untuk aplikasi yang terputus
Organisasi mungkin memiliki aplikasi warisan yang tidak mendukung protokol provisi atau protokol autentikasi modern seperti Kerberos atau SAML. Dalam skenario ini, organisasi dapat memprovisikan pengguna secara manual ke aplikasi lalu memasukkan aplikasi ke segmen jaringan terpisah (VLAN) bersama dengan dependensinya dan proksi Akses Privat Entra. Ini mencegah pengguna, bahkan di tempat, terhubung ke aplikasi.
Pengguna kemudian dapat meminta akses ke aplikasi yang dilindungi. Setelah disetujui, Tata Kelola ID Entra membuka tiket layanan (misalnya, di ServiceNow) agar pemilik aplikasi memberi karyawan akun secara manual dalam sistem tersebut. Tata Kelola ID Entra kemudian menetapkan pengguna ke representasi aplikasi di Entra.
Sekarang, ketika karyawan terhubung ke aplikasi dari PC mereka, Entra Private Access secara otomatis membuat terowongan koneksi mereka dengan aman dari PC mereka ke aplikasi yang dilindungi.
Ketika penetapan akses kedaluwarsa, Tata Kelola ID Entra juga akan membuka tiket lain bagi pemilik aplikasi untuk menghapus akun mereka secara manual, menghapus kemampuan pengguna untuk terhubung ke aplikasi tersebut.
