Prinsip hak istimewa paling sedikit dengan Tata Kelola ID Microsoft Entra
Salah satu konsep yang perlu ditangani sebelum mengambil strategi tata kelola identitas adalah prinsip hak istimewa paling sedikit (PLOP). Hak istimewa terkecil adalah prinsip dalam tata kelola identitas yang melibatkan penetapan pengguna dan grup hanya tingkat minimum akses dan izin yang diperlukan untuk melakukan tugas mereka. Idenya adalah membatasi hak akses sehingga pengguna atau grup dapat menyelesaikan pekerjaan mereka, tetapi juga meminimalkan hak istimewa yang tidak perlu yang berpotensi dieksploitasi oleh penyerang atau menyebabkan pelanggaran keamanan.
Sehubungan dengan Tata Kelola ID Microsoft Entra, menerapkan prinsip hak istimewa paling sedikit membantu meningkatkan keamanan dan mengurangi risiko. Pendekatan ini memastikan bahwa pengguna dan grup diberikan akses hanya ke sumber daya, data, dan tindakan yang relevan dengan peran dan tanggung jawab mereka, dan tidak ada di luar itu.
Konsep utama prinsip hak istimewa paling sedikit
Akses ke sumber daya yang diperlukan saja: Pengguna diberi akses ke informasi dan sumber daya hanya jika mereka memiliki kebutuhan asli bagi mereka untuk melakukan tugas mereka. Ini mencegah akses tidak sah ke data sensitif dan meminimalkan dampak potensial dari pelanggaran keamanan. Mengotomatiskan provisi pengguna membantu mengurangi pemberian hak akses yang tidak perlu. Alur kerja siklus hidup adalah fitur tata kelola identitas yang memungkinkan organisasi mengelola pengguna Microsoft Entra dengan mengotomatiskan proses siklus hidup dasar.
Kontrol Akses Berbasis Peran (RBAC): Hak akses ditentukan berdasarkan peran tertentu atau fungsi pekerjaan pengguna. Setiap peran diberi izin minimum yang diperlukan untuk memenuhi tanggung jawabnya. Kontrol akses berbasis peran Microsoft Entra mengelola akses ke sumber daya Microsoft Entra.
Hak Istimewa Just-In-Time: Hak akses hanya diberikan selama durasi waktu yang diperlukan dan dicabut saat tidak lagi diperlukan. Ini mengurangi jendela kesempatan bagi penyerang untuk mengeksploitasi hak istimewa yang berlebihan. Privileged Identity Management (PIM) adalah layanan di MICROSOFT Entra ID yang memungkinkan Anda mengelola, mengontrol, dan memantau akses ke sumber daya penting di organisasi Anda dan dapat menyediakan akses just-in-time.
Audit dan Peninjauan Reguler: Tinjauan berkala akses dan izin pengguna dilakukan untuk memastikan bahwa pengguna masih memerlukan akses yang telah diberikan. Ini membantu mengidentifikasi dan memperbaiki penyimpangan dari prinsip hak istimewa paling sedikit. Tinjauan akses di ID Microsoft Entra, bagian dari Microsoft Entra, memungkinkan organisasi mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran secara efisien. Akses pengguna dapat ditinjau secara berkala untuk memastikan bahwa hanya orang yang tepat yang memiliki akses berkelanjutan.
Tolak Default: Sikap default adalah menolak akses, dan akses secara eksplisit hanya diberikan untuk tujuan yang disetujui. Ini berbeda dengan pendekatan "default allow", yang dapat mengakibatkan pemberian hak istimewa yang tidak perlu. Pengelolaan pemberian hak adalah fitur tata kelola identitas yang memungkinkan organisasi mengelola identitas dan mengakses siklus hidup dalam skala besar, dengan mengotomatiskan alur kerja permintaan akses, penetapan akses, ulasan, dan kedaluwarsa.
Dengan mengikuti prinsip hak istimewa paling sedikit, organisasi Anda dapat mengurangi risiko masalah keamanan, dan memastikan bahwa kontrol akses selaras dengan kebutuhan bisnis.
Peran dengan hak istimewa paling sedikit untuk mengelola dalam fitur Tata Kelola Identitas
Ini adalah praktik terbaik untuk menggunakan peran yang paling tidak istimewa untuk melakukan tugas administratif dalam Identity Governance. Kami menyarankan agar Anda menggunakan Microsoft Entra PIM untuk mengaktifkan peran sesuai kebutuhan untuk melakukan tugas-tugas ini. Berikut ini adalah peran direktori dengan hak istimewa paling sedikit untuk mengonfigurasi fitur Tata Kelola Identitas:
| Fitur | Peran istimewa paling rendah |
|---|---|
| Pengelolaan pemberian hak | Administrator Tata Kelola Identitas |
| Tinjauan akses | Administrator Pengguna (dengan pengecualian tinjauan akses peran Azure atau Microsoft Entra, yang memerlukan Administrator Peran Istimewa) |
| Alur Kerja Siklus Hidup | Administrator Alur Kerja Siklus Hidup |
| Privileged Identity Management | Administrator Peran Privileged |
| Ketentuan penggunaan | Administrator Keamanan atau Administrator Akses Bersyarat |
Catatan
Peran paling tidak istimewa untuk Pengelolaan pemberian hak telah berubah dari peran Administrator Pengguna ke peran Administrator Tata Kelola Identitas.