Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
MICROSOFT Entra ID adalah solusi identitas sebagai layanan (IDaaS) yang komprehensif yang digunakan oleh jutaan organisasi yang mencakup semua aspek identitas, manajemen akses, dan keamanan. MICROSOFT Entra ID memegang lebih dari satu miliar identitas pengguna dan membantu pengguna masuk dan mengakses keduanya dengan aman:
- Sumber daya eksternal, seperti Microsoft 365, pusat admin Microsoft Entra, dan ribuan aplikasi Software-as-a-Service (SaaS) lainnya.
- Sumber daya internal, seperti aplikasi di jaringan perusahaan organisasi dan intranet, bersama dengan aplikasi cloud apa pun yang dikembangkan oleh organisasi tersebut.
Organisasi dapat menggunakan ID Microsoft Entra jika mereka adalah 'cloud murni,' atau sebagai penyebaran 'hibrid' jika mereka memiliki beban kerja lokal. Penyebaran hibrid ID Microsoft Entra dapat menjadi bagian dari strategi bagi organisasi untuk memigrasikan aset TI-nya ke cloud, atau untuk terus mengintegrasikan infrastruktur lokal yang ada bersama layanan cloud baru.
Secara historis, organisasi 'hibrid' telah melihat ID Microsoft Entra sebagai ekstensi infrastruktur lokal yang ada. Dalam penyebaran ini, administrasi tata kelola identitas lokal, Windows Server Active Directory atau sistem direktori internal lainnya, adalah titik kontrol, dan pengguna dan grup disinkronkan dari sistem tersebut ke direktori cloud seperti ID Microsoft Entra. Setelah identitas tersebut berada di cloud, identitas tersebut dapat disediakan untuk Microsoft 365, Azure, dan aplikasi lainnya.
Saat organisasi memindahkan lebih banyak infrastruktur TI mereka bersama dengan aplikasi mereka ke cloud, banyak yang mencari peningkatan keamanan dan kemampuan manajemen yang disederhanakan dari manajemen identitas sebagai layanan. Fitur IDaaS yang dikirimkan cloud di MICROSOFT Entra ID mempercepat transisi ke manajemen yang diatur cloud dengan menyediakan solusi dan kemampuan yang memungkinkan organisasi untuk dengan cepat mengadopsi dan memindahkan lebih banyak manajemen identitas mereka dari sistem lokal tradisional ke MICROSOFT Entra ID, sambil terus mendukung aplikasi yang ada serta baru.
Makalah ini menguraikan strategi Microsoft untuk IDaaS hibrid dan menjelaskan bagaimana organisasi dapat menggunakan ID Microsoft Entra untuk aplikasi yang ada.
Pendekatan Microsoft Entra ID untuk manajemen identitas berbasis cloud
Saat organisasi bertransisi ke cloud, mereka memerlukan jaminan bahwa mereka memiliki kontrol atas lingkungan lengkap mereka - lebih banyak keamanan dan visibilitas yang lebih besar ke dalam aktivitas, didukung oleh otomatisasi, dan wawasan proaktif. "Manajemen yang diatur cloud" menjelaskan bagaimana organisasi mengelola dan mengatur pengguna, aplikasi, grup, dan perangkat mereka dari cloud.
Di dunia modern ini, organisasi harus dapat mengelola secara efektif dalam skala besar, karena penyebaran aplikasi SaaS dan meningkatnya peran kolaborasi dan identitas eksternal. Lanskap risiko baru cloud berarti organisasi harus lebih responsif - aktor jahat yang membahayakan pengguna cloud dapat memengaruhi aplikasi cloud dan lokal.
Secara khusus, organisasi hibrid harus dapat mendelegasikan dan mengotomatiskan tugas, yang secara historis dilakukan oleh IT secara manual. Untuk mengotomatiskan tugas, mereka memerlukan API dan proses yang mengatur siklus hidup berbagai sumber daya terkait identitas (pengguna, grup, aplikasi, perangkat), sehingga mereka dapat mendelegasikan manajemen sumber daya tersebut sehari-hari kepada lebih banyak individu di luar staf IT inti. ID Microsoft Entra membahas persyaratan ini melalui manajemen akun pengguna dan autentikasi asli untuk pengguna tanpa memerlukan infrastruktur identitas lokal. Tidak membangun infrastruktur lokal dapat menguntungkan organisasi yang memiliki komunitas pengguna baru, seperti mitra bisnis, yang tidak berasal dari direktori lokal mereka, tetapi yang manajemen aksesnya sangat penting untuk mencapai hasil bisnis.
Selain itu, manajemen tidak lengkap tanpa tata kelola --- dan tata kelola di dunia baru ini adalah bagian terintegrasi dari sistem identitas daripada add-on. Tata kelola identitas memberi organisasi kemampuan untuk mengelola identitas dan mengakses siklus hidup di seluruh karyawan, mitra bisnis dan vendor, serta layanan dan aplikasi.
Menggabungkan tata kelola identitas memudahkan organisasi untuk beralih ke manajemen yang diatur cloud, memungkinkan TI untuk menskalakan, mengatasi tantangan baru dengan tamu dan memberikan wawasan dan otomatisasi yang lebih mendalam daripada apa yang pelanggan miliki dengan infrastruktur lokal. Tata kelola di dunia baru ini berarti kemampuan organisasi untuk memiliki transparansi, visibilitas, dan kontrol yang tepat pada akses ke sumber daya dalam organisasi. Dengan ID Microsoft Entra, operasi keamanan dan tim audit memiliki visibilitas tentang siapa yang memiliki --- dan siapa yang harus memiliki - akses ke sumber daya apa di organisasi (pada perangkat apa), apa yang dilakukan pengguna tersebut dengan akses tersebut, dan apakah organisasi memiliki dan menggunakan kontrol yang sesuai untuk menghapus atau membatasi akses sesuai dengan kebijakan perusahaan atau peraturan.
Model manajemen baru menguntungkan organisasi dengan aplikasi SaaS dan line-of-business (LOB), karena mereka lebih mudah dapat mengelola dan mengamankan akses ke aplikasi tersebut. Dengan mengintegrasikan aplikasi dengan MICROSOFT Entra ID, organisasi akan dapat menggunakan dan mengelola akses di seluruh identitas asal cloud dan lokal secara konsisten. Manajemen siklus hidup aplikasi menjadi lebih otomatis, dan ID Microsoft Entra memberikan wawasan yang kaya tentang penggunaan aplikasi yang tidak mudah dicapai dalam manajemen identitas lokal. Melalui ID Microsoft Entra, grup Microsoft 365, dan fitur layanan mandiri Teams, organisasi dapat dengan mudah membuat grup untuk manajemen akses dan kolaborasi dan menambahkan atau menghapus pengguna di cloud untuk memungkinkan persyaratan manajemen kolaborasi dan akses.
Memilih kemampuan Microsoft Entra yang tepat untuk manajemen yang diatur cloud tergantung pada aplikasi yang akan digunakan, dan bagaimana aplikasi tersebut akan diintegrasikan dengan ID Microsoft Entra. Bagian berikut menguraikan pendekatan yang harus diambil untuk aplikasi terintegrasi AD, dan aplikasi yang menggunakan protokol federasi (misalnya, SAML, OAuth, atau OpenID Connect).
Manajemen yang diatur cloud untuk aplikasi yang terintegrasi dengan AD
MICROSOFT Entra ID meningkatkan manajemen untuk aplikasi organisasi yang terintegrasi Active Directory lokal melalui akses jarak jauh yang aman dan Akses Bersyarkat ke aplikasi tersebut. Selain itu, MICROSOFT Entra ID juga menyediakan manajemen siklus hidup akun dan manajemen kredensial untuk akun AD pengguna yang sudah ada, termasuk:
- Akses jarak jauh yang aman dan Akses Bersyarat untuk aplikasi lokal
Bagi banyak organisasi, langkah pertama dalam mengelola akses dari cloud untuk web lokal yang terintegrasi dengan AD dan aplikasi berbasis desktop jarak jauh adalah dengan menerapkan proksi aplikasi di depan aplikasi tersebut untuk menyediakan akses jarak jauh yang aman.
Setelah akses menyeluruh ke ID Microsoft Entra, pengguna dapat mengakses aplikasi cloud dan lokal melalui URL eksternal atau portal aplikasi internal. Misalnya, Proksi Aplikasi menyediakan akses jarak jauh dan akses menyeluruh ke Desktop Jarak Jauh, SharePoint, serta aplikasi seperti Tableau dan Qlik, dan aplikasi lini bisnis (LOB). Lebih lanjut, kebijakan Akses Bersyarat dapat mencakup menampilkan persyaratan penggunaan dan memastikan pengguna telah menyetujuinya sebelum dapat mengakses aplikasi.
- Manajemen siklus hidup otomatis untuk akun Active Directory
Tata kelola identitas membantu organisasi mencapai keseimbangan antara produktivitas --- seberapa cepat seseorang dapat memiliki akses ke sumber daya yang mereka butuhkan, seperti ketika mereka bergabung dengan organisasi? --- dan keamanan --- bagaimana akses mereka harus berubah dari waktu ke waktu, seperti kapan status pekerjaan orang itu berubah? Manajemen siklus hidup identitas adalah fondasi untuk tata kelola identitas, dan tata kelola yang efektif dalam skala besar mengharuskan modernisasi infrastruktur manajemen siklus hidup identitas untuk aplikasi.
Bagi banyak organisasi, siklus hidup identitas bagi karyawan terkait dengan representasi pengguna tersebut dalam sistem manajemen sumber daya manusia (HCM). Untuk organisasi yang menggunakan Workday sebagai sistem HCM mereka, MICROSOFT Entra ID dapat memastikan akun pengguna di AD secara otomatis disediakan dan dibatalkan provisinya untuk pekerja di Workday. Melakukannya mengarah pada peningkatan produktivitas pengguna melalui otomatisasi akun hak asasi dan mengelola risiko dengan memastikan akses aplikasi diperbarui secara otomatis ketika pengguna mengubah peran atau meninggalkan organisasi. Rencana penyebaran provisi pengguna yang digerakkan oleh Workday adalah panduan langkah demi langkah yang memandu organisasi melalui penerapan praktik terbaik dari solusi Workday ke Provisi Pengguna Active Directory dalam proses lima langkah.
Microsoft Entra ID P1 atau P2 juga menyertakan Microsoft Identity Manager, yang dapat mengimpor rekaman dari sistem HCM lokal lainnya, termasuk SAP, Oracle eBusiness, dan Oracle PeopleSoft.
Kolaborasi bisnis ke bisnis semakin membutuhkan pemberian akses kepada orang-orang di luar organisasi Anda. Kolaborasi Microsoft Entra B2B memungkinkan organisasi untuk berbagi aplikasi dan layanan mereka dengan aman dengan pengguna tamu dan mitra eksternal sambil mempertahankan kontrol atas data perusahaan mereka sendiri.
ID Microsoft Entra dapat secara otomatis membuat akun di AD untuk pengguna tamu sesuai kebutuhan, memungkinkan tamu bisnis mengakses aplikasi terintegrasi AD lokal tanpa memerlukan kata sandi lain. Organisasi dapat menyiapkan kebijakan autentikasi multifaktor untuk penggunatamu sehingga pemeriksaan MFA dilakukan selama autentikasi proksi aplikasi. Selain itu, ulasan akses yang dilakukan pada pengguna B2B cloud juga berlaku untuk pengguna on-premises. Misalnya, jika pengguna cloud dihapus melalui kebijakan manajemen siklus hidup, pengguna lokal juga akan dihapus.
Manajemen kredensial untuk akun Direktori Aktif
Pengaturan ulang kata sandi mandiri di ID Microsoft Entra memungkinkan pengguna yang lupa kata sandi mereka diautentikasi ulang dan mengatur ulang kata sandi mereka, dengan kata sandi yang diubah yang ditulis ke Active Directory lokal. Proses pengaturan ulang kata sandi juga dapat menggunakan kebijakan kata sandi Active Directory lokal: Saat pengguna mengatur ulang kata sandi, ini akan diperiksa untuk memastikannya memenuhi kebijakan Active Directory lokal sebelum memasukkannya ke direktori itu. Rencana penyebaran pengaturan ulang kata sandi mandiri menguraikan praktik terbaik untuk meluncurkan penyetelan ulang sandi layanan mandiri kepada pengguna melalui pengalaman terintegrasi web dan Windows.
Terakhir, untuk organisasi yang mengizinkan pengguna mengubah kata sandi mereka di AD, AD dapat dikonfigurasi untuk menggunakan kebijakan kata sandi yang sama dengan yang digunakan organisasi di ID Microsoft Entra melalui fitur perlindungan kata sandi Microsoft Entra, saat ini dalam pratinjau publik.
Ketika organisasi siap untuk memindahkan aplikasi terintegrasi AD ke cloud dengan memindahkan sistem operasi yang menghosting aplikasi ke Azure, Microsoft Entra Domain Services menyediakan layanan domain yang kompatibel dengan AD (seperti gabungan domain, kebijakan grup, LDAP, dan autentikasi Kerberos/NTLM). Microsoft Entra Domain Services terintegrasi dengan penyewa Microsoft Entra yang telah ada di organisasi, memungkinkan pengguna untuk masuk ke sistem menggunakan kredensial perusahaan mereka. Selain itu, grup dan akun pengguna yang ada dapat digunakan untuk mengamankan akses ke sumber daya, memastikan 'lift-and-shift' sumber daya lokal yang lebih lancar ke layanan infrastruktur Azure.
Manajemen yang diatur cloud untuk aplikasi berbasis federasi lokal
Untuk organisasi yang sudah menggunakan idP lokal, memindahkan aplikasi ke MICROSOFT Entra ID memungkinkan akses yang lebih aman dan pengalaman administratif yang lebih mudah untuk manajemen federasi. Microsoft Entra ID memungkinkan konfigurasi kontrol akses per aplikasi yang terperinci, termasuk autentikasi multifaktor Microsoft Entra, dengan menggunakan Microsoft Entra Akses Bersyarat. MICROSOFT Entra ID mendukung lebih banyak kemampuan, termasuk sertifikat penandatanganan token khusus aplikasi dan tanggal kedaluwarsa sertifikat yang dapat dikonfigurasi. Kemampuan, alat, dan panduan ini memungkinkan organisasi untuk menghentikan penggunaan penyedia identitas lokal mereka. TI Microsoft sendiri, misalnya, telah memindahkan 17.987 aplikasi dari Layanan Federasi Direktori Aktif (AD FS) internal Microsoft ke ID Microsoft Entra.
Untuk mulai memigrasikan aplikasi federasi ke Microsoft Entra ID sebagai penyedia identitas, lihat https://aka.ms/migrateapps yang mencakup tautan ke:
Laporan resmi Memigrasikan Aplikasi Anda ke ID Microsoft Entra, yang menyajikan manfaat migrasi dan menjelaskan cara merencanakan migrasi dalam empat fase yang diuraikan dengan jelas: penemuan, klasifikasi, migrasi, dan manajemen yang sedang berlangsung. Anda akan dipandu melalui cara memikirkan prosesnya dan memecah proyek Anda menjadi potongan-potongan yang mudah dikonsumsi. Di seluruh dokumen adalah tautan ke sumber daya penting yang akan membantu Anda di sepanjang jalan.
Panduan solusi Memigrasikan Autentikasi Aplikasi dari Layanan Federasi Direktori Aktif ke ID Microsoft Entra mengeksplorasi secara lebih rinci empat fase perencanaan yang sama dan menjalankan proyek migrasi aplikasi. Dalam panduan ini, Anda akan mempelajari cara menerapkan fase tersebut ke tujuan tertentu untuk memindahkan aplikasi dari Layanan Federasi Direktori Aktif (AD FS) ke ID Microsoft Entra.
Skrip Kesiapan Migrasi Layanan Federasi Direktori Aktif dapat dijalankan di server Layanan Federasi Direktori Aktif (AD FS) lokal yang ada untuk menentukan kesiapan aplikasi untuk migrasi ke ID Microsoft Entra.
Manajemen akses yang sedang berlangsung di seluruh aplikasi cloud dan lokal
Organisasi memerlukan proses untuk mengelola akses yang dapat diskalakan. Pengguna terus mengumpulkan hak akses dan berakhir dengan melampaui apa yang awalnya disediakan untuk mereka. Selain itu, organisasi perusahaan harus dapat menskalakan secara efisien untuk mengembangkan dan menegakkan kebijakan dan kontrol akses secara berkelanjutan.
Biasanya, delegasi IT mengakses keputusan persetujuan kepada pembuat keputusan bisnis. Selain itu, IT dapat melibatkan pengguna itu sendiri. Misalnya, pengguna yang mengakses data pelanggan rahasia dalam aplikasi pemasaran perusahaan di Eropa perlu mengetahui kebijakan perusahaan. Pengguna tamu juga mungkin tidak menyadari persyaratan penanganan data dalam organisasi tempat mereka diundang.
Organisasi dapat mengotomatiskan proses siklus hidup akses melalui teknologi seperti grup keanggotaan dinamis, ditambah dengan provisi pengguna ke aplikasi SaaS, atau aplikasi yang terintegrasi menggunakan standar System for Cross-Domain Identity Management (SCIM). Organisasi juga dapat mengontrol pengguna tamu yang memiliki akses ke aplikasi lokal. Hak akses ini kemudian dapat ditinjau secara teratur menggunakan tinjauan berulang akses Microsoft Entra.
Arah masa depan
Di lingkungan hibrida, strategi Microsoft adalah mengaktifkan penyebaran di mana cloud adalah lapisan kontrol identitas, dan direktori lokal serta sistem identitas lainnya, seperti Active Directory dan aplikasi lokal lainnya, adalah target untuk mengelola penyiapan akses pengguna. Strategi ini akan terus memastikan hak, identitas, dan akses dalam aplikasi dan beban kerja yang bergantung pada mereka. Pada status akhir ini, organisasi akan dapat mendorong produktivitas pengguna akhir sepenuhnya dari cloud.
Langkah berikutnya
Untuk informasi selengkapnya tentang cara memulai perjalanan ini, lihat rencana penyebaran Microsoft Entra. Rencana ini menyediakan panduan end-to-end untuk mengimplementasikan kemampuan Microsoft Entra. Setiap paket menjelaskan nilai bisnis, pertimbangan perencanaan, desain, dan prosedur operasional yang diperlukan untuk berhasil meluncurkan kemampuan Microsoft Entra umum. Microsoft terus memperbarui rencana penyebaran dengan praktik terbaik yang dipelajari dari penyebaran pelanggan dan umpan balik lainnya saat kami menambahkan kemampuan baru untuk mengelola dari cloud dengan ID Microsoft Entra.