Share via

Identitas Zero Trust dan konfigurasi akses perangkat

  • Artikel

Tenaga kerja saat ini memerlukan akses ke aplikasi dan sumber daya yang ada di luar batas jaringan perusahaan tradisional. Arsitektur keamanan yang mengandalkan firewall jaringan dan jaringan privat virtual (VPN) untuk mengisolasi dan membatasi akses ke sumber daya tidak lagi cukup.

Untuk mengatasi dunia komputasi baru ini, Microsoft sangat merekomendasikan model keamanan Zero Trust, yang didasarkan pada prinsip panduan berikut:

  • Verifikasi secara eksplisit: Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia. Verifikasi ini adalah di mana identitas Zero Trust dan kebijakan akses perangkat sangat penting untuk masuk dan validasi yang sedang berlangsung.
  • Gunakan akses hak istimewa paling sedikit: Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data.
  • Asumsikan pelanggaran: Meminimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan.

Berikut adalah arsitektur keseluruhan Zero Trust:

Diagram yang memperlihatkan arsitektur Microsoft Zero Trust.

Identitas Zero Trust dan kebijakan akses perangkat membahas prinsip Verifikasi panduan eksplisit untuk:

  • Identitas: Saat identitas mencoba mengakses sumber daya, verifikasi bahwa identitas dengan autentikasi yang kuat dan pastikan bahwa akses yang diminta sesuai dan khas.
  • Perangkat (juga disebut titik akhir): Memantau dan menerapkan persyaratan kesehatan dan kepatuhan perangkat untuk akses yang aman.
  • Aplikasi: Terapkan kontrol dan teknologi untuk:
    • Pastikan izin dalam aplikasi yang sesuai.
    • Mengontrol akses berdasarkan analitik real-time.
    • Memantau perilaku abnormal
    • Mengontrol tindakan pengguna.
    • Memvalidasi opsi konfigurasi aman.

Rangkaian artikel ini menjelaskan serangkaian konfigurasi dan kebijakan akses identitas dan perangkat menggunakan ID Microsoft Entra, Akses Bersyar, Microsoft Intune, dan fitur lainnya. Konfigurasi dan kebijakan ini menyediakan akses Zero Trust ke Microsoft 365 untuk aplikasi dan layanan cloud perusahaan, layanan SaaS lainnya, dan aplikasi lokal yang diterbitkan dengan proksi aplikasi Microsoft Entra.

Identitas Zero Trust dan pengaturan dan kebijakan akses perangkat direkomendasikan dalam tiga tingkatan:

  • Titik awal.
  • Perusahaan.
  • Keamanan khusus untuk lingkungan dengan data yang sangat diatur atau diklasifikasikan.

Tingkatan ini dan konfigurasi yang sesuai memberikan tingkat perlindungan Zero Trust yang konsisten di seluruh data, identitas, dan perangkat Anda. Kemampuan ini dan rekomendasinya:

  • Didukung di Microsoft 365 E3 dan Microsoft 365 E5.
  • Selaras dengan Skor Aman Microsoft dan skor identitas di ID Microsoft Entra. Mengikuti rekomendasi akan meningkatkan skor ini untuk organisasi Anda.
  • Membantu Anda menerapkan lima langkah ini untuk mengamankan infrastruktur identitas Anda.

Jika organisasi Anda memiliki persyaratan atau kompleksitas unik, gunakan rekomendasi ini sebagai titik awal. Namun, sebagian besar organisasi dapat menerapkan rekomendasi ini seperti yang ditentukan.

Tonton video ini untuk ringkasan singkat tentang konfigurasi akses identitas dan perangkat untuk Microsoft 365 untuk perusahaan.

Catatan

Microsoft juga menjual lisensi Enterprise Mobility + Security (EMS) untuk langganan Office 365. Kemampuan EMS E3 dan EMS E5 setara dengan yang ada di Microsoft 365 E3 dan Microsoft 365 E5. Untuk informasi selengkapnya, lihat paket EMS.

Audiens yang dituju

Rekomendasi ini ditujukan untuk arsitek perusahaan dan profesional TI yang terbiasa dengan layanan produktivitas dan keamanan cloud Microsoft 365. Layanan ini termasuk ID Microsoft Entra (identitas), Microsoft Intune (manajemen perangkat), dan Perlindungan Informasi Microsoft Purview (perlindungan data).

Lingkungan pelanggan

Kebijakan yang direkomendasikan berlaku untuk organisasi perusahaan yang beroperasi sepenuhnya dalam cloud Microsoft dan untuk pelanggan dengan infrastruktur identitas hibrid. Struktur identitas hibrid adalah forest Active Directory lokal yang disinkronkan dengan ID Microsoft Entra.

Banyak rekomendasi kami mengandalkan layanan yang hanya tersedia dengan lisensi berikut:

  • Microsoft 365 E5.
  • Microsoft 365 E3 dengan add-on E5 Security.
  • EMS E5.
  • Lisensi Microsoft Entra ID P2.

Untuk organisasi yang tidak memiliki lisensi ini, kami sarankan Anda setidaknya menerapkan default keamanan, yang disertakan dengan semua paket Microsoft 365.

Peringatan

Organisasi Anda mungkin tunduk pada persyaratan peraturan atau kepatuhan lainnya, termasuk rekomendasi khusus yang mengharuskan Anda menerapkan kebijakan yang berbeda dari konfigurasi yang direkomendasikan ini. Konfigurasi ini merekomendasikan kontrol penggunaan yang belum tersedia secara historis. Kami merekomendasikan kontrol ini karena kami percaya bahwa kontrol tersebut mewakili keseimbangan antara keamanan dan produktivitas.

Kami telah melakukan yang terbaik untuk memperhitungkan berbagai persyaratan perlindungan organisasi, tetapi kami tidak dapat memperhitungkan semua persyaratan yang mungkin atau untuk semua aspek unik organisasi Anda.

Tiga tingkat perlindungan

Sebagian besar organisasi memiliki persyaratan khusus mengenai keamanan dan perlindungan data. Persyaratan ini bervariasi menurut segmen industri dan berdasarkan fungsi pekerjaan dalam organisasi. Misalnya, departemen hukum dan administrator Anda mungkin memerlukan kontrol keamanan dan perlindungan informasi tambahan di sekitar korespondensi email mereka yang tidak diperlukan untuk unit bisnis lain.

Setiap industri juga memiliki seperangkat peraturan khusus mereka sendiri. Kami tidak mencoba memberikan daftar semua opsi keamanan yang mungkin atau rekomendasi per segmen industri atau fungsi pekerjaan. Sebagai gantinya, kami memberikan rekomendasi untuk tiga tingkat keamanan dan perlindungan yang dapat diterapkan berdasarkan granularitas kebutuhan Anda.

  • Titik awal: Kami menyarankan semua pelanggan menetapkan dan menggunakan standar minimum untuk melindungi data, serta identitas dan perangkat yang mengakses data Anda. Anda dapat mengikuti rekomendasi ini untuk memberikan perlindungan default yang kuat sebagai titik awal bagi semua organisasi.
  • Perusahaan: Beberapa pelanggan memiliki subset data yang harus dilindungi pada tingkat yang lebih tinggi, atau semua data harus dilindungi pada tingkat yang lebih tinggi. Anda dapat menerapkan peningkatan perlindungan ke semua atau himpunan data tertentu di lingkungan Microsoft 365 Anda. Sebaiknya lindungi identitas dan perangkat yang mengakses data sensitif dengan tingkat keamanan yang sebanding.
  • Keamanan khusus: Sesuai kebutuhan, beberapa pelanggan memiliki sejumlah kecil data yang sangat rahasia, merupakan rahasia dagang, atau diatur. Microsoft menyediakan kemampuan untuk membantu pelanggan ini memenuhi persyaratan ini, termasuk perlindungan tambahan untuk identitas dan perangkat.

Cuplikan layar kerucut Keamanan memperlihatkan rentang pelanggan.

Panduan ini menunjukkan kepada Anda cara menerapkan perlindungan Zero Trust untuk identitas dan perangkat untuk setiap tingkat perlindungan ini. Gunakan panduan ini minimal untuk organisasi Anda dan sesuaikan kebijakan untuk memenuhi persyaratan spesifik organisasi Anda.

Penting untuk menggunakan tingkat perlindungan yang konsisten di seluruh identitas, perangkat, dan data Anda. Misalnya, perlindungan bagi pengguna dengan akun prioritas—seperti eksekutif, pemimpin, manajer, dan lainnya—harus menyertakan tingkat perlindungan yang sama untuk identitas, perangkat mereka, dan data yang mereka akses.

Selain itu, lihat solusi Menyebarkan perlindungan informasi untuk peraturan privasi data untuk melindungi informasi yang disimpan di Microsoft 365.

Trade-off keamanan dan produktivitas

Menerapkan strategi keamanan apa pun memerlukan trade-off antara keamanan dan produktivitas. Sangat membantu untuk mengevaluasi bagaimana setiap keputusan memengaruhi keseimbangan keamanan, fungsionalitas, dan kemudahan penggunaan.

Keamanan penyeimbangan triad keamanan, fungsionalitas, dan kemudahan penggunaan

Rekomendasi yang diberikan didasarkan pada prinsip-prinsip berikut:

  • Kenali pengguna Anda dan fleksibel dengan persyaratan keamanan dan fungsi mereka.
  • Terapkan kebijakan keamanan tepat pada waktunya dan pastikan kebijakan tersebut bermakna.

Layanan dan konsep untuk identitas Zero Trust dan perlindungan akses perangkat

Microsoft 365 untuk perusahaan dirancang agar organisasi besar dapat memberdayakan semua orang untuk menjadi kreatif dan bekerja sama dengan aman.

Bagian ini memberikan gambaran umum tentang layanan dan kemampuan Microsoft 365 yang penting untuk identitas Zero Trust dan akses perangkat.

Microsoft Entra ID

MICROSOFT Entra ID menyediakan serangkaian kemampuan manajemen identitas lengkap. Sebaiknya gunakan kemampuan ini untuk mengamankan akses.

Kemampuan atau fitur Deskripsi Pelisensian
Autentikasi multifaktor (MFA) MFA mengharuskan pengguna untuk memberikan dua bentuk verifikasi, seperti kata sandi pengguna ditambah pemberitahuan dari aplikasi Microsoft Authenticator atau panggilan telepon. MFA sangat mengurangi risiko kredensial yang dicuri dapat digunakan untuk mengakses lingkungan Anda. Microsoft 365 menggunakan layanan autentikasi multifaktor Microsoft Entra untuk masuk berbasis MFA. Microsoft 365 E3 atau E5
Akses Bersyarat MICROSOFT Entra ID mengevaluasi kondisi masuk pengguna dan menggunakan kebijakan Akses Bersyarat untuk menentukan akses yang diizinkan. Misalnya, dalam panduan ini kami menunjukkan kepada Anda cara membuat kebijakan Akses Bersyarat untuk mewajibkan kepatuhan perangkat untuk akses ke data sensitif. Ini sangat mengurangi risiko bahwa peretas dengan perangkat mereka sendiri dan kredensial yang dicuri dapat mengakses data sensitif Anda. Ini juga melindungi data sensitif pada perangkat, karena perangkat harus memenuhi persyaratan khusus untuk kesehatan dan keamanan. Microsoft 365 E3 atau E5
Grup Microsoft Entra Kebijakan Akses Bersyar, manajemen perangkat dengan Intune, dan bahkan izin ke file dan situs di organisasi Anda mengandalkan penugasan ke akun pengguna atau grup Microsoft Entra. Sebaiknya buat grup Microsoft Entra yang sesuai dengan tingkat perlindungan yang Anda terapkan. Misalnya, staf eksekutif Anda kemungkinan adalah target nilai yang lebih tinggi untuk peretas. Oleh karena itu, masuk akal untuk menambahkan akun pengguna karyawan ini ke grup Microsoft Entra dan menetapkan grup ini ke kebijakan Akses Bersyarah dan kebijakan lain yang memberlakukan tingkat perlindungan yang lebih tinggi untuk akses. Microsoft 365 E3 atau E5
Pendaftaran perangkat Anda mendaftarkan perangkat ke ID Microsoft Entra untuk membuat identitas untuk perangkat. Identitas ini digunakan untuk mengautentikasi perangkat saat pengguna masuk dan menerapkan kebijakan Akses Bersyarat yang memerlukan PC yang bergabung dengan domain atau patuh. Untuk panduan ini, kami menggunakan pendaftaran perangkat untuk mendaftarkan komputer Windows yang bergabung dengan domain secara otomatis. Pendaftaran perangkat adalah prasyarat untuk mengelola perangkat dengan Intune. Microsoft 365 E3 atau E5
Perlindungan ID Microsoft Entra Memungkinkan Anda mendeteksi potensi kerentanan yang memengaruhi identitas organisasi Anda dan mengonfigurasi kebijakan remediasi otomatis ke risiko masuk rendah, sedang, dan tinggi serta risiko pengguna. Panduan ini bergantung pada evaluasi risiko ini untuk menerapkan kebijakan Akses Bersyar untuk autentikasi multifaktor. Panduan ini juga mencakup kebijakan Akses Bersyarat yang mengharuskan pengguna mengubah kata sandi mereka jika aktivitas berisiko tinggi terdeteksi untuk akun mereka. Microsoft 365 E5, Microsoft 365 E3 dengan lisensi add-on E5 Security, EMS E5, atau Microsoft Entra ID P2
Reset kata sandi mandiri (SSPR) Izinkan pengguna Anda untuk mengatur ulang kata sandi mereka dengan aman dan tanpa intervensi staf dukungan, dengan memberikan verifikasi beberapa metode autentikasi yang dapat dikontrol administrator. Microsoft 365 E3 atau E5
Perlindungan kata sandi Microsoft Entra Deteksi dan blokir kata sandi lemah yang diketahui dan variannya serta istilah lemah tambahan yang khusus untuk organisasi Anda. Daftar kata sandi terlarang global default secara otomatis diterapkan ke semua pengguna di penyewa Microsoft Entra. Anda dapat menentukan entri tambahan dalam daftar kata sandi terlarang kustom. Saat pengguna mengubah atau mereset kata sandi mereka, daftar kata sandi yang dilarang ini diperiksa untuk memberlakukan penggunaan kata sandi yang kuat. Microsoft 365 E3 atau E5

Berikut adalah komponen identitas Zero Trust dan akses perangkat, termasuk objek, pengaturan, dan subservice Intune dan Microsoft Entra.

Komponen identitas Zero Trust dan akses perangkat

Microsoft Intune

Intune adalah layanan manajemen perangkat seluler berbasis cloud Microsoft. Panduan ini merekomendasikan manajemen perangkat PC Windows dengan Intune dan merekomendasikan konfigurasi kebijakan kepatuhan perangkat. Intune menentukan apakah perangkat mematuhi dan mengirim data ini ke ID Microsoft Entra untuk digunakan saat menerapkan kebijakan Akses Bersyar.

Perlindungan aplikasi Intune

Kebijakan perlindungan aplikasi Intune dapat digunakan untuk melindungi data organisasi Anda di aplikasi seluler, dengan atau tanpa mendaftarkan perangkat ke dalam manajemen. Intune membantu melindungi informasi, memastikan karyawan Anda masih bisa produktif, dan mencegah kehilangan data. Dengan menerapkan kebijakan tingkat aplikasi, Anda dapat membatasi akses ke sumber daya perusahaan dan menyimpan data dalam kontrol departemen TI Anda.

Panduan ini menunjukkan kepada Anda cara membuat kebijakan yang direkomendasikan untuk memberlakukan penggunaan aplikasi yang disetujui dan untuk menentukan bagaimana aplikasi ini dapat digunakan dengan data bisnis Anda.

Microsoft 365

Panduan ini memperlihatkan kepada Anda cara menerapkan serangkaian kebijakan untuk melindungi akses ke layanan cloud Microsoft 365, termasuk Microsoft Teams, Exchange, SharePoint, dan OneDrive. Selain menerapkan kebijakan ini, kami sarankan Anda juga meningkatkan tingkat perlindungan untuk penyewa Anda menggunakan sumber daya ini:

Windows 11 atau Windows 10 dengan Aplikasi Microsoft 365 untuk perusahaan

Windows 11 atau Windows 10 dengan Aplikasi Microsoft 365 untuk perusahaan adalah lingkungan klien yang direkomendasikan untuk PC. Kami merekomendasikan Windows 11 atau Windows 10 karena Microsoft Entra dirancang untuk memberikan pengalaman semulus mungkin untuk ID Lokal dan Microsoft Entra. Windows 11 atau Windows 10 juga mencakup kemampuan keamanan tingkat lanjut yang dapat dikelola melalui Intune. Aplikasi Microsoft 365 untuk perusahaan mencakup versi terbaru aplikasi Office likasi. Ini menggunakan autentikasi modern, yang lebih aman dan persyaratan untuk Akses Bersyarat. Aplikasi ini juga mencakup alat kepatuhan dan keamanan yang ditingkatkan.

Menerapkan kemampuan ini di tiga tingkat perlindungan

Tabel berikut ini meringkas rekomendasi kami untuk menggunakan kemampuan ini di tiga tingkat perlindungan.

Mekanisme perlindungan Titik awal Perusahaan Keamanan khusus
Menerapkan MFA Pada risiko masuk sedang atau di atasnya Pada risiko masuk rendah atau di atasnya Pada semua sesi baru
Menerapkan perubahan kata sandi Untuk pengguna berisiko tinggi Untuk pengguna berisiko tinggi Untuk pengguna berisiko tinggi
Menerapkan perlindungan aplikasi Intune Ya Ya Ya
Menerapkan pendaftaran Intune untuk perangkat milik organisasi Memerlukan PC yang sesuai atau bergabung dengan domain, tetapi izinkan ponsel dan tablet bring-your-own devices (BYOD) Memerlukan perangkat yang sesuai atau bergabung dengan domain Memerlukan perangkat yang sesuai atau bergabung dengan domain

Kepemilikan perangkat

Tabel di atas mencerminkan tren bagi banyak organisasi untuk mendukung campuran perangkat milik organisasi, dan PRIBADI atau BYOD untuk memungkinkan produktivitas seluler di seluruh tenaga kerja. Kebijakan perlindungan aplikasi Intune memastikan bahwa email dilindungi dari penyelundupan aplikasi seluler Outlook dan aplikasi seluler Office lainnya, di perangkat milik organisasi dan BYOD.

Sebaiknya perangkat milik organisasi dikelola oleh Intune atau bergabung dengan domain untuk menerapkan perlindungan dan kontrol tambahan. Bergantung pada sensitivitas data, organisasi Anda mungkin memilih untuk tidak mengizinkan BYOD untuk populasi pengguna tertentu atau aplikasi tertentu.

Penyebaran dan aplikasi Anda

Sebelum mengonfigurasi dan meluncurkan identitas Zero Trust dan konfigurasi akses perangkat untuk aplikasi terintegrasi Microsoft Entra, Anda harus:

  • Tentukan aplikasi mana yang digunakan di organisasi yang ingin Anda lindungi.

  • Analisis daftar aplikasi ini untuk menentukan serangkaian kebijakan yang memberikan tingkat perlindungan yang sesuai.

    Anda tidak boleh membuat serangkaian kebijakan terpisah masing-masing untuk aplikasi karena manajemennya dapat menjadi rumit. Microsoft menyarankan agar Anda mengelompokkan aplikasi yang memiliki persyaratan perlindungan yang sama untuk pengguna yang sama.

    Misalnya, memiliki satu set kebijakan yang menyertakan semua aplikasi Microsoft 365 untuk semua pengguna untuk perlindungan titik awal. Memiliki serangkaian kebijakan kedua untuk semua aplikasi sensitif, seperti yang digunakan oleh sumber daya manusia atau departemen keuangan, dan menerapkannya ke grup tersebut.

Setelah Anda menentukan serangkaian kebijakan untuk aplikasi yang ingin Anda amankan, luncurkan kebijakan kepada pengguna secara bertahap, mengatasi masalah di sepanjang jalan. Contohnya:

  1. Konfigurasikan kebijakan yang ingin Anda gunakan untuk semua aplikasi Microsoft 365.
  2. Tambahkan just Exchange dengan perubahan yang diperlukan, luncurkan kebijakan kepada pengguna, dan atasi masalah apa pun.
  3. Tambahkan Teams dengan perubahan yang diperlukan, luncurkan kebijakan kepada pengguna, dan atasi masalah apa pun.
  4. Tambahkan SharePoint dengan perubahan yang diperlukan, meluncurkan kebijakan kepada pengguna, dan mengatasi masalah apa pun.
  5. Lanjutkan menambahkan aplikasi lainnya hingga Anda dapat dengan yakin mengonfigurasi kebijakan titik awal ini untuk menyertakan semua aplikasi Microsoft 365.

Demikian pula, untuk aplikasi sensitif Anda, buat serangkaian kebijakan dan tambahkan satu aplikasi sekaligus. Atasi masalah apa pun hingga semuanya disertakan dalam kumpulan kebijakan aplikasi sensitif.

Microsoft menyarankan agar Anda tidak membuat kumpulan kebijakan yang berlaku untuk semua aplikasi karena dapat mengakibatkan beberapa konfigurasi yang tidak diinginkan. Misalnya, kebijakan yang memblokir semua aplikasi dapat mengunci admin Anda dari pusat admin Microsoft Entra dan pengecualian tidak dapat dikonfigurasi untuk titik akhir penting seperti Microsoft Graph.

Langkah-langkah untuk mengonfigurasi identitas Zero Trust dan akses perangkat

Langkah-langkah untuk mengonfigurasi identitas Zero Trust dan akses perangkat

  1. Konfigurasikan fitur identitas prasyarat dan pengaturannya.
  2. Mengonfigurasi identitas umum dan mengakses kebijakan Akses Bersyar.
  3. Mengonfigurasi kebijakan Akses Bersyar untuk pengguna tamu dan eksternal.
  4. Konfigurasikan kebijakan Akses Bersyar untuk aplikasi cloud Microsoft 365—seperti Microsoft Teams, Exchange, dan SharePoint—dan kebijakan Aplikasi Microsoft Defender untuk Cloud.

Setelah Anda mengonfigurasi identitas Zero Trust dan akses perangkat, lihat panduan penyebaran fitur Microsoft Entra untuk daftar periksa bertahap fitur tambahan yang perlu dipertimbangkan dan Tata Kelola ID Microsoft Entra untuk melindungi, memantau, dan mengaudit akses.

Langkah selanjutnya

Pekerjaan prasyarat untuk menerapkan identitas Zero Trust dan kebijakan akses perangkat