Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Strategi dan Peta Strategi Zero Trust DoD menguraikan jalur bagi komponen Departemen Pertahanan dan mitra Defense Industrial Base (DIB) untuk mengadopsi kerangka kerja keamanan cyber baru berdasarkan prinsip-prinsip Zero Trust. Zero Trust menghilangkan perimeter tradisional dan asumsi kepercayaan, memungkinkan arsitektur yang lebih efisien yang meningkatkan keamanan, pengalaman pengguna, dan performa misi.
Panduan ini memberikan rekomendasi untuk 152 aktivitas Zero Trust dalam Rencana Jalan Pelaksanaan Kemampuan DoD Zero Trust. Bagian sesuai dengan tujuh pilar model DoD Zero Trust.
Gunakan tautan berikut untuk masuk ke bagian panduan.
- Pendahuluan
- Pengguna
- Perangkat
- Aplikasi dan beban kerja
- Data
- Jaringan
- Otomatisasi dan orkestrasi
- Visibilitas dan analitik
1 Pengguna
Bagian ini memiliki panduan dan rekomendasi Microsoft untuk aktivitas Zero Trust DoD di pilar pengguna. Untuk informasi lebih lanjut, lihat Mengamankan Identitas dengan Zero Trust.
1.1 Inventaris pengguna
Microsoft Entra ID adalah platform identitas yang diperlukan untuk layanan cloud Microsoft. Microsoft Entra ID adalah penyedia identitas (IdP) dan platform tata kelola untuk mendukung identitas multicloud dan hibrid. Anda dapat menggunakan Microsoft Entra ID untuk mengatur akses ke cloud non-Microsoft seperti Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) dan banyak lagi. Microsoft Entra ID menggunakan protokol identitas standar, menjadikannya IdP yang cocok untuk perangkat lunak sebagai layanan (SaaS), aplikasi web modern, aplikasi desktop dan seluler, juga aplikasi lokal warisan.
Gunakan Microsoft Entra ID untuk memverifikasi pengguna dan entitas nonperson (NPE), terus mengotorisasi akses ke aplikasi dan data, mengatur identitas dan hak mereka mengikuti prinsip hak istimewa paling sedikit, dan melakukan administrasi just-in-time (JIT).
| Deskripsi dan Hasil Aktivitas DoD | Panduan dan rekomendasi Microsoft |
|---|---|
| 1.1.1 Inventaris Pengguna Organisasi DoD membuat dan memperbarui inventaris pengguna secara manual jika diperlukan, mempersiapkan pendekatan otomatis di tahap selanjutnya. Akun yang dikelola secara terpusat oleh IdP/ICAM dan secara lokal pada sistem akan diidentifikasi dan diinventarisasi. Akun istimewa akan diidentifikasi untuk audit di masa mendatang dan akun pengguna standar dan istimewa lokal ke aplikasi dan sistem akan diidentifikasi untuk migrasi dan/atau penonaktifan di masa mendatang. Hasil:- Pengguna Reguler Terkelola yang Diidentifikasi- Pengguna Istimewa Terkelola yang Diidentifikasi- Aplikasi yang diidentifikasi menggunakan manajemen akun pengguna mereka sendiri untuk akun non-administratif dan administratif |
Microsoft Entra ID Identifikasi pengguna reguler dan istimewa di organisasi Anda menggunakan pusat admin Microsoft Entra atau Microsoft Graph API. Aktivitas pengguna dicatat dalam log masuk dan audit Microsoft Entra ID, yang dapat diintegrasikan ke sistem pemantauan peristiwa keamanan informasi (SIEM) seperti Microsoft Sentinel. - Adopt Microsoft Entra ID - Microsoft Graph API: Daftar pengguna - Integrasi log aktivitas Microsoft Entra Peran Microsoft Entra dan Azure Pengguna istimewa adalah identitas yang ditetapkan untuk peran Microsoft Entra ID, peran Azure, atau grup keamanan Microsoft Entra ID yang memberikan akses istimewa ke Microsoft 365 atau aplikasi lainnya. Sebaiknya gunakan pengguna cloud saja untuk akses istimewa. - Peran Bawaan Microsoft Defender for Cloud Apps Gunakan Defender for Cloud Apps untuk menemukan aplikasi yang tidak disetujui menggunakan penyimpanan identitas mereka sendiri. - Temukan dan kelola bayangan TI Microsoft Defender untuk Identitas Deploy dan konfigurasikan sensor Microsoft Defender untuk Identitas untuk membuat inventaris aset identitas untuk lingkungan Active Directory Domain Services lokal. - Overview Microsoft Defender untuk Identitas - Deploy Microsoft Defender untuk Identitas - Investigasi aset |
1.2 Akses pengguna bersyarat
Microsoft Entra ID membantu organisasi Anda menerapkan akses pengguna yang bersyarat dan dinamis. Fitur yang mendukung kemampuan ini termasuk Microsoft Entra Akses Bersyarat, Tata Kelola Microsoft Entra ID, peran kustom, grup keamanan dinamis, peran aplikasi, dan atribut keamanan kustom.
Akses Bersyarat adalah mesin kebijakan Zero Trust real-time di Microsoft Entra ID. Kebijakan Akses Bersyarat menggunakan sinyal keamanan dari pengguna, perangkat, aplikasi, sesi, risiko, dan lainnya untuk menerapkan otorisasi dinamis adaptif untuk sumber daya yang dilindungi oleh Microsoft Entra ID.
| Deskripsi dan Hasil Aktivitas DoD | Panduan dan rekomendasi Microsoft |
|---|---|
| 1.2.1 Menerapkan Izin Berbasis Aplikasi per PerusahaanPerusahaan DoD yang bekerja dengan Organisasi menetapkan sekumpulan atribut pengguna dasar untuk autentikasi dan otorisasi. Ini terintegrasi dengan proses aktivitas "Enterprise Identity Life-Cycle Management Pt1" untuk standar perusahaan yang lengkap. Solusi Enterprise Identity, Credential, and Access Management (ICAM) diaktifkan untuk fungsionalitas layanan mandiri untuk menambahkan/memperbarui atribut dalam solusi. Sisa aktivitas Privileged Access Management (PAM) sepenuhnya dimigrasikan ke solusi PAM. Hasil:- Peran/atribut perusahaan yang diperlukan untuk otorisasi pengguna ke fungsi aplikasi dan/atau data telah terdaftar di ICAM perusahaan- DoD Enterprise ICAM memiliki atribut layanan mandiri/layanan pendaftaran peran yang memungkinkan pemilik aplikasi untuk menambahkan atribut atau menggunakan atribut perusahaan yang ada- Aktivitas istimewa sepenuhnya dimigrasikan ke PAM |
Microsoft Entra Connect Buat identitas hibrid dengan Microsoft Entra Connect untuk mengisi penyewa Microsoft Entra ID dengan data atribut pengguna dari sistem direktori saat ini. - Microsoft Entra Connect Aplikasi Microsoft Entra Integrasikan aplikasi dengan Microsoft Entra ID. Mendesain model otorisasi dan izin aplikasi menggunakan grup keamanan, dan peran aplikasi. Untuk mendelegasikan manajemen aplikasi, tetapkan pemilik untuk mengelola konfigurasi aplikasi, juga daftarkan, dan tetapkan peran aplikasi. - Integrasikan aplikasi dengan Microsoft Entra ID - Grup keamanan dinamis - Peran aplikasi untuk aplikasi Tata Kelola Microsoft Entra ID Konfigurasi paket akses dalam pengelolaan pemberian hak sehingga pengguna dapat meminta akses ke peran aplikasi atau grup. - Tata kelola akses ke aplikasi - Mendelegasikan tata kelola paket akses Akses Bersyarat Konfigurasikan kebijakan Akses Bersyarat untuk otorisasi dinamis ke aplikasi dan layanan yang dilindungi oleh Microsoft Entra ID. Dalam kebijakan Akses Bersyarat, gunakan atribut keamanan kustom dan filter aplikasi untuk mencakup otorisasi atribut keamanan yang ditetapkan ke objek aplikasi, seperti sensitivitas. - Akses Bersyarat - Atribut Keamanan Kustom - Filter untuk Aplikasi Privileged Identity Management Gunakan Penemuan dan Wawasan PIM untuk mengidentifikasi peran dan grup istimewa. Gunakan PIM untuk mengelola hak istimewa yang ditemukan dan mengonversi penugasan pengguna dari permanen ke yang memenuhi syarat.Penemuan dan Wawasan PIM |
| 1.2.2 Aturan Berbasis Akses Dinamis Pt1Organisasi DoD menggunakan aturan dari aktivitas "Autentikasi Berkala" untuk membangun aturan dasar yang memungkinkan dan menonaktifkan hak istimewa secara dinamis. Akun pengguna berisiko tinggi menggunakan solusi PAM untuk beralih ke akses istimewa dinamis menggunakan akses Just-In-Time dan metode Just Enough-Administration. Hasil:- Akses ke fungsi dan/atau data aplikasi/layanan dibatasi untuk pengguna dengan atribut perusahaan yang sesuai- Semua aplikasi yang mungkin menggunakan izin JIT/JEA untuk pengguna administratif |
Microsoft Entra ID Gunakan fitur otorisasi dan tata kelola Microsoft Entra ID untuk membatasi akses aplikasi berdasarkan atribut pengguna, penetapan peran, risiko, dan detail sesi. Panduan Microsoft dalam 1.2.1. Privileged Identity Management Menggunakan PIM untuk peran Microsoft Entra dan Azure. Perluas PIM ke aplikasi Microsoft Entra ID lain dengan PIM for Groups. - PIM untuk peran Microsoft Entra - PIM untuk peran Azure - PIM untuk Grup |
| 1.2.3 Akses Dinamis Berbasis Aturan Pt2Organisasi DoD memperluas pengembangan aturan untuk pengambilan keputusan akses dinamis yang memperhitungkan risiko. Solusi yang digunakan untuk akses dinamis terintegrasi dengan fungsionalitas lintas pilar Pembelajaran Mesin dan Kecerdasan Buatan yang memungkinkan manajemen aturan otomatis. Hasil:- Komponen dan layanan sepenuhnya menggunakan aturan untuk memungkinkan akses dinamis ke aplikasi dan layanan- Teknologi yang digunakan untuk Akses Dinamis Berbasis Aturan mendukung integrasi dengan alat AI/ML |
Microsoft Entra ID Protection Microsoft Entra ID Protection menggunakan algoritma pembelajaran mesin (ML) untuk mendeteksi pengguna dan risiko masuk. Gunakan kondisi risiko dalam kebijakan Akses Bersyar untuk akses dinamis, berdasarkan tingkat risiko. - Microsoft Entra ID Protection - Deteksi Risiko - Kebijakan akses berbasis Risiko Microsoft Defender XDR Microsoft Defender XDR adalah solusi deteksi dan respons yang diperluas (XDR). Sebarkan Microsoft Defender untuk Endpoint dan Microsoft Defender untuk Cloud Apps dan konfigurasikan integrasi. - Integrasikan Defender untuk Endpoint dengan Defender untuk Cloud Apps |
| 1.2.4 Peran dan izin Tata Kelola Perusahaan Pt1Organisasi DoD menggabungkan atribut pengguna dan grup yang tersisa sesuai dengan solusi Identitas Perusahaan, Kredensial, dan Manajemen Akses (ICAM). Set atribut yang diperbarui digunakan untuk membuat peran universal bagi Organisasi untuk digunakan. Fungsi inti solusi Penyedia Identitas (IdP) dan Identitas, Kredensial, dan Manajemen Akses (ICAM) dimigrasikan ke layanan cloud dan/atau lingkungan yang memungkinkan peningkatan ketahanan dan performa. Hasil:- Atribut komponen dan repositori data peran yang terfederasi dengan ICAM perusahaan- IdP perusahaan berbasis cloud dapat digunakan oleh aplikasi cloud dan lokal- Serangkaian peran dan izin standar dibuat dan diselaraskan dengan atribut |
Microsoft Entra ID Microsoft Entra ID adalah platform identitas, kredensial, dan manajemen akses (IdP) multicloud yang dikelola secara terpusat. Buat identitas hibrid dengan Microsoft Entra Connect untuk mengisi data pengguna di direktori. - Microsoft Entra ID - Identitas Hibrid aplikasi Microsoft Entra Aplikasi terintegrasi dengan Microsoft Entra ID dan menggunakan kelompok keamanan dinamis, peran aplikasi, dan atribut keamanan kustom untuk mengatur akses ke aplikasi. - Mengelola aplikasi - Pengelolaan akses aplikasi proksi aplikasi Microsoft Entra Untuk menggunakan Microsoft Entra ID untuk aplikasi yang menggunakan protokol autentikasi lama, menyebarkan dan mengonfigurasi proksi aplikasi atau mengintegrasikan solusi mitra untuk akses hibrid aman (SHA). - SHA: Melindungi aplikasi lama |
| 1.2.5 Peran dan izin Tata Kelola Perusahaan Pt2Organisasi DoD memindahkan semua fungsi yang mungkin dari solusi Penyedia Identitas (IdP) dan Identitas, Kredensial, dan Manajemen Akses (ICAM) ke lingkungan cloud. Lingkungan Enklave/DDIL memiliki kemampuan lokal dalam mendukung fungsi yang terputus tetapi pada akhirnya dikelola oleh solusi ICAM (Identitas, Kredensial, dan Manajemen Akses) yang terpusat. Peran yang diperbarui sekarang diamanatkan untuk digunakan, dan pengecualian ditinjau berdasarkan pendekatan risiko. Hasil:- Sebagian besar komponen menggunakan fungsionalitas IdP cloud. Jika memungkinkan, IdP lokal diberhentikan- Izin dan peran diwajibkan untuk penggunaan saat mengevaluasi atribut | aplikasi Microsoft Entra Memigrasikan aplikasi modern dari Layanan Federasi Direktori Aktif (AD FS) ke Microsoft Entra ID lalu menonaktifkan infrastruktur AD FS. - Memigrasikan autentikasi aplikasi dari AD FS ke Microsoft Entra ID Microsoft Entra provisi aplikasi Memindahkan sisa proses provisi ICAM dan aplikasi dari sistem manajemen identitas lokal ke Microsoft Entra ID. - Provisi masuk yang didorong oleh API - Provisi aplikasi |
1.3 Autentikasi multifaktor
Microsoft Entra ID mendukung autentikasi berbasis sertifikat (CBA) termasuk DoD Common Access Cards (CAC) dan Personal Identity Verification (PIV) tanpa bergabung dengan IdP lain, untuk pengguna cloud dan hibrid (disinkronkan). Microsoft Entra ID mendukung beberapa metode autentikasi tanpa kata sandi yang tahan phishing dengan multifaktor, termasuk CBA, Windows Hello untuk Bisnis, kunci keamanan FIDO2, dan passkey.
Anda dapat membuat kebijakan Akses Bersyarat untuk menegakkan kekuatan autentikasi dan mengotorisasi akses secara dinamis berdasarkan kondisi pengguna, perangkat, dan lingkungan, termasuk tingkat risiko.
| Deskripsi dan Hasil Aktivitas DoD | Panduan dan rekomendasi Microsoft |
|---|---|
| 1.3.1 Organizational MFA/IDPOrganisasi DoD mendapatkan dan menerapkan solusi Penyedia Identitas (IdP) terpusat dan solusi Multi-Faktor (MFA). Solusi IdP dan MFA dapat digabungkan dalam satu aplikasi atau dipisahkan sesuai kebutuhan dengan asumsi integrasi otomatis didukung oleh kedua solusi. Integrasi IdP dan MFA yang mendukung kemampuan PKI Perusahaan memungkinkan pasangan kunci ditandatangani oleh otoritas sertifikat akar tepercaya. Aplikasi dan layanan Misi/Tugas-Penting memanfaatkan solusi IdP dan MFA untuk manajemen pengguna dan grup. Hasil: - Komponen menggunakan IdP dengan MFA untuk aplikasi/layanan penting- Komponen telah menerapkan Penyedia Identitas (IdP) yang memungkinkan autentikasi multifaktor DoD PKI- PKI Standar Organisasi untuk layanan penting |
Microsoft Entra metode autentikasi Konfigurasi Microsoft Entra CBA menggunakan DoD PKI. Atur tingkat perlindungan global ke autentikasi faktor tunggal. Buat aturan untuk setiap DoD yang mengeluarkan CA, atau Policy OID, untuk mengidentifikasi DoD PKI sebagai tingkat perlindungan autentikasi multifaktor. Setelah konfigurasi, pengguna masuk ke Microsoft Entra dengan DoD CAC. - Otentikasi di Microsoft Entra ID - Microsoft Entra CBA - Konfigurasi CBA Peluncuran bertahap Gunakan peluncuran bertahap untuk memigrasikan otentikasi pengguna dari layanan federasi lokal ke Microsoft Entra CBA. Lihat panduan Microsoft di 1.2.4. Kekuatan otentikasi Microsoft Entra Buat kekuatan otentikasi baru bernama DoD CAC. Pilih autentikasi berbasis sertifikat (multifaktor). Konfigurasikan opsi lanjutan dan pilih penerbit sertifikat untuk DoD PKI. - Kuatan autentikasi - Kuat autentikasi kustom Microsoft Intune Microsoft Entra mendukung dua metode untuk menggunakan sertifikat pada perangkat seluler: informasi masuk turunan (sertifikat di perangkat), dan kunci keamanan perangkat keras. Untuk menggunakan kredensial turunan DoD PKI pada perangkat seluler terkelola, gunakan Intune untuk menyebarkan DISA Purebred.Kredensial turunan CBA pada perangkat iOS CBA di perangkat Android |
| 1.3.2 Alternatif Flexible MFA Pt1Penyedia Identitas (IdP) Organisasi DoD mendukung metode alternatif autentikasi multifaktor yang mematuhi persyaratan Keamanan Cyber (misalnya, FIPS 140-2, FIPS 197, dll.). Token alternatif dapat digunakan untuk autentikasi berbasis aplikasi. Opsi Multifaktor mendukung kemampuan Biometrik dan dapat dikelola menggunakan pendekatan layanan mandiri. Jika memungkinkan, penyedia multi-faktor dipindahkan ke layanan awan alih-alih dihosting secara lokal. Hasil:- IdP menyediakan token alternatif untuk layanan mandiri pengguna- IdP menyediakan token alternatif MFA untuk aplikasi yang disetujui sesuai kebijakan |
Microsoft Entra metode autentikasi Konfigurasi metode autentikasi Microsoft Entra bagi pengguna untuk mendaftarkan kunci sandi (kunci keamanan FIDO2). Gunakan pengaturan opsional untuk mengonfigurasi kebijakan pembatasan kunci untuk kunci yang sesuai dengan FIPS 140-2. Masuk kunci keamanan tanpa kata sandi Metode AutentikasiKode Akses SementaraKonfigurasikan kode akses sementara (TAP) bagi pengguna untuk mendaftarkan autentikator tanpa sandi alternatif tanpa memerlukan CAC. Konfigurasikan TAPAkses BersyaratBuat kebijakan Akses Bersyarat untuk memerlukan kekuatan autentikasi: DoD CAC untuk pendaftaran info keamanan. Kebijakan ini mengharuskan CAC untuk mendaftarkan pengautentikasi lain seperti kunci keamanan FIDO2. Pendaftaran info keamanan. Lihat panduan Microsoft di 1.3.1. Windows Hello untuk Bisnis Gunakan Windows Hello untuk Bisnis dengan PIN atau gerakan biometrik untuk masuk Windows. Gunakan kebijakan manajemen perangkat untuk pendaftaran Windows Hello untuk Bisnis untuk perangkat Windows yang disediakan perusahaan. - Windows Hello untuk Bisnis |
| 1.3.3 Alternatif Flexible MFA Pt2Token alternatif menggunakan pola aktivitas pengguna dari aktivitas lintas pilar seperti "Pemantauan Aktivitas Pengguna (UAM) dan Analitik Perilaku Pengguna & Entitas (UEBA)" untuk membantu pengambilan keputusan akses (misalnya, tidak memberikan akses saat penyimpangan pola terjadi). Fungsionalitas ini juga diperluas ke token alternatif yang diaktifkan Biometrik. Hasil: - Pola Aktivitas Pengguna Diimplementasikan |
Microsoft Entra ID Protection Microsoft Entra ID Protection menggunakan pembelajaran mesin (ML) dan inteligensi ancaman untuk mendeteksi pengguna berisiko dan peristiwa masuk. Gunakan kondisi masuk dan risiko pengguna untuk menargetkan kebijakan Akses Bersyarat ke tingkat risiko. Mulailah dengan perlindungan dasar yang memerlukan MFA untuk login yang berisiko. - Microsoft Entra ID Protection Mengonfigurasikan dan mengaktifkan kebijakan risiko Akses Bersyarat: Sesi Akses Bersyarat: Grant Contoh kebijakan Akses Bersyarat berbasis risiko: Risiko masuk sedang - Memerlukan kekuatan autentikasi: MFA tahan phishing - Memerlukan perangkat yang sesuai - Frekuensi masuk: 1 jam Risiko masuk tinggi - Memerlukan kekuatan autentikasi: MFA tahan phishing - Memerlukan perangkat yang sesuai - Frekuensi masuk: setiap kali Risiko pengguna tinggi - Memerlukan kekuatan autentikasi: MFA tahan phishing - Memerlukan perangkat yang sesuai - Frekuensi masuk: tiap waktu Microsoft Sentinel Mengatur aturan analitik dan playbook Sentinel untuk membuat insiden bagi pemberitahuan Perlindungan ID Entra saat risiko pengguna tinggi. konektor - Microsoft Entra ID Protection untuk Sentinel Pengguna:batalSesiMasuk |
1.4 Manajemen akses istimewa
Tata Kelola Microsoft Entra ID memungkinkan fitur PAM termasuk administrasi just-in-time (JIT), pengelolaan pemberian hak, dan tinjauan akses berkala. Microsoft Entra Privileged Identity Management (PIM) membantu Anda menemukan bagaimana peran ditetapkan di organisasi Anda. Gunakan PIM untuk mengonversi penetapan peran permanen JIT, menyesuaikan penetapan peran dan persyaratan aktivasi, juga menjadwalkan tinjauan akses.
Akses Bersyarat memberlakukan kekuatan autentikasi, tingkat risiko, dan perangkat Privileged Access Workstation (PAW) yang sesuai untuk akses istimewa. Tindakan administratif dalam Microsoft Entra ID dicatat dalam log audit Microsoft Entra.
| Deskripsi dan Hasil Aktivitas DoD | Panduan dan rekomendasi Microsoft |
|---|---|
| 1.4.1 Menerapkan Sistem dan Memigrasikan Pengguna Istimewa Pt1 DoD Organizations mendapatkan dan menerapkan solusi Privileged Access Management (PAM) untuk mendukung semua kasus penggunaan hak istimewa penting. Titik integrasi Aplikasi/Layanan diidentifikasi untuk menentukan status dukungan untuk solusi PAM. Aplikasi/Layanan yang mudah diintegrasikan dengan solusi Manajemen Akses Istimewa (PAM) dialihkan ke penggunaan solusi ini dibandingkan dengan izin hak istimewa yang statis dan langsung. Hasil: - Alat Privilege Access Management (PAM) diimplementasikan - Aplikasi dan perangkat yang mendukung dan tidak mendukung alat PAM yang diidentifikasi - Aplikasi yang mendukung PAM kini menggunakan PAM untuk mengontrol akun darurat/bawaan |
Privileged Identity Management Sebarkan PIM untuk melindungi peran Microsoft Entra ID dan Azure. Gunakan PENEMUAN dan Wawasan PIM untuk mengidentifikasi peran dan grup istimewa. Gunakan PIM untuk mengelola hak istimewa yang ditemukan dan mengonversi penugasan pengguna dari permanen ke yang memenuhi syarat. Gambaran umum PIM Penemuan dan Wawasan untuk peran sumber daya - Azure Microsoft Intune Sebarkan PAW yang dikelola Intune untuk administrasi Microsoft Entra, Microsoft 365, dan Azure. Strategi akses istimewa Akses Bersyarat Gunakan kebijakan Akses Bersyarat untuk mewajibkan perangkat yang sesuai. Untuk memberlakukan PAW, gunakan filter perangkat di kontrol pemberian perangkat yang mematuhi Akses Bersyarat. Filter untuk perangkat |
| 1.4.2 Menerapkan Sistem dan Memigrasikan Pengguna Istimewa Pt2 Organisasi DoD menggunakan inventarisasi Aplikasi/Layanan yang didukung dan tidak didukung untuk integrasi dengan solusi privileged access management (PAM) untuk memperluas integrasi. PAM terintegrasi dengan Aplikasi/Layanan yang lebih menantang untuk memaksimalkan cakupan solusi PAM. Pengecualian dikelola dalam pendekatan metodis berbasis risiko dengan tujuan migrasi nonaktif dan/atau menonaktifkan Aplikasi/Layanan yang tidak mendukung solusi PAM. Hasil: - Aktivitas istimewa dimigrasikan ke PAM dan akses dikelola sepenuhnya |
Privileged Identity Management Gunakan grup akses hak istimewa dan PIM untuk Grup untuk memperluas akses just-in-time (JIT) di luar Microsoft Entra ID dan Azure. Gunakan grup keamanan di Microsoft 365, Microsoft Defender XDR, atau dipetakan ke klaim peran istimewa untuk aplikasi non-Microsoft yang terintegrasi dengan Microsoft Entra ID. Grup yang dapat ditetapkan peran Memasukkan grup ke PIM Penetapan pengguna dan grup ke aplikasi Conditional Access Gunakan tindakan yang dilindungi untuk menambahkan lapisan perlindungan lain saat administrator melakukan tindakan yang memerlukan izin yang sangat istimewa di Microsoft Entra ID. Misalnya, kelola kebijakan Akses Bersyarat dan pengaturan akses antar-penyewa. Tindakan yang dilindungi Buat kebijakan Akses Bersyarat untuk pengguna dengan keanggotaan peran Microsoft Entra aktif. Memerlukan kekuatan autentikasi: MFA tahan phishing dan perangkat yang sesuai. Gunakan filter perangkat untuk mensyaratkan PAW yang memenuhi syarat. Mewajibkan MFA untuk administrator Filter untuk perangkat |
| 1.4.3 Persetujuan Waktu Nyata & JIT/JEA Analytics Pt1 Identifikasi atribut yang diperlukan (Pengguna, Grup, dll.) diotomatisasi dan diintegrasikan ke dalam solusi Privileged Access Management (PAM). Permintaan akses hak istimewa dimigrasikan ke solusi PAM untuk persetujuan dan penolakan otomatis. Hasil: - Akun, aplikasi, perangkat, dan data kekhawatiran yang diidentifikasi (berisiko terbesar terhadap misi DoD) - Menggunakan alat PAM, menerapkan akses JIT/JEA ke akun berisiko tinggi - Permintaan akses istimewa diotomatisasi sebagaimana mewajibkan |
Privileged Identity Mangement Identifikasi peran berisiko tinggi di lingkungan Anda seperti peran Microsoft Entra, peran Azure seperti Pemilik dan Administrator Akses Pengguna, juga grup keamanan istimewa. Praktik terbaik untuk peran Peran istimewa Konfigurasikan pengaturan peran PIM sehingga memerlukan persetujuan. - Pengaturan peran sumber daya Azure - Pengaturan peran Microsoft Entra PIM untuk pengaturan Grup Tata Kelola Microsoft Entra ID Gunakan paket akses untuk mengelola grup keamanan untuk kelayakan peran. Mekanisme ini mengelola admin yang memenuhi syarat; ini menambahkan permintaan layanan mandiri, persetujuan, dan tinjauan akses untuk kelayakan peran. Pengelolaan pemberian hak Buat grup yang dapat ditetapkan untuk peran khusus dalam rangka mengonfigurasi permintaan dan persetujuan kelayakan. Buatlah katalog dengan nama Privileged Role Eligible Admins. Tambahkan grup yang dapat ditetapkan peran sebagai sumber daya. Grup yang dapat ditetapkan peran Membuat dan mengelola katalog sumber daya Buat paket akses untuk grup yang dapat ditetapkan peran di katalog Admin Yang Memenuhi Syarat Peran Istimewa. Anda dapat memerlukan persetujuan ketika pengguna meminta kelayakan dalam pengelolaan pemberian izin, memerlukan persetujuan setelah aktivasi di PIM, atau keduanya. Paket akses |
| 1.4.4 Persetujuan Waktu Nyata & JIT/JEA Analytics Pt2 Organisasi DoD mengintegrasikan solusi User & Entity Behavior Analytics (UEBA) dan User Activity Monitoring (UAM) dengan solusi Privileged Access Management (PAM) yang menyediakan analitik pola pengguna untuk pengambilan keputusan. Hasil: - UEBA atau sistem analitik serupa yang terintegrasi dengan alat PAM untuk persetujuan akun JIT/JEA |
Akses Bersyarat Tentukan konteks autentikasi untuk akses istimewa. Buat satu atau lebih kebijakan Akses Bersyarat yang menargetkan konteks autentikasi akses istimewa. Gunakan kondisi risiko dalam kebijakan dan terapkan kontrol hibah dan sesi untuk akses istimewa. Sebaiknya Anda memerlukan kekuatan autentikasi yang kuat: MFA yang tahan terhadap phishing, dan stasiun kerja akses istimewa yang mematuhi standar. Mengonfigurasi konteks autentikasi Lihat Panduan Microsoft di 1.4.1. Untuk memblokir akses istimewa saat risiko masuk tinggi, buat lebih banyak kebijakan Akses Bersyarat yang menargetkan konteks autentikasi akses istimewa dengan kondisi untuk risiko masuk tinggi. Ulangi langkah ini dengan kebijakan untuk risiko pengguna yang tinggi. Penyebaran kebijakan Privileged Identity Management Konfigurasikan pengaturan peran PIM untuk memerlukan konteks autentikasi. Pengaturan ini memberlakukan kebijakan Akses Bersyarat untuk konteks autentikasi yang dipilih saat peran diaktifkan. Memerlukan konteks autentikasi |
1.5 Federasi identitas dan kredensial pengguna
Microsoft Entra ID memainkan peran utama dalam manajemen siklus hidup identitas (ILM). Penyewa Microsoft Entra adalah layanan direktori cloud hyperscale, solusi identitas, manajemen kredensial dan akses (ICAM), dan penyedia identitas (IdP). Ini mendukung provisi antardirektori dan provisi aplikasi untuk mengelola siklus hidup pengguna internal di Microsoft Entra ID dan aplikasi lainnya.
fitur Tata Kelola Microsoft Entra ID membantu Anda mengelola siklus hidup akses untuk pemberian hak seperti aplikasi, Microsoft Teams, dan keanggotaan grup keamanan. Manajemen hak akses juga dapat digunakan untuk menyambut dan mengelola serta mengatur tamu eksternal. Anda dapat memblokir akses dan menghapus objek pengguna tamu saat paket akses terakhir mereka dihapus. Untuk memahami bagaimana organisasi Anda dapat memigrasikan fungsi ILM ke Microsoft Entra ID, lihat Road ke cloud.
| Deskripsi dan Hasil Aktivitas DoD | Panduan dan rekomendasi Microsoft |
|---|---|
| 1.5.1 Manajemen Siklus Hidup Identitas Organisasi Organisasi DoD menetapkan proses untuk manajemen siklus hidup pengguna baik istimewa maupun standar. Dengan memanfaatkan Organizational Identity Provider (IdP), proses tersebut diimplementasikan dan diikuti oleh jumlah pengguna maksimum. Setiap pengguna yang tidak mengikuti proses standar disetujui melalui pengecualian berbasis risiko dan dievaluasi secara teratur untuk penonaktifan. Hasil: - Proses Siklus Hidup Identitas Standar |
Microsoft Entra ID Standardize siklus hidup akun untuk identitas, termasuk pengguna, administrator, pengguna eksternal, dan identitas aplikasi (Perwakilan Layanan). - Manajemen siklus hidup identitas - Operasi manajemen identitas dan akses Tata Kelola Microsoft Entra ID Mendirikan tinjauan akses reguler untuk pengguna dan aplikasi yang memiliki hak istimewa di tenant. - Tinjauan akses |
| 1.5.2 Manajemen Siklus Hidup Identitas Perusahaan Pt1DoD Enterprise bekerja sama dengan Organisasi untuk meninjau dan menyelaraskan Proses, kebijakan, dan standar Siklus Hidup Identitas yang ada. Kebijakan dan proses pendukung yang disepakati yang diselesaikan dikembangkan dan diikuti oleh Organisasi DoD. Dengan memanfaatkan solusi Penyedia Identitas (IdP) dan Manajemen Identitas &Akses (IdAM) terpusat atau federasi, Organisasi DoD menerapkan proses Manajemen Siklus Hidup Perusahaan untuk jumlah maksimum identitas, grup, dan izin. Pengecualian untuk kebijakan dikelola dalam pendekatan metodis berbasis risiko. Hasil:- Proses Siklus Hidup Identitas Otomatis - Terintegrasi dengan proses dan alat Enterprise ICAM |
Microsoft Entra ID Jika organisasi Anda menggunakan Direktori Aktif, menyinkronkan pengguna ke Microsoft Entra ID dengan Microsoft Entra Connect Sync atau Microsoft Entra Connect Cloud Sync. Catatan: Jangan sinkronkan akun Direktori Aktif istimewa, atau tetapkan peran cloud istimewa, pada akun yang disinkronkan. - Connect Sync - Cloud Sync - Lindungi Microsoft 365 dari serangan on-premises - Kurangi area permukaan serangan Privileged Identity Management Mengelola akses administratif dengan PIM. Menetapkan jadwal tinjauan akses untuk peran istimewa Microsoft Entra dan Azure. - Akun istimewa metode autentikasi Microsoft Entra Gunakan metode MFA resisten phishing berbasis cloud. Siapkan autentikasi berbasis sertifikat (CBA) Microsoft Entra dengan DoD Common Access Cards (CAC) untuk mendaftarkan kredensial tanpa kata sandi lainnya. Melihat panduan Microsoft di 1.3.2. |
| 1.5.3 Manajemen Siklus Hidup Identitas Perusahaan Pt2Organisasi DoD lebih lanjut mengintegrasikan fungsi otomatisasi penting solusi Penyedia Identitas (IdP) dan Identity, Credential and Access Management (ICAM) setelah proses Manajemen Siklus Hidup Perusahaan untuk mengaktifkan otomatisasi dan analitik Perusahaan. Proses utama Manajemen Siklus Hidup Identitas diintegrasikan ke dalam solusi Enterprise ICAM berbasis cloud. Hasil:- Integrasi dengan fungsi IDM/IDP Penting- Fungsi ILM utama berbasis cloud |
Tata Kelola Microsoft Entra ID Gunakan pengelolaan pemberian hak dan tinjauan akses untuk mengelola siklus hidup akses pengguna organisasi Anda dan siklus hidup identitas tamu eksternal. - Penkelolaan pemberian hak - Tata kelola akses pengguna eksternal Identitas terkelola Gunakan identitas terkelola untuk sumber daya Azure dan Workload ID federation untuk mengurangi risiko mengelola kredensial aplikasi. - Identitas terkelola - Federasi identitas beban kerja Kebijakan manajemen aplikasi Konfigurasikan kebijakan manajemen aplikasi untuk mengontrol jenis kredensial yang ditambahkan ke aplikasi di penyewa Anda. Gunakan pembatasan passwordAddition untuk mewajibkan kredensial sertifikat untuk aplikasi.Metode API aplikasiKredensial sertifikat autentikasi aplikasi |
| 1.5.4 Manajemen Siklus Hidup Identitas Perusahaan Pt3Organisasi DoD mengintegrasikan proses Manajemen Siklus Hidup Identitas yang tersisa dengan solusi Identitas Perusahaan, Kredensial, dan Manajemen Akses. Lingkungan Enklave/DDIL, selama masih diizinkan untuk beroperasi, terintegrasi dengan Enterprise ICAM dengan menggunakan konektor lokal ke lingkungan cloud. Hasil:- Semua fungsi ILM dipindahkan ke cloud sesuai kebutuhan- Integrasi dengan semua fungsi IDM/IDP |
Microsoft Entra provisi aplikasi Gunakan provisi aplikasi Microsoft Entra untuk menyinkronkan identitas ke aplikasi SCIM, SQL, LDAP, PowerShell, dan layanan web. Gunakan aplikasi berbasis API untuk memprovisikan pengguna menjadi instansi Direktori Aktif. - Memprovisi aplikasi - Penyediaan aplikasi di lokasi - Konfigurasi aplikasi provisi berbasis API |
1.6 Perilaku, ID kontekstual, dan biometrik
Microsoft Entra ID Protection membantu Anda mendeteksi, memulihkan, dan mencegah ancaman identitas dengan menggunakan pembelajaran mesin (ML) dan inteligensi ancaman. Fitur ini mendeteksi risiko secara real-time selama masuk pengguna dan risiko offline yang dihitung dari waktu ke waktu. Risiko termasuk anomali token, properti masuk yang tidak biasa, perjalanan yang tidak mungkin, perilaku pengguna yang mencurigakan, dan banyak lagi.
Perlindungan identitas terintegrasi dengan Microsoft Defender XDR untuk menunjukkan risiko identitas yang terdeteksi oleh komponen lain dalam keluarga produk Microsoft Defender.
Untuk mempelajari lebih lanjut, lihat Apa itu deteksi risiko?
| Deskripsi dan Hasil Aktivitas DoD | Panduan dan rekomendasi Microsoft |
|---|---|
|
Microsoft Entra ID Protection Deploy Microsoft Entra ID Protection untuk mendapatkan penahanan risiko real time dan offline bagi pengguna dan peristiwa masuk. Memperluas deteksi risiko identitas ke identitas aplikasi (Perwakilan Layanan) menggunakan Microsoft Entra Workload ID, edisi Premium Identitas Beban Kerja. - Mengamankan identitas beban kerja - Kebijakan berbasis Risiko untuk identitas beban kerja Lihat panduan Microsoft di 1.3.3. Microsoft Defender for Cloud Apps Terapkan Defender for Cloud Apps dan konfigurasikan integrasi dengan Microsoft Defender untuk Titik Akhir dan solusi eksternal. Mengonfigurasi kebijakan deteksi anomali di Defender for Cloud Apps. - Integrasikan Defender for Endpoint dengan Defender for Cloud Apps - Integrasi solusi eksternal - Deteksi aktivitas pengguna yang mencurigakan dengan UEBA Microsoft Defender untuk Titik Akhir Memasukkan titik akhir ke Defender for Endpoint. Konfigurasikan integrasi antara Defender for Endpoint dan Microsoft Intune. - Defender untuk Titik Akhir dan solusi lainnya Microsoft Intune Konfigurasi integrasi dengan Defender for Endpoint dan gunakan skor risiko mesin Defender for Endpoint dalam kebijakan kepatuhan perangkat Anda. - Defender untuk aturan Titik Akhir Akses Bersyarat Buat kebijakan Akses Bersyarat untuk memerlukan perangkat yang sesuai. Sebelum akses diberikan, kontrol memerlukan perangkat yang ditandai sebagai sesuai dalam Microsoft Intune. Integrasi antara Defender for Endpoint dan Intune memberikan gambaran keseluruhan tentang kesehatan perangkat dan tingkat risiko berdasarkan status. - Kebijakan kepatuhan untuk menetapkan aturan untuk perangkat yang dikelola oleh Intune Microsoft Sentinel Koneksikan sumber data ke Sentinel dan aktifkan UEBA untuk log audit, log masuk, aktivitas Azure, dan kejadian keamanan. - Aktifkan UEBA - Ancaman tingkat lanjut dengan UEBA |
|
| 1.6.2 Pemantauan Aktivitas Pengguna Pt1Organisasi DoD mengintegrasikan solusi User & Entity Behavior Analytics (UEBA) dan User Activity Monitoring (UAM) dengan Organizational Identity Providers (IdP) untuk visibilitas yang diperluas sesuai kebutuhan. Analitik dan data yang dihasilkan oleh UEBA dan UAM untuk aplikasi dan layanan penting terintegrasi dengan solusi Just-in-Time dan Just-Enough-Access yang meningkatkan pengambilan keputusan lebih lanjut. Hasil: - UEBA terintegrasi dengan IDP Org yang sesuai- UEBA terintegrasi dengan JIT/JEA untuk layanan penting |
Privileged Identity Management Terapkan PIM dan integrasikan peran istimewa. Tentukan konteks autentikasi untuk akses istimewa. Gunakan kondisi risiko dalam konteks autentikasi dan konfigurasikan pengaturan peran PIM untuk memerlukan konteks autentikasi saat aktivasi. Lihat panduan Microsoft di 1.4.4. Microsoft Sentinel Hubungkan sumber data ke Sentinel dan aktifkan UEBA untuk log audit, log masuk, aktivitas Azure, dan peristiwa keamanan. - Aktifkan UEBA - Ancaman lanjutan dengan UEBA Microsoft Defender for Cloud Apps Monitor dan kendalikan sesi ke aplikasi cloud dengan Defender for Cloud Apps. - Lindungi aplikasi dengan App Control - Kebijakan sesi - Investigasi pengguna berisiko |
| 1.6.3 Pemantauan Aktivitas Pengguna Pt2Organisasi DoD melanjutkan penggunaan analitik dari solusi Analitik Perilaku Pengguna & Perilaku Entitas (UEBA) dan Pemantauan Aktivitas Pengguna (UAM) dengan menggunakan data yang dihasilkan untuk semua aplikasi dan layanan yang dipantau saat pengambilan keputusan terjadi dalam solusi Just-in-Time dan Just-Enough-Access. Hasil:- Pemantauan UEBA/Entitas terintegrasi dengan JIT/JEA untuk semua layanan |
Privileged Identity Management Menggunakan PIM untuk Grup untuk memperluas akses just-in-time (JIT) ke aplikasi menggunakan peran aplikasi. Tetapkan grup yang dikelola oleh PIM ke peran khusus aplikasi.PIM untuk GrupTambah peran aplikasi ke dalam aplikasi |
1.7 Akses dengan hak istimewa paling sedikit
Akses ke aplikasi yang menggunakan Microsoft Entra ID ditolak secara default. Tata Kelola Microsoft Entra ID fitur seperti pengelolaan pemberian hak dan tinjauan akses memastikan akses terikat waktu, selaras dengan prinsip hak istimewa paling sedikit, dan memberlakukan kontrol untuk pemisahan tugas.
Gunakan peran bawaan Microsoft Entra untuk menetapkan izin hak istimewa paling sedikit berdasarkan tugas. Unit Administratif memungkinkan Anda menetapkan izin berbasis sumber daya untuk pengguna dan perangkat di Microsoft Entra ID.
| Deskripsi dan Hasil Aktivitas DoD | Panduan dan rekomendasi Microsoft |
|---|---|
| 1.7.1 Kebijakan Tolak Pengguna Secara Default Organisasi DoD mengaudit penggunaan pengguna internal dan grup untuk hak akses dan mencabut hak akses jika memungkinkan. Aktivitas ini mencakup pencabutan dan/atau penonaktifan izin berlebih dan akses untuk identitas dan grup berbasis aplikasi/layanan. Di mana memungkinkan, pengguna dengan hak istimewa statis dinonaktifkan atau izinnya dikurangi untuk mempersiapkan akses berbasis aturan/dinamis di masa mendatang. Hasil:- Aplikasi yang diperbarui untuk menolak secara default ke fungsi/data yang memerlukan peran/atribut tertentu untuk akses- Pengurangan tingkat izin default diterapkan- Aplikasi/layanan telah meninjau/mengaudit semua pengguna istimewa dan menghapus pengguna yang tidak memerlukan tingkat akses tersebut |
Microsoft Entra ID Review dan batasi izin pengguna dan tamu default di Microsoft Entra ID. Batasi persetujuan pengguna untuk aplikasi dan tinjau persetujuan saat ini di organisasi Anda. - Izin pengguna default - Batasi izin persetujuan pengguna aplikasi Microsoft Entra Akses ke aplikasi Microsoft Entra ditolak secara bawaan. Microsoft Entra ID memverifikasi hak dan menerapkan kebijakan Akses Bersyarat untuk mengotorisasi akses sumber daya. - Integrasikan aplikasi - Integrasi Aplikasi Tata Kelola Microsoft Entra ID Gunakan fitur tata kelola identitas manajemen pemberian hak untuk mengelola identitas dan siklus hidup akses. Temukan alur kerja permintaan akses otomatis, penetapan akses, tinjauan, dan kedaluwarsa. - Pengelolaan hak akses - Tinjauan akses Peran kustom Gunakan peran bawaan Microsoft Entra ID untuk manajemen sumber daya. Namun, jika peran tidak memenuhi kebutuhan organisasi, atau untuk meminimalkan hak istimewa bagi pengguna administratif Anda, buat peran kustom. Memberikan peran kustom izin terperinci untuk mengelola pengguna, grup, perangkat, aplikasi, dan lainnya. - Peran kustom Unit administrasi Unit administrasi adalah sumber daya Microsoft Entra yang mengandung sumber daya Microsoft Entra lainnya, seperti pengguna, grup, atau perangkat. Gunakan unit administratif untuk mendelegasikan izin ke subset administrator, berdasarkan struktur organisasi.Unit administratifUnit administratif dengan manajemen terbatasBuat atau hapus unit administratifManajemen Identitas dengan Hak IstimewaGunakan Penemuan dan Wawasan PIM untuk mengelola hak istimewa dan mengurangi jumlah administrator. Konfigurasikan pemberitahuan PIM saat peran istimewa ditetapkan di luar PIM. - Akses istimewa untuk akses hibrid dan cloud - Peringatan keamanan untuk peran Microsoft Entra - Peringatan keamanan untuk peran Azure Pemberitahuan keamanan untuk Microsoft Defender for Cloud Apps Tinjau izin yang diberikan ke aplikasi. id-ID: Menyelidiki aplikasi OAuth berisiko di Defender for Cloud Apps. - Tinjau izin yang diberikan kepada aplikasi - Selidiki aplikasi OAuth berisiko Microsoft Sentinel Menggunakan PIM untuk menetapkan peran Azure untuk akses Sentinel dan secara berkala mengaudit kueri dan aktivitas. - Kueri dan aktivitas Audit |
1.8 Autentikasi berkelanjutan
Microsoft Entra ID menggunakan token berumur pendek dan panjang untuk mengautentikasi pengguna secara berkala ke aplikasi dan layanan yang Microsoft Entra lindungi. Microsoft Entra ID memiliki mekanisme evaluasi akses berkelanjutan (CAE) untuk meningkatkan protokol standar. Mesin kebijakan merespons perubahan lingkungan dalam waktu hampir real-time dan memberlakukan kebijakan akses adaptif.
| Deskripsi dan Hasil Aktivitas DoD | Panduan dan rekomendasi Microsoft |
|---|---|
| 1.8.1 Autentikasi Tunggal Organisasi DoD menggunakan proses autentikasi dasar untuk mengautentikasi pengguna dan entitas non-pribadi setidaknya sekali per sesi (misalnya, log masuk). Pentingnya adalah bahwa pengguna yang diautentikasi dikelola melalui aktivitas paralel "Organizational MFA/IDP" menggunakan Organizational Identity Provider (IdP) daripada menggunakan identitas dan grup berbasis aplikasi/layanan. Hasil:- Autentikasi Diterapkan di seluruh aplikasi per sesi |
Microsoft Entra ID Microsoft Entra ID adalah IdP (IdP) terpusat yang memfasilitasi akses menyeluruh (SSO) antara aplikasi cloud Microsoft dan aplikasi yang digunakan organisasi Anda. - Microsoft Entra ID Single sign-on Metode autentikasi akses menyeluruh (SSO) memungkinkan pengguna untuk menggunakan kredensial Microsoft Entra ID mereka untuk mengautentikasi aplikasi dan layanan. Aplikasi dapat berupa SaaS, aplikasi lini bisnis kustom, atau aplikasi lokal. Gunakan kemampuan autentikasi dan Zero Trust Microsoft Entra untuk mengaktifkan akses yang aman dan mudah ke aplikasi. - Apa itu SSO? - Integrasi Microsoft Entra dengan protokol autentikasi Penyediaan aplikasi Microsoft Entra Penyediaan aplikasi Microsoft Entra membuat, memperbarui, dan menghapus pengguna, peran, dan grup dalam aplikasi SaaS, serta aplikasi kustom atau lokal. Gunakan Microsoft Entra ID sebagai sumber identitas terpusat untuk aplikasi. Meminimalkan identitas aplikasi atau layanan dan pengguna. - Provisioning otomatis - Provisioning aplikasi Microsoft Entra ID Workload Service Principals dan identitas terkelola adalah identitas entitas non-person atau NPE dalam Microsoft Entra. Gunakan Service Principals untuk akses otomatis (non-interaktif) ke API yang dilindungi oleh Microsoft Entra. - Identitas beban kerja - Service Principals di Microsoft Entra ID |
| 1.8.2 Autentikasi BerkalaOrganisasi DoD memungkinkan persyaratan autentikasi berkala untuk aplikasi dan layanan. Secara tradisional ini didasarkan pada durasi dan/atau batas waktu durasi tetapi analitik berbasis periode lainnya dapat digunakan untuk mengamanatkan autentikasi ulang sesi pengguna. Hasil:- Autentikasi yang diterapkan beberapa kali per sesi berdasarkan atribut keamanan | aplikasi Microsoft Entra aplikasi Microsoft Entra secara otomatis mengelola refresh sesi tanpa interaksi pengguna. Lihat panduan Microsoft di 1.8.1. Akses Bersyarat Konfigurasi kontrol sesi frekuensi sign-in di Akses Bersyarat untuk mengautentikasi ulang sesi pengguna. Gunakan fitur saat proses masuk berisiko, atau perangkat pengguna tidak terkelola atau tidak sesuai.Konfigurasi manajemen sesi autentikasikebijakan akses di Defender untuk Aplikasi Cloud |
| 1.8.3 Autentikasi Berkelanjutan Pt1Aplikasi/layanan Organisasi DoD menggunakan beberapa autentikasi sesi berdasarkan atribut keamanan dan akses yang diminta. Perubahan hak istimewa dan permintaan transaksi asosiasi memerlukan tingkat autentikasi tambahan seperti mengirimkan notifikasi Autentikasi Multi Faktor (MFA) kepada pengguna. Hasil:- Autentikasi transaksi yang diterapkan per sesi berdasarkan atribut keamanan | Evaluasi akses berkelanjutanCAE didasarkan pada standar OpenID yang meningkatkan kedaluwarsa token berbasis waktu dan mekanisme refresh untuk mencapai respons yang lebih cepat terhadap pelanggaran kebijakan. CAE memerlukan token akses baru sebagai respons terhadap peristiwa penting, seperti pengguna yang berpindah dari lokasi jaringan tepercaya ke lokasi yang tidak tepercaya. Terapkan CAE dengan aplikasi klien dan API layanan back-end. - Evaluasi akses berkelanjutan - Evaluasi peristiwa kritis Aplikasi Microsoft Office yang menggunakan Microsoft Graph API, Outlook Online API, dan SharePoint Online API mendukung CAE. Kembangkan aplikasi dengan Microsoft Authentication Libraries (MSAL) terbaru untuk mengakses API berkemampuan CAE. - CAE untuk Microsoft 365 - API yang diaktifkan CAE dalam aplikasi Akses Bersyarat Tentukan dan gunakan konteks autentikasi Akses Bersyarat untuk melindungi situs SharePoint yang sensitif, Microsoft Teams, aplikasi yang dilindungi Microsoft Defender for Cloud Apps, aktivasi peran PIM, dan aplikasi kustom. - Konteks autentikasi - Kebijakan untuk situs SharePoint dan OneDrive - Kebijakan sesi dalam Defender for Cloud Apps - Membutuhkan konteks autentikasi untuk peran PIM - Panduan konteks autentikasi Menggunakan tindakan yang dilindungi untuk menambahkan lapisan perlindungan lain saat administrator melakukan tindakan yang memerlukan izin yang sangat istimewa di Microsoft Entra ID, seperti mengelola kebijakan Akses Bersyarat dan pengaturan akses lintas penyewa. Lindungi tindakan pengguna seperti mendaftarkan info keamanan dan bergabung dengan perangkat. - Tindakan yang dilindungi - Sumber daya target Privileged Identity Management Persyaratan konteks autentikasi untuk aktivasi peran PIM. Lihat panduan Microsoft di 1.4.4. |
| 1.8.4 Autentikasi Berkelanjutan Pt2DoD Organizations melanjutkan penggunaan autentikasi berbasis transaksi untuk menyertakan integrasi seperti pola pengguna. Hasil:- Autentikasi transaksi yang diterapkan per sesi berdasarkan atribut keamanan, termasuk pola pengguna |
Microsoft Entra ID Protection Ketika Microsoft Entra ID Protection mendeteksi perilaku anomali, mencurigakan, atau berisiko, tingkat risiko pengguna meningkat. Buat kebijakan Akses Bersyarat menggunakan kondisi risiko untuk meningkatkan perlindungan berdasarkan tingkat risiko.Deteksi risikoLihat panduan Microsoft di 1.3.3.Evaluasi akses berkelanjutanPeningkatan tingkat risiko adalah peristiwa penting dalam Evaluasi Akses Berkelanjutan. Layanan yang menerapkan CAE, misalnya Exchange Online API, mengharuskan klien (Outlook), untuk mengautentikasi ulang untuk transaksi berikutnya. Kebijakan Akses Bersyarat untuk peningkatan tingkat risiko terpenuhi sebelum Microsoft Entra ID mengeluarkan token akses baru untuk akses Exchange Online. - Evaluasi peristiwa kritis |
1.9 Platform ICAM Terintegrasi
Microsoft Entra ID mendukung autentikasi sertifikat dengan sertifikat yang dikeluarkan oleh infrastruktur kunci publik eksternal (PKI) untuk entitas pengguna dan entitas bukan manusia (NPE). NPE dalam Microsoft Entra ID adalah identitas aplikasi dan perangkat. Microsoft Entra External ID pengaturan akses lintas penyewa membantu organisasi multipenyewa, seperti Departemen Pertahanan AS (DoD), untuk berkolaborasi dengan mulus di seluruh penyewa.
| Deskripsi dan Hasil Aktivitas DoD | Panduan dan rekomendasi Microsoft |
|---|---|
| 1.9.1 Enterprise PKI/IDP Pt1DoD Enterprise bekerja sama dengan Organisasi untuk menerapkan solusi Enterprise Public Key Infrastructure (PKI) dan Penyedia Identitas (IdP) dengan cara terpusat dan/atau federasi. Solusi Enterprise PKI menggunakan satu atau sekumpulan Otoritas Sertifikat Akar (CA) tingkat Perusahaan yang kemudian dapat dipercaya oleh Organisasi untuk membangun CA Menengah nonaktif. Solusi Penyedia Identitas dapat berupa solusi tunggal atau sekumpulan IDP Organisasi gabungan dengan tingkat akses standar di seluruh Organisasi dan sekumpulan atribut standar. IdP Organisasi dan Otoritas Sertifikat PKI terintegrasi dengan solusi IdP dan PKI Perusahaan. Hasil:- Komponen menggunakan IdP dengan MFA untuk semua aplikasi/layanan- MFA/PKI organisasi yang terintegrasi dengan Enterprise MFA/PKI- PKI Terstandarisasi Organisasi untuk semua layanan |
Microsoft Entra ID metode autentikasi Gunakan kebijakan metode autentikasi di Microsoft Entra ID untuk mengontrol metode autentikasi pengguna. - Microsoft Entra CBA Lihat panduan Microsoft dalam 1.3.1. Kekuatan autentikasi Gunakan kekuatan autentikasi untuk mengontrol akses pengguna ke sumber daya. - Kekuatan autentikasi Microsoft Entra External ID Konfigurasi akses lintas penyewa untuk penyewa DoD Microsoft Entra ID. Gunakan pengaturan kepercayaan untuk menerima MFA dan klaim perangkat yang sesuai untuk identitas eksternal dari penyewa DoD tepercaya.Akses lintas-penyewaKebijakan manajemen aplikasiKebijakan manajemen aplikasi penyewa adalah kerangka kerja untuk menerapkan praktik terbaik keamanan untuk aplikasi dalam penyewa. Gunakan kebijakan untuk membatasi kredensial aplikasi ke sertifikat yang dikeluarkan oleh CA tepercaya.Untuk membuat rantai kepercayaan sertifikat, tambahkan koleksi otoritas sertifikat (CA) baru ke sertifikat CA menengah dan akar untuk PKI perusahaan Anda.jenis sumber daya certificateBasedApplicationConfigurationUntuk membuat kebijakan pengelolaan aplikasi yang mewajibkan sertifikat yang dikeluarkan oleh CA tepercaya, konfigurasikan pembatasan untuk melarang passwordAddition dan memerlukan trustedCertificateauthority. Tentukan ID koleksi CA tepercaya yang Anda create. - App authentication methods API Microsoft Intune Intune mendukung sertifikat standar kriptografi privat dan kunci publik (PKCS). - PKCS |
| 1.9.2 Enterprise PKI/IDP Pt2Organisasi DoD memungkinkan dukungan Biometrik di Penyedia Identitas (IdP) untuk aplikasi dan layanan misi/penting tugas sebagaimana mewajibkan. Fungsionalitas biometrik dipindahkan dari solusi Organisasi ke perusahaan. Organizational Multi-Factor (MFA) dan Public Key Infrastructure (PKI) dinonaktifkan dan dimigrasikan ke Enterprise sebagaimana mestinya. Hasil:- Critical Organizational Services Integrated w/ Biometrics- Penonaktifan MFA/PKI organisasi sebagaimana mestinya sebagai pengganti MFA perusahaan/PKI- Fungsi Biometrik Perusahaan Diimplementasikan |
Microsoft Entra ID Microsoft mendukung biometrik dalam beberapa komponen yang kompatibel dengan otentikasi Microsoft Entra ID. Metode Otentikasi Microsoft Entra ID mendukung kunci sandi perangkat keras (kunci keamanan FIDO2) yang menggunakan kehadiran atau sidik jari. - Kunci Keamanan FIDO Windows Hello untuk Bisnis Windows Hello untuk Bisnis menggunakan gerakan biometrik seperti sidik jari dan pemindaian wajah. - Pengaturan Profil Perlindungan Identitas MacOS Perangkat MacOS memiliki biometrik, seperti Touch ID, untuk masuk dengan kredensial yang terikat perangkat. - Plug-in SSO untuk perangkat Apple Microsoft Authenticator Perangkat mobile dan Authenticator menggunakan sentuhan dan wajah untuk autentikasi tanpa kata sandi. Dukungan passkey adalah metode autentikasi tahan pengelabuan lain di Authenticator.AuthenticatorPasswordless sign-inEnhanced phishing-resistant authentication |
| 1.9.3 Enterprise PKI/IDP Pt3Organisasi DoD mengintegrasikan aplikasi/layanan yang tersisa dengan fungsionalitas Biometrik. Token Multifaktor (MFA) alternatif dapat digunakan. Hasil:- Semua Layanan Organisasi Mengintegrasikan dengan Biometrik | Skenario identitas terdesentralisasi menggunakan ID Terverifikasi Microsoft Entra dapat memerlukan verifikasi wajah saat presentasi kredensial. ID TerverifikasiPemeriksaan Wajah |
Langkah berikutnya
Konfigurasikan layanan cloud Microsoft untuk Strategi Zero Trust DoD:
- Pendahuluan
- Pengguna
- Perangkat
- Aplikasi dan beban kerja
- Data
- Jaringan
- Otomatisasi dan orkestrasi
- Visibilitas dan analitik