Mengonfigurasi delegasi menggunakan unit administratif

  • 7 menit

Unit administratif adalah sumber daya ID Microsoft Entra yang dapat menjadi kontainer untuk sumber daya Microsoft Entra lainnya. Unit administratif hanya dapat berisi pengguna, grup, dan perangkat.

Unit administratif membatasi izin dalam peran ke bagian organisasi apa pun yang Anda tetapkan. Misalnya, Anda dapat menggunakan unit administratif untuk mendelegasikan peran Administrator Bantuan Teknis ke spesialis dukungan wilayah, sehingga mereka hanya dapat mengelola pengguna di wilayah yang mereka dukung. Anda dapat mengelola unit administratif dengan menggunakan portal Microsoft Azure, cmdlet dan skrip PowerShell, atau Microsoft Graph.

Apa yang dimaksud dengan unit administratif?

Di ID Microsoft Entra, menggunakan satu penyewa jika Anda menetapkan peran administrator apa pun kepada pengguna, mereka sekarang menjadi admin atas setiap pengguna di penyewa. Selalu pertimbangkan prinsip keamanan dengan hak istimewa paling rendah, prinsip keamanan ini selalu merupakan cara terbaik untuk memberikan tanggung jawab administratif. Unit administratif adalah kontainer yang dibuat untuk menyelesaikan tantangan ini di ID Microsoft Entra. Jika Anda ingin Administrator Pengguna hanya dapat mengelola sekumpulan pengguna dan grup tertentu. Katakanlah untuk hanya mengelola pengguna di Departemen Riset sebuah rumah sakit. Anda dapat menyiapkan unit administratif. Dalam unit administratif tersebut, Anda ingin menambahkan pengguna dan grup untuk tim riset, lalu menambahkan pengguna tertentu ke peran Administrator Pengguna dalam unit administratif, sebut saja Admin untuk penelitian. Admin untuk penelitian akan dapat mengelola pengguna dalam unit administratif, tetapi tidak di seluruh penyewa, yang membantu mencapai prinsip izin minimal.

Apa saja peran admin yang tersedia untuk unit administratif?

Anda bisa memiliki pengguna dalam peran berikut untuk mengelola unit administratif:

  • Administrator Autentikasi
  • Admin grup
  • Admin Bantuan Teknis
  • Administrator lisensi
  • Administrator kata sandi
  • Administrator pengguna

Catatan

Jika Anda familier dengan Active Directory lokal, kemampuan ini ditangani dengan menyiapkan Unit Organisasi (OU) di direktori dan menambahkan pengguna Anda ke OU tersebut.

Rencanakan unit administratif Anda

Anda dapat menggunakan unit administratif untuk mengelompokkan sumber daya Microsoft Entra secara logis. Organisasi di mana departemen TI-nya tersebar secara global dapat membuat unit administratif yang menentukan batas geografis yang relevan. Dalam skenario lain, di mana organisasi global memiliki suborganisasi yang semi-otonom dalam operasi mereka, unit administratif dapat mewakili suborganisasi.

Kriteria di mana unit administratif dibuat dipandu oleh persyaratan unik organisasi. Unit administratif adalah cara umum untuk menentukan struktur pada layanan Microsoft 365. Sebaiknya siapkan unit administratif dengan mengingat penggunaannya pada layanan Microsoft 365. Anda bisa mendapatkan nilai maksimum dari unit administratif saat anda dapat mengaitkan sumber daya umum pada Microsoft 365 di bawah unit administratif.

Anda dapat mengharapkan pembuatan unit administratif di organisasi akan melalui tahapan berikut:

  1. Adopsi awal: Organisasi Anda akan mulai membuat unit administratif berdasarkan kriteria awal, dan jumlah unit administratif akan meningkat karena kriteria disempurnakan.
  2. Pemangkasan: Setelah kriteria ditentukan, unit administratif yang tidak lagi diperlukan akan dihapus.
  3. Stabilisasi: Struktur organisasi Anda ditentukan, dan jumlah unit administratif tidak akan berubah secara signifikan dalam jangka pendek.

Mendelegasikan administrasi dalam ID Microsoft Entra

Dengan pertumbuhan organisasi datang kompleksitas. Salah satu respons umum adalah mengurangi beberapa beban kerja manajemen akses dengan peran admin Microsoft Entra. Anda dapat menetapkan hak istimewa seminimal mungkin kepada pengguna untuk mengakses aplikasi mereka dan melakukan tugas mereka. Bahkan jika Anda tidak menetapkan peran Administrator Global untuk setiap pemilik aplikasi, Anda menempatkan tanggung jawab manajemen aplikasi pada Administrator Global yang ada. Ada banyak alasan bagi organisasi untuk bergerak ke arah administrasi yang lebih terdesentralisasi.

Di MICROSOFT Entra ID, Anda dapat mendelegasikan izin pembuatan dan manajemen Aplikasi dengan cara berikut:

  • Membatasi siapa saja yang dapat membuat aplikasi dan mengelola aplikasi yang mereka buat. Secara default di MICROSOFT Entra ID, semua pengguna dapat mendaftarkan pendaftaran aplikasi dan mengelola semua aspek aplikasi yang mereka buat. Anda dapat membatasi untuk hanya mengizinkan orang yang dipilih izin tersebut.
  • Menetapkan satu atau beberapa pemilik ke aplikasi. Cara sederhana untuk memberi seseorang kemampuan untuk mengelola semua aspek konfigurasi ID Microsoft Entra untuk aplikasi tertentu.
  • Menetapkan peran administratif bawaan yang memberikan akses untuk mengelola konfigurasi di ID Microsoft Entra untuk semua aplikasi. Cara yang disarankan untuk memberikan akses kepada pakar TI untuk mengelola izin konfigurasi aplikasi yang luas tanpa memberikan akses untuk mengelola bagian lain dari ID Microsoft Entra yang tidak terkait dengan konfigurasi aplikasi.
  • Buat peran kustom untuk menentukan izin tertentu. Kemudian tetapkan peran kepada pengguna untuk menetapkan pemilik yang terbatas. Atau Anda dapat menetapkan pada cakupan direktori - semua aplikasi - sebagai administrator terbatas.

Saat memberikan akses, gunakan salah satu metode di atas karena dua alasan. Pertama, mendelegasikan kemampuan untuk melakukan tugas administratif mengurangi kelebihan administrator global. Kedua, menggunakan izin terbatas meningkatkan postur keamanan Anda dan mengurangi potensi akses yang tidak sah.

Paket untuk Delegasi

Ini berfungsi untuk mengembangkan model delegasi yang sesuai dengan kebutuhan Anda. Mengembangkan model delegasi adalah proses desain berulang, dan sebaiknya ikuti langkah-langkah berikut:

  • Tentukan peran yang Anda butuhkan
  • Delegasikan administrasi aplikasi
  • Berikan kemampuan untuk mendaftarkan aplikasi
  • Delegasikan kepemilikan aplikasi
  • Kembangkan paket keamanan
  • Buat akun darurat
  • Amankan peran administrator Anda
  • Jadikan elevasi istimewa sementara

Mendefinisikan peran

Tentukan tugas Direktori Aktif yang dilakukan oleh administrator dan bagaimana mereka memetakan ke peran. Setiap tugas harus dievaluasi untuk frekuensi, kepentingan, dan kesulitan. Kriteria ini adalah aspek penting dari definisi tugas karena aspek tersebut mengatur apakah izin harus didelegasikan:

  • Tugas yang Anda lakukan secara rutin, memiliki risiko terbatas, dan sepele untuk diselesaikan adalah kandidat yang sangat baik untuk didelegasikan.
  • Tugas yang jarang Anda lakukan tetapi memiliki potensi risiko di seluruh organisasi dan memerlukan tingkat keterampilan tinggi harus dipertimbangkan dengan cermat sebelum didelegasikan. Sebagai gantinya, Anda dapat menaikkan sementara akun ke peran yang diperlukan atau menetapkan ulang tugas.

Delegasikan administrasi aplikasi

Proliferasi aplikasi dalam organisasi Anda dapat membebani model delegasi Anda. Jika menempatkan beban untuk manajemen akses aplikasi pada Administrator Global, kemungkinan model tersebut meningkatkan overhead-nya seiring berjalannya waktu. Jika Anda telah memberikan peran Administrator Global kepada orang-orang untuk hal-hal seperti mengonfigurasi aplikasi perusahaan, Anda sekarang dapat memindahkannya ke peran yang kurang istimewa berikut. Melakukannya membantu meningkatkan postur keamanan Anda dan mengurangi potensi kesalahan yang tidak menguntungkan. Peran administrator aplikasi yang paling istimewa adalah:

  • Peran Administrator Aplikasi, yang memberikan kemampuan untuk mengelola semua aplikasi dalam direktori, termasuk pendaftaran, pengaturan akses menyeluruh, penetapan dan pemberian lisensi pengguna dan grup, pengaturan Proksi Aplikasi, dan persetujuan. Ini tidak memberikan kemampuan untuk mengelola Akses Bersyarat.
  • Peran Administrator Aplikasi Cloud, yang memberikan semua kemampuan Administrator Aplikasi, kecuali tidak memberikan akses ke pengaturan Proksi Aplikasi (karena tidak memiliki izin lokal).

Mendelegasikan pendaftaran aplikasi

Secara default, semua pengguna dapat membuat pendaftaran aplikasi. Untuk secara selektif memberikan kemampuan untuk membuat pendaftaran aplikasi:

  • Atur Pengguna dapat mendaftarkan aplikasi menjadi Tidak di Pengaturan pengguna
  • Menetapkan pengguna ke peran Pengembang Aplikasi

Untuk secara selektif memberikan kemampuan untuk menyetujui guna memungkinkan aplikasi mengakses data:

  • Atur Pengguna dapat menyetujui aplikasi yang mengakses data perusahaan atas nama mereka Menjadi Tidak di Pengaturan pengguna di bawah aplikasi Perusahaan
  • Menetapkan pengguna ke peran Pengembang Aplikasi

Saat Pengembang Aplikasi membuat pendaftaran aplikasi baru, mereka secara otomatis ditambahkan sebagai pemilik pertama.

Delegasikan kepemilikan aplikasi

Untuk delegasi akses aplikasi yang lebih halus, Anda dapat menetapkan kepemilikan untuk masing-masing aplikasi perusahaan. Anda meningkatkan dukungan yang ada untuk menetapkan pemilik pendaftaran aplikasi. Kepemilikan ditetapkan berdasarkan aplikasi per-perusahaan di layar Aplikasi Perusahaan. Keuntungannya adalah pemilik hanya dapat mengelola aplikasi perusahaan yang mereka miliki. Misalnya, Anda dapat menetapkan pemilik untuk aplikasi Salesforce, dan pemilik tersebut dapat mengelola akses ke dan konfigurasi untuk Salesforce, dan tidak ada aplikasi lain. Aplikasi perusahaan dapat memiliki banyak pemilik, dan pengguna dapat menjadi pemilik untuk banyak aplikasi perusahaan. Ada dua peran pemilik aplikasi:

  • Peran Pemilik Aplikasi Perusahaan memberikan kemampuan untuk mengelola 'aplikasi perusahaan yang dimiliki pengguna, termasuk pengaturan akses menyeluruh, penetapan pengguna dan grup, dan menambahkan lebih banyak pemilik. Peran tersebut tidak memberikan kemampuan untuk mengelola pengaturan Proksi Aplikasi atau Akses Bersyarat.
  • Peran Pemilik Pendaftaran Aplikasi memberikan kemampuan untuk mengelola pendaftaran aplikasi untuk aplikasi yang dimiliki pengguna, termasuk manifes aplikasi dan menambahkan pemilik lain.

Kembangkan paket keamanan

MICROSOFT Entra ID menyediakan panduan ekstensif untuk merencanakan dan menjalankan rencana keamanan pada peran admin Microsoft Entra Anda, Mengamankan akses istimewa untuk penyebaran hibrid dan cloud.

Buat akun darurat

Untuk mempertahankan akses ke penyimpanan manajemen identitas Anda saat masalah muncul, siapkan akun akses darurat sesuai dengan Membuat akun administratif akses darurat.

Amankan peran administrator Anda

Penyerang yang menguasai akun hak istimewa dapat melakukan kerusakan yang luar biasa. Selalu lindungi akun ini terlebih dahulu. Gunakan fitur Default Keamanan yang tersedia untuk semua organisasi Microsoft Entra. Default Keamanan memberlakukan autentikasi multifaktor pada akun Microsoft Entra istimewa.