Baca dalam bahasa Inggris

Bagikan melalui


Kebijakan Kontrol Akses di Layanan Federasi Direktori Aktif Windows Server 2016

Templat Kebijakan Kontrol Akses di Layanan Federasi Direktori Aktif

Layanan Federasi Direktori Aktif sekarang mendukung penggunaan templat kebijakan kontrol akses. Dengan menggunakan templat kebijakan kontrol akses, administrator dapat menerapkan pengaturan kebijakan dengan menetapkan templat kebijakan ke sekelompok pihak yang mengandalkan (RPs). Administrator juga dapat membuat pembaruan pada templat kebijakan dan perubahan akan diterapkan pada pihak yang mengandalkan secara otomatis jika tidak ada interaksi pengguna yang diperlukan.

Apa itu Templat Kebijakan Kontrol Akses?

Alur inti Layanan Federasi Direktori Aktif untuk pemrosesan kebijakan memiliki tiga fase: autentikasi, otorisasi, dan penerbitan klaim. Saat ini, administrator Layanan Federasi Direktori Aktif harus mengonfigurasi kebijakan untuk setiap fase ini secara terpisah. Ini juga melibatkan pemahaman implikasi dari kebijakan ini dan jika kebijakan ini memiliki inter-dependensi. Selain itu, administrator harus memahami bahasa aturan klaim dan menulis aturan kustom untuk mengaktifkan beberapa kebijakan sederhana/umum (misalnya memblokir akses eksternal).

Templat kebijakan kontrol akses apa yang dilakukan adalah mengganti model lama ini di mana administrator harus mengonfigurasi Aturan Otorisasi Penerbitan menggunakan bahasa klaim. Cmdlet powerShell lama dari aturan otorisasi penerbitan masih berlaku tetapi sama-sama eksklusif dari model baru. Administrator dapat memilih untuk menggunakan model baru atau model lama. Model baru memungkinkan administrator mengontrol kapan harus memberikan akses, termasuk memberlakukan autentikasi multifaktor.

Templat kebijakan kontrol akses menggunakan model izin. Ini berarti secara default, tidak ada yang memiliki akses dan akses tersebut harus diberikan secara eksplisit. Namun, ini bukan hanya izin semua atau tidak sama sekali. Administrator dapat menambahkan pengecualian ke aturan izin. Misalnya, administrator mungkin ingin memberikan akses berdasarkan jaringan tertentu dengan memilih opsi ini dan menentukan rentang alamat IP. Tetapi administrator dapat menambahkan dan mengecualikan, misalnya, administrator dapat menambahkan pengecualian dari jaringan tertentu dan menentukan rentang alamat IP tersebut.

Screenshot that shows where to view the Access Control Policies.

Templat kebijakan kontrol akses bawaan vs templat kebijakan kontrol akses kustom

Layanan Federasi Direktori Aktif menyertakan beberapa templat kebijakan kontrol akses bawaan. Ini menargetkan beberapa skenario umum yang memiliki serangkaian persyaratan kebijakan yang sama, misalnya kebijakan akses klien untuk Office 365. Templat ini tidak dapat dimodifikasi.

Screenshot that shows the built-in Access Control Policies.

Untuk memberikan peningkatan fleksibilitas untuk mengatasi kebutuhan bisnis Anda, administrator dapat membuat templat kebijakan akses mereka sendiri. Ini dapat dimodifikasi setelah pembuatan dan perubahan pada templat kebijakan kustom akan berlaku untuk semua RPs yang dikontrol oleh templat kebijakan tersebut. Untuk menambahkan templat kebijakan kustom, cukup klik Tambahkan Kebijakan Kontrol Akses dari dalam manajemen Layanan Federasi Direktori Aktif.

Untuk membuat templat kebijakan, administrator harus terlebih dahulu menentukan di mana kondisi permintaan akan diotorisasi untuk penerbitan token dan/atau delegasi. Opsi kondisi dan tindakan diperlihatkan dalam tabel di bawah ini. Kondisi dalam huruf tebal dapat dikonfigurasi lebih lanjut oleh administrator dengan nilai yang berbeda atau baru. Admin juga dapat menentukan pengecualian jika ada. Ketika kondisi terpenuhi, tindakan izin tidak akan dipicu jika ada pengecualian yang ditentukan dan permintaan masuk cocok dengan kondisi yang ditentukan dalam pengecualian.

Mengizinkan Pengguna Kecuali
Dari jaringan tertentu Dari jaringan tertentu

Dari grup tertentu

Dari perangkat dengan tingkat kepercayaan tertentu

Dengan klaim tertentu dalam permintaan

Dari grup tertentu Dari jaringan tertentu

Dari grup tertentu

Dari perangkat dengan tingkat kepercayaan tertentu

Dengan klaim tertentu dalam permintaan

Dari perangkat dengan tingkat kepercayaan tertentu Dari jaringan tertentu

Dari grup tertentu

Dari perangkat dengan tingkat kepercayaan tertentu

Dengan klaim tertentu dalam permintaan

Dengan klaim tertentu dalam permintaan Dari jaringan tertentu

Dari grup tertentu

Dari perangkat dengan tingkat kepercayaan tertentu

Dengan klaim tertentu dalam permintaan

Dan memerlukan autentikasi multifaktor Dari jaringan tertentu

Dari grup tertentu

Dari perangkat dengan tingkat kepercayaan tertentu

Dengan klaim tertentu dalam permintaan

Jika administrator memilih beberapa kondisi, mereka adalah hubungan AND . Tindakan saling eksklusif dan untuk satu aturan kebijakan Anda hanya dapat memilih satu tindakan. Jika admin memilih beberapa pengecualian, mereka adalah hubungan OR . Beberapa contoh aturan kebijakan ditunjukkan di bawah ini:

Kebijakan Aturan kebijakan
Akses ekstranet memerlukan MFA

Semua pengguna diizinkan

Aturan #1

dari ekstranet

dan dengan MFA

Izin

Aturan#2

dari intranet

Izin

Akses eksternal tidak diizinkan kecuali non-FTE

Akses intranet untuk FTE pada perangkat yang bergabung dengan tempat kerja diizinkan

Aturan #1

Dari ekstranet

dan dari grup non-FTE

Izin

Aturan #2

dari intranet

dan dari perangkat yang bergabung dengan tempat kerja

dan dari grup FTE

Izin

Akses ekstranet memerlukan MFA kecuali "admin layanan"

Semua pengguna diizinkan untuk mengakses

Aturan #1

dari ekstranet

dan dengan MFA

Izin

Kecuali grup admin layanan

Aturan #2

always

Izin

perangkat gabungan tempat non-kerja yang mengakses dari ekstranet memerlukan MFA

Mengizinkan fabric AD untuk akses intranet dan ekstranet

Aturan #1

dari intranet

Dan dari grup AD Fabric

Izin

Aturan #2

dari ekstranet

dan dari perangkat yang bergabung dengan non-tempat kerja

dan dari grup AD Fabric

dan dengan MFA

Izin

Aturan #3

dari ekstranet

dan dari perangkat yang bergabung dengan tempat kerja

dan dari grup AD Fabric

Izin

Templat kebijakan berparameter vs templat kebijakan non-parameter

Templat kebijakan berparameter adalah templat kebijakan yang memiliki parameter. Administrator perlu memasukkan nilai untuk parameter tersebut saat menetapkan templat ini ke RPs.Administrator tidak dapat membuat perubahan pada templat kebijakan berparameter setelah dibuat. Contoh kebijakan berparameter adalah kebijakan bawaan, Izinkan grup tertentu. Setiap kali kebijakan ini diterapkan ke RP, parameter ini perlu ditentukan.

Screenshot that shows an example of a parameterized policy template.

Templat kebijakan non-parameter adalah templat kebijakan yang tidak memiliki parameter. Administrator dapat menetapkan templat ini ke RPs tanpa input apa pun yang diperlukan dan dapat membuat perubahan pada templat kebijakan non-parameter setelah dibuat. Contohnya adalah kebijakan bawaan, Izinkan semua orang dan wajibkan MFA.

Screenshot that shows an example of a non-parameterized policy template.

Cara membuat kebijakan kontrol akses non-parameter

Untuk membuat kebijakan kontrol akses non-parameter menggunakan prosedur berikut

Untuk membuat kebijakan kontrol akses non-parameter

  1. Dari Manajemen Layanan Federasi Direktori Aktif di sebelah kiri pilih Kebijakan Kontrol Akses dan di sebelah kanan klik Tambahkan Kebijakan Kontrol Akses.

  2. Masukkan nama dan deskripsi. Misalnya: Mengizinkan pengguna dengan perangkat terautentikasi.

  3. Di bawah Izinkan akses jika salah satu aturan berikut terpenuhi, klik Tambahkan.

  4. Di bawah izin, tempatkan centang di kotak di samping dari perangkat dengan tingkat kepercayaan tertentu

  5. Di bagian bawah, pilih spesifik bergaris bawah

  6. Dari jendela yang muncul, pilih diautentikasi dari menu drop-down. Klik OK.

    Screenshot that shows how to select the device trust level.

  7. Klik OK. Klik OK.

    Screenshot that shows how to accept the policy change.

Cara membuat kebijakan kontrol akses berparameter

Untuk membuat kebijakan kontrol akses berparameter, gunakan prosedur berikut

Untuk membuat kebijakan kontrol akses berparameter

  1. Dari Manajemen Layanan Federasi Direktori Aktif di sebelah kiri pilih Kebijakan Kontrol Akses dan di sebelah kanan klik Tambahkan Kebijakan Kontrol Akses.

  2. Masukkan nama dan deskripsi. Misalnya: Mengizinkan pengguna dengan klaim tertentu.

  3. Di bawah Izinkan akses jika salah satu aturan berikut terpenuhi, klik Tambahkan.

  4. Di bawah izin, tempatkan centang di kotak di samping dengan klaim tertentu dalam permintaan

  5. Di bagian bawah, pilih spesifik bergaris bawah

  6. Dari jendela yang muncul, pilih Parameter yang ditentukan saat kebijakan kontrol akses ditetapkan. Klik OK.

    Screenshot that shows the Parameter specified when the access control policy is assigned option.

  7. Klik OK. Klik OK.

    Screenshot that shows how to accept the selected option.

Cara membuat kebijakan kontrol akses kustom dengan pengecualian

Untuk membuat kebijakan kontrol akses dengan pengecualian, gunakan prosedur berikut.

Untuk membuat kebijakan kontrol akses kustom dengan pengecualian

  1. Dari Manajemen Layanan Federasi Direktori Aktif di sebelah kiri pilih Kebijakan Kontrol Akses dan di sebelah kanan klik Tambahkan Kebijakan Kontrol Akses.

  2. Masukkan nama dan deskripsi. Misalnya: Mengizinkan pengguna dengan perangkat terautentikasi tetapi tidak dikelola.

  3. Di bawah Izinkan akses jika salah satu aturan berikut terpenuhi, klik Tambahkan.

  4. Di bawah izin, tempatkan centang di kotak di samping dari perangkat dengan tingkat kepercayaan tertentu

  5. Di bagian bawah, pilih spesifik bergaris bawah

  6. Dari jendela yang muncul, pilih diautentikasi dari menu drop-down. Klik OK.

  7. Di bawah kecuali, letakkan centang di kotak di samping dari perangkat dengan tingkat kepercayaan tertentu

  8. Di bagian bawah di bawah kecuali, pilih garis bawah tertentu

  9. Dari jendela yang muncul, pilih dikelola dari menu drop-down. Klik OK.

  10. Klik OK. Klik OK.

    Screenshot that shows the Screen Editor dialog box.

Cara membuat kebijakan kontrol akses kustom dengan beberapa kondisi izin

Untuk membuat kebijakan kontrol akses dengan beberapa kondisi izin, gunakan prosedur berikut

Untuk membuat kebijakan kontrol akses berparameter

  1. Dari Manajemen Layanan Federasi Direktori Aktif di sebelah kiri pilih Kebijakan Kontrol Akses dan di sebelah kanan klik Tambahkan Kebijakan Kontrol Akses.

  2. Masukkan nama dan deskripsi. Misalnya: Mengizinkan pengguna dengan klaim tertentu dan dari grup tertentu.

  3. Di bawah Izinkan akses jika salah satu aturan berikut terpenuhi, klik Tambahkan.

  4. Di bawah izin, tempatkan centang di kotak di samping dari grup tertentu dan dengan klaim tertentu dalam permintaan

  5. Di bagian bawah, pilih garis bawah khusus untuk kondisi pertama, di samping grup

  6. Dari jendela yang muncul, pilih Parameter yang ditentukan saat kebijakan ditetapkan. Klik OK.

  7. Di bagian bawah, pilih garis bawah khusus untuk kondisi kedua, di samping klaim

  8. Dari jendela yang muncul, pilih Parameter yang ditentukan saat kebijakan kontrol akses ditetapkan. Klik OK.

  9. Klik OK. Klik OK.

access control policies

Cara menetapkan kebijakan kontrol akses ke aplikasi baru

Menetapkan kebijakan kontrol akses ke aplikasi baru cukup lurus ke depan dan sekarang telah diintegrasikan ke dalam wizard untuk menambahkan RP. Dari Wizard Kepercayaan Pihak yang Mengandalkan, Anda dapat memilih kebijakan kontrol akses yang ingin Anda tetapkan. Ini adalah persyaratan saat membuat kepercayaan pihak yang mengandalkan baru.

Screenshot that shows the Choose Access Control Policy screen.

Cara menetapkan kebijakan kontrol akses ke aplikasi yang sudah ada

Menetapkan kebijakan kontrol akses ke aplikasi yang ada cukup pilih aplikasi dari Kepercayaan Pihak yang Mengandalkan dan klik kanan Edit Kebijakan Kontrol Akses.

Screenshot that shows the Retrying Party Trusts application.

Dari sini Anda dapat memilih kebijakan kontrol akses dan menerapkannya ke aplikasi.

Screenshot that shows how to edit the Access Control Policy.

Lihat Juga

Operasi Layanan Federasi Direktori Aktif