Mengamankan identitas organisasi Anda dengan ID Microsoft Entra
Tampaknya menakutkan mencoba mengamankan pekerja Anda di dunia saat ini, terutama ketika Anda harus merespons dengan cepat dan memberikan akses ke banyak layanan dengan cepat. Artikel ini dimaksudkan untuk memberikan daftar ringkas semua tindakan yang harus diambil, membantu Anda mengidentifikasi dan memprioritaskan urutan mana untuk menyebarkan fitur Microsoft Entra berdasarkan jenis lisensi yang Anda miliki.
MICROSOFT Entra ID menawarkan banyak fitur dan menyediakan banyak lapisan keamanan untuk Identitas Anda, menavigasi fitur mana yang relevan terkadang bisa luar biasa. Dokumen ini dimaksudkan untuk membantu organisasi menyebarkan layanan dengan cepat, dengan identitas yang aman sebagai pertimbangan utama.
Setiap tabel memberikan rekomendasi keamanan yang konsisten, melindungi identitas dari serangan keamanan umum sambil meminimalkan gesekan pengguna.
Panduan ini membantu:
- Mengonfigurasi akses ke perangkat lunak sebagai layanan (SaaS) dan aplikasi lokal dengan cara yang aman dan terlindungi
- Identitas cloud dan hibrid
- Pengguna yang bekerja dari jarak jauh atau di kantor
Prasyarat
Panduan ini mengasumsikan bahwa identitas cloud saja atau hibrid Anda telah dibuat di ID Microsoft Entra. Untuk bantuan dalam memilih jenis identitas Anda, lihat artikel, Pilih metode autentikasi (AuthN) yang tepat untuk solusi identitas hibrid Microsoft Entra Anda.
Panduan terpandu
Untuk panduan tentang banyak rekomendasi dalam artikel ini, lihat panduan Menyiapkan ID Microsoft Entra saat masuk ke pusat Admin Microsoft 365. Untuk meninjau praktik terbaik tanpa masuk dan mengaktifkan fitur penyiapan otomatis, buka portal Penyiapan Microsoft 365.
Panduan untuk pelanggan Microsoft Entra ID Gratis, Office 365, atau Microsoft 365
Ada banyak rekomendasi yang harus diambil pelanggan aplikasi Microsoft Entra ID Gratis, Office 365, atau Microsoft 365 untuk melindungi identitas pengguna mereka. Tabel berikut ini dimaksudkan untuk menyoroti tindakan utama untuk langganan lisensi berikut:
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, Apps for Business, Business Standard, Business Premium, A1)
- Microsoft Entra ID Gratis (disertakan dengan Azure, Dynamics 365, Intune, dan Power Platform)
| Tindakan yang direkomendasikan | Detail |
|---|---|
| Mengaktifkan Default Keamanan | Lindungi semua identitas dan aplikasi pengguna dengan mengaktifkan autentikasi multifaktor dan memblokir autentikasi warisan. |
| Mengaktifkan Sinkronisasi Hash Kata Sandi (jika menggunakan identitas hibrid) | Berikan redundansi untuk autentikasi dan tingkatkan keamanan (termasuk Penguncian Cerdas, Penguncian IP, dan kemampuan untuk menemukan kredensial yang bocor). |
| Mengaktifkan penguncian cerdas Layanan Federasi Direktori Aktif (Jika berlaku) | Melindungi pengguna Anda dari mengalami penguncian akun ekstranet dari aktivitas berbahaya. |
| Mengaktifkan penguncian cerdas Microsoft Entra (jika menggunakan identitas terkelola) | Penguncian cerdas membantu mengunci pelaku jahat yang mencoba menebak kata sandi pengguna Anda atau menggunakan metode brute-force untuk masuk. |
| Menonaktifkan persetujuan pengguna akhir untuk aplikasi | Alur kerja persetujuan admin memberi admin cara yang aman untuk memberikan akses ke aplikasi yang memerlukan persetujuan admin sehingga pengguna akhir tidak mengekspos data perusahaan. Microsoft merekomendasikan untuk menonaktifkan operasi persetujuan pengguna di masa mendatang untuk membantu mengurangi area permukaan Anda dan mengurangi risiko ini. |
| Mengintegrasikan aplikasi SaaS yang didukung dari galeri ke MICROSOFT Entra ID dan mengaktifkan akses menyeluruh (SSO) | MICROSOFT Entra ID memiliki galeri yang berisi ribuan aplikasi yang telah diintegrasi sebelumnya. Beberapa aplikasi yang digunakan organisasi Anda mungkin berada di galeri yang dapat diakses langsung dari portal Microsoft Azure. Menyediakan akses ke aplikasi SaaS perusahaan dari jarak jauh dan aman dengan pengalaman pengguna yang ditingkatkan (akses menyeluruh (SSO)). |
| Mengotomatiskan provisi dan pencabutan akses pengguna dari Aplikasi SaaS (jika berlaku) | Buat identitas dan peran pengguna secara otomatis di aplikasi cloud (SaaS) yang perlu diakses pengguna. Selain membuat identitas pengguna, provisi otomatis mencakup pemeliharaan dan penghapusan identitas pengguna saat status atau peran berubah, meningkatkan keamanan organisasi Anda. |
| Aktifkan Akses hibrid aman: Mengamankan aplikasi warisan dengan pengontrol dan jaringan pengiriman aplikasi yang ada (jika berlaku) | Terbitkan dan lindungi aplikasi autentikasi warisan lokal dan cloud Anda dengan menyambungkannya ke ID Microsoft Entra dengan pengontrol atau jaringan pengiriman aplikasi yang ada. |
| Mengaktifkan setel ulang kata sandi mandiri (berlaku untuk akun hanya cloud) | Kemampuan ini mengurangi intensitas panggilan pusat bantuan dan hilangnya produktivitas saat pengguna tidak dapat masuk ke perangkat atau aplikasi mereka. |
| Gunakan peran dengan hak istimewa paling sedikit jika memungkinkan | Memberikan administrator Anda akses yang mereka butuhkan hanya untuk area yang mereka butuhkan aksesnya. |
| Mengaktifkan panduan kata sandi Microsoft | Berhenti mengharuskan pengguna untuk mengubah kata sandi mereka pada jadwal yang ditetapkan, nonaktifkan persyaratan kompleksitas, dan pengguna Anda lebih cenderung mengingat kata sandi mereka serta menyimpan sesuatu yang aman. |
Panduan untuk pelanggan Microsoft Entra ID P1
Tabel berikut dimaksudkan untuk menyoroti tindakan kunci untuk langganan lisensi berikut:
- Microsoft Entra ID P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365 (E3, A3, F1, F3)
| Tindakan yang direkomendasikan | Detail |
|---|---|
| Membuat lebih dari satu Administrator Global | Tetapkan setidaknya dua akun Administrator Global permanen khusus cloud untuk digunakan dalam keadaan darurat. Akun ini tidak digunakan dalam basis harian dan harus memiliki kata sandi yang panjang serta rumit. |
| Mengaktifkan pengalaman pendaftaran gabungan untuk autentikasi multifaktor Microsoft Entra dan SSPR untuk menyederhanakan pengalaman pendaftaran pengguna | Izinkan pengguna Anda mendaftar dari satu pengalaman umum untuk autentikasi multifaktor Microsoft Entra dan pengaturan ulang kata sandi layanan mandiri. |
| Mengonfigurasi pengaturan autentikasi multifaktor untuk organisasi Anda | Pastikan akun dilindungi agar tidak disusupi dengan autentikasi multifaktor. |
| Mengaktifkan pengaturan ulang kata sandi mandiri | Kemampuan ini mengurangi intensitas panggilan pusat bantuan dan hilangnya produktivitas saat pengguna tidak dapat masuk ke perangkat atau aplikasi mereka. |
| Menerapkan Kata Sandi Writeback (jika menggunakan identitas hibrid) | Mengizinkan perubahan kata sandi di cloud untuk ditulis kembali ke lingkungan Windows Server Active Directory lokal. |
| Membuat dan mengaktifkan kebijakan Akses Bersyarat | Autentikasi multifaktor bagi admin untuk melindungi akun yang diberi hak administratif. Blokir protokol autentikasi warisan karena peningkatan risiko yang terkait dengan protokol autentikasi warisan. Autentikasi multifaktor untuk semua pengguna dan aplikasi untuk membuat kebijakan autentikasi multifaktor yang seimbang untuk lingkungan Anda, mengamankan pengguna dan aplikasi Anda. Memerlukan autentikasi multifaktor untuk Azure Management untuk melindungi sumber daya istimewa Anda dengan memerlukan autentikasi multifaktor untuk setiap pengguna yang mengakses sumber daya Azure. |
| Mengaktifkan Sinkronisasi Hash Kata Sandi (jika menggunakan identitas hibrid) | Memberikan redundansi untuk autentikasi dan meningkatkan keamanan (termasuk Smart Lockout, IP Lockout, dan kemampuan untuk menemukan kredensial yang bocor.) |
| Mengaktifkan penguncian cerdas Layanan Federasi Direktori Aktif (Jika berlaku) | Melindungi pengguna Anda dari mengalami penguncian akun ekstranet dari aktivitas berbahaya. |
| Mengaktifkan penguncian cerdas Microsoft Entra (jika menggunakan identitas terkelola) | Penguncian cerdas membantu mengunci pelaku jahat yang mencoba menebak kata sandi pengguna Anda atau menggunakan metode brute-force untuk masuk. |
| Menonaktifkan persetujuan pengguna akhir untuk aplikasi | Alur kerja persetujuan admin memberi admin cara yang aman untuk memberikan akses ke aplikasi yang memerlukan persetujuan admin sehingga pengguna akhir tidak mengekspos data perusahaan. Microsoft merekomendasikan untuk menonaktifkan operasi persetujuan pengguna di masa mendatang untuk membantu mengurangi area permukaan Anda dan mengurangi risiko ini. |
| Mengaktifkan akses jarak jauh ke aplikasi warisan lokal dengan Proksi Aplikasi | Aktifkan proksi aplikasi Microsoft Entra dan integrasikan dengan aplikasi warisan bagi pengguna untuk mengakses aplikasi lokal dengan aman dengan masuk dengan akun Microsoft Entra mereka. |
| Aktifkan Akses hibrid aman: Mengamankan aplikasi warisan dengan pengontrol dan jaringan pengiriman aplikasi yang ada (jika berlaku). | Terbitkan dan lindungi aplikasi autentikasi warisan lokal dan cloud Anda dengan menyambungkannya ke ID Microsoft Entra dengan pengontrol atau jaringan pengiriman aplikasi yang ada. |
| Mengintegrasikan aplikasi SaaS yang didukung dari galeri ke MICROSOFT Entra ID dan mengaktifkan akses menyeluruh | MICROSOFT Entra ID memiliki galeri yang berisi ribuan aplikasi yang telah diintegrasi sebelumnya. Beberapa aplikasi yang digunakan organisasi Anda mungkin berada di galeri yang dapat diakses langsung dari portal Microsoft Azure. Sediakan akses ke aplikasi SaaS perusahaan dari jarak jauh dan aman dengan pengalaman pengguna yang lebih baik (SSO). |
| Mengotomatiskan provisi dan pencabutan akses pengguna dari Aplikasi SaaS (jika berlaku) | Buat identitas dan peran pengguna secara otomatis di aplikasi cloud (SaaS) yang perlu diakses pengguna. Selain membuat identitas pengguna, provisi otomatis mencakup pemeliharaan dan penghapusan identitas pengguna saat status atau peran berubah, meningkatkan keamanan organisasi Anda. |
| Aktifkan Akses Bersyar – Berbasis perangkat | Tingkatkan pengalaman keamanan dan pengguna dengan Akses Bersyarat berbasis perangkat. Langkah ini memastikan pengguna hanya dapat mengakses dari perangkat yang memenuhi standar keamanan dan kepatuhan Anda. Perangkat ini juga dikenal sebagai perangkat terkelola. Perangkat terkelola dapat mematuhi Intune atau perangkat gabungan hibrid Microsoft Entra. |
| Mengaktifkan Perlindungan Kata Sandi | Lindungi pengguna agar tidak menggunakan kata sandi yang lemah dan mudah ditebak. |
| Gunakan peran dengan hak istimewa paling sedikit jika memungkinkan | Memberikan administrator Anda akses yang mereka butuhkan hanya untuk area yang mereka butuhkan aksesnya. |
| Mengaktifkan panduan kata sandi Microsoft | Berhenti mengharuskan pengguna untuk mengubah kata sandi mereka pada jadwal yang ditetapkan, nonaktifkan persyaratan kompleksitas, dan pengguna Anda lebih cenderung mengingat kata sandi mereka serta menyimpan sesuatu yang aman. |
| Membuat daftar kata sandi terlarang kustom khusus untuk organisasi | Mencegah pengguna membuat kata sandi yang menyertakan kata atau frasa umum dari organisasi atau area Anda. |
| Menyebarkan metode autentikasi tanpa kata sandi untuk pengguna Anda | Berikan pengguna Anda metode autentikasi tanpa kata sandi yang nyaman. |
| Membuat rencana untuk akses pengguna tamu | Berkolaborasi dengan pengguna tamu dengan mengizinkan mereka masuk ke aplikasi dan layanan Anda dengan identitas kerja, sekolah, atau sosial mereka sendiri. |
Panduan untuk pelanggan Microsoft Entra ID P2
Tabel berikut dimaksudkan untuk menyoroti tindakan kunci untuk langganan lisensi berikut:
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
| Tindakan yang direkomendasikan | Detail |
|---|---|
| Membuat lebih dari satu Administrator Global | Tetapkan setidaknya dua akun Administrator Global permanen khusus cloud untuk digunakan dalam keadaan darurat. Akun ini tidak digunakan dalam basis harian dan harus memiliki kata sandi yang panjang serta rumit. |
| Mengaktifkan pengalaman pendaftaran gabungan untuk autentikasi multifaktor Microsoft Entra dan SSPR untuk menyederhanakan pengalaman pendaftaran pengguna | Izinkan pengguna Anda mendaftar dari satu pengalaman umum untuk autentikasi multifaktor Microsoft Entra dan pengaturan ulang kata sandi layanan mandiri. |
| Mengonfigurasi pengaturan autentikasi multifaktor untuk organisasi Anda | Pastikan akun dilindungi agar tidak disusupi dengan autentikasi multifaktor. |
| Mengaktifkan pengaturan ulang kata sandi mandiri | Kemampuan ini mengurangi intensitas panggilan pusat bantuan dan hilangnya produktivitas saat pengguna tidak dapat masuk ke perangkat atau aplikasi mereka. |
| Menerapkan Kata Sandi Writeback (jika menggunakan identitas hibrid) | Mengizinkan perubahan kata sandi di cloud untuk ditulis kembali ke lingkungan Windows Server Active Directory lokal. |
| Mengaktifkan kebijakan Perlindungan Identitas untuk memberlakukan pendaftaran autentikasi multifaktor | Mengelola peluncuran autentikasi multifaktor Microsoft Entra. |
| Mengaktifkan pengguna Perlindungan Identitas dan kebijakan risiko masuk | Aktifkan Pengguna Perlindungan Identitas dan Kebijakan masuk. Kebijakan masuk yang direkomendasikan adalah menargetkan rincian masuk risiko sedang dan memerlukan autentikasi multifaktor. Untuk Kebijakan pengguna, Anda harus menargetkan pengguna berisiko tinggi yang memerlukan tindakan perubahan kata sandi. |
| Membuat dan mengaktifkan kebijakan Akses Bersyarat | Autentikasi multifaktor bagi admin untuk melindungi akun yang diberi hak administratif. Blokir protokol autentikasi warisan karena peningkatan risiko yang terkait dengan protokol autentikasi warisan. Memerlukan autentikasi multifaktor untuk Azure Management untuk melindungi sumber daya istimewa Anda dengan memerlukan autentikasi multifaktor untuk setiap pengguna yang mengakses sumber daya Azure. |
| Mengaktifkan Sinkronisasi Hash Kata Sandi (jika menggunakan identitas hibrid) | Memberikan redundansi untuk autentikasi dan meningkatkan keamanan (termasuk Smart Lockout, IP Lockout, dan kemampuan untuk menemukan kredensial yang bocor.) |
| Mengaktifkan penguncian cerdas Layanan Federasi Direktori Aktif (Jika berlaku) | Melindungi pengguna Anda dari mengalami penguncian akun ekstranet dari aktivitas berbahaya. |
| Mengaktifkan penguncian cerdas Microsoft Entra (jika menggunakan identitas terkelola) | Penguncian cerdas membantu mengunci pelaku jahat yang mencoba menebak kata sandi pengguna Anda atau menggunakan metode brute-force untuk masuk. |
| Menonaktifkan persetujuan pengguna akhir untuk aplikasi | Alur kerja persetujuan admin memberi admin cara yang aman untuk memberikan akses ke aplikasi yang memerlukan persetujuan admin sehingga pengguna akhir tidak mengekspos data perusahaan. Microsoft merekomendasikan untuk menonaktifkan operasi persetujuan pengguna di masa mendatang untuk membantu mengurangi area permukaan Anda dan mengurangi risiko ini. |
| Mengaktifkan akses jarak jauh ke aplikasi warisan lokal dengan Proksi Aplikasi | Aktifkan proksi aplikasi Microsoft Entra dan integrasikan dengan aplikasi warisan bagi pengguna untuk mengakses aplikasi lokal dengan aman dengan masuk dengan akun Microsoft Entra mereka. |
| Aktifkan Akses hibrid aman: Mengamankan aplikasi warisan dengan pengontrol dan jaringan pengiriman aplikasi yang ada (jika berlaku). | Terbitkan dan lindungi aplikasi autentikasi warisan lokal dan cloud Anda dengan menyambungkannya ke ID Microsoft Entra dengan pengontrol atau jaringan pengiriman aplikasi yang ada. |
| Mengintegrasikan aplikasi SaaS yang didukung dari galeri ke MICROSOFT Entra ID dan mengaktifkan akses menyeluruh | MICROSOFT Entra ID memiliki galeri yang berisi ribuan aplikasi yang telah diintegrasi sebelumnya. Beberapa aplikasi yang digunakan organisasi Anda mungkin berada di galeri yang dapat diakses langsung dari portal Microsoft Azure. Sediakan akses ke aplikasi SaaS perusahaan dari jarak jauh dan aman dengan pengalaman pengguna yang lebih baik (SSO). |
| Mengotomatiskan provisi dan pencabutan akses pengguna dari Aplikasi SaaS (jika berlaku) | Buat identitas dan peran pengguna secara otomatis di aplikasi cloud (SaaS) yang perlu diakses pengguna. Selain membuat identitas pengguna, provisi otomatis mencakup pemeliharaan dan penghapusan identitas pengguna saat status atau peran berubah, meningkatkan keamanan organisasi Anda. |
| Aktifkan Akses Bersyar – Berbasis perangkat | Tingkatkan pengalaman keamanan dan pengguna dengan Akses Bersyarat berbasis perangkat. Langkah ini memastikan pengguna hanya dapat mengakses dari perangkat yang memenuhi standar keamanan dan kepatuhan Anda. Perangkat ini juga dikenal sebagai perangkat terkelola. Perangkat terkelola dapat mematuhi Intune atau perangkat gabungan hibrid Microsoft Entra. |
| Mengaktifkan Perlindungan Kata Sandi | Lindungi pengguna agar tidak menggunakan kata sandi yang lemah dan mudah ditebak. |
| Gunakan peran dengan hak istimewa paling sedikit jika memungkinkan | Memberikan administrator Anda akses yang mereka butuhkan hanya untuk area yang mereka butuhkan aksesnya. |
| Mengaktifkan panduan kata sandi Microsoft | Berhenti mengharuskan pengguna untuk mengubah kata sandi mereka pada jadwal yang ditetapkan, nonaktifkan persyaratan kompleksitas, dan pengguna Anda lebih cenderung mengingat kata sandi mereka serta menyimpan sesuatu yang aman. |
| Membuat daftar kata sandi terlarang kustom khusus untuk organisasi | Mencegah pengguna membuat kata sandi yang menyertakan kata atau frasa umum dari organisasi atau area Anda. |
| Menyebarkan metode autentikasi tanpa kata sandi untuk pengguna Anda | Memberikan pengguna Anda metode autentikasi tanpa kata sandi yang nyaman |
| Membuat rencana untuk akses pengguna tamu | Berkolaborasi dengan pengguna tamu dengan mengizinkan mereka masuk ke aplikasi dan layanan Anda dengan identitas kerja, sekolah, atau sosial mereka sendiri. |
| Aktifkan Privileged Identity Management (PIM) | Memungkinkan Anda mengelola, mengontrol, dan memantau akses ke sumber daya penting di organisasi Anda, memastikan admin hanya memiliki akses saat diperlukan dan dengan persetujuan. |
| Menyelesaikan tinjauan akses untuk peran direktori Microsoft Entra di PIM | Bekerja sama dengan tim keamanan dan kepemimpinan Anda untuk membuat kebijakan tinjauan akses untuk meninjau akses administratif berdasarkan kebijakan organisasi Anda. |
Zero Trust
Fitur ini membantu organisasi untuk menyelaraskan identitas mereka dengan tiga prinsip panduan arsitektur Zero Trust:
- Memverifikasi secara eksplisit
- Gunakan hak istimewa minimum
- Mengasumsikan pembobolan
Untuk mengetahui selengkapnya tentang Zero Trust dan cara lain untuk menyelaraskan organisasi Anda dengan prinsip panduan, lihat Pusat Panduan Zero Trust.