Gambaran umum: Akses lintas penyewa dengan Azure AD External Identities

  • Artikel
  • 9 menit untuk membaca

Organisasi Azure Active Directory dapat menggunakan pengaturan akses lintas penyewa External Identities untuk mengelola cara organisasi berkolaborasi dengan organisasi Azure Active Directory lainnya dan cloud Microsoft Azure lainnya melalui kolaborasi B2B dan koneksi langsung B2B. Pengaturan akses lintas penyewa memberi Anda kontrol terperinci tentang cara organisasi Azure AD eksternal berkolaborasi dengan Anda (akses masuk) dan cara pengguna anda berkolaborasi dengan organisasi Azure AD eksternal (akses keluar). Pengaturan ini juga memungkinkan Anda mempercayai klaim autentikasi multifaktor (MFA) dan perangkat (klaim yang sesuai dan klaim gabungan Azure AD hibrid) dari organisasi Azure AD lainnya.

Artikel ini menjelaskan pengaturan akses lintas penyewa, yang digunakan untuk mengelola kolaborasi B2B dan koneksi langsung B2B dengan organisasi Azure Active Directory eksternal, termasuk di seluruh cloud Microsoft. Pengaturan tambahan tersedia untuk kolaborasi B2B dengan identitas non-Microsoft Azure AD (misalnya, identitas sosial atau akun eksternal yang dikelola non-IT). Pengaturan kolaborasi eksternal mencakup opsi untuk membatasi akses pengguna tamu, menentukan siapa yang dapat mengundang tamu, serta mengizinkan atau memblokir domain.

Diagram gambaran umum pengaturan akses lintas-penyewa.

Mengelola akses eksternal dengan pengaturan masuk dan keluar

Secara default, kolaborasi B2B dengan organisasi Microsoft Azure AD lainnya diaktifkan, dan koneksi langsung B2B diblokir. Tetapi pengaturan admin komprehensif berikut memungkinkan Anda mengelola kedua fitur ini.

  • Pengaturan akses keluar mengontrol apakah pengguna Anda dapat mengakses sumber daya di organisasi eksternal. Anda dapat menerapkan pengaturan ini untuk semua orang, atau Anda dapat menentukan pengguna individu, grup, dan aplikasi.

  • Pengaturan akses masuk mengontrol apakah pengguna dari organisasi Azure AD eksternal dapat mengakses sumber daya di organisasi Anda. Anda dapat menerapkan pengaturan ini untuk semua orang, atau Anda dapat menentukan pengguna individu, grup, dan aplikasi.

  • Setelan kepercayaan (masuk) menentukan apakah kebijakan Akses Bersyarat Anda akan mempercayai autentikasi multifaktor (MFA), perangkat yang sesuai, dan klaim perangkat gabungan Azure AD hibrid dari organisasi eksternal jika pengguna mereka telah memenuhi persyaratan ini di penyewa rumah mereka. Misalnya, saat Anda mengonfigurasi pengaturan kepercayaan untuk mempercayai MFA, kebijakan MFA Anda masih diterapkan untuk pengguna eksternal, namun pengguna yang telah menyelesaikan MFA di penyewa rumah mereka tidak perlu menyelesaikan MFA lagi di penyewa Anda.

Pengaturan default

Pengaturan akses lintas penyewa default berlaku untuk semua organisasi Azure AD di luar penyewa Anda, kecuali yang telah Anda konfigurasikan pengaturan organisasi. Anda dapat mengubah pengaturan default, namun pengaturan default awal untuk kolaborasi B2B dan koneksi langsung B2B adalah sebagai berikut:

  • Kolaborasi B2B: Semua pengguna internal Anda diaktifkan untuk kolaborasi B2B secara default. Ini berarti pengguna Anda dapat mengundang tamu eksternal untuk mengakses sumber daya Anda dan mereka dapat diundang ke organisasi eksternal sebagai tamu. Klaim MFA dan perangkat dari organisasi Azure AD lainnya tidak dipercaya.

  • Koneksi langsung B2B: Tidak ada hubungan kepercayaan koneksi langsung B2B yang ditetapkan secara default. Microsoft Azure AD memblokir semua kemampuan koneksi langsung B2B yang masuk dan keluar untuk semua penyewa Microsoft Azure AD eksternal.

  • Pengaturan Organisasi: Tidak ada organisasi yang ditambahkan ke pengaturan Organisasi Anda secara default. Ini berarti semua organisasi Azure AD eksternal diaktifkan untuk kolaborasi B2B dengan organisasi Anda.

Perilaku yang dijelaskan di atas berlaku untuk kolaborasi B2B dengan penyewa Azure Active Directory lainnya di cloud Microsoft Azure yang sama. Dalam skenario lintas cloud, pengaturan default bekerja sedikit berbeda. Lihat Pengaturan cloud Microsoft nanti di artikel ini.

Pengaturan organisasi

Anda dapat mengonfigurasi pengaturan khusus organisasi dengan menambahkan organisasi dan memodifikasi pengaturan masuk dan keluar untuk organisasi tersebut. Pengaturan organisasi lebih diutamakan daripada pengaturan default.

  • Untuk kolaborasi B2B dengan organisasi Microsoft Azure AD lainnya, gunakan pengaturan akses lintas penyewa untuk mengelola kolaborasi B2B yang masuk dan keluar serta akses cakupan ke pengguna, grup, dan aplikasi tertentu. Anda dapat mengatur konfigurasi default yang berlaku untuk semua organisasi eksternal, lalu membuat pengaturan khusus organisasi individual sesuai kebutuhan. Menggunakan pengaturan akses antarpenyewa, Anda juga dapat mempercayai klaim multifaktor (MFA) dan perangkat (klaim yang sesuai dan klaim gabungan Azure AD hibrida) dari organisasi Azure AD lainnya.

    Tip

    Jika Anda ingin memercayai MFA masuk untuk pengguna eksternal, pastikan Anda tidak memiliki kebijakan Perlindungan Identitas yang mengharuskan pengguna eksternal mendaftar ke MFA. Jika kedua kebijakan ini ada, pengguna eksternal tidak akan dapat memenuhi persyaratan akses. Jika Anda ingin menerapkan kebijakan pendaftaran MFA Perlindungan Identitas, pastikan untuk mengecualikan pengguna eksternal.

  • Untuk koneksi langsung B2B, gunakan pengaturan organisasi untuk menyiapkan hubungan saling percaya dengan organisasi Microsoft Azure AD lainnya. Baik organisasi Anda dan organisasi eksternal perlu saling mengaktifkan koneksi langsung B2B dengan mengonfigurasi pengaturan akses lintas penyewa yang masuk dan keluar.

  • Anda dapat menggunakan pengaturan kolaborasi eksternal untuk membatasi siapa yang dapat mengundang pengguna eksternal, mengizinkan atau memblokir domain tertentu B2B, dan menetapkan pembatasan akses pengguna tamu ke direktori Anda.

Pengaturan cloud Microsoft

Catatan

Pengaturan cloud Microsoft adalah fitur pratinjau Azure Active Directory. Untuk mengetahui informasi selengkapnya mengenai pratinjau, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Pengaturan cloud Microsoft memungkinkan Anda berkolaborasi dengan organisasi dari cloud Microsoft Azure yang berbeda. Dengan pengaturan cloud Microsoft, Anda dapat membangun kolaborasi B2B timbal balik antara cloud berikut:

  • Cloud global Microsoft Azure dan Microsoft Azure Government
  • Cloud global Microsoft Azure dan Azure Tiongkok

Untuk menyiapkan kolaborasi B2B, kedua organisasi mengonfigurasi pengaturan cloud Microsoft untuk mengaktifkan cloud mitra. Kemudian setiap organisasi menggunakan ID penyewa mitra untuk menemukan dan menambahkan mitra ke pengaturan organisasi mereka. Dari sana, setiap organisasi dapat mengizinkan pengaturan akses lintas-penyewa default organisasi agar berlaku untuk mitra, atau organisasi dapat mengonfigurasi pengaturan masuk dan keluar khusus mitra. Setelah Anda membangun kolaborasi B2B dengan mitra di cloud lain, Anda akan dapat:

  • Menggunakan kolaborasi B2B untuk mengundang pengguna di penyewa mitra untuk mengakses sumber daya di organisasi Anda, termasuk aplikasi lini bisnis web, aplikasi SaaS, dan situs SharePoint Online, dokumen, dan file.
  • Menerapkan kebijakan Akses Bersyarat ke pengguna kolaborasi B2B dan memilih untuk mempercayai klaim perangkat (klaim yang sesuai dan klaim gabungan Azure Active Directory hibrid) dari penyewa beranda pengguna.

Catatan

Koneksi langsung B2B tidak didukung untuk kolaborasi dengan penyewa Azure AD di cloud Microsoft yang berbeda.

Untuk langkah-langkah konfigurasi, lihat Mengonfigurasi pengaturan cloud Microsoft untuk kolaborasi B2B (Pratinjau).

Pengaturan default dalam skenario lintas cloud

Untuk berkolaborasi dengan penyewa mitra di cloud Microsoft Azure yang berbeda, kedua organisasi harus saling mengaktifkan kolaborasi B2B satu sama lain. Langkah pertama adalah mengaktifkan cloud mitra di pengaturan lintas penyewa Anda. Saat pertama kali Anda mengizinkan cloud lain, kolaborasi B2B diblokir untuk semua penyewa di cloud tersebut. Anda perlu menambahkan penyewa yang ingin Anda ajak berkolaborasi ke pengaturan Organisasi Anda, dan pada saat itu pengaturan default Anda berlaku hanya untuk penyewa tersebut. Anda dapat mengizinkan pengaturan default untuk tetap berlaku, atau Anda dapat mengubah pengaturan organisasi untuk penyewa.

Pertimbangan penting

Penting

Mengubah pengaturan masuk atau keluar default untuk memblokir akses dapat memblokir akses penting bisnis yang ada ke aplikasi di organisasi atau organisasi mitra Anda. Pastikan untuk menggunakan alat yang dijelaskan dalam artikel ini dan berkonsultasi dengan pemangku kepentingan bisnis Anda untuk mengidentifikasi akses yang diperlukan.

  • Untuk mengonfigurasi pengaturan akses lintas penyewa di portal Azure, Anda memerlukan akun dengan peran administrator Perusahaan atau administrator Keamanan.

  • Untuk mengonfigurasi pengaturan kepercayaan atau menerapkan pengaturan akses ke pengguna, grup, atau aplikasi tertentu, Anda memerlukan lisensi Azure AD Premium P1.

  • Pengaturan akses lintas penyewa digunakan untuk mengelola kolaborasi B2B dan koneksi langsung B2B dengan organisasi Microsoft Azure AD lainnya. Untuk kolaborasi B2B dengan identitas selain Microsoft Azure AD (misalnya, identitas sosial atau akun eksternal yang dikelola non-IT), gunakan pengaturan kolaborasi eksternal. Pengaturan kolaborasi eksternal mencakup opsi kolaborasi B2B untuk membatasi akses pengguna tamu, menentukan siapa yang dapat mengundang tamu, dan mengizinkan atau memblokir domain.

  • Jika Anda ingin menerapkan pengaturan akses ke pengguna, grup, atau aplikasi tertentu di organisasi eksternal, Anda harus menghubungi organisasi untuk mendapatkan informasi sebelum mengonfigurasi pengaturan Anda. Dapatkan ID objek pengguna, ID objek grup, atau ID aplikasi (ID aplikasi klien atau ID aplikasi sumber daya) sehingga Anda dapat menargetkan pengaturan dengan benar.

    Tip

    Anda mungkin dapat menemukan ID aplikasi untuk aplikasi di organisasi eksternal dengan memeriksa log masuk Anda. Lihat bagian Identifikasi akses masuk dan keluar.

  • Pengaturan akses yang Anda konfigurasikan untuk pengguna dan grup harus sesuai dengan pengaturan akses untuk aplikasi. Pengaturan yang bertentangan tidak diizinkan, dan Anda akan melihat pesan peringatan jika mencoba mengonfigurasinya.

    • Contoh 1: Jika Anda memblokir akses masuk untuk semua pengguna dan grup eksternal, akses ke semua aplikasi Anda juga harus diblokir.

    • Contoh 2: Jika Anda mengizinkan akses keluar untuk semua pengguna Anda (atau pengguna maupun grup tertentu), Anda tidak akan dapat memblokir semua akses ke aplikasi eksternal; akses ke satu aplikasi setidaknya harus diizinkan.

  • Jika Anda ingin mengizinkan koneksi langsung B2B dengan organisasi eksternal dan kebijakan Akses Bersyarat, Anda memerlukan MFA. Anda harus mengonfigurasi pengaturan kepercayaan sehingga kebijakan Akses Bersyarat Anda akan menerima klaim MFA dari organisasi eksternal.

  • Jika Anda memblokir akses ke semua aplikasi secara default, pengguna tidak akan dapat membaca email yang dienkripsi dengan Microsoft Rights Management Service (juga dikenal sebagai Enkripsi Pesan Office 365 atau OME). Untuk menghindari masalah ini, kami sarankan untuk mengonfigurasi pengaturan keluar Anda guna memungkinkan pengguna Anda mengakses ID aplikasi ini: 00000012-0000-0000-c000-000000000000. Jika ini adalah satu-satunya aplikasi yang Anda izinkan, akses ke semua aplikasi lain akan diblokir secara default.

Mengidentifikasi akses masuk dan keluar

Beberapa alat tersedia untuk membantu Anda mengidentifikasi akses yang dibutuhkan pengguna dan mitra Anda sebelum Anda mengatur pengaturan akses masuk dan keluar. Untuk memastikan Anda tidak menghapus akses yang dibutuhkan pengguna dan mitra Anda, Anda harus memeriksa perilaku masuk saat ini. Mengambil langkah awal ini akan membantu mencegah hilangnya akses yang diinginkan untuk pengguna akhir dan pengguna mitra Anda. Namun, dalam beberapa kasus log ini hanya disimpan selama 30 hari, jadi kami sangat menyarankan Anda berbicara dengan pemangku kepentingan bisnis Anda untuk memastikan akses yang diperlukan tidak hilang.

Catatan

Selama pratinjau pengaturan cloud Microsoft, peristiwa masuk untuk skenario lintas cloud akan dilaporkan di penyewa sumber daya, tetapi tidak di penyewa beranda.

Skrip PowerShell aktivitas masuk lintas penyewa

Untuk meninjau aktivitas masuk pengguna yang terkait dengan penyewa eksternal, gunakan skrip PowerShell aktivitas masuk pengguna lintas penyewa. Misalnya, untuk melihat semua peristiwa masuk yang tersedia untuk aktivitas masuk (pengguna eksternal mengakses sumber daya di penyewa lokal) dan aktivitas keluar (pengguna lokal mengakses sumber daya di penyewa eksternal), jalankan perintah berikut:

Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId

Output adalah ringkasan dari semua acara masuk yang tersedia untuk aktivitas masuk dan keluar, yang tercantum oleh ID penyewa eksternal dan nama penyewa eksternal.

Skrip PowerShell log masuk

Untuk menentukan akses pengguna ke organisasi Microsoft Azure AD eksternal, gunakan cmdlet Get-MgAuditLogSignIn di SDK PowerShell Microsoft Graph untuk melihat data dari log masuk Anda selama 30 hari terakhir. Misalnya, jalankan perintah berikut: 

#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"

#Get external access
$TenantId = "<replace-with-your-tenant-ID>"

Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}

Output adalah daftar akses keluar yang dimulai oleh pengguna Anda ke aplikasi di penyewa eksternal.

Azure Monitor

Jika organisasi Anda berlangganan layanan Azure Monitor, gunakan Buku kerja aktivitas akses lintas penyewa (tersedia di galeri buku kerja Pemantauan di portal Microsoft Azure) guna menjelajahi akses masuk dan keluar secara visual untuk jangka waktu yang lebih lama.

Sistem Security Information dan Event Management (SIEM)

Jika organisasi Anda mengekspor log masuk ke sistem Security Information and Event Management (SIEM), Anda dapat mengambil informasi yang diperlukan dari sistem SIEM Anda.

Mengidentifikasi perubahan pada pengaturan akses lintas penyewa

Log audit Azure AD mengambil semua aktivitas seputar perubahan dan aktivitas pengaturan akses lintas penyewa. Untuk mengaudit perubahan pada pengaturan akses lintas penyewa Anda, gunakan kategoriCrossTenantAccessSettings untuk memfilter semua aktivitas guna menampilkan perubahan pada pengaturan akses lintas penyewa.

Log audit untuk pengaturan akses lintas penyewa.

Langkah berikutnya

Mengonfigurasi pengaturan akses lintas penyewa untuk kolaborasi B2BMengonfigurasi pengaturan akses lintas penyewa untuk koneksi langsung B2B