Apa itu Azure Active Directory Identity Governance?

Azure Active Directory (Azure AD) Identity Governance memungkinkan Anda menyeimbangkan kebutuhan organisasi Anda akan keamanan dan produktivitas karyawan dengan proses dan visibilitas yang tepat. Fitur ini memberi Anda kemampuan untuk memastikan bahwa orang yang tepat memiliki akses yang tepat ke sumber daya yang tepat. Fitur Azure Active Directory dan Enterprise Mobility + Security ini dan terkait memungkinkan Anda untuk mengurangi risiko akses dengan melindungi, memantau, dan mengaudit akses ke aset penting -- sambil memastikan produktivitas karyawan dan mitra bisnis.

Tata Kelola Identitas memberi organisasi kemampuan untuk melakukan tugas-tugas berikut di seluruh karyawan, mitra bisnis, dan vendor, dan di seluruh layanan dan aplikasi baik lokal maupun di cloud:

  • Mengatur siklus hidup identitas
  • Mengatur siklus hidup akses
  • Mengamankan akses istimewa untuk administrasi

Secara khusus, hal ini dimaksudkan untuk membantu organisasi mengatasi empat pertanyaan utama ini:

  • Pengguna yang harus memiliki akses ke sumber daya tertentu?
  • Apa yang dilakukan pengguna tersebut dengan akses tersebut?
  • Apakah ada kontrol organisasi yang efektif untuk mengelola akses?
  • Dapatkah auditor memverifikasi bahwa kontrol berfungsi?

Siklus hidup identitas

Identity Governance membantu organisasi mencapai keseimbangan antara produktivitas - Seberapa cepat seseorang dapat mengakses sumber daya yang mereka butuhkan, seperti saat mereka bergabung dengan organisasi saya? Dan keamanan - Bagaimana akses mereka harus berubah dari waktu ke waktu, seperti karena perubahan status pekerjaan orang tersebut? Manajemen siklus hidup identitas adalah dasar untuk Identity Governance, dan tata kelola yang efektif dalam skala besar memerlukan modernisasi infrastruktur manajemen siklus hidup identitas untuk aplikasi.

Siklus hidup identitas

Bagi banyak organisasi, siklus hidup identitas untuk karyawan terkait dengan representasi pengguna tersebut dalam sistem HCM (manajemen sumber daya manusia). Azure Active Directory Premium secara otomatis menyimpan identitas pengguna untuk orang-orang yang diwakili dalam Workday dan SuccessFactors di Direktori Aktif dan Azure Active Directory, seperti yang dijelaskan dalam aplikasi SDM cloud untuk panduan perencanaan penyediaan pengguna Azure Active Directory. Azure Active Directory Premium juga menyertakan Microsoft Identity Manager, yang dapat mengimpor rekaman dari sistem HCM lokal seperti SAP HCM, Oracle eBusiness, dan Oracle PeopleSoft.

Semakin banyak, skenario memerlukan kolaborasi dengan orang-orang di luar organisasi Anda. Kolaborasi Azure Active Directory B2B memungkinkan Anda berbagi aplikasi dan layanan organisasi dengan aman dengan pengguna tamu dan mitra eksternal dari organisasi mana pun, sambil mempertahankan kontrol atas data perusahaan Anda sendiri. Pengelolaan pemberian hak Azure Active Directory memungkinkan Anda memilih pengguna organisasi mana yang diizinkan untuk meminta akses dan ditambahkan sebagai tamu B2B ke direktori organisasi Anda, dan memastikan bahwa tamu ini dihapus saat mereka tidak lagi memerlukan akses.

Mengakses siklus hidup

Organisasi memerlukan proses untuk mengelola akses di luar apa yang awalnya disediakan untuk pengguna saat identitas pengguna tersebut dibuat. Selain itu, organisasi perusahaan harus dapat menskalakan secara efisien untuk dapat mengembangkan dan menegakkan kebijakan dan kontrol akses secara berkelanjutan.

Mengakses siklus hidup

Biasanya, delegasi IT mengakses keputusan persetujuan kepada pembuat keputusan bisnis. Selain itu, IT dapat melibatkan pengguna itu sendiri. Misalnya, pengguna yang mengakses data pelanggan rahasia dalam aplikasi pemasaran perusahaan di Eropa perlu mengetahui kebijakan perusahaan. Pengguna tamu mungkin tidak menyadari persyaratan penanganan data dalam organisasi tempat mereka diundang.

Organisasi dapat mengotomatiskan proses siklus hidup akses melalui teknologi seperti grup dinamis, ditambah dengan penyediaan pengguna ke aplikasi SaaS atau aplikasi yang terintegrasi dengan SCIM. Organisasi juga dapat mengontrol pengguna tamu mana yang memiliki akses ke aplikasi lokal. Hak akses ini kemudian dapat ditinjau secara berkala menggunakan tinjauan akses Azure Active Directory berulang. Pengelolaan pemberian hak Azure Active Directory juga memungkinkan Anda menentukan bagaimana pengguna meminta akses di seluruh paket keanggotaan grup dan tim, peran aplikasi, dan peran SharePoint Online.

Saat pengguna mencoba mengakses aplikasi, Azure Active Directory memberlakukan kebijakan Akses Bersyarat. Misalnya, kebijakan Akses Bersyarat dapat mencakup menampilkan persyaratan penggunaan dan memastikan pengguna telah menyetujui persyaratan tersebut sebelum dapat mengakses aplikasi.

Siklus hidup akses istimewa

Secara historis, akses istimewa telah dijelaskan oleh vendor lain sebagai kemampuan terpisah dari Identity Governance. Namun, di Microsoft, menurut kami mengatur akses istimewa adalah bagian penting dari Identity Governance -- terutama mengingat potensi penyalahgunaan yang terkait dengan hak administrator tersebut dapat menyebabkan organisasi. Karyawan, vendor, dan kontraktor yang mengambil hak administratif perlu diatur.

Siklus hidup akses istimewa

Azure Active Directory Privileged Identity Management (PIM) menyediakan kontrol tambahan yang disesuaikan untuk mengamankan hak akses untuk sumber daya, di Azure Active Directory, Azure, dan Layanan Online Microsoft lainnya. Akses tepat waktu, dan kemampuan peringatan perubahan peran yang disediakan oleh Azure Active Directory Privileged Identity Management, selain autentikasi multifaktor dan Akses Bersyarat, menyediakan serangkaian kontrol tata kelola yang komprehensif untuk membantu mengamankan sumber daya perusahaan Anda (peran sumber daya direktori, Microsoft 365, dan Azure). Seperti halnya bentuk akses lainnya, organisasi dapat menggunakan tinjauan akses untuk mengonfigurasi sertifikasi ulang akses berulang untuk semua pengguna dalam peran administrator.

Kapabilitas tata kelola di fitur Azure Active Directory lainnya

Selain fitur yang tercantum di atas, fitur Azure Active Directory tambahan yang sering digunakan untuk menyediakan skenario tata kelola identitas meliputi:

Kemampuan Skenario Fitur
Siklus hidup identitas (karyawan) Admin dapat mengaktifkan penyediaan akun pengguna dari Workday atau SDM cloud SuccessFactors, atau SDM lokal. SDM cloud ke penyediaan pengguna Azure Active Directory
Siklus hidup identitas (tamu) Admin dapat mengaktifkan orientasi pengguna tamu layanan mandiri dari penyewa Azure Active Directory lain, federasi langsung, One Time Passcode (OTP) atau akun Google. Pengguna tamu secara otomatis disediakan dan dicabut sesuai dengan kebijakan siklus hidup. Pengelolaan pemberian hak menggunakan B2B
Pengelolaan pemberian hak Pemilik sumber daya dapat membuat paket akses yang berisi aplikasi, Teams, Grup Azure Active Directory dan Microsoft 365, serta situs SharePoint Online. Pengelolaan pemberian hak
Permintaan akses Pengguna akhir dapat meminta keanggotaan grup atau akses aplikasi. Pengguna akhir, termasuk tamu dari organisasi lain, dapat meminta akses ke paket akses. Pengelolaan pemberian hak
Alur kerja Pemilik sumber daya dapat menentukan pemberi persetujuan dan pemberi persetujuan eskalasi untuk permintaan akses dan pemberi persetujuan untuk permintaan aktivasi peran. Pengelolaan pemberian hak dan Privileged Identity Management
Kebijakan dan manajemen peran Admin dapat menentukan kebijakan akses bersyarat untuk akses run-time ke aplikasi. Pemilik sumber daya dapat menentukan kebijakan untuk akses pengguna melalui paket akses. Kebijakan Akses bersyarat dan Pengelolaan pemberian hak
Sertifikasi akses Admin dapat mengaktifkan sertifikasi ulang akses berulang untuk: Aplikasi SaaS atau keanggotaan grup cloud, penetapan peran Azure Active Directory atau Azure Resource. Hapus akses sumber daya secara otomatis, blokir akses tamu, dan hapus akun tamu. Ulasan akses, juga muncul di Privileged Identity Management
Pemenuhan dan penyediaan Penyediaan dan pencabutan akses otomatis ke dalam aplikasi yang terhubung dengan Azure Active Directory, termasuk melalui SCIM dan ke situs SharePoint Online. penyediaan pengguna
Pelaporan dan analitik Admin dapat mengambil log audit penyediaan pengguna terbaru dan aktivitas masuk. Integrasi dengan Azure Monitor dan 'yang memiliki akses' melalui paket akses. Laporan Azure Active Directory dan pemantauan
Akses dengan hak istimewa Akses tepat waktu dan terjadwal, peringatan, alur kerja persetujuan untuk peran Azure Active Directory (termasuk peran kustom) dan peran Sumber Daya Azure. Azure Active Directory Privileged Identity Management
Audit Admin dapat diberi tahu tentang pembuatan akun admin. Pemberitahuan Azure Active Directory Privileged Identity Management

Memulai

Lihat tab Memulai tab Identity Governance di portal Microsoft Azure untuk mulai menggunakan pengelolaan pemberian hak, tinjauan akses, Manajemen Identitas Istimewa, dan Ketentuan Penggunaan.

Memulai Identity Governance

Jika Anda memiliki umpan balik tentang fitur Identity Governance, klik Ada umpan balik? di portal Microsoft Azure untuk mengirim umpan balik Anda. Tim secara teratur meninjau umpan balik Anda.

Meskipun tidak ada solusi atau rekomendasi yang sempurna untuk setiap pelanggan, panduan konfigurasi berikut juga menyediakan kebijakan dasar yang disarankan Microsoft untuk Anda ikuti guna memastikan tenaga kerja yang lebih aman dan produktif.

Lampiran - peran paling tidak istimewa untuk mengelola dalam fitur Identity Governance

Ini adalah praktik terbaik untuk menggunakan peran yang paling tidak istimewa untuk melakukan tugas administratif dalam Identity Governance. Kami menyarankan agar Anda menggunakan Azure Active Directory Privileged Identity Management untuk mengaktifkan peran yang diperlukan untuk melakukan tugas-tugas ini. Berikut ini adalah peran direktori yang paling tidak istimewa untuk mengonfigurasi fitur Identity Governance:

Fitur Peran istimewa paling rendah
Pengelolaan pemberian hak Administrator Tata Kelola Identitas
Tinjauan akses Administrator pengguna (dengan pengecualian ulasan akses peran Azure atau Azure Active Directory, yang memerlukan administrator peran Istimewa)
Privileged Identity Management Admin peran istimewa
Persyaratan penggunaan Administrator keamanan atau Administrator akses bersyarat

Catatan

Peran paling tidak istimewa untuk Pengelolaan pemberian hak telah berubah dari peran Administrator Pengguna ke peran Administrator Tata Kelola Identitas.

Langkah berikutnya