Apa itu Tata Kelola ID Microsoft Entra?
Tata Kelola ID Microsoft Entra adalah solusi tata kelola identitas yang memungkinkan organisasi meningkatkan produktivitas, memperkuat keamanan, dan lebih mudah memenuhi persyaratan kepatuhan dan peraturan. Anda dapat menggunakan Tata Kelola ID Microsoft Entra untuk secara otomatis memastikan bahwa orang yang tepat memiliki akses yang tepat ke sumber daya yang tepat, dengan otomatisasi proses identitas dan akses, delegasi ke grup bisnis, dan peningkatan visibilitas. Dengan fitur yang disertakan dalam Tata Kelola ID Microsoft Entra, bersama dengan fitur dalam produk Microsoft Entra, Microsoft Security, dan Microsoft Azure terkait, Anda dapat mengurangi risiko identitas dan akses dengan melindungi, memantau, dan mengaudit akses ke aset penting.
Secara khusus, Tata Kelola ID Microsoft Entra membantu organisasi mengatasi empat pertanyaan utama ini, untuk akses di seluruh layanan dan aplikasi baik lokal maupun di cloud:
- Pengguna mana yang harus memiliki akses ke sumber daya mana?
- Apa yang dilakukan pengguna tersebut dengan akses tersebut?
- Apakah ada kontrol organisasi untuk mengelola akses?
- Dapatkah auditor memverifikasi bahwa kontrol berfungsi secara efektif?
Dengan Tata Kelola ID Microsoft Entra Anda dapat menerapkan skenario berikut untuk karyawan, mitra bisnis, dan vendor:
- Mengatur siklus hidup identitas
- Mengatur siklus hidup akses
- Mengamankan akses istimewa untuk administrasi
Siklus hidup identitas
Identity Governance membantu organisasi mencapai keseimbangan antara produktivitas - Seberapa cepat seseorang dapat mengakses sumber daya yang mereka butuhkan, seperti saat mereka bergabung dengan organisasi saya? Dan keamanan - Bagaimana akses mereka harus berubah dari waktu ke waktu, seperti karena perubahan status pekerjaan orang tersebut? Manajemen siklus hidup identitas adalah dasar untuk Identity Governance, dan tata kelola yang efektif dalam skala besar memerlukan modernisasi infrastruktur manajemen siklus hidup identitas untuk aplikasi.
Bagi banyak organisasi, siklus hidup identitas untuk karyawan dan pekerja lain terkait dengan representasi orang tersebut dalam HCM (manajemen sumber daya manusia) atau sistem SDM. Organisasi perlu mengotomatiskan proses pembuatan identitas untuk karyawan baru yang didasarkan pada sinyal dari sistem tersebut sehingga karyawan dapat produktif pada hari ke-1. Dan organisasi perlu memastikan identitas dan akses tersebut dihapus ketika karyawan meninggalkan organisasi.
Dalam Tata Kelola ID Microsoft Entra, Anda dapat mengotomatiskan siklus hidup identitas untuk individu ini menggunakan:
- provisi masuk dari sumber SDM organisasi Anda, termasuk mengambil dari Workday dan SuccessFactors, untuk secara otomatis mempertahankan identitas pengguna di Direktori Aktif dan ID Microsoft Entra.
- alur kerja siklus hidup untuk mengotomatiskan tugas alur kerja yang berjalan pada peristiwa kunci tertentu, seperti sebelum karyawan baru dijadwalkan untuk mulai bekerja di organisasi, saat mereka mengubah status selama waktu mereka di organisasi, dan saat mereka meninggalkan organisasi. Misalnya, alur kerja dapat dikonfigurasi untuk mengirim email dengan pass akses sementara ke manajer pengguna baru, atau email selamat datang kepada pengguna, pada hari pertama mereka.
- kebijakan penetapan otomatis dalam pengelolaan pemberian hak untuk menambahkan dan menghapus keanggotaan grup pengguna, peran aplikasi, dan peran situs SharePoint, berdasarkan perubahan pada atribut pengguna.
- provisi pengguna untuk membuat, memperbarui, dan menghapus akun pengguna di aplikasi lain, dengan konektor ke ratusan aplikasi cloud dan lokal melalui SCIM, LDAP, dan SQL.
Organisasi juga memerlukan identitas tambahan, bagi mitra, pemasok, dan tamu lainnya, untuk memungkinkan mereka berkolaborasi atau memiliki akses ke sumber daya.
Dalam Tata Kelola ID Microsoft Entra, Anda dapat mengaktifkan grup bisnis untuk menentukan tamu mana yang harus memiliki akses, dan berapa lama, menggunakan:
- pengelolaan pemberian hak di mana Anda dapat menentukan organisasi lain yang penggunanya diizinkan untuk meminta akses ke sumber daya organisasi Anda. Saat salah satu permintaan pengguna tersebut disetujui, mereka secara otomatis ditambahkan oleh pengelolaan pemberian hak sebagai tamu B2B ke direktori organisasi Anda, dan diberi akses yang sesuai. Dan pengelolaan pemberian hak secara otomatis menghapus pengguna tamu B2B dari direktori organisasi Anda saat hak akses mereka kedaluwarsa atau dicabut.
- tinjauan akses yang mengotomatiskan tinjauan berulang tamu yang sudah ada di direktori organisasi Anda, dan menghapus pengguna tersebut dari direktori organisasi Anda saat mereka tidak lagi memerlukan akses.
Untuk informasi selengkapnya, lihat Apa itu manajemen siklus hidup identitas.
Mengakses siklus hidup
Organisasi memerlukan proses untuk mengelola akses di luar apa yang awalnya disediakan untuk pengguna saat identitas pengguna tersebut dibuat. Selain itu, organisasi perusahaan harus dapat menskalakan secara efisien untuk dapat mengembangkan dan menegakkan kebijakan dan kontrol akses secara berkelanjutan.
Dengan Tata Kelola ID Microsoft Entra, departemen TI dapat menetapkan hak akses apa yang harus dimiliki pengguna di berbagai sumber daya, dan pemeriksaan penegakan apa seperti pemisahan tugas atau penghapusan akses pada perubahan pekerjaan diperlukan. MICROSOFT Entra ID memiliki konektor ke ratusan aplikasi cloud dan lokal, dan Anda dapat mengintegrasikan aplikasi lain organisasi Anda yang mengandalkan grup AD, direktori atau database lokal lainnya, yang memiliki SOAP atau REST API termasuk SAP, atau yang menerapkan standar seperti SCIM, SAML, atau OpenID Koneksi. Saat pengguna mencoba masuk ke salah satu aplikasi tersebut, ID Microsoft Entra memberlakukan kebijakan Akses Bersyarat. Misalnya, kebijakan Akses Bersyarat dapat mencakup menampilkan persyaratan penggunaan dan memastikan pengguna telah menyetujui persyaratan tersebut sebelum dapat mengakses aplikasi. Untuk informasi selengkapnya, lihat mengatur akses ke aplikasi di lingkungan Anda, termasuk cara menentukan kebijakan organisasi untuk mengatur akses ke aplikasi, mengintegrasikan aplikasi, dan menyebarkan kebijakan.
Perubahan akses di seluruh aplikasi dan grup dapat diotomatisasi berdasarkan perubahan atribut. Alur kerja siklus hidup Microsoft Entra dan pengelolaan pemberian hak Microsoft Entra secara otomatis menambahkan dan menghapus pengguna ke dalam grup atau paket akses, sehingga akses ke aplikasi dan sumber daya diperbarui. Pengguna juga dapat dipindahkan ketika kondisi mereka dalam organisasi berubah ke grup yang berbeda, dan bahkan dapat dihapus sepenuhnya dari semua grup atau paket akses.
Organisasi yang sebelumnya telah menggunakan produk tata kelola identitas lokal dapat memigrasikan model peran organisasi mereka ke Tata Kelola ID Microsoft Entra.
Selain itu, TI dapat mendelegasikan keputusan manajemen akses kepada pembuat keputusan bisnis. Misalnya, karyawan yang ingin mengakses data pelanggan rahasia dalam aplikasi pemasaran perusahaan di Eropa dapat memerlukan persetujuan dari manajer mereka, pemimpin departemen atau pemilik sumber daya, dan petugas risiko keamanan. Pengelolaan pemberian hak memungkinkan Anda menentukan bagaimana pengguna meminta akses di seluruh paket keanggotaan grup dan tim, peran aplikasi, dan peran SharePoint Online, dan memberlakukan pemisahan pemeriksaan tugas pada permintaan akses.
Organisasi juga dapat mengontrol pengguna tamu mana yang memiliki akses, termasuk ke aplikasi lokal. Hak akses ini kemudian dapat ditinjau secara teratur menggunakan tinjauan akses Microsoft Entra berulang untuk sertifikasi ulang akses.
Siklus hidup akses istimewa
Mengatur akses istimewa adalah bagian penting dari Tata Kelola Identitas modern terutama mengingat potensi penyalahgunaan yang terkait dengan hak administrator dapat menyebabkan organisasi. Karyawan, vendor, dan kontraktor yang mengambil hak administratif harus mengatur akun dan hak akses istimewa mereka.
Microsoft Entra Privileged Identity Management (PIM) menyediakan kontrol tambahan yang disesuaikan untuk mengamankan hak akses untuk sumber daya, di Microsoft Entra, Azure, Layanan Online Microsoft lainnya, dan aplikasi lainnya. Akses just-in-time, dan kemampuan pemberitahuan perubahan peran yang disediakan oleh Microsoft Entra PIM, selain autentikasi multifaktor dan Akses Bersyar, menyediakan serangkaian kontrol tata kelola yang komprehensif untuk membantu mengamankan sumber daya organisasi Anda (peran direktori, peran Microsoft 365, peran sumber daya Azure, dan keanggotaan grup). Seperti bentuk akses lainnya, organisasi dapat menggunakan tinjauan akses untuk mengonfigurasi sertifikasi ulang akses berulang untuk semua pengguna dalam peran administrator istimewa.
Persyaratan lisensi
Menggunakan fitur ini memerlukan lisensi Tata Kelola ID Microsoft Entra. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Tata Kelola ID Microsoft Entra dasar-dasar lisensi.
Memulai
Lihat Prasyarat sebelum mengonfigurasi ID Microsoft Entra untuk tata kelola identitas. Kemudian, kunjungi dasbor Tata Kelola di pusat admin Microsoft Entra untuk mulai menggunakan pengelolaan pemberian hak, tinjauan akses, alur kerja siklus hidup, dan Privileged Identity Management.
Ada juga tutorial untuk mengelola akses ke sumber daya dalam pengelolaan pemberian hak, onboarding pengguna eksternal ke ID Microsoft Entra melalui proses persetujuan, mengatur akses ke aplikasi Anda dan pengguna aplikasi yang ada.
Meskipun setiap organisasi mungkin memiliki persyaratan uniknya sendiri, panduan konfigurasi berikut ini juga menyediakan kebijakan dasar yang direkomendasikan Microsoft untuk Anda ikuti untuk memastikan tenaga kerja yang lebih aman dan produktif.
- Merencanakan penyebaran tinjauan akses untuk mengelola siklus hidup akses sumber daya
- Identitas Zero Trust dan konfigurasi akses perangkat
- Mengamankan akses istimewa
Anda mungkin juga ingin terlibat dengan salah satu layanan Microsoft dan mitra integrasi untuk merencanakan penyebaran atau berintegrasi dengan aplikasi dan sistem lain di lingkungan Anda.
Jika Anda memiliki umpan balik tentang fitur Tata Kelola Identitas, pilih Dapatkan umpan balik? di pusat admin Microsoft Entra untuk mengirimkan umpan balik Anda. Tim secara teratur meninjau umpan balik Anda.
Menyederhanakan tugas tata kelola identitas dengan otomatisasi
Setelah mulai menggunakan fitur tata kelola identitas ini, Anda dapat dengan mudah mengotomatiskan skenario tata kelola identitas umum. Tabel berikut ini memperlihatkan cara memulai otomatisasi untuk setiap skenario:
| Skenario untuk mengotomatiskan | Panduan automasi |
|---|---|
| Membuat, memperbarui, dan menghapus akun pengguna AD dan Microsoft Entra secara otomatis untuk karyawan | Merencanakan HR cloud ke provisi pengguna Microsoft Entra |
| Memperbarui keanggotaan grup, berdasarkan perubahan pada atribut pengguna anggota | Membuat grup dinamis |
| Menetapkan lisensi | pemberian lisensi berdasarkan grup |
| Menambahkan dan menghapus keanggotaan grup, peran aplikasi, dan peran situs SharePoint pengguna berdasarkan perubahan pada atribut pengguna | Mengonfigurasi kebijakan penugasan otomatis untuk paket akses dalam pengelolaan pemberian hak |
| Menambahkan dan menghapus keanggotaan grup pengguna, peran aplikasi, dan peran situs SharePoint, pada tanggal tertentu | Mengonfigurasi pengaturan siklus hidup untuk paket akses di pengelolaan pemberian hak |
| Menjalankan alur kerja kustom saat pengguna meminta atau menerima akses, atau akses dihapus | Memicu Logic Apps dalam pengelolaan pemberian izin |
| Secara teratur memiliki keanggotaan tamu di grup Microsoft dan Teams yang ditinjau, dan menghapus keanggotaan tamu yang ditolak | Membuat tinjauan akses |
| Menghapus akun tamu yang ditolak oleh peninjau | Meninjau dan menghapus pengguna eksternal yang tidak lagi memiliki akses sumber daya |
| Menghapus akun tamu yang tidak memiliki penetapan paket akses | Mengelola siklus hidup pengguna eksternal |
| Memprovisikan pengguna ke dalam aplikasi lokal dan cloud yang memiliki direktori atau database mereka sendiri | Mengonfigurasi provisi pengguna otomatis dengan penetapan pengguna atau filter cakupan |
| Tugas terjadwal lainnya | Mengotomatiskan tugas tata kelola identitas dengan Azure Automation dan Microsoft Graph melalui modul PowerShell Microsoft.Graph.Identity.Governance |
Lampiran - peran paling tidak istimewa untuk mengelola dalam fitur Identity Governance
Ini adalah praktik terbaik untuk menggunakan peran yang paling tidak istimewa untuk melakukan tugas administratif dalam Identity Governance. Kami menyarankan agar Anda menggunakan Microsoft Entra PIM untuk mengaktifkan peran sesuai kebutuhan untuk melakukan tugas-tugas ini. Berikut ini adalah peran direktori dengan hak istimewa paling sedikit untuk mengonfigurasi fitur Tata Kelola Identitas:
| Fitur | Peran istimewa paling rendah |
|---|---|
| Pengelolaan pemberian hak | Administrator Tata Kelola Identitas |
| Tinjauan akses | Administrator Pengguna (kecuali untuk tinjauan akses peran Azure atau Microsoft Entra, yang memerlukan Administrator Peran Istimewa) |
| Privileged Identity Management | Administrator Peran Privileged |
| Ketentuan penggunaan | Administrator Keamanan atau Administrator Akses Bersyarat |
Catatan
Peran paling tidak istimewa untuk Pengelolaan pemberian hak telah berubah dari peran Administrator Pengguna ke peran Administrator Tata Kelola Identitas.