Apa perbedaan antara grup Akses Istimewa dan grup yang dapat ditugaskan peran?

Privileged Identity Management (PIM) mendukung kemampuan untuk memungkinkan akses istimewa pada grup yang dapat ditugaskan peran. Tetapi karena grup yang dapat ditugaskan peran yang tersedia adalah prasyarat untuk membuat grup akses istimewa, artikel ini menjelaskan perbedaan dan cara memanfaatkannya.

Apa itu grup yang dapat ditugaskan peran Azure AD?

Azure Active Directory (Azure AD), bagian dari Microsoft Entra, memungkinkan Anda menetapkan kelompok keamanan Azure AD cloud ke peran Azure AD. Administrator Global atau Administrator Peran Istimewa harus membuat grup keamanan baru dan membuat peran grup dapat ditetapkan pada waktu pembuatan. Hanya Administrator Global, Administrator Peran Istimewa, atau penetapan peran Pemilik grup yang dapat mengubah keanggotaan grup. Selain itu, tidak ada pengguna lain yang dapat mengatur ulang kata sandi pengguna yang menjadi anggota grup. Fitur ini membantu mencegah admin meningkatkan ke peran istimewa yang lebih tinggi tanpa melalui prosedur permintaan dan persetujuan.

Apa itu grup Akses Istimewa?

Grup Akses Istimewa memungkinkan pengguna meningkatkan peran pemilik atau anggota grup keamanan Azure AD. Fitur ini memungkinkan Anda untuk mengatur alur kerja just-in-time tidak hanya untuk peran Azure AD dan Azure dalam batch, dan juga memungkinkan skenario just-in-time untuk kasus penggunaan lain seperti Azure SQL, Azure Key Vault, Intune, atau peran aplikasi lainnya. Untuk mengetahui informasi selengkapnya, lihat Kapabilitas manajemen untuk grup Akses Istimewa.

Catatan

Untuk grup akses hak istimewa yang digunakan untuk meningkatkan peran Azure Active Directory, Microsoft menyarankan agar Anda memerlukan proses persetujuan untuk penetapan anggota yang memenuhi syarat. Penugasan yang dapat diaktifkan tanpa persetujuan dapat membuat Anda rentan terhadap risiko keamanan dari admin lain dengan hak istimewa paling sedikit. Misalnya, Administrator Helpdesk memiliki izin untuk mengatur ulang kata sandi pengguna yang memenuhi syarat.

Kapan harus menggunakan grup yang dapat diberikan peran

Anda dapat menyiapkan akses just-in-time dan peran di luar Azure AD dan Azure Resource. Jika Anda memiliki sumber daya lain yang otorisasinya dapat dihubungkan ke kelompok keamanan Azure AD (untuk Azure Key Vault, Intune, Azure SQL, atau aplikasi dan layanan lainnya), Anda harus mengaktifkan akses istimewa pada grup dan menetapkan pengguna sebagai memenuhi syarat untuk keanggotaan dalam grup.

Jika Anda ingin menetapkan grup ke peran Azure AD atau Azure Resource dan memerlukan peningkatan melalui proses PIM, hanya ada satu cara untuk melakukannya:

  • Menetapkan grup secara terus-menerus untuk peran. Kemudian, di PIM, Anda dapat memberikan penetapan peran yang memenuhi syarat kepada pengguna ke grup. Setiap pengguna yang memenuhi syarat harus mengaktifkan penetapan peran mereka untuk menjadi anggota grup, dan aktivasi tunduk pada kebijakan persetujuan. Jalur ini membutuhkan grup yang dapat ditugaskan peran untuk diaktifkan dalam PIM sebagai grup akses istimewa untuk peran Azure AD.

Metode ini memungkinkan granularitas maksimum izin. Gunakan metode ini untuk:

  • Menetapkan grup ke beberapa peran sumber daya Azure AD atau Azure dan meminta pengguna mengaktifkan sekali untuk mendapatkan akses ke berbagai peran.
  • Mempertahankan kebijakan aktivasi yang berbeda untuk berbagai kumpulan pengguna untuk mengakses peran sumber daya Azure AD atau Azure. Misalnya, jika Anda ingin beberapa pengguna disetujui sebelum menjadi Administrator Global sambil mengizinkan pengguna lain disetujui secara otomatis, Anda dapat mengatur dua grup akses istimewa, menetapkan keduanya secara terus-menerus (tugas "permanen" dalam Privileged Identity Management) ke peran Administrator Global dan kemudian menggunakan kebijakan aktivasi yang berbeda untuk peran anggota untuk setiap grup.

Langkah berikutnya