Merencanakan penyebaran Privileged Identity Management

Privileged Identity Management menyediakan aktivasi peran berbasis waktu dan berbasis persetujuan untuk mengurangi risiko izin akses yang berlebihan, tidak perlu, atau disalahgunakan pada sumber daya yang penting. Sumber daya ini mencakup sumber daya di Azure Active Directory, Azure, dan Layanan Microsoft Online lainnya seperti Microsoft 365 atau Microsoft Intune.

PIM memungkinkan Anda untuk mengizinkan serangkaian tindakan tertentu pada lingkup tertentu. Fitur-fitur kunci mencakup:

  • Menyediakan akses istimewa just-in-time untuk sumber daya

  • Menetapkan kelayakan untuk keanggotaan atau kepemilikan grup akses istimewa

  • Menetapkan akses terikat waktu ke sumber daya menggunakan tanggal mulai dan selesai

  • Memerlukan persetujuan untuk mengaktifkan peran istimewa

  • Menerapkan autentikasi multifaktor untuk mengaktifkan peran apa pun

  • Menggunakan pembenaran untuk memahami mengapa pengguna mengaktifkan

  • Mendapatkan pemberitahuan saat peran istimewa diaktifkan

  • Melakukan tinjauan ulang akses untuk memastikan pengguna masih membutuhkan peran

  • Mengunduh riwayat audit untuk audit internal atau eksternal

Untuk mendapatkan hasil maksimal dari rencana penyebaran ini, penting bagi Anda untuk mendapatkan gambaran lengkap tentang Apa itu Privileged Identity Management.

Memahami PIM

Konsep PIM di bagian ini akan membantu Anda memahami persyaratan identitas istimewa organisasi Anda.

Apa yang dapat Anda kelola di PIM

Sekarang, Anda dapat menggunakan PIM dengan:

  • Peran Azure AD – Kadang-kadang disebut sebagai peran direktori, peran Azure AD termasuk peran built-in dan kustom untuk mengelola Azure AD dan layanan online Microsoft 365 lainnya.

  • Peran Azure – Peran kontrol akses berbasis peran (RBAC) di Azure yang memberikan akses ke grup manajemen, langganan, grup sumber daya, dan sumber daya.

  • Grup Akses Istimewa – Untuk mengatur akses tepat waktu ke peran anggota dan pemilik grup keamanan Azure AD. Grup Akses Istimewa tidak hanya memberi Anda cara alternatif untuk menyiapkan PIM untuk peran Azure AD dan peran Azure, tetapi juga memungkinkan Anda untuk mengatur PIM untuk izin lain di seluruh layanan online Microsoft seperti Intune, Azure Key Vaults, dan Azure Information Protection.

Anda dapat menetapkan hal berikut untuk peran atau grup ini:

  • Pengguna- Untuk mendapatkan akses just-in-time ke peran Azure AD, peran Azure, dan Grup Akses Istimewa.

  • Grup- Siapa pun dalam kelompok untuk mendapatkan akses just-in-time ke peran Microsoft Azure AD dan peran Azure. Untuk peran Microsoft Azure AD, grup haruslah grup cloud yang baru dibuat yang ditandai sebagai yang dapat ditugaskan untuk peran sementara untuk peran Azure, grup dapat menjadi grup keamanan Azure AD mana pun. Kami tidak merekomendasikan menetapkan/mensarangkan grup ke Grup Akses Istimewa.

Catatan

Anda tidak dapat menetapkan perwakilan layanan yang memenuhi syarat untuk peran Azure AD, peran Azure, dan grup Akses Istimewa tetapi Anda dapat memberikan tugas aktif terbatas waktu untuk ketiganya.

Prinsip hak istimewa paling rendah

Anda menetapkan pengguna peran dengan hak istimewa paling sedikit yang diperlukan untuk melakukan tugas-tugas mereka. Praktik ini meminimalkan jumlah Administrator Global dan sebaliknya menggunakan peran administrator tertentu untuk skenario tertentu.

Catatan

Microsoft memiliki sangat sedikit administrator global. Pelajari selengkapnya tentang cara Microsoft menggunakan Azure Active Directory Privileged Identity Management.

Jenis tugas

Ada dua jenis penugasan – memenuhi syarat dan aktif. Jika pengguna telah memenuhi syarat untuk mendapatkan peran, berarti mereka dapat mengaktifkan peran ketika mereka perlu melakukan tugas istimewa.

Sekarang Anda juga dapat mengatur waktu mulai dan berakhir untuk setiap jenis tugas. Penambahan ini memberi Anda empat jenis tugas yang memungkinkan:

  • Memenuhi syarat permanen

  • Aktif permanen

  • Memenuhi syarat keterikatan waktu, dengan tanggal mulai dan berakhir yang ditentukan untuk penugasan

  • Aktif secara keterikatan waktu, dengan tanggal mulai dan berakhir yang ditentukan untuk penugasan

Jika peran tersebut kedaluwarsa, Anda dapat memperpanjang atau memperbarui tugas ini.

Kami menyarankan Anda tidak memiliki penugasan yang aktif permanen untuk peran selain dari dua akun akses darurat pemecahan masalah yang disarankan, yang seharusnya memiliki peran Administrator Global yang permanen.

Menjalankan proyek

Ketika proyek teknologi gagal, biasanya karena ekspektasi yang tidak sesuai terhadap dampak, hasil, dan tanggung jawab. Untuk menghindari masalah ini, pastikan Anda melibatkan pemangku kepentingan yang tepat dan peran pemangku kepentingan dalam proyek dipahami dengan baik.

Merencanakan uji coba

Pada setiap tahap penerapan pastikan Anda mengevaluasi hasil yang sesuai harapan. Lihat Praktik terbaik untuk pilot (uji coba).

  • Mulailah dengan sekumpulan kecil pengguna dan verifikasi bila PIM berperilaku seperti yang diharapkan.

  • Verifikasikan apakah semua konfigurasi yang Anda siapkan untuk peran atau grup dengan akses istimewa berjalan dengan benar.

  • Teruskan ke produksi hanya setelah diuji secara menyeluruh.

Merencanakan komunikasi

Komunikasi sangat penting bagi keberhasilan layanan baru apa pun. Beri tahu pengguna secara proaktif tentang bagaimana pengalaman mereka akan berubah, kapan hal ini akan berubah, dan cara mendapatkan bantuan jika mereka mengalami masalah.

Atur waktu dengan dukungan TI internal Anda untuk memandu mereka melalui alur kerja PIM. Beri mereka dokumentasi yang sesuai serta informasi kontak Anda.

Merencanakan Pengujian dan Dukungan

Catatan

Untuk peran Azure AD, organisasi sering menguji dan meluncurkan Administrator Global terlebih dahulu, sedangkan untuk sumber daya Azure, mereka biasanya menguji PIM satu langganan Azure pada satu waktu.

Merencanakan pengujian

Membuat uji pengguna memungkinkan Anda memverifikasi kebijakan bekerja seperti yang diharapkan sebelum Anda memengaruhi pengguna nyata dan berpotensi mengganggu akses mereka ke aplikasi dan sumber daya. Rencana pengujian penting untuk memiliki perbandingan antara hasil yang diharapkan dan hasil aktual.

Tabel berikut menunjukkan contoh kasus uji:

Peran Perilaku yang diharapkan selama aktivasi Hasil aktual
Administrator Global
  • Memerlukan MFA
  • Mewajibkan persetujuan
  • (3) Pemberi persetujuan menerima pemberitahuan dan dapat menyetujui
  • (4) Peran berakhir setelah waktu yang telah ditetapkan
  • Untuk peran sumber daya Azure AD dan Azure, pastikan bahwa Anda memiliki pengguna yang mewakili siapa yang akan mengambil peran tersebut. Selain itu, pertimbangkan peran berikut ketika Anda menguji PIM di lingkungan bertahap Anda:

    Peran Peran Microsoft Azure Active Directory Peran sumber daya Azure Grup Akses istimewa
    Anggota kelompok x
    Anggota dari sebuah peran x x
    Pemilik layanan TI x x
    Langganan / Pemilik sumber daya x x
    Grup Akses istimewa x

    Merencanakan pemulihan

    Jika PIM gagal bekerja sesuai keinginan dalam lingkungan produksi, Anda dapat mengubah tugas peran dari yang memenuhi syarat menjadi aktif sekali lagi. Untuk setiap peran yang telah Anda konfigurasi, pilih elipsis ( ... ) untuk semua pengguna dengan tugas yang memenuhi syarat. Anda kemudian dapat memilih opsi Jadikan aktif untuk kembali dan mengaktifkan penetapan peran.

    Merencanakan dan mengimplementasikan PIM untuk peran Azure AD

    Ikuti tugas-tugas ini untuk mempersiapkan PIM untuk mengelola peran Azure AD.

    Menemukan dan mengurangi peran istimewa

    Mencantumkan siapa yang memiliki peran istimewa dalam organisasi Anda. Untuk semua peran Microsoft Azure Active Directory lainnya, tinjau daftar tugas, identifikasi administrator yang tidak lagi memerlukan peran, dan hapus dari tugas mereka.

    Anda dapat menggunakan ulasan akses peran Azure AD untuk mengotomatiskan penemuan, peninjauan, dan persetujuan atau penghapusan tugas.

    Menentukan peran yang akan dikelola oleh PIM

    Penting untuk memprioritaskan melindungi peran Microsoft Azure Active Directory yang memiliki izin terbanyak. Penting untuk mempertimbangkan data dan izin apa yang paling sensitif bagi organisasi Anda.

    Pertama, pastikan bahwa semua peran admin Global dan Security dikelola menggunakan PIM karena mereka adalah pengguna yang dapat melakukan yang paling berbahaya ketika dikompromikan. Kemudian pertimbangkan lebih banyak peran yang harus dikelola yang bisa rentan terhadap serangan.

    Mengonfigurasi PIM untuk peran Azure AD

    Susun dan konfigurasikan pengaturan PIM Anda untuk setiap peran Azure AD istimewa yang digunakan organisasi Anda.

    Tabel berikut ini memperlihatkan pengaturan kumpulan sampel:

    Peran Memerlukan MFA Pemberitahuan Tiket Insiden Memerlukan persetujuan Pemberi izin Durasi aktivasi Admin Perm
    Admin global ✔️ ✔️ ✔️ ✔️ Admin Global Lainnya 1 jam Membuat akun akses darurat
    Admin Exchange ✔️ ✔️ Tidak ada 2 jam Tidak ada
    Admin Bantuan Teknis ✔️ Tidak ada 8 jam Tidak ada

    Menetapkan dan mengaktifkan peran Azure AD

    Untuk peran Azure Active Directory dalam Privileged Identity Management, hanya pengguna yang berada dalam Administrator Peran Istimewa atau peran Administrator Global yang dapat mengelola penugasan untuk adminstrator lainnya. Administrator Global, Administrator Keamanan, Pembaca Global, dan Pembaca Keamanan juga dapat melihat tugas untuk peran Azure Active Directory dalam PIM.

    Ikuti instruksi pada tautan di bawah ini:

    1.Berikan penugasan yang memenuhi syarat.

    2.Izinkan pengguna yang memenuhi syarat untuk mengaktifkan peran Azure Active Directory mereka tepat waktu

    Ketika peran mendekati kedaluwarsa, gunakan PIM untuk memperpanjang atau memperbarui peran. Kedua tindakan yang dimulai oleh pengguna memerlukan persetujuan dari Administrator Global atau Administrator peran hak istimewa.

    Ketika kejadian penting ini terjadi dalam peran Azure AD, PIM mengirimkan pemberitahuan email dan email digest mingguan ke administrator hak istimewa tergantung pada peran, kejadian, dan pengaturan pemberitahuan. Email ini mungkin juga menyertakan link ke tugas yang relevan, seperti mengaktifkan atau memperbarui peran.

    Catatan

    Anda juga dapat melakukan tugas PIM ini menggunakan API Microsoft Graph untuk peran Azure AD.

    Menyetujui atau menolak permintaan aktivasi PIM

    Seorang pemberi persetujuan yang didelegasikan menerima pemberitahuan email ketika permintaan tertunda untuk disetujui. Ikuti langkah-langkah ini untuk menyetujui atau menolak permintaan untuk mengaktifkan peran sumber daya Azure.

    Lihat riwayat audit saya untuk peran Microsoft Azure Active Directory

    Menampilkan semua penetapan peran dan aktivasi dalam 30 hari terakhir untuk semua peran istimewa. Anda dapat mengakses log audit jika Anda adalah Administrator Global atau administrator peran istimewa.

    Kami menyarankan Anda untuk memiliki setidaknya satu administrator untuk membaca semua kejadian audit setiap minggu dan mengekspor kejadian audit Anda setiap bulan.

    Pemberitahuan keamanan untuk peran Microsoft Azure AD

    Konfigurasikan pemberitahuan keamanan untuk peran Azure AD yang akan memicu pemberitahuan jika terjadi aktivitas yang mencurigakan dan tidak aman.

    Merencanakan dan mengimplementasikan PIM untuk peran Azure Resource

    Ikuti tugas-tugas ini untuk mempersiapkan PIM untuk mengelola peran Azure AD.

    Menemukan dan mengurangi peran istimewa

    meminimalkan penetapan Akses Administrator Pemilik dan Pengguna yang melekat pada setiap langganan atau sumber daya dan untuk menghapus tugas yang tidak perlu.

    Sebagai Administrator Global, Anda dapat meningkatkan akses untuk mengelola semua langganan Azure. Anda kemudian dapat menemukan setiap pemilik langganan dan bekerja dengan mereka untuk menghapus tugas yang tidak perlu dan meminimalkan penetapan peran pemilik.

    Gunakan tinjauan akses untuk sumber daya Azure untuk mengaudit dan menghapus penetapan peran yang tidak perlu.

    Menentukan peran yang akan dikelola oleh PIM

    Saat memutuskan penetapan peran mana yang harus dikelola menggunakan Privileged Identity Management untuk sumber daya Azure, Anda harus terlebih dahulu mengidentifikasi grup manajemen, langganan, grup sumber daya, dan sumber daya yang paling penting bagi organisasi Anda. Pertimbangkan untuk menggunakan kelompok manajemen untuk mengatur semua sumber daya mereka dalam organisasi mereka.

    Kami sarankan Anda mengelola semua peran Pemilik Langganan dan Administrator Akses Pengguna menggunakan PIM.

    Bekerja dengan pemilik langganan untuk mendokumentasikan sumber daya yang dikelola oleh setiap langganan dan mengklasifikasikan tingkat risiko setiap sumber daya jika dikompromikan. Prioritaskan manajemen sumber daya dengan PIM berdasarkan tingkat keparahan ini. Ini juga termasuk sumber daya kustom yang melekat pada langganan.

    Kami juga menyarankan Anda bekerja dengan pemilik Langganan atau Sumber Daya layanan penting untuk menyiapkan alur kerja PIM untuk semua peran di dalam langganan atau sumber daya sensitif.

    Untuk langganan/sumber daya yang tidak terlalu penting, Anda tidak perlu menyiapkan PIM untuk semua peran. Namun, Anda tetap harus melindungi peran Pemilik dan Administrator Akses Pengguna dengan PIM.

    Mengonfigurasi PIM untuk peran Azure Resource

    Menyusun dan mengonfigurasi pengaturan untuk peran Azure Resource yang telah Anda rencanakan untuk dilindungi dengan PIM.

    Tabel berikut ini memperlihatkan pengaturan kumpulan sampel:

    Peran Memerlukan MFA Pemberitahuan Memerlukan persetujuan Pemberi izin Durasi aktivasi Admin aktif Kedaluwarsa aktif Kedaluwarsa yang memenuhi syarat
    Pemilik langganan penting ✔️ ✔️ ✔️ Pemilik langganan lainnya 1 jam Tidak ada n/a 3 bulan
    Administrator Akses Pengguna dari langganan yang kurang penting ✔️ ✔️ Tidak ada 1 jam Tidak ada n/a 3 bulan

    Menetapkan dan mengaktifkan peran Azure Resource

    Untuk peran sumber daya Azure di PIM, hanya pemilik atau administrator Akses Pengguna yang dapat mengelola tugas untuk administrator lain. Pengguna yang merupakan Administator Peran Istimewa, Administrator Keamanan, atau Pembaca Keamanan tidak secara default memiliki akses untuk menampilkan tugas untuk peran sumber daya Azure dalam Privileged Identity Management.

    Ikuti instruksi pada tautan di bawah ini:

    1.Berikan penugasan yang memenuhi syarat

    2.Izinkan pengguna yang memenuhi syarat untuk mengaktifkan peran Azure just-in-time

    Ketika peran mendekati kedaluwarsa, gunakan PIM untuk memperpanjang atau memperbarui peran. Kedua tindakan yang dimulai pengguna memerlukan persetujuan dari pemilik sumber daya atau administrator Akses Pengguna.

    Ketika kejadian penting ini terjadi dalam peran sumber daya Azure, PIM mengirimkan pemberitahuan email ke Administrator Akses Pemilik dan Pengguna. Email ini mungkin juga menyertakan link ke tugas yang relevan, seperti mengaktifkan atau memperbarui peran.

    Menyetujui atau menolak permintaan aktivasi PIM

    Menyetujui atau menolak permintaan aktivasi untuk peran Azure AD- Pemberi persetujuan yang didelegasikan menerima pemberitahuan email saat permintaan tertunda untuk disetujui.

    Lihat riwayat audit untuk peran Azure Resource

    Menampilkan semua penetapan peran dan aktivasi dalam 30 hari terakhir untuk semua peran istimewa.

    Pemberitahuan keamanan untuk peran Azure Resource

    Konfigurasikan pemberitahuan keamanan untuk peran Azure AD yang akan memicu pemberitahuan jika terjadi aktivitas yang mencurigakan dan tidak aman.

    Merencanakan dan menerapkan PIM untuk kelompok akses istimewa

    Ikuti tugas-tugas ini untuk mempersiapkan PIM untuk mengelola grup akses istimewa.

    Mengelola grup akses Hak Istimewa

    Mungkin saja seseorang memiliki lima atau enam penugasan yang memenuhi syarat untuk peran Azure Active Directory melalui PIM. Mereka harus mengaktifkan setiap peran secara individual, yang dapat mengurangi produktivitas. Lebih buruk lagi, mereka juga dapat memiliki puluhan atau ratusan sumber daya Azure yang ditetapkan kepada mereka, yang semakin memperburuk masalah.

    Dalam hal ini, Anda harus menggunakan grup akses istimewa. Buat grup akses istimewa dan berikan akses permanen ke beberapa peran (Azure Active Directory dan/atau Azure). Lihat kemampuan manajemen grup akses istimewa.

    Untuk mengelola grup yang dapat ditetapkan peran Azure Active Directory sebagai grup akses dengan hak istimewa di Privileged Identity Management, Anda harus mengaturnya di PIM.

    Mengonfigurasi pengaturan PIM untuk grup akses istimewa

    Menyusun dan mengonfigurasi pengaturan untuk peran Azure Resource yang telah Anda rencanakan untuk dilindungi dengan PIM.

    Tabel berikut ini memperlihatkan pengaturan contoh:

    Peran Memerlukan MFA Pemberitahuan Memerlukan persetujuan Pemberi izin Durasi aktivasi Admin aktif Kedaluwarsa aktif Kedaluwarsa yang memenuhi syarat
    Pemilik ✔️ ✔️ ✔️ Pemilik sumber daya lainnya 1 jam Tidak ada n/a 3 bulan
    Anggota ✔️ ✔️ Tidak ada 5 jam Tidak ada n/a 3 bulan

    Menetapkan kelayakan untuk grup akses istimewa

    Anda dapat menetapkan kelayakan kepada anggota atau pemilik grup. Hanya dengan satu aktivasi, mereka akan memiliki akses ke semua sumber daya yang ditautkan.

    Catatan

    Bagaimanapun, Anda kemudian dapat menetapkan grup ke satu atau beberapa peran Microsoft Azure AD dengan cara yang sama seperti Anda menetapkan peran kepada pengguna. Maksimal 250 grup yang dapat ditetapkan peran dapat dibuat dalam satu organisasi Microsoft Azure AD (penyewa).

    Menetapkan kelayakan untuk grup akses istimewa

    Ketika peran mendekati kedaluwarsa, gunakan PIM untuk memperpanjang atau memperbarui peran. Anda akan memerlukan persetujuan dari pemilik grup.

    Menyetujui atau menolak permintaan aktivasi PIM

    Dengan Privileged Identity Management (PIM) di Azure Active Directory (Azure AD), Anda dapat mengonfigurasi anggota grup dan pemiliki akses istimewa untuk mewajibkan persetujuan aktivasi, dan memilih pengguna atau grup dari organisasi Azure AD Anda sebagai pemberi izin yang didelegasikan. Anda sebaiknya memilih dua pemberi izin atau lebih untuk setiap peran untuk mengurangi beban kerja administrator peran istimewa.

    Menyetujui atau menolak permintaan untuk grup Akses Istimewa. Sebagai pemberi izin yang didelegasikan, Anda akan menerima pemberitahuan email saat permintaan peran Azure Active Directory menunggu persetujuan Anda.

    Melihat riwayat audit untuk grup akses istimewa

    Menampilkan semua penetapan peran dan aktivasi dalam 30 hari terakhir untuk semua peran istimewa.

    Langkah berikutnya