Gambaran umum keamanan manajemen identitas Azure

  • Artikel
  • 8 menit untuk membaca

Manajemen identitas adalah proses autentikasi dan otorisasi prinsip keamanan. Ini juga melibatkan informasi pengontrolan tentang prinsip (identitas) tersebut. Prinsip (identitas) keamanan dapat mencakup layanan, aplikasi, pengguna, grup, dll. Solusi identitas dan manajemen akses Microsoft membantu IT melindungi akses ke aplikasi dan sumber daya di seluruh pusat data perusahaan dan ke cloud. Perlindungan tersebut memungkinkan tingkat validasi tambahan, seperti Autentikasi Multifaktor dan kebijakan Akses Bersyarat. Pemantauan aktivitas yang mencurigakan melalui pelaporan keamanan lanjutan, audit, dan pemberitahuan membantu mengurangi potensi masalah keamanan. Azure Active Directory Premium menyediakan akses menyeluruh (SSO) ke ribuan aplikasi softwar as a service (SaaS) cloud dan akses ke aplikasi web yang Anda jalankan secara lokal.

Dengan memanfaatkan keuntungan keamanan Azure Active Directory (Azure AD), Anda dapat:

  • Membuat dan mengelola identitas tunggal untuk setiap pengguna di seluruh perusahaan hibrid Anda, menjaga agar pengguna, grup, dan perangkat tetap sinkron.
  • Memberikan akses SSO ke aplikasi Anda, termasuk ribuan aplikasi SaaS yang diintegrasi sebelumnya.
  • Mengaktifkan keamanan akses aplikasi dengan memberlakukan Autentikasi Multifaktor berbasis aturan untuk aplikasi lokal dan cloud.
  • Memprovisikan akses jarak jauh yang aman ke aplikasi web lokal melalui Proksi Aplikasi Azure AD.

Tujuan artikel ini adalah untuk memberikan gambaran umum tentang fitur keamanan Azure inti yang membantu manajemen identitas. Kami juga menyediakan tautan ke artikel yang memberikan detail setiap fitur sehingga Anda dapat mempelajari lebih lanjut.

Artikel ini berfokus pada kapabilitas manajemen inti Azure Identity berikut:

  • Akses menyeluruh
  • Proksi terbalik
  • Multi-Factor Authentication
  • Kontrol akses berbasis peran Azure (Azure RBAC)
  • Pemantauan keamanan, pemberitahuan, dan laporan berbasis pembelajaran mesin
  • Manajemen identitas dan akses pelanggan
  • Pendaftaran perangkat
  • Manajemen identitas istimewa
  • Perlindungan identitas
  • Manajemen identitas hibrid/Azure AD tersambung
  • Tinjauan Akses Azure AD

Akses menyeluruh

SSO berarti dapat mengakses semua aplikasi dan sumber daya yang Anda butuhkan untuk melakukan bisnis, dengan masuk hanya sekali menggunakan satu akun pengguna. Setelah masuk, Anda dapat mengakses semua aplikasi yang Anda butuhkan tanpa harus mengautentikasi (misalnya, mengetik kata sandi) untuk kedua kalinya.

Banyak organisasi mengandalkan aplikasi SaaS seperti Microsoft 365, Box, dan Salesforce untuk produktivitas pengguna. Secara historis, staf IT perlu membuat dan memperbarui akun pengguna secara individual di setiap aplikasi SaaS, dan pengguna harus mengingat kata sandi untuk setiap aplikasi SaaS.

Azure AD memperluas lingkungan Active Directory lokal ke cloud, memungkinkan pengguna menggunakan akun organisasi utama mereka untuk masuk tidak hanya ke perangkat yang bergabung dengan domain dan sumber daya perusahaan mereka, tetapi juga untuk semua aplikasi web dan SaaS yang mereka butuhkan untuk pekerjaan mereka.

Tidak hanya pengguna yang tidak harus mengelola beberapa set nama pengguna dan kata sandi, Anda dapat memprovisikan atau membatalkan provisi akses aplikasi secara otomatis, berdasarkan grup organisasi dan status karyawan mereka. Azure AD memperkenalkan kontrol tata kelola keamanan dan akses yang dapat Anda gunakan untuk mengelola akses pengguna secara terpusat di seluruh aplikasi SaaS.

Pelajari lebih lanjut:

Proksi terbalik

Proksi Aplikasi Azure AD memungkinkan Anda menerbitkan aplikasi lokal, seperti situs SharePoint, Outlook Web App, dan aplikasi berbasis IISdi dalam jaringan privat Anda dan menyediakan akses aman ke pengguna di luar jaringan Anda. Proksi Aplikasi menyediakan akses jarak jauh dan SSO untuk berbagai jenis aplikasi web lokal dengan ribuan aplikasi SaaS yang didukung Azure AD. Karyawan dapat masuk ke aplikasi Anda dari rumah di perangkat mereka sendiri dan mengautentikasi melalui proksi berbasis cloud ini.

Pelajari lebih lanjut:

Multi-Factor Authentication

Autentikasi Multifaktor Azure AD adalah metode autentikasi yang memerlukan penggunaan lebih dari satu metode verifikasi dan menambahkan lapisan keamanan kedua yang penting ke masuk dan transaksi pengguna. Autentikasi Multifaktor membantu melindungi akses ke data dan aplikasi sambil memenuhi permintaan pengguna untuk proses masuk sederhana. Ini memberikan autentikasi yang kuat melalui berbagai opsi verifikasi: panggilan telepon, pesan teks, atau pemberitahuan aplikasi seluler atau kode verifikasi, dan token OAuth pihak ketiga.

Pelajari lebih lanjut:

Azure RBAC

Azure RBAC merupakan sistem otorisasi yang dibuat di Azure Resource Manager yang menyediakan pengelolaan akses mendetail untuk sumber daya Azure. Azure RBAC memungkinkan Anda mengontrol tingkat akses yang pengguna miliki secara terperinci. Misalnya, Anda dapat membatasi pengguna untuk hanya mengelola jaringan virtual dan pengguna lain untuk mengelola semua sumber daya dalam grup sumber daya. Azure mencakup beberapa peran bawaan yang dapat Anda gunakan. Berikut ini mencantumkan empat peran bawaan mendasar. Tiga peran yang pertama berlaku untuk semua jenis sumber daya.

  • Pemilik - Memiliki akses penuh ke semua sumber daya termasuk hak untuk mendelegasikan akses kepada orang lain.
  • Kontributor - Dapat membuat dan mengelola semua jenis sumber daya Microsoft Azure tetapi tidak dapat memberikan akses ke orang lain.
  • Pembaca - Dapat melihat sumber daya Microsoft Azure yang sudah ada.
  • Administrator Akses Pengguna - Memungkinkan Anda mengelola akses pengguna ke sumber daya Azure.

Pelajari lebih lanjut:

Pemantauan keamanan, pemberitahuan, dan laporan berbasis pembelajaran mesin

Pemantauan keamanan, pemberitahuan, dan laporan berbasis pembelajaran mesin yang mengidentifikasi pola akses yang tidak konsisten dapat membantu Anda melindungi bisnis Anda. Anda dapat menggunakan akses Azure AD dan laporan penggunaan untuk mendapatkan visibilitas ke dalam integritas dan keamanan direktori organisasi Anda. Dengan informasi ini, admin direktori dapat menentukan dengan lebih baik lokasi kemungkinan risiko keamanan mungkin berada sehingga mereka dapat merencanakan secara memadai untuk mengurangi risiko tersebut.

Di portal Azure, laporan termasuk dalam kategori berikut:

  • Laporan anomali: Berisi peristiwa masuk yang ditemukan anomali. Tujuan kami adalah untuk membuat Anda menyadari aktivitas tersebut dan memungkinkan Anda menentukan apakah suatu peristiwa mencurigakan.
  • Laporan Aplikasi Terintegrasi: Memberikan wawasan tentang bagaimana aplikasi cloud digunakan di organisasi Anda. Azure SD menawarkan integrasi dengan ribuan aplikasi cloud.
  • Laporan kesalahan: Menunjukkan kesalahan yang mungkin terjadi saat Anda memprovisikan akun ke aplikasi eksternal.
  • Laporan khusus pengguna: Menampilkan data aktivitas masuk perangkat untuk pengguna tertentu.
  • Log aktivitas: Berisi catatan semua peristiwa yang diaudit dalam 24 jam terakhir, 7 hari terakhir, atau 30 hari terakhir, serta perubahan aktivitas grup, dan reset kata sandi serta aktivitas pendaftaran.

Pelajari lebih lanjut:

Manajemen identitas dan akses pelanggan

Azure AD B2C adalah layanan manajemen identitas global yang sangat tersedia untuk aplikasi yang berhadapan dengan konsumen yang menskalakan hingga ratusan juta identitas. Ini dapat diintegrasikan di seluruh platform seluler dan web. Konsumen Anda dapat masuk ke semua aplikasi Anda melalui pengalaman yang dapat disesuaikan menggunakan akun sosial yang ada atau dengan membuat info masuk baru.

Di masa lalu, pengembang aplikasi yang ingin mendaftarkan pelanggan dan memasukkan mereka ke aplikasi akan menulis kode mereka sendiri. Dan mereka akan menggunakan database atau sistem lokal untuk menyimpan nama pengguna dan kata sandi. Azure AD B2C menawarkan cara yang lebih baik untuk mengintegrasikan manajemen identitas konsumen ke dalam aplikasi dengan bantuan platform berbasis standar yang aman dan serangkaian kebijakan yang dapat diperluas.

Saat Anda menggunakan Azure AD B2C, konsumen dapat mendaftar untuk aplikasi Anda dengan menggunakan akun sosial yang ada (Facebook, Google, Amazon, LinkedIn) atau dengan membuat info masuk baru (alamat email dan kata sandi, atau nama pengguna dan kata sandi).

Pelajari lebih lanjut:

Pendaftaran perangkat

Pendaftaran perangkat Azure AD adalah dasar untuk skenario Akses Bersyarat berbasis perangkat. Saat perangkat didaftarkan, pendaftaran perangkat Azure AD menyediakan perangkat dengan identitas yang digunakannya untuk mengautentikasi perangkat saat pengguna masuk. Perangkat yang diautentikasi dan atribut perangkat kemudian dapat digunakan untuk menerapkan kebijakan Akses Bersyarat untuk aplikasi yang dihosting di cloud dan lokal.

Saat digabungkan dengan solusi manajemen perangkat seluler seperti Intune, atribut perangkat di Azure AD diperbarui dengan informasi tambahan tentang perangkat. Anda kemudian dapat membuat aturan Akses Bersyarat yang memberlakukan akses dari perangkat untuk memenuhi standar Anda untuk keamanan dan kepatuhan.

Pelajari lebih lanjut:

Manajemen identitas istimewa

Dengan Azure AD Privileged Identity Management, Anda dapat mengelola, mengontrol, dan memantau identitas istimewa dan akses ke sumber daya di Azure AD serta layanan online Microsoft lainnya, seperti Microsoft 365 dan Microsoft Intune.

Pengguna terkadang perlu melakukan operasi hak istimewa di sumber daya Azure atau Microsoft 365, atau di aplikasi SaaS lainnya. Kebutuhan ini sering berarti bahwa organisasi harus memberi pengguna akses istimewa permanen di Azure AD. Akses tersebut adalah risiko keamanan yang berkembang untuk sumber daya yang dihosting cloud, karena organisasi tidak dapat memantau dengan cukup apa yang dilakukan pengguna dengan hak istimewa administrator mereka. Selain itu, jika akun pengguna dengan akses istimewa disusupi, pelanggaran itu dapat memengaruhi keamanan cloud organisasi secara keseluruhan. Azure AD Privileged Identity Management membantu mengurangi risiko ini.

Dengan Azure AD Privileged Identity Management, Anda dapat:

  • Melihat pengguna mana yang merupakan admin Azure AD.
  • Mengaktifkan akses administratif sesuai permintaan, just-in-time (JIT) ke layanan Microsoft seperti Microsoft 365 dan Intune.
  • Mendapatkan laporan tentang riwayat akses administrator dan perubahan dalam tugas administrator.
  • Mendapatkan pemberitahuan tentang akses ke peran istimewa.

Pelajari lebih lanjut:

Perlindungan identitas

Azure AD Identity Protection adalah layanan keamanan yang menyediakan tampilan terkonsolidasi ke dalam deteksi risiko dan potensi kerentanan yang memengaruhi identitas organisasi Anda. Identity Protection memanfaatkan kemampuan deteksi anomali Azure AD yang ada, yang tersedia melalui laporan Aktivitas Anomali Azure AD. Identity Protection juga memperkenalkan jenis deteksi risiko baru yang dapat mendeteksi anomali secara real time.

Pelajari lebih lanjut:

Manajemen identitas hibrid/Azure AD tersambung

Solusi identitas Microsoft mencakup kemampuan lokal dan kemampuan berbasis cloud, yang membuat satu identitas pengguna untuk autentikasi dan otorisasi ke semua sumber daya, di mana pun lokasinya. Kami menyebutnya identitas hibrid. Azure AD Connect adalah alat Microsoft yang dirancang untuk memenuhi dan menyelesaikan tujuan identitas hibrid Anda. Hal ini memungkinkan Anda memberikan identitas umum untuk pengguna Microsoft 365, Azure, dan aplikasi SaaS yang terintegrasi dengan Azure Active Directory. Alat ini menyediakan fitur-fitur berikut:

  • Sinkronisasi
  • AD FS dan integrasi federasi
  • Autentikasi pass-through
  • Pemantauan Kesehatan

Pelajari lebih lanjut:

Tinjauan Akses Azure AD

Tinjauan akses Azure Active Directory (Azure AD) memungkinkan organisasi mengelola keanggotaan grup secara efisien, mengakses ke aplikasi perusahaan, dan penetapan peran istimewa.

Pelajari lebih lanjut: