Panduan referensi operasi manajemen identitas dan akses Microsoft Entra
Bagian panduan referensi operasi Microsoft Entra ini menjelaskan pemeriksaan dan tindakan yang harus Anda pertimbangkan untuk mengamankan dan mengelola siklus hidup identitas dan penugasannya.
Catatan
Rekomendasi ini berlaku tanggal penerbitan, tetapi dapat berubah dari waktu ke waktu. Organisasi harus terus mengevaluasi praktik identitas mereka seiring berkembangnya produk dan layanan Microsoft dari waktu ke waktu.
Proses operasi kunci
Tetapkan pemilik ke tugas kunci
Mengelola ID Microsoft Entra memerlukan eksekusi berkelanjutan dari tugas dan proses operasional utama yang mungkin bukan bagian dari proyek peluncuran. Anda masih harus menyiapkan tugas-tugas ini untuk mempertahankan lingkungan Anda. Tugas kunci dan pemilik yang direkomendasikan meliputi:
| Tugas | Pemilik |
|---|---|
| Menentukan proses cara membuat langganan Microsoft Azure | Bervariasi menurut organisasi |
| Memutuskan pihak yang mendapatkan lisensi Enterprise Mobility + Security | Tim Operasi IAM |
| Memutuskan pihak yang mendapatkan lisensi Microsoft 365 | Tim Produktivitas |
| Memutuskan pihak yang mendapatkan lisensi lain, contohnya, Dynamics, Visual Studio Codespaces | Pemilik Aplikasi |
| Menetapkan lisensi | Tim Operasi IAM |
| Memecahkan masalah dan memperbaiki kesalahan penetapan lisensi | Tim Operasi IAM |
| Memprovisikan identitas ke aplikasi di ID Microsoft Entra | Tim Operasi IAM |
Saat meninjau daftar, Anda mungkin perlu menetapkan pemilik untuk tugas yang kehilangan pemilik atau menyesuaikan kepemilikan untuk tugas dengan pemilik yang tidak selaras dengan rekomendasi yang disediakan.
Menetapkan bacaan yang direkomendasikan pemilik
Sinkronisasi identitas lokal
Mengidentifikasi dan mengatasi masalah sinkronisasi
Microsoft menyarankan agar Anda memiliki garis besar dan pemahaman baik tentang masalah di lingkungan lokal Anda yang dapat mengakibatkan masalah sinkronisasi ke cloud. Karena alat otomatis, seperti IdFix dan Microsoft Entra Connect Health, dapat menghasilkan volume positif palsu yang tinggi, kami sarankan Anda mengidentifikasi kesalahan sinkronisasi yang belum ditangani selama lebih dari 100 hari dengan membersihkan objek tersebut dalam kesalahan. Kesalahan sinkronisasi jangka panjang yang belum terselesaikan dapat menghasilkan insiden dukungan. Pemecahan masalah kesalahan selama sinkronisasi memberikan gambaran umum tentang berbagai jenis kesalahan sinkronisasi, beberapa skenario yang dapat menyebabkan kesalahan tersebut dan cara potensial untuk memperbaiki kesalahan.
Konfigurasi Sinkronisasi Microsoft Entra Connect
Untuk mengaktifkan semua pengalaman hibrid, postur keamanan berbasis perangkat, dan integrasi dengan MICROSOFT Entra ID, kami mengharuskan Anda menyinkronkan akun pengguna yang digunakan karyawan Anda untuk masuk ke desktop mereka.
Jika Anda tidak menyinkronkan pengguna hutan yang masuk, maka Anda harus mengubah sinkronisasi untuk berasal dari hutan yang tepat.
Lingkup sinkronisasi dan pemfilteran objek
Menghapus wadah objek yang diketahui yang tidak perlu disinkronkan memiliki manfaat operasi berikut:
- Lebih sedikit sumber kesalahan sinkronisasi
- Siklus sinkronisasi yang lebih cepat
- Kurang “sampah” untuk dibawa maju dari lokal, contohnya, polusi daftar alamat global untuk akun layanan lokal yang tidak relevan di cloud
Catatan
Jika menemukan bahwa Anda mengimpor banyak objek yang tidak diekspor ke cloud, Anda harus memfilter berdasarkan OU atau atribut tertentu.
Contoh objek yang akan dikecualikan adalah:
- Akun Layanan yang tidak digunakan untuk aplikasi cloud
- Grup yang tidak dimaksudkan untuk digunakan dalam skenario cloud seperti yang digunakan untuk memberikan akses ke sumber daya
- Pengguna atau kontak yang merupakan identitas eksternal yang dimaksudkan untuk diwakili dengan Microsoft Entra Kolaborasi B2B
- Akun Komputer tempat karyawan tidak dimaksudkan untuk mengakses aplikasi cloud, contohnya, server
Catatan
Jika identitas manusia tunggal memiliki beberapa akun yang diprovisi dari sesuatu seperti migrasi domain warisan, merger, atau akuisisi, Anda hanya harus menyinkronkan akun yang digunakan oleh pengguna setiap hari, contohnya, apa yang digunakan untuk masuk ke komputer mereka.
Idealnya, bertujuan untuk mencapai keseimbangan antara mengurangi jumlah objek untuk disinkronkan dan kompleksitas dalam aturan. Umumnya, kombinasi antara pemfilteran OU/kontainer ditambah pemetaan atribut sederhana ke atribut cloudFiltered adalah kombinasi pemfilteran yang efektif.
Penting
Jika Anda menggunakan pemfilteran grup dalam produksi, Anda harus beralih ke pendekatan pemfilteran lain.
Sinkronisasi kegagalan atau pemulihan bencana
Microsoft Entra Connect memainkan peran utama dalam proses provisi. Jika Server Sinkronisasi offline karena alasan apa pun, perubahan pada lokal tidak dapat diperbarui di cloud dan dapat mengakibatkan masalah akses bagi pengguna. Oleh karena itu, penting untuk menentukan strategi failover yang memungkinkan administrator untuk dengan cepat melanjutkan sinkronisasi setelah server sinkronisasi offline. Strategi tersebut mungkin termasuk dalam kategori berikut:
- Menyebarkan Server Microsoft Entra Connect dalam Mode Penahapan - memungkinkan administrator untuk "mempromosikan" server penahapan ke produksi dengan sakelar konfigurasi sederhana.
- Gunakan Virtualisasi - Jika Microsoft Entra Connect disebarkan di komputer virtual (VM), admin dapat menerapkan tumpukan virtualisasi mereka untuk hidup, bermigrasi, atau dengan cepat menyebarkan ulang VM dan oleh karena itu melanjutkan sinkronisasi.
Jika organisasi Anda tidak memiliki strategi pemulihan bencana dan failover untuk Sinkronisasi, Anda tidak boleh ragu untuk menyebarkan Microsoft Entra Connect dalam Mode Penahapan. Demikian juga, jika ada ketidakcocokan antara konfigurasi produksi dan penahapan, Anda harus merebaseline mode penahapan Microsoft Entra Connect agar sesuai dengan konfigurasi produksi, termasuk versi dan konfigurasi perangkat lunak.
Tetap terkini
Microsoft memperbarui Microsoft Entra Connect secara teratur. Tetap terkini untuk memanfaatkan peningkatan kinerja, perbaikan bug, dan kemampuan baru yang disediakan setiap versi baru.
Jika versi Microsoft Entra Connect Anda lebih dari enam bulan, Anda harus meningkatkan ke versi terbaru.
Jangkar sumber
Menggunakan ms-DS-consistencyguid sebagai jangkar sumber memungkinkan migrasi objek yang lebih mudah di seluruh hutan dan domain, yang umum dalam konsolidasi/pembersihan Domain AD, merger, akuisisi, dan divestasi.
Jika saat ini Anda menggunakan ObjectGuid sebagai jangkar sumber, kami sarankan Anda beralih menggunakan ms-DS-ConsistencyGuid.
Aturan kustom
Aturan kustom Microsoft Entra Connect memberi Anda kemampuan untuk mengontrol alur atribut antara objek lokal dan objek cloud. Namun, menggunakan atau menyalahgunakan aturan kustom secara berlebihan dapat memperkenalkan risiko berikut:
- Kompleksitas pemecahan masalah
- Degradasi kinerja saat melakukan operasi yang kompleks di seluruh objek
- Probabilitas yang lebih tinggi dari divergensi konfigurasi antara server produksi dan server pentahapan
- Overhead tambahan saat meningkatkan Microsoft Entra Connect jika aturan kustom dibuat dalam prioritas lebih besar dari 100 (digunakan oleh aturan bawaan)
Jika Anda menggunakan aturan yang terlalu kompleks, Anda harus menyelidiki alasan kompleksitas dan menemukan peluang untuk penyederhanaan. Demikian juga, jika Anda telah membuat aturan kustom dengan nilai prioritas lebih dari 100, Anda harus memperbaiki aturan sehingga tidak berisiko atau bertentangan dengan set default.
Contoh menyalahgunakan aturan kustom meliputi:
- Kompensasi data kotor di direktori - Dalam hal ini, kami sarankan Anda bekerja dengan pemilik tim AD dan membersihkan data di direktori sebagai tugas remediasi, dan menyesuaikan proses untuk menghindari pengenalan ulang data yang buruk.
- Remediasi satu kali pengguna individu - Adalah umum untuk menemukan aturan bahwa outlier kasus khusus, biasanya karena masalah dengan pengguna tertentu.
- "CloudFiltering" yang terlalu rumit - Meskipun mengurangi jumlah objek adalah praktik yang baik, ada risiko membuat cakupan sinkronisasi yang terlalu rumit menggunakan terlalu banyak aturan sinkronisasi. Jika Anda menggunakan logika kompleks untuk menyertakan/mengecualikan objek di luar proses pemfilteran unit organisasi, kami sarankan Anda menangani logika ini di luar sinkronisasi. Anda dapat melakukan ini dengan melabeli objek dengan atribut "cloudFiltered" sederhana yang dapat mengalir dengan Aturan Sinkronisasi sederhana.
Dokumentor Konfigurasi Microsoft Entra Connect
Microsoft Entra Connect Configuration Documenter adalah alat yang dapat Anda gunakan untuk menghasilkan dokumentasi penginstalan Microsoft Entra Connect. Alat ini memberi Anda pemahaman yang lebih baik tentang konfigurasi sinkronisasi dan membantu Anda membangun kepercayaan diri dalam memperbaiki semuanya. Alat ini juga memberi tahu Anda perubahan apa yang telah terjadi, saat Anda menerapkan build atau konfigurasi baru Microsoft Entra Connect, dan aturan sinkronisasi kustom mana yang telah ditambahkan atau diperbarui.
Kemampuan alat saat ini meliputi:
- Dokumentasi konfigurasi lengkap Sinkronisasi Microsoft Entra Connects.
- Dokumentasi perubahan apa pun dalam konfigurasi dua server Sinkronisasi Microsoft Entra Connect atau perubahan dari garis besar konfigurasi tertentu.
- Pembuatan skrip penyebaran PowerShell untuk memigrasi perbedaan aturan sinkronisasi atau kustomisasi dari satu server ke server lainnya.
Penugasan ke aplikasi dan sumber daya
Lisensi berbasis grup untuk layanan cloud Microsoft
ID Microsoft Entra menyederhanakan pengelolaan lisensi melalui lisensi berbasis grup untuk layanan cloud Microsoft. Dengan cara ini, IAM menyediakan infrastruktur grup dan manajemen yang didelegasikan dari berbagai grup tersebut kepada tim yang tepat dalam organisasi. Ada beberapa cara untuk menyiapkan keanggotaan grup di ID Microsoft Entra, termasuk:
Disinkronkan dari lokal - Grup dapat berasal dari direktori lokal, yang bisa cocok untuk organisasi yang telah menetapkan proses manajemen grup yang dapat diperluas untuk menetapkan lisensi di Microsoft 365.
Grup keanggotaan dinamis - Grup berbasis atribut dapat dibuat di cloud berdasarkan ekspresi berdasarkan atribut pengguna, misalnya, Departemen sama dengan "penjualan". MICROSOFT Entra ID mempertahankan anggota grup, menjaganya tetap konsisten dengan ekspresi yang ditentukan. Menggunakan grup keanggotaan dinamis untuk penetapan lisensi memungkinkan penetapan lisensi berbasis atribut, yang cocok untuk organisasi yang memiliki kualitas data tinggi di direktori mereka.
Kepemilikan yang didelegasikan - Grup dapat dibuat di cloud dan dapat ditunjuk sebagai pemilik. Dengan cara ini, Anda dapat memberdayakan pemilik bisnis, contohnya, tim Kolaborasi atau tim BI, untuk menentukan siapa yang harus memiliki akses.
Jika saat ini Anda menggunakan proses manual untuk menetapkan lisensi dan komponen kepada pengguna, kami sarankan Anda menerapkan lisensi berbasis grup. Jika proses Anda saat ini tidak memantau kesalahan lisensi atau menentukan lisensi mana yang Ditetapkan versus Tersedia, Anda harus menentukan peningkatan pada proses. Pastikan proses Anda mengatasi kesalahan lisensi dan memantau penetapan lisensi.
Aspek lain dari manajemen lisensi adalah definisi paket layanan (komponen lisensi) yang harus diaktifkan didasarkan pada fungsi pekerjaan dalam organisasi. Memberikan akses ke paket layanan yang tidak diperlukan dapat mengakibatkan pengguna melihat alat di portal Microsoft 365 yang belum dilatih atau tidak boleh mereka gunakan. Skenario ini dapat mendorong volume help desk tambahan, provisi yang tidak perlu, dan membahayakan kepatuhan dan tata kelola Anda; misalnya, saat menyediakan OneDrive ke individu yang mungkin tidak diizinkan untuk berbagi konten.
Gunakan panduan berikut untuk menentukan paket layanan kepada pengguna:
- Administrator harus menentukan "bundel" paket layanan yang akan ditawarkan kepada pengguna berdasarkan peran mereka; misalnya, pekerja kerah putih versus pekerja lantai.
- Buat grup berdasarkan klaster dan tetapkan lisensi dengan paket layanan.
- Secara opsional, atribut dapat didefinisikan untuk menyimpan paket bagi pengguna.
Penting
Lisensi berbasis grup di MICROSOFT Entra ID memperkenalkan konsep pengguna dalam status kesalahan lisensi. Jika melihat adanya kesalahan lisensi, maka Anda harus segera mengidentifikasi dan menyelesaikan masalah penetapan lisensi.
Manajemen siklus hidup
Jika saat ini Anda menggunakan alat, seperti Microsoft Identity Manager atau sistem pihak ketiga yang bergantung pada infrastruktur lokal, kami sarankan Anda membongkar penugasan dari alat yang ada. Sebagai gantinya, Anda harus menerapkan lisensi berbasis grup dan menentukan manajemen siklus hidup grup berdasarkan grup keanggotaan dinamis.
Jika proses yang ada tidak memperhitungkan karyawan atau karyawan baru yang meninggalkan organisasi, Anda harus menyebarkan lisensi berbasis grup berdasarkan grup keanggotaan dinamis dan menentukan siklus hidup mereka. Terakhir, jika lisensi berbasis grup disebarkan terhadap grup lokal yang tidak memiliki manajemen siklus hidup, pertimbangkan untuk menggunakan grup cloud untuk mengaktifkan kemampuan seperti kepemilikan yang didelegasikan atau grup keanggotaan dinamis berbasis atribut.
Penetapan aplikasi dengan grup “Semua pengguna”
Pemilik sumber daya mungkin percaya bahwa grup Semua pengguna hanya berisi Karyawan Perusahaan ketika mereka mungkin benar-benar berisi Karyawan Perusahaan dan Tamu. Akibatnya, Anda harus berhati-hati ketika menggunakan grup Semua pengguna untuk penetapan aplikasi dan memberikan akses ke sumber daya seperti konten atau aplikasi SharePoint.
Penting
Jika grup Semua pengguna diaktifkan dan digunakan untuk kebijakan Akses Bersyar, aplikasi, atau penetapan sumber daya, pastikan untuk mengamankan grup jika Anda tidak ingin grup menyertakan pengguna tamu. Selain itu, Anda harus memperbaiki tugas lisensi dengan membuat dan menetapkan ke grup yang hanya terdiri atas Karyawan Perusahaan. Di sisi lain, jika Anda menemukan bahwa grup Semua pengguna diaktifkan tetapi tidak digunakan untuk memberikan akses ke sumber daya, pastikan panduan operasi organisasi Anda adalah sengaja menggunakan grup tersebut (yang mencakup Karyawan Perusahaan dan Tamu).
Provisi pengguna yang diautomasi ke aplikasi
Provisi pengguna otomatis untuk aplikasi adalah cara terbaik untuk menciptakan provisi, deprovisi, dan siklus hidup identitas yang konsisten di berbagai sistem.
Jika saat ini Anda menyediakan aplikasi dengan cara ad-hoc atau menggunakan file CSV, JIT, atau solusi lokal yang tidak mengatasi manajemen siklus hidup, kami sarankan Anda menerapkan provisi aplikasi dengan ID Microsoft Entra. Solusi ini menyediakan aplikasi yang didukung dan menentukan pola yang konsisten untuk aplikasi yang belum didukung oleh ID Microsoft Entra.
Garis besar siklus sinkronisasi delta Microsoft Entra Connect
Penting untuk memahami volume perubahan di organisasi Anda dan memastikan bahwa tidak perlu waktu terlalu lama untuk memiliki waktu sinkronisasi yang dapat diprediksi.
Frekuensi sinkronisasi delta default adalah 30 menit. Jika sinkronisasi delta memakan waktu lebih dari 30 menit secara konsisten atau ada perbedaan signifikan antara performa sinkronisasi delta penahapan dan produksi, Anda harus menyelidiki dan meninjau faktor-faktor yang memengaruhi performa Microsoft Entra Connect.
Pembacaan yang direkomendasikan pemecahan masalah Microsoft Entra Connect
- Menyiapkan atribut direktori untuk sinkronisasi dengan Microsoft 365 dengan menggunakan alat IdFix
- Microsoft Entra Connect: Pemecahan Masalah Kesalahan selama sinkronisasi
Ringkasan
Ada lima aspek untuk infrastruktur Identitas yang aman. Daftar ini membantu Anda menemukan dan mengambil tindakan yang diperlukan dengan cepat untuk mengamankan dan mengelola siklus hidup identitas dan penetapannya di organisasi Anda.
- Tetapkan pemilik ke tugas kunci.
- Menemukan dan mengatasi masalah sinkronisasi.
- Tentukan strategi kegagalan untuk pemulihan bencana.
- Sederhanakan manajemen lisensi dan penetapan aplikasi.
- Provisi pengguna otomatis ke aplikasi.
Langkah berikutnya
Mulai dengan Pemeriksaan dan tindakan manajemen autentikasi.