Identitas Active Directory di Azure dan Operasi Manajemen Akses

Identitas Active Directory di Azure dan Operasi Manajemen Akses

Saran-saran ini berlaku pada tanggal publikasi, tetapi bisa berubah di masa depan. Seiring berkembangnya produk dan layanan Microsoft, organisasi harus secara teratur memeriksa prosedur identifikasi mereka.

Proses Operasional Utama

Penugasan Pemilik pada Tugas Kunci di Azure

Mengelola Azure Active Directory memerlukan pelaksanaan berkelanjutan dari tugas dan proses operasional penting yang tidak selalu merupakan bagian dari peluncuran. Namun, sangat penting untuk mengatur tugas-tugas ini agar lingkungan kita tetap dalam kondisi baik.

Wajib untuk menetapkan pemilik pada aktivitas yang tidak memiliki pemilik atau mengubah kepemilikan tugas saat kita meninjau daftar.

Sinkronisasi Identitas Sistem On-premises

Identifikasi & Solusi Masalah Sinkronisasi

Masalah dukungan dapat disebabkan oleh kesalahan sinkronisasi yang tidak terpecahkan yang telah ada dalam waktu lama. Memecahkan kesalahan sinkronisasi memberikan gambaran umum tentang berbagai jenis kegagalan sinkronisasi, serta beberapa kondisi yang mungkin menyebabkannya dan solusi yang mungkin.

Catatan: Jika satu identitas manusia memiliki banyak akun akibat migrasi domain lama, merger, atau akuisisi, kita hanya harus menyinkronkan akun yang digunakan pengguna setiap hari, seperti akun yang mereka gunakan untuk masuk ke komputer mereka. Dalam dunia ideal, kita akan mencapai keseimbangan antara jumlah item yang disinkronkan dan kompleksitas aturan.

Penting: Jika kita masih menggunakan pemfilteran grup dalam produksi, kita harus beralih ke metode pemfilteran yang berbeda.

Pemulihan Bencana di Azure

Pemulihan bencana juga dikenal sebagai failover sinkronisasi. Proses provisioning sangat bergantung pada Azure AD Connect. Perubahan yang dibuat di on-premises tidak akan diperbarui di cloud jika Server Sinkronisasi mati karena alasan apa pun, yang dapat menyebabkan masalah akses bagi pengguna. Oleh karena itu, mendefinisikan rencana failover yang memungkinkan administrator untuk segera melanjutkan sinkronisasi jika server sinkronisasi offline sangat penting. Berikut adalah beberapa contoh strategi tersebut:

  • Menyebarkan Server Azure AD Connect dalam Mode Staging – Administrator dapat “mempromosikan” server staging ke produksi hanya dengan melakukan modifikasi kecil.
  • Penggunaan Metode Virtualisasi – Jika Azure AD connect diinstal pada mesin virtual (VM), administrator dapat menggunakan tumpukan virtualisasi mereka untuk memindahkan atau menginstal ulang VM dengan cepat, melanjutkan sinkronisasi.

Aturan Kustom

Aturan kustom di Azure AD Connect memungkinkan kita mengatur aliran atribut antara objek on-premises dan cloud. Penggunaan atau penyalahgunaan aturan kustom dapat menyebabkan banyak risiko yang sangat berbahaya bagi organisasi.

Risiko-risiko tersebut dapat berupa:

  • Penurunan Kinerja saat mengeksekusi tindakan kompleks di seluruh item saat memecahkan masalah.
  • Kemungkinan Lebih Tinggi dari Divergensi Konfigurasi antara server produksi dan server staging (digunakan oleh aturan bawaan).
  • Tambahan Overhead saat meningkatkan Azure AD Connect jika aturan kustom dibuat dengan nilai prioritas lebih dari 100.

Jika kita memiliki aturan yang sangat kompleks, kita harus mencari tahu mengapa aturan tersebut begitu rumit dan mencari cara untuk menyederhanakannya. Demikian juga, jika kita telah menulis aturan kustom dengan nilai prioritas lebih dari 100, kita harus memastikan aturan tersebut tidak dalam bahaya atau bertentangan dengan set default.

Contoh penyalahgunaan aturan kustom termasuk:

  • Membersihkan Data Direktori yang Kotor – Dalam hal ini, lebih baik bekerja sama dengan pemilik tim AD untuk membersihkan data direktori sebagai tugas remediasi, dan mengubah protokol untuk menghindari pengenalan kembali data yang buruk.
  • Perbaikan Pengguna Individual satu kali – Biasanya ditemukan aturan yang mengatasi kasus luar biasa, biasanya karena masalah dengan pengguna tertentu.
  • Pemfilteran “Cloud” yang Terlalu Rumit – Meskipun mengurangi jumlah item adalah ide yang baik, ada risiko menyulitkan lingkup sinkronisasi dengan menggunakan banyak aturan sinkronisasi. Jika ada logika yang rumit untuk menyertakan/mengeluarkan item yang tidak tercakup oleh pemfilteran OU, lebih baik melakukannya di luar sinkronisasi dan menetapkan objek dengan atribut “cloudFiltered” sederhana yang dapat dipicu oleh Aturan Sinkronisasi sederhana.

Lisensi untuk Layanan Cloud Microsoft (Berbasis Grup)

Lisensi untuk layanan cloud Microsoft disederhanakan dengan lisensi berbasis grup Azure Active Directory. Dengan cara ini, IAM menawarkan infrastruktur grup sambil mendelegasikan manajemen grup ke tim yang sesuai dalam perusahaan. Di Azure AD, kita dapat mengatur keanggotaan grup dalam berbagai cara, termasuk:

  • Grup dapat disinkronkan dari direktori on-premises, yang bisa menjadi pilihan yang cocok untuk perusahaan yang sudah memiliki sistem manajemen grup yang dapat diperluas untuk menetapkan lisensi di Microsoft 365.
  • Berdasarkan Atribut / Dinamis – Azure AD melacak anggota grup dan memastikan mereka sesuai dengan frasa. Saat jenis grup ini digunakan untuk penetapan lisensi, penetapan lisensi berbasis atribut dimungkinkan, yang ideal untuk perusahaan dengan kualitas data tinggi dalam direktori mereka.
  • Kepemilikan Delegasi – Pembuatan grup dapat dilakukan dan pemilik juga dapat ditetapkan. Kita dapat memungkinkan pemimpin perusahaan, seperti tim Kolaborasi atau BI, untuk menentukan siapa yang harus memiliki akses dengan cara ini.

Definisi rencana layanan (komponen lisensi) yang harus diaktifkan tergantung pada peran pekerjaan di perusahaan adalah aspek lain dari manajemen lisensi. Memberi pengguna akses ke rencana layanan yang tidak mereka butuhkan dapat menyebabkan mereka melihat alat di portal Office yang belum mereka latih atau seharusnya tidak mereka gunakan. Saat menyediakan OneDrive for Business kepada karyawan yang mungkin tidak diizinkan berbagi konten, hal ini dapat mengakibatkan peningkatan volume meja bantuan, penyediaan yang tidak efisien, dan membahayakan kepatuhan serta tata kelola kita.

Untuk mendefinisikan rencana layanan untuk pengguna, terapkan pedoman berikut:

  • Administrator harus membuat “bundel” rencana layanan untuk pengguna berdasarkan fungsi pekerjaan mereka, seperti pekerja kerah putih vs. pekerja lantai.
  • Tetapkan lisensi pada rencana layanan dan buat grup berdasarkan kluster.

Penting: Jika kita menemukan kesalahan lisensi, kita harus menyelidiki dan memperbaiki masalah penetapan lisensi segera.

Manajemen Siklus Hidup IMA

Jika metode saat ini tidak memperhitungkan karyawan baru atau karyawan yang meninggalkan perusahaan, kita harus menerapkan lisensi berbasis grup dinamis dan menentukan siklus hidup keanggotaan grup. Terakhir, jika kita menggunakan lisensi berbasis grup dengan grup on-premises yang tidak memiliki manajemen siklus hidup, pertimbangkan untuk memanfaatkan grup cloud untuk menyediakan fitur seperti kepemilikan yang didelegasikan dan keanggotaan dinamis berbasis atribut.

Aplikasi yang Ditetapkan untuk Grup “Semua Pengguna”

Grup Semua Pengguna mungkin tampak hanya berisi Karyawan Perusahaan, tetapi sebenarnya mungkin memiliki Karyawan Perusahaan dan Tamu.

Siklus Sinkronisasi Delta Azure AD Connect

Memahami volume perubahan dalam bisnis kita sangat penting, begitu juga memastikan bahwa sinkronisasi memakan waktu yang wajar.

Frekuensi sinkronisasi delta diatur ke 30 menit secara default. Jika sinkronisasi delta membutuhkan waktu lebih dari 30 menit secara teratur, atau jika kinerja sinkronisasi delta staging dan produksi berbeda secara signifikan, kita harus menganalisis dan meninjau faktor-faktor yang mempengaruhi kinerja Azure AD Connect.

Bacaan yang Direkomendasikan untuk Pemecahan Masalah Azure AD Connect

  • Menggunakan alat IdFix, siapkan properti direktori untuk sinkronisasi dengan Microsoft 365.
  • Azure AD Connect: Memecahkan Kesalahan Sinkronisasi.

Infrastruktur identitas yang aman memiliki lima komponen. Daftar ini akan membantu kita dengan cepat mengidentifikasi dan menerapkan langkah-langkah yang diperlukan untuk mengamankan dan mengelola siklus hidup identitas dan hak mereka di perusahaan kita.

  1. Tetapkan tanggung jawab utama kepada pemilik.
  2. Identifikasi dan perbaiki masalah sinkronisasi.
  3. Tentukan strategi pemulihan bencana failover.
  4. Sederhanakan manajemen lisensi dan penugasan aplikasi.
  5. Otomatiskan provisioning aplikasi pengguna.

//TC

ref : [1][2]

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *