Kebijakan akses kondisional untuk memperkuat keamanan Active Directory

Memahami conditional access policy

Model kerja jarak jauh terbukti memberikan manfaat bagi organisasi maupun karyawan, dan akan terus menjadi bagian dari cara kerja modern. Namun, karena pengguna remote lebih rentan terhadap serangan siber, organisasi perlu menerapkan kontrol keamanan yang ketat seperti Active Directory MFA untuk mencegah pelanggaran data di jaringan. Di sisi lain, menerapkan kebijakan akses yang ketat untuk seluruh organisasi, seperti MFA, bisa berdampak pada pengalaman pengguna. Meskipun autentikasi dua atau tiga faktor efektif untuk mengamankan login remote, hal ini bisa menjadi langkah yang tidak perlu bagi pengguna Active Directory on-premises yang sudah berada dalam perimeter keamanan kantor. Pendekatan yang lebih efisien adalah menerapkan conditional access policy berdasarkan konteks. Pendekatan ini membantu organisasi dalam:

• Menerapkan kontrol akses tanpa intervensi administrator IT.
• Meningkatkan postur keamanan organisasi tanpa mengganggu pengalaman pengguna.

Apa itu conditional access? Kondisi akses apa saja yang umum dianalisis?

Conditional access menerapkan serangkaian aturan yang menganalisis berbagai kondisi akses—seperti alamat IP, waktu akses, perangkat, dan geolokasi pengguna—untuk menjalankan keputusan kontrol akses secara otomatis. Keputusan ini diterapkan secara real time berdasarkan faktor-faktor kontekstual tersebut, sehingga organisasi tidak perlu memberlakukan langkah keamanan yang terlalu ketat pada situasi yang tidak berisiko. Dengan begitu, pengalaman pengguna tetap optimal tanpa mengurangi keamanan.

Beberapa skenario umum dan langkah keamanan yang dapat diterapkan dengan conditional access meliputi:

• Mewajibkan verifikasi multi-factor untuk privileged users.
• Mewajibkan MFA untuk akses off-site ke application yang penting bagi bisnis untuk semua karyawan.
• Memblokir akses ke tindakan berisiko tinggi seperti permintaan self-service password reset dari IP yang tidak tepercaya atau perangkat yang tidak dikenal.
• Mewajibkan MFA saat login Windows ketika upaya akses berasal dari luar jaringan perusahaan.

Active Directory conditional access policy dengan ADSelfService Plus

Dasar-dasar membangun aturan conditional access di ADSelfService Plus:

• Conditions

  Bagian ini mencakup daftar faktor yang dapat menentukan tingkat keamanan organisasi Anda. ADSelfService Plus memungkinkan Anda mengonfigurasi conditions berdasarkan faktor risiko berikut:

  • Alamat IP (tepercaya dan tidak tepercaya)
  • Perangkat (jenis perangkat dan platform)
  • Jam kerja (jam kerja dan di luar jam kerja)
  • Geolokasi (berdasarkan asal permintaan)

• Criteria

  Setelah conditions dikonfigurasi, Anda dapat menyusun criteria menggunakan operator seperti AND, OR, atau NOT. Criteria inilah yang kemudian dikaitkan dengan access policy.

• Access policy

  Criteria kemudian dikaitkan dengan access policy yang telah dikonfigurasi sebelumnya, yang di ADSelfService Plus disebut sebagai self-service policy. Admin IT dapat membuat self-service policy dan mengaktifkan fitur tertentu untuk pengguna dalam domain, organizational unit (OU), dan grup tertentu.

Untuk informasi lebih lanjut tentang cara membangun aturan conditional access, lihat panduan self-service policy dan konfigurasi conditional access.

1. Pengguna Active Directory login ke perangkat mereka dan mencoba mengakses application atau salah satu fitur self-service di ADSelfService Plus.
2. Berdasarkan conditions yang telah ditentukan sebelumnya, faktor risiko seperti alamat IP pengguna, waktu akses, dan geolokasi akan dianalisis.
3. Jika data memenuhi conditions, pengguna akan ditetapkan ke self-service policy yang mengaktifkan salah satu tindakan berikut:
   • Akses penuh ke akun domain dan fitur-fitur terkait
   • Akses aman menggunakan MFA
   • Akses terbatas ke fitur tertentu
   • Akses dibatasi ke fitur tertentu
4. Jika pengguna tidak memenuhi aturan conditional access yang telah dikonfigurasi, self-service policy akan diterapkan berdasarkan grup atau OU pengguna.

Use case yang menunjukkan cara kerja conditional access policy

Use case 1: Saat login remote ke domain Active Directory (AD) organisasi perlu diamankan dengan MFA

Dalam contoh ini, misalkan 50% tenaga kerja di organisasi Anda bekerja secara hybrid. Sebanyak 20% lainnya adalah pengguna remote, dan 30% sisanya adalah pengguna on-premises. Dalam skenario ini, MFA perlu diterapkan untuk pengguna yang login secara remote. Penerapan conditional access untuk skenario ini meliputi:

1. Menerapkan self-service policy yang mengaktifkan endpoint MFA.
2. Mengonfigurasi dua conditions:
   • Alamat IP: Menyediakan daftar alamat IP tepercaya.
   • Lokasi: Memilih lokasi di luar area kantor organisasi.
3. Membuat criteria berikut:
   • (NOT alamat IP tepercaya) AND lokasi yang dipilih
4. Mengaitkan criteria dengan self-service policy.

Berikut cara kerja conditional access policy ini:

Saat pengguna mencoba login ke perangkat, alamat IP dan geolokasi pengguna akan dianalisis. Jika alamat IP tersebut bukan IP tepercaya dan geolokasinya termasuk dalam lokasi yang dipilih, criteria akan terpenuhi dan pengguna akan ditetapkan ke self-service policy yang mewajibkan endpoint MFA. Jika conditions tidak terpenuhi, maka self-service policy lain yang berlaku untuk pengguna tersebut akan diterapkan.

Use case 2: Hanya izinkan pengguna dengan perangkat yang terhubung ke domain untuk mengakses application enterprise menggunakan SSO

Application enterprise sering digunakan untuk memproses dan menyimpan data sensitif pengguna. Karena sebagian besar application ini kini di-deploy di cloud dan berada di luar perimeter keamanan jaringan Anda, application tersebut menjadi target utama serangan siber. Penyerang menggunakan phishing dan teknik serangan lainnya untuk mendapatkan akses ke application dan mengekstrak data dari jarak jauh. Dengan conditional access, Anda dapat mengizinkan hanya pengguna yang memiliki komputer yang terhubung ke domain untuk mengakses application penting yang berisi data sensitif. Anda juga dapat meningkatkan keamanannya dengan hanya mengizinkan daftar alamat IP tepercaya untuk mengakses application yang kritikal, sehingga penyerang tetap tidak dapat mengakses application tersebut meskipun mereka berhasil mencuri kredensial pengguna. Berikut contoh konfigurasi aturan conditional access untuk skenario ini:

1. Mengonfigurasi self-service policy yang mengaktifkan SSO untuk application yang dibutuhkan.
2. Mengonfigurasi dua conditions:
   • Berdasarkan alamat IP: Menyediakan daftar alamat IP tepercaya.
   • Berdasarkan perangkat: Memilih semua objek komputer yang terhubung ke domain.
3. Membuat criteria berikut:
   • Alamat IP tepercaya AND objek komputer yang dipilih
4. Mengaitkan criteria dengan self-service policy yang telah dibuat.

Berikut cara kerja aturan conditional access ini:

Saat pengguna mencoba login ke application enterprise melalui SSO, alamat IP perangkat dan jenis perangkat akan dianalisis. Jika alamat IP tersebut tepercaya dan objek komputernya merupakan bagian dari domain AD, maka criteria yang dibuat akan terpenuhi. Setelah itu, self-service policy yang terkait dengan criteria akan diterapkan ke pengguna. Ini memungkinkan pengguna mengakses application enterprise menggunakan SSO.

Keuntungan mengaktifkan conditional access dengan ADSelfService Plus

• Pilih dari 20 faktor autentikasi yang kuat, termasuk FIDO passkeys dan biometrik, untuk menerapkan MFA.
• Kelola akses ke perangkat, VPN, OWA, RDP, dan Exchange admin center dari satu konsol.
• Aktifkan conditional access policy yang granular untuk berbagai departemen dalam organisasi.