Perkenalan:Dalam posting blog ini saya akan membahas cara menggunakan Akses Bersyarat di Azure Active Directory (Azure AD) untuk membatasi bagaimana Microsoft Teams diakses oleh karyawan. Posting blog ini akan mencakup cara mengkonfigurasi Akses Bersyarat, dan seperti apa pengalaman itu bagi pengguna. Private Blog Network
Apa itu Akses Bersyarat? Akses Bersyarat adalah fitur Azure AD yang memungkinkan organisasi menentukan kondisi tertentu untuk bagaimana pengguna mengautentikasi dan mendapatkan akses ke aplikasi dan layanan. Untuk informasi selengkapnya, lihat sumber daya berikut Akses bersyarat di Azure Active Directory. Catatan, Akses Bersyarat memerlukan Azure AD Premium P1 atau lebih tinggi. Untuk informasi selengkapnya, lihat harga Azure Active Directory (Catatan, uji coba 30 hari juga tersedia).
Skenario:Banyak cara Akses Bersyarat dapat digunakan. Dalam posting blog ini, perusahaan fiktif Contoso, ingin memberi karyawan ritel mereka akses ke Microsoft Teams namun mereka memiliki persyaratan yang harus dipenuhi:Karyawan ritel dibayar per jam dan bekerja di toko ritel perusahaan. Ketika karyawan meninggalkan pekerjaan dan “tidak sesuai jam”, mereka tidak diizinkan untuk mengakses Microsoft Teams.Ketika karyawan meninggalkan pekerjaan, aplikasi seharusnya tidak mengizinkan mereka mengakses data atau layanan.Ketika karyawan kembali bekerja, aplikasi harus memungkinkan mereka untuk mengakses semua data dan layanan dalam aplikasi.Persyaratan ini akan https://kangasep.com/jasa-backlink-pbn/ berlaku untuk semua platform di mana seorang karyawan dapat mengakses Microsoft Teams (aplikasi smartphone, Windows, Mac, browser web, dll)
Berdasarkan persyaratan ini dan pemahaman tentang kemampuan Akses Bersyarat, mereka datang dengan desain dan konfigurasi berikut:
Catatan desain: Semua karyawan ritel akan ditugaskan ke grup keamanan bertajuk Staf Ritel. Kebijakan Akses Bersyarat hanya akan diterapkan pada karyawan yang merupakan anggota grup keamanan ini.Kebijakan hanya akan diterapkan ke microsoft Teams append akan mencakup semua platform (Android, iOS, Windows Phone, Windows, Mac OS, dll.Kebijakan ini akan berlaku untuk Jasa backlink PBN lokasi mana pun (alamat IP), tetapi, lokasi dengan IP tepercaya akan dikecualikan. Contoso akan menambahkan subnet IP publik mereka ke daftar IP tepercaya.Kebijakan ini akan berlaku untuk 
browser, aplikasi seluler, dan klien desktop.Risiko masuk tidak akan dikonfigurasi.Kontrol akses akan diatur untuk memblokir. Memerlukan autentikasi multifaktor, kepatuhan perangkat, dll tidak akan dikonfigurasi.Kontrol sesi tidak akan dikonfigurasi.
Karyawan akan terhubung ke jaringan Wi-Fi tamu saat berada di toko.
Mari kita mulai cara menerapkan desain ini.
Pertama, tetapkan lisensi Azure Active Directory Premium P1 kepada pengguna:
Seperti disebutkan sebelumnya Azure AD Premium P1 diperlukan. Untuk skenario ini, saya akan menetapkan lisensi kepada karyawan ritel saya Megan:
Catatan: Anda akan melihat bahwa saya menggunakan AzureAD PremiumP2, ini karena saya menggunakan beberapa fitur tambahan seperti Privileged Identity Management dan Identity Protection yang akan saya blogi di masa mendatang.
Tambahkan karyawan ke grup keamanan Karyawan Ritel:
Selanjutnya, saya akan menambahkan Megan ke grup keamanan Karyawan Ritel yang saya buat. Ini akan memudahkan untuk mengelola kebijakan Akses Bersyarat dan menetapkan pengguna nanti:
Meluncurkan pusat admin Azure Active Directory:
Akses Bersyarat dikonfigurasi di pusat admin Azure Active Directory. Untuk meluncurkan portal ini, di sisi kiri Portal Admin Office 365 perluas pusat Admin dan klik Azure AD:
Catatan: Pintasan adalah menelusuri ke aad.portal.azure.com
Di pusat admin Azure Active Directory, di sisi kiri klik Azure Active Directory:
Selanjutnya, gulir ke bawah dan temukan kategori Keamanan dan klik Akses Bersyarat:
Membuat Kebijakan Akses Bersyarat:
Selanjutnya, klik Buat Kebijakan:
Pada bilah Baru, kami akan memberi kebijakan nama Microsoft Teams for Retail Employees. Kemudian klik Pengguna dan Grup:
Di bilah Pengguna dan grup, di bawah tab Sertakan pilih tombol radio untuk Pilih pengguna dan grup lalu klik Pilih. Pada bilah Pilih, telusuri ke grup keamanan Karyawan Ritel dan letakkan https://kangasep.com/ cek di sebelahnya. Kemudian klik tombol Pilih di bagian bawah:
Catatan: Jika ada karyawan yang harus dibebaskan dari kebijakan (yaitu manajer toko) maka tab Kecualikan dapat digunakan.
Pada bilah Pengguna dan grup klik Selesai:
Pada bilah Baru klik Aplikasi cloud;
Pada bilah aplikasi Cloud, di bawah tab Sertakan klik tombol radio untuk Pilih aplikasi lalu klik Pilih. Pada bilah Pilih, temukan Microsoft Teams, letakkan tanda centang di sampingnya lalu klik Pilih. Pada bilah Cloud Apps klik Selesai:
Kembali ke bilah Baru, klik Kondisi. Pada bilah Kondisi klik Platform perangkat. Pada platform Perangkat bade klik Ya dan pilih Semua platform (termasuk tidak didukung). Kemudian klik Selesai:
Salah satu bilah Kondisi, klik Lokasi. Klik Ya dan pada tab Sertakan klik Lokasi Apa Pun lalu klik tab Kecualikan:
Pada tab Kecualikan klik kotak centang Semua IP tepercaya lalu klik hyperlink Konfigurasikan semua lokasi tepercaya:
Tab browser baru akan diluncurkan, dan Anda akan dibawa ke halaman autentikasi faktor mult. Dalam kotak ips tepercaya, ketik subnet alamat IP dari alamat IP publik toko ritel. Dalam contoh saya di bawah ini, ketika karyawan berada di toko ritel dan terhubung ke jaringan Wi-Fi tamu, ia akan menggunakan IP publik di subnet 70.92.0.0/14 untuk mengakses Microsoft Teams di Office 365. Dengan menambahkan subnet ini, ini memberi tahu Akses Bersyarat untuk mengecualikan upaya autentikasi apa pun yang berasal dari subnet ini dari kebijakan Akses Bersyarat. Klik Simpan di bagian bawah halaman dan tutup tab browser setelah selesai:
Kembali di pusat admin Azure Active Directory, klik Selesai pada bilah Lokasi:
Pada bilah Kondisi klik Aplikasi Klien. Pada bilah Aplikasi Klien klik Ya. Klik tombol radio Pilih Aplikasi Klien dan pilih Aplikasi Browser dan Seluler serta klien desktop. Kemudian klik Selesai. Kemudian pada bilah Kondisi klik Selesai.
Kembali ke bilah Baru, di bawah Kontrol akses klik Grant. Pada bilah Grant klik tombol radio untuk Blokir akses lalu di bagian bawah klik Pilih:
Pada bilah Baru klik Aktif untuk mengaktifkan kebijakan lalu klik Buat untuk membuat kebijakan. Pemberitahuan di sudut kanan atas pemberitahuan roti panggang baru akan muncul, menunjukkan kebijakan sedang dalam proses diaktifkan.Tutup tab pusat admin Azure Active Directory:
Uji Akses Bersyarat saat berada di jaringan:
Sekarang setelah kebijakan tersebut dikonfigurasi dan diaktifkan, mari kita uji untuk melihat apakah kebijakan tersebut berlaku untuk karyawan ritel. Saya akan menghubungkan iPhone ke jaringan Wi-Fi di toko ritel, dan meluncurkan aplikasi Microsoft Teams.
Saya akan berhasil diautentikasi dan aplikasi akan dimuat:
Pada titik ini, saya sekarang dapat menggunakan Microsoft Teams saat berada di jaringan saat terhubung ke Wi-Fi tamu korporat di toko ritel. Saya akan keluar dari aplikasi setelah selesai:
Saat mengakses menggunakan browser web desktop saat berada di jaringan:
Uji Akses Bersyarat saat di luar jaringan:
Selanjutnya, saya akan mematikan Wi-Fi di iPhone sehingga saya terhubung ke jaringan seluler untuk mensimulasikan meninggalkan toko ritel dan memutuskan sambungan dari jaringan Wi-Fi tamu perusahaan.
PENTING: Aplikasi akan secara otomatis mengautentikasi ulang setiap 60 menit. Jadi, jika seorang karyawan meninggalkan toko pada pukul 5 sore, mereka mungkin masih memiliki akses ke aplikasi hingga pukul 18:00 ketika diautentikasi ulang dan kebijakan Akses Bersyarat dimulai. Pada saat itu, ketika mereka membuka aplikasi lagi, mereka akan menerima kesalahan karena kebijakan tersebut. Aku akan menunjukkan itu hanya dalam beberapa saat.
Saat terputus dari jaringan Wi-Fi, saya akan mencoba masuk ke aplikasi Microsoft Teams:
Selanjutnya, setelah mengetuk Masuk akan ditantang untuk memasukkan kata sandi saya. Jadi, saya akan mengetikkan kata sandi saya dan ketuk Masuk
Kebijakan Akses Bersyarat akan dimulai, dan saya disajikan dengan pesan berikut. Perhatikan bahwa saya tidak dapat melanjutkan dengan masuk:
Saat pengujian dari browser web desktop saat keluar jaringan:
Pengalaman pengguna saat waktu aplikasi habis setelah 60 menit:
Saat aplikasi mengautentikasi ulang, saya akan ditantang dengan perintah autentikasi untuk memasukkan kembali kredensial saya: