KONGGRES.COM – Microsoft telah membuat semacam jendela waktu di mana mitranya, dengan tanpa izin, bisa membuat peran baru untuk mereka sendiri, sebagai bagian penerapan pelanggan Active Directory. Kedengarannya ini adalah sebuah kebijakan yang aneh, namun Microsoft memiliki alasan tersendiri untuk itu.
Perlu diingat bahwa para pelaku kejahatan siber seringkali memiliki anggapan bahwa menyerang penyedia layanan IT, adalah cara terbaik untuk bisa menemukan banyak target lainnya, berkat database pengguna yang dimiliki penyedia layanan tersebut. Ini sebelumnya telah terjadi pada serangan ConnectWise, SolarWinds, Kaseya dan vendor lain yang menyediakan jasa penyedia layanan IT dan software.
Microsoft secara bijak melihat fakta tersebut, bahwa mitra mereka bisa menjadi target yang sama, dan menemukan kelemahan dalam pemberian hak akses admin atau Delegated Admin Privileges (DAP) yang diberikan mitra untuk mengelola pembelian perangkat lunak pelanggan mereka.
Perbaikan yang diberikan oleh Microsoft ini adalah bagian dari Granular Delegated Admin Privileges (GDAP), yang seperti namanya, masih memungkinkan mitra untuk mengadministrasikan pelanggan mereka, namun menawarkan kendali yang lebih baik dan mengikuti prinsip Zero-Trust, sehingga mitra menjadi terbatas untuk melakukan tindakan tertentu.
“GDAP memungkinkan mitra untuk meminta dan pelanggan untuk menerima peran Azure Active Directory tertentu, memungkinkan mitra untuk melakukan kegiatan dengan hak admin, namun atas nama pelanggan,” terang Microsoft.
Microsoft begitu tertarik dengan GDAP ini, dan mereka pada tanggal 30 Juni kemarin mengumumkan sebuah pemberitahuan seperti berikut:
“Mulai tanggal 25 Juli, Microsoft akan menyediakan alat yang memungkinkan mitra dengan hak istimewa admin yang didelegasikan, untuk membuat sambungan GDAP dengan peran Azure Active Directory, tanpa persetujuan pelanggan.”
Motif Microsoft dalam hal ini sangat sederhana, yakni mereka ingin mitra mengadopsi GDAP sehingga interaksi dengan pelanggan menjadi jauh lebih aman.
Meski demikian, mitra tidak akan menyimpan hak akses ini untuk mengubah rig pelanggan untuk jangka waktu selamanya. Alat ini hanya akan berfungsi sampai dengan tanggal 31 Oktober 2022, dan setelah tanggal tersebut, pelanggan harus menyetujui pembuatan sambungan GDAP yang baru lagi.
Namun selama 98 hari berlalu dari debut alat ini sampai dengan masa akhir pakainya, mitra bisa membuat peran GDAP tanpa adanya campur tangan pelanggan. Microsoft akan memberikan informasi lebih lanjut mengenai alat ini pada tanggal 11 Juli nanti.