Mengelola penerapan autentikasi multifaktor (MFA) pada langganan Anda

Jika Anda hanya menggunakan kata sandi untuk mengautentikasi pengguna, Anda membiarkan vektor serangan tetap terbuka. Pengguna sering menggunakan kata sandi yang lemah atau menggunakannya kembali untuk beberapa layanan. Dengan mengaktifkan MFA, akun Anda lebih aman, dan pengguna masih dapat mengautentikasi ke hampir semua aplikasi dengan akses menyeluruh (SSO).

Ada beberapa cara untuk mengaktifkan MFA untuk pengguna Azure Active Directory (AD) berdasarkan lisensi yang dimiliki organisasi Anda. Halaman ini memberikan detail untuk masing-masing dalam konteks Microsoft Defender untuk Cloud.

MFA dan Microsoft Defender untuk Cloud

Defender untuk Cloud menempatkan nilai tinggi pada MFA. Kontrol keamanan yang paling berkontribusi terhadap skor aman Anda adalah Aktifkan MFA.

Rekomendasi dalam kontrol Aktifkan MFA memastikan Anda memenuhi praktik yang direkomendasikan untuk pengguna langganan Anda:

  • MFA harus diaktifkan pada akun dengan izin pemilik di langganan Anda
  • MFA harus diaktifkan pada akun dengan izin tulis di langganan Anda

Ada tiga cara untuk mengaktifkan MFA dan mematuhi dua rekomendasi di Defender untuk Cloud: default keamanan, penetapan per pengguna, kebijakan akses bersyarat (CA). Masing-masing opsi ini dijelaskan di bawah ini.

Opsi gratis - default keamanan

Jika Anda menggunakan Azure Active Directory edisi gratis, gunakan default keamanan untuk mengaktifkan autentikasi multi-faktor pada penyewa Anda.

MFA untuk pelanggan Microsoft 365 Business, E3, atau E5

Pelanggan dengan Microsoft 365 dapat menggunakan Penetapan per pengguna. Dalam skenario ini, Azure Active Directory Multifactor Authentication diaktifkan atau dinonaktifkan untuk semua pengguna, untuk semua peristiwa masuk. Tidak ada kemampuan untuk mengaktifkan autentikasi multi-faktor untuk subset pengguna, atau di bawah skenario tertentu, dan manajemen melalui portal Office 365.

MFA untuk pelanggan Azure Active Directory Premium

Untuk pengalaman pengguna yang lebih baik, tingkatkan ke Azure Active Directory Premium P1 atau P2 untuk opsi kebijakan akses bersyarat (CA) . Untuk mengonfigurasi kebijakan OS, Anda memerlukan izin penyewa Azure Active Directory (AD).

Kebijakan CA Anda harus:

  • memberlakukan MFA
  • menyertakan ID aplikasi Microsoft Azure Management (797f4846-ba00-4fd7-ba43-dac1f8f63013) atau semua aplikasi
  • tidak mengecualikan ID aplikasi Microsoft Azure Management

Pelanggan Azure AD Premium P1 dapat menggunakan Azure Active Directory OS untuk meminta pengguna melakukan autentikasi multi-faktor selama skenario atau peristiwa tertentu agar sesuai dengan kebutuhan bisnis Anda. Lisensi lain yang menyertakan fungsi ini: Enterprise Mobility + Security E3, Microsoft 365 F1, dan Microsoft 365 E3.

Azure Active Directory Premium P2 menyediakan fitur keamanan terkuat dan pengalaman pengguna yang ditingkatkan. Lisensi ini menambahkan akses bersyarat berbasis risiko ke fitur Azure Active Directory Premium P1. OS berbasis risiko menyesuaikan dengan pola pengguna Anda dan meminimalkan permintaan autentikasi multi-faktor. Lisensi lain yang menyertakan fungsi ini: Enterprise Mobility + Security E5 atau Microsoft 365 E5.

Pelajari lebih lanjut di dokumentasi Akses Bersyarat Azure.

Identifikasi akun tanpa autentikasi multi-faktor (MFA) diaktifkan

Anda dapat melihat daftar akun pengguna tanpa MFA diaktifkan baik dari halaman detail rekomendasi Defender untuk Cloud, atau menggunakan Azure Resource Graph.

Menampilkan akun tanpa MFA diaktifkan di portal Azure

Dari laman detail rekomendasi, pilih langganan dari daftar Sumber daya tidak sehat atau pilih Ambil tindakan dan daftar akan ditampilkan.

Lihat akun tanpa MFA diaktifkan menggunakan Azure Resource Graph

Untuk melihat akun mana yang tidak mengaktifkan MFA, gunakan kueri Azure Resource Graph berikut. Kueri mengembalikan semua sumber daya yang tidak sehat - akun - dari rekomendasi "MFA harus diaktifkan pada akun dengan izin pemilik pada langganan Anda".

  1. Buka Azure Resource Graph Explorer.

    Meluncurkan halaman rekomendasi Azure Resource Graph Explorer**

  2. Masukkan kueri berikut, lalu pilih Jalankan kueri.

    securityresources
     | where type == "microsoft.security/assessments"
     | where properties.displayName == "MFA should be enabled on accounts with owner permissions on subscriptions"
     | where properties.status.code == "Unhealthy"
    
  3. Properti additionalData menampilkan daftar ID objek akun untuk akun yang tidak memberlakukan MFA.

    Catatan

    Akun ditampilkan sebagai ID objek daripada nama akun untuk melindungi privasi pemegang akun.

Tip

Atau, Anda dapat menggunakan metode Defender untuk Cloud REST API Penilaian - Dapatkan.

FAQ - MFA di Defender untuk Cloud

Kita sudah menggunakan kebijakan CA untuk memberlakukan MFA. Mengapa kami masih mendapatkan rekomendasi Defender untuk Cloud?

Untuk menyelidiki mengapa rekomendasi masih dibuat, verifikasi opsi konfigurasi berikut dalam kebijakan MFA OS Anda:

  • Anda telah menyertakan akun di bagian Pengguna dari kebijakan MFA OS Anda (atau salah satu grup di bagian Grup)
  • ID aplikasi Azure Management (797f4846-ba00-4fd7-ba43-dac1f8f63013), atau semua aplikasi, disertakan di bagian Aplikasi dari kebijakan MFA OS Anda
  • ID aplikasi Azure Manajemen tidak dikecualikan di bagian Aplikasi dari kebijakan MFA OS Anda

Kita menggunakan alat MFA pihak ketiga untuk memberlakukan MFA. Mengapa kami masih mendapatkan rekomendasi Defender untuk Cloud?

Rekomendasi MFA Defender untuk Cloud tidak mendukung alat MFA pihak ketiga (misalnya, DUO).

Jika rekomendasi tidak relevan untuk organisasi Anda, pertimbangkan untuk menandainya sebagai "dimitigasi" seperti yang dijelaskan dalam Mengecualikan sumber daya dan rekomendasi dari skor aman Anda. Anda juga dapat menonaktifkan rekomendasi.

Mengapa Defender untuk Cloud menampilkan akun pengguna tanpa izin pada langganan sebagai "memerlukan MFA"?

Rekomendasi MFA Defender untuk Cloud mengacu pada peran RBAC Azure dan peran administrator langganan klasik Azure. Verifikasi bahwa tidak ada akun yang memiliki peran tersebut.

Kita memberlakukan MFA dengan PIM. Mengapa akun PIM ditampilkan sebagai tidak patuh?

Rekomendasi MFA Defender untuk Cloud saat ini tidak mendukung akun PIM. Anda dapat menambahkan akun ini ke Kebijakan CA di bagian Pengguna/Grup.

Dapatkah saya mengecualikan atau menutup beberapa akun?

Kemampuan untuk mengecualikan beberapa akun yang tidak menggunakan MFA tersedia pada rekomendasi baru dalam pratinjau:

  • Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA
  • Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA
  • Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA

Untuk mengecualikan akun, ikuti langkah-langkah berikut:

  1. Pilih rekomendasi MFA yang terkait dengan akun yang tidak sehat.
  2. Di tab Akun, pilih akun yang akan dikecualikan.
  3. Pilih tombol tiga titik, lalu pilih Kecualikan akun.
  4. Pilih cakupan dan alasan pengecualian.

Jika Anda ingin melihat akun mana yang dikecualikan, navigasikan ke Akun yang dikecualikan untuk setiap rekomendasi.

Tip

Saat Anda mengecualikan akun, akun tersebut tidak akan ditampilkan sebagai tidak sehat dan tidak akan menyebabkan langganan tampak tidak sehat.

Apakah ada batasan untuk identitas dan perlindungan akses Defender untuk Cloud?

Ada beberapa batasan untuk identitas dan perlindungan akses Defender untuk Cloud:

  • Rekomendasi identitas tidak tersedia untuk langganan dengan lebih dari 6,000 akun. Dalam kasus ini, jenis langganan ini akan dicantumkan di tab Tidak berlaku.
  • Rekomendasi identitas tidak tersedia untuk agen admin mitra Penyedia Solusi Cloud (CSP).
  • Rekomendasi identitas tidak mengidentifikasi akun yang dikelola dengan sistem pengelolaan identitas istimewa (PIM). Jika Anda menggunakan alat PIM, Anda mungkin melihat hasil yang tidak akurat di kontrol Kelola akses dan izin.

Langkah berikutnya

Untuk mempelajari lebih lanjut rekomendasi yang berlaku untuk jenis sumber daya Azure lainnya, lihat artikel berikut ini: