Melindungi metode autentikasi di ID Microsoft Entra
Catatan
Nilai terkelola Microsoft untuk Authenticator Lite akan berpindah dari dinonaktifkan ke diaktifkan pada 26 Juni 2023. Semua penyewa yang tersisa dalam status default yang dikelola Microsoft akan diaktifkan untuk fitur tersebut pada 26 Juni.
MICROSOFT Entra ID menambahkan dan meningkatkan fitur keamanan untuk melindungi pelanggan dari peningkatan serangan dengan lebih baik. Saat vektor serangan baru diketahui, ID Microsoft Entra dapat merespons dengan mengaktifkan perlindungan secara default untuk membantu pelanggan tetap terdepan dalam ancaman keamanan yang muncul.
Misalnya, sebagai respons terhadap peningkatan serangan kelelahan MFA, Microsoft merekomendasikan cara bagi pelanggan untuk mempertahankan pengguna. Salah satu rekomendasi untuk mencegah pengguna dari persetujuan autentikasi multifaktor (MFA) yang tidak disengaja adalah mengaktifkan pencocokan angka. Akibatnya, perilaku default untuk pencocokan angka akan diaktifkan secara eksplisit untuk semua pengguna Microsoft Authenticator. Anda dapat mempelajari lebih lanjut tentang fitur keamanan baru seperti pencocokan angka di posting blog kami Fitur keamanan Microsoft Authenticator Tingkat Lanjut sekarang tersedia secara umum!.
Ada dua cara agar perlindungan fitur keamanan diaktifkan secara default:
- Setelah fitur keamanan dirilis, pelanggan dapat menggunakan pusat admin Microsoft Entra atau Graph API untuk menguji dan meluncurkan perubahan pada jadwal mereka sendiri. Untuk membantu melindungi dari vektor serangan baru, MICROSOFT Entra ID dapat mengaktifkan perlindungan fitur keamanan secara default untuk semua penyewa pada tanggal tertentu, dan tidak akan ada opsi untuk menonaktifkan perlindungan. Microsoft menjadwalkan perlindungan default jauh lebih awal untuk memberi pelanggan waktu untuk mempersiapkan perubahan. Pelanggan tidak dapat memilih keluar jika Microsoft menjadwalkan perlindungan secara default.
- Perlindungan dapat dikelola Microsoft, yang berarti ID Microsoft Entra dapat mengaktifkan atau menonaktifkan perlindungan berdasarkan lanskap ancaman keamanan saat ini. Pelanggan dapat memilih apakah akan mengizinkan Microsoft mengelola perlindungan. Mereka dapat berubah dari Microsoft yang dikelola untuk secara eksplisit membuat perlindungan Diaktifkan atau Dinonaktifkan kapan saja.
Catatan
Hanya fitur keamanan penting yang akan mengaktifkan perlindungan secara default.
Perlindungan default diaktifkan oleh ID Microsoft Entra
Pencocokan angka adalah contoh perlindungan yang baik untuk metode autentikasi yang saat ini opsional untuk pemberitahuan push di Microsoft Authenticator di semua penyewa. Pelanggan dapat memilih untuk mengaktifkan pencocokan nomor untuk pemberitahuan push di Microsoft Authenticator untuk pengguna dan grup, atau mereka dapat membiarkannya dinonaktifkan. Pencocokan angka sudah menjadi perilaku default untuk pemberitahuan tanpa kata sandi di Microsoft Authenticator, dan pengguna tidak dapat menolaknya.
Ketika serangan kelelahan MFA meningkat, pencocokan angka menjadi lebih penting untuk keamanan masuk. Akibatnya, Microsoft akan mengubah perilaku default untuk pemberitahuan push di Microsoft Authenticator.
Pengaturan terkelola Microsoft
Selain mengonfigurasi pengaturan kebijakan metode Autentikasi agar Diaktifkan atau Dinonaktifkan, admin TI dapat mengonfigurasi beberapa pengaturan dalam kebijakan Metode autentikasi yang akan dikelola Microsoft. Pengaturan yang dikonfigurasi sebagai dikelola Microsoft memungkinkan MICROSOFT Entra ID mengaktifkan atau menonaktifkan pengaturan.
Opsi untuk mengizinkan MICROSOFT Entra ID mengelola pengaturan adalah cara mudah bagi organisasi untuk memungkinkan Microsoft mengaktifkan atau menonaktifkan fitur secara default. Organisasi dapat lebih mudah meningkatkan postur keamanan mereka dengan memercayai Microsoft untuk mengelola kapan fitur harus diaktifkan secara default. Dengan mengonfigurasi pengaturan sebagai dikelola Microsoft (bernama default di Graph API), admin TI dapat mempercayai Microsoft untuk mengaktifkan fitur keamanan yang belum mereka nonaktifkan secara eksplisit.
Misalnya, admin dapat mengaktifkan lokasi dan nama aplikasi dalam pemberitahuan push untuk memberi pengguna lebih banyak konteks saat mereka menyetujui permintaan MFA dengan Microsoft Authenticator. Konteks tambahan juga dapat dinonaktifkan secara eksplisit, atau ditetapkan sebagai dikelola Microsoft. Saat ini, konfigurasi terkelola Microsoft untuk lokasi dan nama aplikasi dinonaktifkan, yang secara efektif menonaktifkan opsi untuk lingkungan apa pun di mana admin memilih untuk mengizinkan ID Microsoft Entra mengelola pengaturan.
Saat lanskap ancaman keamanan berubah dari waktu ke waktu, Microsoft dapat mengubah konfigurasi terkelola Microsoft untuk lokasi dan nama aplikasi menjadi Diaktifkan. Bagi pelanggan yang ingin mengandalkan Microsoft untuk meningkatkan postur keamanan mereka, mengatur fitur keamanan ke yang dikelola Microsoft adalah cara mudah untuk tetap berada di depan ancaman keamanan. Mereka dapat mempercayai Microsoft untuk menentukan cara terbaik untuk mengonfigurasi pengaturan keamanan berdasarkan lanskap ancaman saat ini.
Tabel berikut mencantumkan setiap pengaturan yang dapat diatur ke dikelola Microsoft dan apakah pengaturan tersebut diaktifkan atau dinonaktifkan secara default.
| Pengaturan | Konfigurasi |
|---|---|
| Kampanye Pendaftaran | Diaktifkan untuk pesan teks dan pengguna panggilan suara |
| Lokasi di pemberitahuan Microsoft Authenticator | Nonaktif |
| Nama aplikasi di pemberitahuan Microsoft Authenticator | Nonaktif |
| MFA pilihan sistem | Diaktifkan |
| Authenticator Lite | Diaktifkan |
| Melaporkan aktivitas mencurigakan | Nonaktif |
Saat vektor ancaman berubah, ID Microsoft Entra dapat mengumumkan perlindungan default untuk pengaturan terkelola Microsoft dalam catatan rilis dan pada forum yang umum dibaca seperti Komunitas Teknologi. Misalnya, lihat posting blog kami Saatnya Untuk Menutup di Telepon Transportasi untuk Autentikasi untuk informasi selengkapnya tentang kebutuhan untuk menjauh dari menggunakan pesan teks dan panggilan suara, yang menyebabkan pengaktifan default untuk kampanye pendaftaran untuk membantu pengguna menyiapkan Authenticator untuk autentikasi modern.
Langkah berikutnya
Metode autentikasi di MICROSOFT Entra ID - Microsoft Authenticator