Metode-metode autentikasi dan verifikasi apakah yang tersedia di Microsoft Entra ID?
Microsoft merekomendasikan metode autentikasi tanpa kata sandi seperti Windows Hello, Passkeys (FIDO2), dan aplikasi Microsoft Authenticator karena memberikan pengalaman masuk yang paling aman. Meskipun pengguna dapat masuk menggunakan metode umum lainnya seperti nama pengguna dan kata sandi, kata sandi harus diganti dengan metode autentikasi yang lebih aman.
Autentikasi multifaktor Microsoft Entra menambahkan keamanan tambahan hanya menggunakan kata sandi saat pengguna masuk. Pengguna dapat dimintai formulir autentikasi tambahan, seperti merespons pemberitahuan push, memasukkan kode dari token perangkat lunak atau perangkat keras, atau merespons pesan teks atau panggilan telepon.
Untuk menyederhanakan pengalaman onboarding pengguna dan mendaftar untuk MFA dan reset kata sandi mandiri (SSPR), kami menyarankan Anda untuk mengaktifkan pendaftaran informasi keamanan gabungan. Untuk ketahanan, kami menyarankan Anda untuk mewajibkan pengguna mendaftarkan beberapa metode autentikasi. Saat satu metode tidak tersedia untuk pengguna selama masuk atau SSPR, mereka dapat memilih untuk mengautentikasi dengan metode lain. Untuk informasi selengkapnya, lihat Membuat strategi manajemen kontrol akses yang tangguh di ID Microsoft Entra.
Cara kerja setiap metode autentikasi
Beberapa metode autentikasi dapat digunakan sebagai faktor utama saat Anda masuk ke aplikasi atau perangkat, seperti menggunakan kunci keamanan FIDO2 atau kata sandi. Metode autentikasi lainnya hanya tersedia sebagai faktor sekunder saat Anda menggunakan autentikasi multifaktor Microsoft Entra atau SSPR.
Tabel berikut ini menguraikan kapan metode autentikasi dapat digunakan selama peristiwa masuk:
Metode | Autentikasi utama | Autentikasi Sekunder |
---|---|---|
Windows Hello untuk Bisnis | Ya | MFA* |
Pendorongan Microsoft Authenticator | No | MFA dan SSPR |
Microsoft Authenticator tanpa kata sandi | Ya | Tidak* |
Kode akses Microsoft Authenticator (pratinjau) | Ya | MFA dan SSPR |
Authenticator Lite | No | MFA |
Kode akses (FIDO2) | Ya | MFA |
Autentikasi berbasis sertifikat | Ya | MFA |
Token perangkat keras OATH (pratinjau) | No | MFA dan SSPR |
Token perangkat lunak OATH | No | MFA dan SSPR |
Metode autentikasi eksternal (pratinjau) | No | MFA |
Kode Akses Sementara (TAP) | Ya | MFA |
SMS | Ya | MFA dan SSPR |
Panggilan suara | No | MFA dan SSPR |
Kata sandi | Ya | Tidak |
* Windows Hello untuk Bisnis, dengan sendirinya, tidak berfungsi sebagai informasi masuk MFA yang ditingkatkan. Misalnya, Tantangan MFA dari Frekuensi Kredensial Masuk atau Permintaan SAML yang berisi forceAuthn=true. Windows Hello untuk Bisnis dapat berfungsi sebagai informasi masuk MFA yang ditingkatkan dengan digunakan dalam autentikasi FIDO2. Ini mengharuskan pengguna untuk terdaftar agar autentikasi FIDO2 berhasil berfungsi.
* Masuk tanpa kata sandi dapat digunakan untuk autentikasi sekunder hanya jika autentikasi berbasis sertifikat (CBA) digunakan untuk autentikasi utama. Untuk informasi selengkapnya, lihat Mendalami teknis autentikasi berbasis sertifikat Microsoft Entra.
Semua metode autentikasi ini dapat dikonfigurasi di pusat admin Microsoft Entra, dan semakin menggunakan Microsoft Graph REST API.
Untuk mempelajari lebih lanjut tentang cara kerja setiap metode autentikasi, lihat artikel konseptual terpisah berikut:
- Windows Hello for Business
- Aplikasi Microsoft Authenticator
- Authenticator Lite
- Kode akses (FIDO2)
- Autentikasi berbasis sertifikat
- Token perangkat keras OATH (pratinjau)
- Token perangkat lunak OATH
- Metode autentikasi eksternal (pratinjau)
- Kode Akses Sementara (TAP)
- Rincian masuk dan verifikasi SMS
- Verifikasi panggilan suara
- Kata sandi
Catatan
Di ID Microsoft Entra, kata sandi sering kali merupakan salah satu metode autentikasi utama. Anda tidak dapat menonaktifkan metode autentikasi kata sandi. Jika Anda menggunakan kata sandi sebagai faktor autentikasi utama, tingkatkan keamanan peristiwa masuk menggunakan autentikasi multifaktor Microsoft Entra.
Metode verifikasi tambahan berikut dapat digunakan dalam skenario tertentu:
- Kata sandi aplikasi - digunakan untuk aplikasi lama yang tidak mendukung autentikasi modern dan dapat dikonfigurasi untuk autentikasi multifaktor Microsoft Entra per pengguna.
- Pertanyaan keamanan - hanya digunakan untuk SSPR
- Alamat email - hanya digunakan untuk SSPR
Metode yang dapat digunakan dan tidak dapat digunakan
Administrator dapat melihat metode autentikasi pengguna di pusat admin Microsoft Entra. Metode yang dapat digunakan dicantumkan terlebih dahulu, diikuti oleh metode yang tidak dapat digunakan.
Setiap metode autentikasi dapat menjadi tidak dapat digunakan karena alasan yang berbeda. Misalnya, Kode Akses Sementara mungkin kedaluwarsa, atau kunci keamanan FIDO2 mungkin gagal pengesahan. Portal akan diperbarui untuk memberikan alasan mengapa metode ini tidak dapat digunakan.
Metode autentikasi yang tidak lagi tersedia karena "Perlu mendaftarkan ulang autentikasi multifaktor" juga ditampilkan di sini.
Langkah berikutnya
Untuk memulai, lihat tutorial untuk pengaturan ulang kata sandi mandiri (SSPR) dan autentikasi multifaktor Microsoft Entra.
Untuk mempelajari selengkapnya tentang konsep SSPR, lihat Cara kerja pengaturan ulang kata sandi layanan mandiri Microsoft Entra.
Untuk mempelajari selengkapnya tentang konsep MFA, lihat Cara kerja autentikasi multifaktor Microsoft Entra.
Pelajari lebih lanjut tentang mengonfigurasi metode autentikasi menggunakan Microsoft Graph REST API.
Untuk meninjau metode autentikasi apa yang digunakan, lihat Analisis metode autentikasi autentikasi multifaktor Microsoft Entra dengan PowerShell.