Kekuatan autentikasi Akses Bersyarah
Kekuatan autentikasi adalah kontrol Akses Bersyar yang menentukan kombinasi metode autentikasi mana yang dapat digunakan untuk mengakses sumber daya. Pengguna dapat memenuhi persyaratan kekuatan dengan mengautentikasi dengan salah satu kombinasi yang diizinkan.
Misalnya, kekuatan autentikasi dapat mengharuskan hanya metode autentikasi tahan phishing yang digunakan untuk mengakses sumber daya sensitif. Untuk mengakses sumber daya yang tidak sensitif, administrator dapat membuat kekuatan autentikasi lain yang memungkinkan kombinasi autentikasi multifaktor (MFA) yang kurang aman, seperti kata sandi + pesan teks.
Kekuatan autentikasi didasarkan pada kebijakan Metode autentikasi, di mana administrator dapat mencakup metode autentikasi untuk pengguna dan grup tertentu yang akan digunakan di seluruh aplikasi federasi ID Microsoft Entra. Kekuatan autentikasi memungkinkan kontrol lebih lanjut atas penggunaan metode ini berdasarkan skenario tertentu seperti akses sumber daya sensitif, risiko pengguna, lokasi, dan banyak lagi.
Skenario untuk kekuatan autentikasi
Kekuatan autentikasi dapat membantu pelanggan mengatasi skenario ini:
- Memerlukan metode autentikasi tertentu untuk mengakses sumber daya sensitif.
- Memerlukan metode autentikasi tertentu saat pengguna mengambil tindakan sensitif dalam aplikasi (dalam kombinasi dengan konteks autentikasi Akses Bersyarat).
- Mengharuskan pengguna untuk menggunakan metode autentikasi tertentu saat mereka mengakses aplikasi sensitif di luar jaringan perusahaan.
- Memerlukan metode autentikasi yang lebih aman untuk pengguna dengan risiko tinggi.
- Memerlukan metode autentikasi tertentu dari pengguna tamu yang mengakses penyewa sumber daya (dalam kombinasi dengan pengaturan lintas penyewa).
Kekuatan autentikasi
Administrator dapat menentukan kekuatan autentikasi untuk mengakses sumber daya dengan membuat kebijakan Akses Bersyarat dengan memerlukan kontrol kekuatan autentikasi. Mereka dapat memilih dari tiga kekuatan autentikasi bawaan: Kekuatan autentikasi multifaktor, kekuatan MFA Tanpa Kata Sandi, dan kekuatan MFA tahan Phishing. Mereka juga dapat membuat kekuatan autentikasi kustom berdasarkan kombinasi metode autentikasi yang ingin mereka izinkan.
Kekuatan autentikasi bawaan
Kekuatan autentikasi bawaan adalah kombinasi metode autentikasi yang telah ditentukan sebelumnya oleh Microsoft. Kekuatan autentikasi bawaan selalu tersedia dan tidak dapat dimodifikasi. Microsoft akan memperbarui kekuatan autentikasi bawaan saat metode baru tersedia.
Misalnya, kekuatan MFA tahan Phishing bawaan memungkinkan kombinasi berikut:
Windows Hello untuk Bisnis
Atau
Kunci keamanan FIDO2
Atau
Autentikasi berbasis sertifikat Microsoft Entra (Multifaktor)
Kombinasi metode autentikasi untuk setiap kekuatan autentikasi bawaan tercantum dalam tabel berikut. Kombinasi ini mencakup metode yang perlu didaftarkan oleh pengguna dan diaktifkan dalam kebijakan Metode autentikasi atau kebijakan pengaturan MFA warisan.
- Kekuatan MFA - serangkaian kombinasi yang sama yang dapat digunakan untuk memenuhi pengaturan Memerlukan autentikasi multifaktor.
- Kekuatan MFA tanpa kata sandi - mencakup metode autentikasi yang memenuhi MFA tetapi tidak memerlukan kata sandi.
- Kekuatan MFA tahan phishing - mencakup metode yang memerlukan interaksi antara metode autentikasi dan permukaan masuk.
| Kombinasi metode autentikasi | Kekuatan MFA | Kekuatan MFA tanpa kata sandi | Kekuatan MFA tahan phishing |
|---|---|---|---|
| Kunci keamanan FIDO2 | ✅ | ✅ | ✅ |
| Windows Hello untuk Bisnis | ✅ | ✅ | ✅ |
| Autentikasi berbasis sertifikat (Multifaktor) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (masuk Telepon) | ✅ | ✅ | |
| Kode Akses Sementara (Penggunaan sekali pakai DAN Multi-penggunaan) | ✅ | ||
| Kata sandi + sesuatu yang Anda miliki1 | ✅ | ||
| Faktor tunggal gabungan + sesuatu yang Anda miliki1 | ✅ | ||
| Multifaktor Federasi | ✅ | ||
| Autentikasi berbasis sertifikat (faktor tunggal) | |||
| Proses masuk menggunakan SMS | |||
| Kata sandi | |||
| Faktor tunggal federasi |
1 Sesuatu yang Telah Anda lihat ke salah satu metode berikut: pesan teks, suara, pemberitahuan push, token OATH perangkat lunak, atau token OATH perangkat keras.
Panggilan API berikut dapat digunakan untuk mencantumkan definisi semua kekuatan autentikasi bawaan:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Administrator Akses Bersyar juga dapat membuat kekuatan autentikasi kustom agar sesuai dengan persyaratan akses mereka. Untuk informasi selengkapnya, lihat Kekuatan autentikasi Akses Bersyar Kustom.
Batasan
Kebijakan Akses Bersyarkat hanya dievaluasi setelah autentikasi awal - Akibatnya, kekuatan autentikasi tidak membatasi autentikasi awal pengguna. Misalkan Anda menggunakan kekuatan MFA tahan pengelabuan bawaan. Pengguna masih dapat mengetikkan kata sandi mereka, tetapi mereka diharuskan masuk dengan metode tahan phishing seperti kunci keamanan FIDO2 sebelum mereka dapat melanjutkan.
Memerlukan autentikasi multifaktor dan Memerlukan kekuatan autentikasi tidak dapat digunakan bersama dalam kebijakan Akses Bersyarat yang sama - Kedua kontrol pemberian Akses Bersyarat ini tidak dapat digunakan bersama-sama karena kekuatan autentikasi bawaan Autentikasi multifaktor setara dengan kontrol Memerlukan pemberian autentikasi multifaktor.
Metode autentikasi yang saat ini tidak didukung oleh kekuatan autentikasi - Metode autentikasi Email sekali pakai (Tamu) tidak disertakan dalam kombinasi yang tersedia.
Windows Hello untuk Bisnis – Jika pengguna masuk dengan Windows Hello untuk Bisnis sebagai metode autentikasi utama mereka, itu dapat digunakan untuk memenuhi persyaratan kekuatan autentikasi yang mencakup Windows Hello untuk Bisnis. Namun, jika pengguna masuk dengan metode lain seperti kata sandi sebagai metode autentikasi utama mereka, dan kekuatan autentikasi memerlukan Windows Hello untuk Bisnis, mereka tidak diminta untuk masuk dengan Windows Hello untuk Bisnis. Pengguna perlu memulai ulang sesi, memilih Opsi masuk, dan memilih metode yang diperlukan oleh kekuatan autentikasi.
Masalah yang diketahui
Opsi Lanjutan kunci keamanan FIDO2 - Opsi tingkat lanjut tidak didukung untuk pengguna eksternal dengan penyewa rumah yang terletak di cloud Microsoft yang berbeda dari penyewa sumber daya.
Representasi ganda bilah kekuatan autentikasi - Bilah Kekuatan Autentikasi saat ini mewakili Kredensial Platform untuk macOS dan Windows Hello For Business dengan nama metode Autentikasi yang sama, Windows Hello For Business. Pekerjaan sedang berlangsung untuk mewakili Info Masuk Platform untuk macOS secara terpisah. Saat mengonfigurasi kekuatan autentikasi kustom yang perlu menggunakan Kredensial Platform untuk macOS, gunakan "Windows Hello For Business" hingga ini diperbaiki.
FAQ
Haruskah saya menggunakan kekuatan autentikasi atau kebijakan Metode autentikasi?
Kekuatan autentikasi didasarkan pada kebijakan Metode autentikasi. Kebijakan Metode autentikasi membantu mencakup dan mengonfigurasi metode autentikasi yang akan digunakan di seluruh ID Microsoft Entra oleh pengguna dan grup tertentu. Kekuatan autentikasi memungkinkan pembatasan metode lain untuk skenario tertentu, seperti akses sumber daya sensitif, risiko pengguna, lokasi, dan banyak lagi.
Misalnya, administrator Contoso ingin mengizinkan pengguna mereka menggunakan Microsoft Authenticator dengan pemberitahuan push atau mode autentikasi tanpa kata sandi. Administrator masuk ke pengaturan Microsoft Authenticator dalam kebijakan Metode autentikasi, mencakup kebijakan untuk pengguna yang relevan, dan mengatur mode Autentikasi ke Apa pun.
Kemudian untuk sumber daya Contoso yang paling sensitif, administrator ingin membatasi akses hanya ke metode autentikasi tanpa kata sandi. Administrator membuat kebijakan Akses Bersyar baru, menggunakan kekuatan MFA Tanpa Kata Sandi bawaan.
Akibatnya, pengguna di Contoso dapat mengakses sebagian besar sumber daya di penyewa menggunakan kata sandi + pemberitahuan push dari Microsoft Authenticator ATAU hanya menggunakan Microsoft Authenticator (masuk melalui telepon). Namun, ketika pengguna di penyewa mengakses aplikasi sensitif, mereka harus menggunakan Microsoft Authenticator (masuk melalui telepon).
Prasyarat
- Microsoft Entra ID P1 - Penyewa Anda harus memiliki lisensi Microsoft Entra ID P1 untuk menggunakan Akses Bersyar. Jika diperlukan, Anda dapat mengaktifkan uji coba gratis.
- Aktifkan pendaftaran gabungan - Kekuatan autentikasi didukung saat menggunakan pendaftaran MFA dan SSPR gabungan. Menggunakan pendaftaran lama akan mengakibatkan pengalaman pengguna yang buruk karena pengguna dapat mendaftarkan metode yang tidak diperlukan oleh kebijakan Metode autentikasi.