Rencanakan penyebaran Autentikasi Multifaktor Azure Active Directory

Autentikasi Multifaktor Azure Active Directory (Azure AD) membantu menjaga akses ke data dan aplikasi, menyediakan lapisan keamanan lain dengan menggunakan bentuk kedua dari autentikasi. Organisasi dapat mengaktifkan autentikasi multifaktor (MFA) dengan Akses Bersyarat untuk membuat solusi yang sesuai dengan kebutuhan spesifik mereka.

Panduan penerapan ini menampilkan kepada Anda cara merencanakan dan mengimplementasikan peluncuran Autentikasi Multifaktor Azure AD.

Prasyarat untuk menerapkan Autentikasi Multifaktor Azure AD

Sebelum memulai penyebaran Anda, pastikan Anda memenuhi prasyarat berikut untuk skenario yang relevan.

Skenario Prasyarat
Hanya-Cloud Lingkungan identitas dengan autentikasi modern Tidak ada tugas prasyarat
Skenario identitas Hibrid Menyebarkan Azure AD Connect dan menyinkronkan identitas pengguna antara Active Directory Domain Services (AD DS) dan Azure AD.
Aplikasi lama lokal yang diterbitkan untuk akses cloud Menyebarkan Azure AD Application Proxy

Pilih metode autentikasi untuk MFA

Ada banyak metode yang dapat digunakan untuk autentikasi faktor kedua. Anda dapat memilih dari daftar metode autentikasi yang tersedia, mengevaluasi masing-masing dalam hal keamanan, kegunaan, dan ketersediaan.

Penting

Penting untuk menggunakan lebih dari satu metode MFA sehingga pengguna memiliki metode cadangan yang tersedia jika metode utama mereka tidak tersedia. Metode meliputi:

Saat memilih metode autentikasi yang akan digunakan di penyewa Anda, pertimbangkan keamanan dan kegunaan metode ini:

Memilih cara autentikasi yang tepat

Untuk mempelajari lebih lanjut tentang kekuatan dan keamanan metode ini dan cara kerjanya, lihat sumber daya berikut:

Anda dapat menggunakan skrip PowerShell ini untuk menganalisis konfigurasi MFA pengguna dan menyarankan metode autentikasi MFA yang sesuai.

Untuk fleksibilitas dan kegunaan, kami sarankan Anda menggunakan aplikasi Microsoft Authenticator. Metode autentikasi ini memberikan pengalaman pengguna terbaik dan beberapa mode, seperti tanpa kata sandi, pemberitahuan push MFA, dan kode OATH. Aplikasi Microsoft Authenticator juga memenuhi persyaratan Tingkat 2 Authenticator Assurance dari National Institute of Standards and Technology (NIST).

Anda dapat mengontrol metode autentikasi yang tersedia di penyewa Anda. Misalnya, Anda mungkin ingin memblokir beberapa metode yang paling tidak aman, seperti SMS.

Metode autentikasi Kelola dari Pencakupan
Microsoft Authenticator (Pemberitahuan push dan masuk telepon tanpa kata sandi) Pengaturan MFA atau kebijakan Metode autentikasi Pengautentikasi masuk tanpa kata sandi dapat mencakup pengguna dan grup
Kunci keamanan FIDO2 Kebijakan metode autentikasi Dapat mencakup ke pengguna dan grup
Token OATH Perangkat Lunak atau Perangkat Keras Pengaturan MFA
Verifikasi SMS Pengaturan MFA
Mengelola masuk SMS untuk autentikasi utama dalam kebijakan autentikasi
Sms sign-in dapat mencakup pengguna dan grup.
Panggilan suara Kebijakan metode autentikasi

Rencanakan kebijakan akses bersyarat

Autentikasi Multifaktor Azure Active Directory diterapkan dengan kebijakan Akses Bersyarat. Kebijakan ini memungkinkan Anda meminta pengguna MFA saat diperlukan untuk keamanan dan menghindari pengguna saat tidak diperlukan.

Alur proses Akses Bersyarat Konseptual

Di portal Microsoft Azure, Anda mengonfigurasi kebijakan Akses Bersyarat di bawah Azure Active Directory>Keamanan>Akses Bersyarat.

Jika Anda ingin mempelajari selengkapnya tentang cara membuat kebijakan Akses Bersyarat, lihat Kebijakan Akses Bersyarat untuk meminta Multifaktor Autentikasi Azure AD saat pengguna masuk ke portal Azure. Ini membantu Anda untuk:

  • Membiasakan diri dengan antarmuka pengguna
  • Mendapatkan kesan pertama tentang cara kerja Akses Bersyarat

Untuk panduan end-to-end tentang penyebaran Akses Bersyarat Azure AD, lihat rencana penyebaran Akses Bersyarat.

Kebijakan umum untuk Autentikasi Multifaktor Azure AD

Kasus penggunaan umum yang memerlukan Autentikasi Multifaktor Azure AD meliputi:

Lokasi bernama

Kondisi lokasi kebijakan Akses Bersyarat memungkinkan Anda mengikat pengaturan kontrol akses ke lokasi jaringan pengguna Anda. Kami menyarankan untuk menggunakan Lokasi Bernama, sehingga Anda bisa membuat pengelompokan logis dari rentang alamat IP atau negara dan wilayah. Tindakan ini akan menciptakan kebijakan untuk semua aplikasi yang memblokir masuk dari lokasi bernama tersebut. Pastikan untuk membebaskan administrator Anda dari kebijakan ini.

Kebijakan berbasis risiko

Jika organisasi Anda menggunakan Perlindungan Identitas Azure AD untuk mendeteksi sinyal risiko, pertimbangkan untuk menggunakan kebijakan berbasis risiko alih-alih lokasi bernama. Kebijakan dapat dibuat untuk memaksa perubahan kata sandi saat ada ancaman identitas yang disusupi atau memerlukan MFA ketika masuk dianggap berisiko oleh peristiwa seperti kredensial yang bocor, masuk dari alamat IP anonim, dan banyak lagi.

Kebijakan risiko meliputi:

Mengonversi pengguna dari MFA per pengguna ke MFA berbasis Akses Bersyarat

Jika pengguna Anda diaktifkan menggunakan MFA yang diaktifkan dan diberlakukan per-pengguna, PowerShell berikut dapat membantu Anda dalam membuat konversi ke MFA berbasis Akses Bersyarat.

Jalankan PowerShell ini di jendela ISE atau simpan sebagai file .PS1 untuk dijalankan secara lokal. Operasi hanya dapat dilakukan dengan menggunakan modul MSOnline.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Rencanakan masa pakai sesi pengguna

Saat merencanakan penyebaran autentikasi multifaktor, penting untuk memikirkan seberapa sering Anda ingin mengingatkan pengguna Anda. Meminta kredensial kepada pengguna sering tampak seperti hal yang masuk akal untuk dilakukan, tetapi dapat menjadi bumerang. Jika pengguna dibiasakan untuk memasukkan kredensial tanpa pertimbangan, mereka dapat secara tidak sengaja memberikannya ke perintah kredensial yang berbahaya. Azure AD memiliki beberapa pengaturan yang menentukan seberapa sering pengguna perlu autentikasi ulang. Pahami kebutuhan bisnis dan pengguna Anda, dan konfigurasikan pengaturan yang memberikan keseimbangan terbaik bagi lingkungan Anda.

Sebaiknya gunakan perangkat dengan Primary Refresh Tokens (PRT) untuk meningkatkan pengalaman pengguna akhir dan mengurangi masa pakai sesi dengan kebijakan frekuensi masuk hanya pada kasus penggunaan bisnis tertentu.

Untuk informasi selengkapnya, lihat Optimalkan permintaan autentikasi ulang dan memahami masa pakai sesi untuk Azure AD Multi-Factor Authentication.

Merencanakan pendaftaran pengguna

Langkah utama dalam setiap penyebaran autentikasi multifaktor adalah membuat pengguna terdaftar untuk menggunakan Autentikasi Multifaktor Azure AD. Metode autentikasi seperti Voice dan SMS memungkinkan pra-pendaftaran, sementara yang lain seperti Authenticator App memerlukan interaksi pengguna. Administrator harus menentukan bagaimana pengguna akan mendaftarkan metode mereka.

Pendaftaran gabungan untuk SSPR dan Azure AD MFA

Catatan

Mulai tanggal 15 Agustus 2020, semua penyewa Microsoft Azure AD baru akan diaktifkan secara otomatis untuk pendaftaran gabungan. Penyewa yang dibuat setelah tanggal ini tidak akan dapat menggunakan alur kerja pendaftaran lama. Setelah 30 September 2022, semua penyewa Azure AD yang ada akan diaktifkan secara otomatis untuk pendaftaran gabungan.

Kami merekomendasikan organisasi menggunakan pengalaman pendaftaran gabungan untuk Autentikasi Multifaktor Azure AD dan pengaturan ulang kata sandi mandiri (SSPR). SSPR memungkinkan pengguna untuk mengatur ulang sandi mereka dengan cara yang aman menggunakan metode yang sama yang mereka gunakan untuk Autentikasi Multifaktor Azure AD. Pendaftaran gabungan adalah satu langkah untuk pengguna akhir. Untuk memastikan Anda memahami fungsionalitas dan pengalaman pengguna akhir, lihat Konsep pendaftaran informasi keamanan gabungan.

Sangat penting untuk memberi tahu pengguna tentang perubahan yang akan datang, persyaratan pendaftaran, dan tindakan pengguna yang diperlukan. Kami menyediakan pola dasar komunikasi dan dokumentasi pengguna untuk mempersiapkan pengguna Anda menghadapi pengalaman baru dan membantu memastikan peluncuran yang berhasil. Anda dapat mengirim pengguna ke https://myprofile.microsoft.com untuk mendaftar dengan memilih link Informasi Keamanan di halaman tersebut.

Pendaftaran dengan Perlindungan Identitas

Azure AD Identity Protection berkontribusi pada kebijakan pendaftaran dan kebijakan deteksi risiko dan remediasi otomatis ke cerita Multi-Factor Authentication Microsoft Azure AD. Kebijakan dapat dibuat untuk memaksa perubahan kata sandi ketika ada ancaman identitas yang disusupi atau memerlukan MFA ketika login dianggap berisiko. Jika Anda menggunakan Azure AD Identity Protection, konfigurasikan kebijakan pendaftaran Azure AD MFA untuk meminta pengguna mendaftar saat berikutnya mereka masuk secara interaktif.

Pendaftaran tanpa Perlindungan Identitas

Jika Anda tidak memiliki lisensi yang mengaktifkan Azure AD Identity Protection, pengguna akan diminta untuk mendaftar kali berikutnya setelah MFA diperlukan saat masuk. Untuk meminta pengguna menggunakan MFA, Anda dapat menggunakan kebijakan Akses Bersyarat dan menargetkan aplikasi yang sering digunakan seperti sistem SDM. Jika kata sandi pengguna dikompromikan, kata sandi tersebut dapat digunakan untuk mendaftar MFA, mengambil alih akun mereka. Oleh karena itu kami merekomendasikan untuk mengamankan proses pendaftaran keamanan dengan kebijakan akses bersyarat yang membutuhkan perangkat dan lokasi tepercaya. Anda dapat lebih mengamankan proses dengan juga membutuhkan Kode Akses Sementara. Kode sandi berbatas waktu yang dikeluarkan oleh admin yang memenuhi persyaratan autentikasi kuat dan dapat digunakan untuk mengawali metode autentikasi lainnya, termasuk metode Tanpa Kata Sandi.

Meningkatkan keamanan pengguna terdaftar

Jika Anda memiliki pengguna yang terdaftar untuk MFA menggunakan SMS atau panggilan suara, Anda mungkin ingin memindahkannya ke metode yang lebih aman seperti aplikasi Microsoft Authenticator. Microsoft sekarang menawarkan pratinjau fungsionalitas publik yang memungkinkan Anda meminta pengguna untuk mengatur aplikasi Microsoft Authenticator saat masuk. Anda dapat mengatur petunjuk ini berdasarkan grup, mengendalikan siapa yang diminta, memungkinkan kampanye bertarget untuk memindahkan pengguna ke metode yang lebih aman.

Rencana skenario pemulihan

Seperti disebutkan sebelumnya, pastikan pengguna terdaftar untuk lebih dari satu metode MFA, sehingga jika salah satu tidak tersedia, mereka memiliki cadangan. Jika pengguna tidak memiliki metode cadangan yang tersedia, Anda dapat:

  • Beri mereka Kode Akses Sementara sehingga mereka dapat mengelola metode autentikasi mereka sendiri. Anda juga dapat menyediakan Kode Akses Sementara untuk memungkinkan akses sementara ke sumber daya.
  • Perbarui metode mereka sebagai administrator. Untuk melakukannya, pilih pengguna di portal Microsoft Azure, lalu pilih metode Autentikasi dan perbarui metodenya. Komunikasi pengguna

Merencanakan integrasi dengan sistem lokal

Aplikasi yang mengautentikasi langsung dengan Microsoft Azure AD dan memiliki autentikasi modern (WS-Fed, SAML, OAuth, OpenID Connect) dapat menggunakan kebijakan Akses Bersyarat. Beberapa aplikasi lama dan lokal yang tidak melakukan autentikasi langsung terhadap Microsoft Azure AD memerlukan langkah tambahan untuk menggunakan Azure AD MFA. Anda dapat mengintegrasikannya dengan menggunakan proxy Azure AD Application atau layanan kebijakan Jaringan.

Integrasi dengan sumber daya AD FS

Kami merekomendasikan migrasi aplikasi yang diamankan dengan Active Directory Federation Services (AD FS) ke Azure AD. Namun, jika Anda belum siap untuk migrasikan ini ke Azure AD, Anda dapat menggunakan adaptor Azure MFA versi AD FS 2016 atau yang lebih baru.

Jika organisasi Anda difederasi dengan Microsoft Azure AD, Anda bisa konfigurasikan Azure AD MFA sebagai penyedia autentikasi dengan sumber daya AD FS, baik lokal maupun di cloud.

Klien RADIUS dan Autentikasi Multifaktor Azure AD

Untuk aplikasi yang menggunakan autentikasi RADIUS, kami sarankan memindahkan aplikasi klien ke protokol modern seperti SAML, Open ID Connect, atau OAuth on Azure AD. Jika aplikasi tidak dapat diperbarui, maka Anda dapat menerapkan Network Policy Server (NPS) dengan ekstensi the Azure MFA. Ekstensi server kebijakan jaringan (NPS) bertindak sebagai adaptor antara aplikasi berbasis RADIUS dan Azure AD MFA untuk memberikan faktor autentikasi kedua.

Integrasi umum

Banyak vendor sekarang mendukung autentikasi SAML untuk aplikasi mereka. Jika memungkinkan, kami sarankan untuk menggabungkan aplikasi ini dengan Azure AD dan menegakkan MFA melalui Akses Bersyarat. Jika vendor Anda tidak mendukung autentikasi modern - Anda dapat menggunakan ekstensi NPS. Integrasi klien RADIUS yang umum mencakup aplikasi seperti Remote Desktop Gateways dan server VPN.

Yang lain mungkin termasuk:

  • Gateway Citrix

    Gateway Citrix mendukung integrasi ekstensi RADIUS dan NPS, dan integrasi SAML.

  • Cisco VPN

    • Cisco VPN mendukung autentikasi RADIUS dan SAML untuk SSO.
    • Dengan berpindah dari autentikasi RADIUS ke SAML, Anda dapat mengintegrasikan Cisco VPN tanpa menyebarkan ekstensi NPS.
  • Semua VPN

Sebarkan Autentikasi Multifaktor Microsoft Azure AD

Paket peluncuran Autentikasi Multifaktor Azure AD Anda harus menyertakan penerapan uji coba yang diikuti oleh gelombang penyebaran yang berada dalam kapasitas dukungan Anda. Mulai peluncuran Anda dengan menerapkan kebijakan Akses Bersyarat Anda ke sekelompok kecil pengguna pilot. Setelah mengevaluasi efek pada pengguna pilot, proses yang digunakan, dan perilaku pendaftaran, Anda dapat menambahkan lebih banyak grup ke kebijakan atau menambahkan lebih banyak pengguna ke grup yang ada.

Ikuti langkah berikut:

  1. Penuhi prasyarat yang diperlukan
  2. Konfigurasikan metode autentikasi yang dipilih
  3. Konfigurasikan kebijakan Akses Bersyarat Anda
  4. Konfigurasikan pengaturan seumur hidup sesi
  5. Konfigurasikan kebijakan pendaftaran Azure AD MFA Anda

Kelola Autentikasi Multifaktor Microsoft Azure AD

Bagian ini menyediakan informasi pelaporan dan pemecahan masalah untuk Autentikasi Multifaktor Azure AD.

Pelaporan dan Pemantauan

Azure AD memiliki laporan yang memberikan wawasan teknis dan bisnis, ikuti kemajuan penyebaran Anda dan periksa apakah pengguna Anda berhasil masuk dengan MFA. Pastikan pemilik aplikasi teknis dan bisnis Anda mengambil alih kepemilikan dan menggunakan laporan ini berdasarkan kebutuhan organisasi Anda.

Authentication Methods Activity dashboard memungkinkan Anda memantau pendaftaran dan penggunaan metode autentikasi di seluruh organisasi mereka. Ini membantu Anda memahami metode apa yang sedang didaftarkan dan bagaimana metode itu digunakan.

Laporan masuk untuk meninjau peristiwa MFA

Laporan masuk Azure AD ini akan menyertakan detail autentikasi untuk peristiwa ketika pengguna diminta untuk melakukan MFA, dan jika ada kebijakan Akses Bersyarat yang digunakan. Anda juga dapat menggunakan PowerShell untuk melaporkan pengguna yang terdaftar untuk Autentikasi Multifaktor Azure AD.

Ekstensi NPS dan log Layanan Federasi Direktori Aktif untuk aktivitas MFA cloud sekarang disertakan dalam log Masuk, dan tidak lagi diterbitkan kelaporan AktivitasMFA>Keamanan>.

Untuk informasi selengkapnya, dan laporan Autentikasi Multifaktor Azure AD tambahan, lihat Tinjau peristiwa Autentikasi Multifaktor Azure AD.

Pemecahan masalah Autentikasi Multifaktor Azure AD

Lihat Pemecahan Masalah Autentikasi Multifaktor Azure AD untuk masalah umum.

Langkah berikutnya

Menerapkan fitur identitas lainnya