Mengonfigurasi pengaturan Azure AD Multi-Factor Authentication

Untuk menyesuaikan pengalaman pengguna akhir untuk Azure AD Multi-Factor Authentication, Anda dapat mengonfigurasi opsi untuk pengaturan seperti ambang penguncian akun atau peringatan dan pemberitahuan penipuan. Beberapa pengaturan tersedia langsung di portal Azure untuk Azure Active Directory (Azure AD), dan beberapa berada di portal Azure AD Multi-Factor Authentication yang terpisah.

Pengaturan Azure AD Multi-Factor Authentication berikut ini tersedia di portal Microsoft Azure:

Fitur Deskripsi
Penguncian Akun Kunci akun untuk sementara waktu agar tidak menggunakan Azure AD Multi-Factor Authentication, jika ada terlalu banyak upaya autentikasi yang ditolak berturut-turut. Fitur ini hanya berlaku untuk pengguna yang memasukkan PIN untuk mengautentikasi. (Hanya Server MFA)
Blokir/Buka Blokir Pengguna Blokir pengguna tertentu agar tidak dapat menerima permintaan Azure AD Multi-Factor Authentication. Setiap upaya otentikasi untuk pengguna yang diblokir secara otomatis ditolak. Pengguna tetap diblokir selama 90 hari sejak mereka diblokir atau sampai mereka diblokir secara manual.
Peringatan penipuan Mengonfigurasi pengaturan yang memungkinkan pengguna melaporkan permintaan verifikasi penipuan.
Pemberitahuan Aktifkan pemberitahuan kejadian dari MFA Server.
Token OATH Digunakan di lingkungan Azure AD Multi-Factor Authentication berbasis cloud untuk mengelola token OATH untuk pengguna.
Pengaturan panggilan telepon Mengonfigurasi pengaturan yang terkait dengan panggilan telepon dan salam untuk lingkungan cloud dan lokal.
Penyedia Hal ini akan menunjukkan penyedia autentikasi yang ada dan telah dikaitkan dengan akun Anda. Menambahkan penyedia baru dinonaktifkan per 1 September 2018.

Portal Microsoft Azure - Pengaturan Azure AD Multi-Factor Authentication

Penguncian akun

Untuk mencegah upaya MFA berulang sebagai bagian dari serangan, pengaturan penguncian akun memungkinkan Anda menentukan berapa banyak upaya gagal yang diizinkan sebelum akun dikunci untuk jangka waktu tertentu. Pengaturan penguncian akun hanya diterapkan ketika kode PIN dimasukkan untuk permintaan MFA.

Pengaturan berikut ini tersedia:

  • Jumlah penolakan MFA yang memicu penguncian akun
  • Menit hingga penghitung penguncian akun diatur ulang
  • Menit hingga akun otomatis tidak diblokir

Untuk mengonfigurasi pengaturan penguncian akun, selesaikan langkah-langkah berikut:

  1. Masuk ke portal Microsoft Azure sebagai administrator.

  2. Buka Azure Active Directory>Keamanan>Autentikasi multifaktor>Penguncian akun.

  3. Masukkan nilai untuk lingkungan Anda, lalu pilih Simpan.

    Cuplikan layar yang menampilkan pengaturan penguncian akun di portal Azure.

Memblokir dan membuka blokir pengguna

Jika perangkat pengguna hilang atau dicuri, Anda dapat memblokir upaya Azure AD Multi-Factor Authentication untuk akun terkait. Setiap upaya Azure AD Multi-Factor Authentication untuk pengguna yang diblokir secara otomatis ditolak. Pengguna tetap diblokir selama 90 hari sejak mereka diblokir. Untuk video yang menjelaskan cara melakukan ini, lihat cara memblokir dan membuka blokir pengguna di penyewa Anda.

Blokir pengguna

Untuk memblokir pengguna, selesaikan langkah-langkah berikut.

Tonton video pendek yang menjelaskan proses ini.

  1. Telusuri ke Azure Active Directory>Keamanan>Autentikasi multifaktor>Blokir/buka blokir pengguna.
  2. Pilih Tambahkan untuk memblokir pengguna.
  3. Masukkan nama pengguna untuk pengguna yang diblokir dalam format username@domain.com, lalu berikan komentar di kotak Alasan.
  4. Pilih OKE untuk memblokir pengguna.

Membuka blokir pengguna

Untuk membuka blokir pengguna, selesaikan langkah-langkah berikut:

  1. Buka Azure Active Directory>Keamanan>Autentikasi multifaktor>Blokir/buka blokir pengguna.
  2. Di kolom Tindakan di samping pengguna, pilih Buka blokir.
  3. Masukkan komentar di kotak Alasan membuka blokir.
  4. Pilih OKE untuk membuka blokir pengguna.

Peringatan penipuan

Fitur peringatan penipuan memungkinkan pengguna melaporkan upaya penipuan untuk mengakses sumber daya mereka. Ketika permintaan MFA yang tidak diketahui dan mencurigakan diterima, pengguna dapat melaporkan upaya penipuan dengan menggunakan aplikasi Microsoft Authenticator atau melalui ponsel mereka.

Opsi konfigurasi peringatan penipuan berikut ini tersedia:

  • Blokir pengguna yang melaporkan penipuan secara otomatis. Jika pengguna melaporkan penipuan, upaya Azure AD Multi-Factor Authentication untuk akun pengguna diblokir selama 90 hari atau sampai administrator membuka blokir akun. Administrator dapat meninjau proses masuk dengan menggunakan laporan masuk, dan mengambil tindakan yang tepat untuk mencegah penipuan di masa mendatang. Kemudian Administrator dapat membuka blokir akun pengguna.

  • Kode untuk melaporkan penipuan selama pesan pembuka di awal. Saat pengguna menerima panggilan telepon untuk melakukan autentikasi multifaktor, mereka biasanya menekan # untuk mengonfirmasi kredensial masuk mereka. Untuk melaporkan penipuan, pengguna memasukkan kode sebelum menekan # . Kode ini adalah 0 secara default, tetapi Anda dapat menyesuaikannya. Jika pemblokiran otomatis diaktifkan, setelah pengguna menekan0# untuk melaporkan penipuan, mereka harus menekan 1 untuk mengonfirmasi pemblokiran akun.

    Catatan

    Salam suara default dari Microsoft menginstruksikan pengguna untuk menekan 0# untuk mengirimkan peringatan penipuan. Jika Anda ingin menggunakan kode selain 0, rekam dan unggah salam suara kustom Anda sendiri dengan instruksi yang sesuai untuk pengguna Anda.

Untuk mengaktifkan dan mengonfigurasi pemberitahuan penipuan, selesaikan langkah-langkah berikut:

  1. Buka Azure Active Directory>Keamanan>Autentikasi multifaktor>Peringatan penipuan.
  2. Atur Izinkan pengguna untuk mengirimkan peringatan penipuan menjadi Aktif.
  3. Konfigurasikan pengaturan Blokir pengguna yang melaporkan penipuan secara otomatis atau Kode untuk melaporkan penipuan selama pesan pembuka di awal seperti yang diinginkan.
  4. Pilih Simpan.

Menampilkan laporan penipuan

Saat pengguna melaporkan penipuan, peristiwa muncul dalam laporan Masuk (sebagai percobaan masuk yang ditolak oleh pengguna) dan di log Audit.

  • Untuk melihat laporan penipuan di laporan Masuk, pilih Azure Active Directory>Masuk>Detail Autentikasi. Laporan penipuan kini menjadi bagian dari laporan Masuk Microsoft Azure AD standar dan akan ditampilkan di Detail Hasil seperti yang ditolak MFA, Kode Penipuan Dimasukkan.

  • Untuk melihat laporan penipuan di log Audit, pilih Azure Active Directory>log Audit. Laporan penipuan muncul di bagian jenis Aktivitas Penipuan dilaporkan - pengguna diblokir untuk MFA atau Penipuan dilaporkan - tidak ada tindakan berdasarkan pengaturan tingkat penyewa untuk laporan penipuan.

Pemberitahuan

Anda dapat mengonfigurasi Azure AD untuk mengirim pemberitahuan email saat pengguna melaporkan peringatan penipuan. Pemberitahuan ini biasanya dikirim ke administrator identitas, karena kredensial akun pengguna kemungkinan disusupi. Contoh berikut menunjukkan seperti apa email pemberitahuan peringatan penipuan:

Cuplikan layar yang menampilkan surel pemberitahuan peringatan penipuan.

Untuk mengonfigurasi pemberitahuan peringatan penipuan:

  1. Buka Azure Active Directory>Security>Multi-Factor Authentication>Pemberitahuan.
  2. Masukkan alamat email yang akan menerima pemberitahuan.
  3. Untuk menghapus alamat email yang sudah ada, pilih ... di samping alamat email, lalu pilih Hapus.
  4. Pilih Simpan.

Token OATH

Azure AD mendukung penggunaan token OATH TOTP SHA-1 yang merefresh kode setiap 30 atau 60 detik. Anda dapat membeli token ini dari vendor pilihan Anda.

Token perangkat keras TOTP OATH biasanya dilengkapi dengan kunci rahasia, atau nilai awal, yang telah diprogram sebelumnya dalam token. Anda harus menginput kunci ini ke Azure AD seperti yang dijelaskan dalam langkah-langkah berikut. Kunci rahasia terbatas pada 128 karakter, yang mungkin tidak kompatibel dengan semua token. Kunci rahasia hanya dapat berisi karakter a-z atau A-Z dan digit 1-7. Ini harus dikodekan di Base32.

Token perangkat keras OATH TOTP yang dapat diprogram yang dapat disebarkan ulang juga dapat diatur dengan Azure AD dalam alur pengaturan token perangkat lunak.

Token perangkat keras OATH didukung sebagai bagian dari pratinjau publik. Untuk mengetahui informasi selengkapnya mengenai pratinjau, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Cuplikan layar yang menampilkan bagian token OATH.

Setelah Anda mendapatkan token, Anda perlu mengunggahnya dalam format file nilai yang dipisahkan koma (CSV). Sertakan UPN, nomor seri, kunci rahasia, interval waktu, produsen, dan model, seperti yang ditunjukkan dalam contoh ini:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Catatan

Pastikan untuk menyertakan baris header dalam file CSV Anda.

Administrator dapat masuk ke portal Azure, buka Azure Active Directory>Keamanan>Autentikasi multifaktor>Token OATH, dan unggah file CSV.

Bergantung pada ukuran file CSV, mungkin perlu beberapa menit untuk diproses. Pilih Refresh untuk mendapatkan status. Jika ada kesalahan dalam file, Anda dapat mengunduh file CSV yang mencantumkannya. Nama bidang dalam file CSV yang diunduh berbeda dari yang ada di versi yang diunggah.

Setelah kesalahan ditangani, administrator dapat mengaktifkan setiap kunci dengan memilih Aktifkan untuk token dan memasukkan OTP yang ditampilkan pada token.

Pengguna dapat memiliki kombinasi hingga lima token perangkat keras OATH atau aplikasi pengautentikasi, seperti aplikasi Microsoft Authenticator, yang dikonfigurasi untuk digunakan kapan saja.

Pengaturan panggilan telepon

Jika pengguna menerima panggilan telepon untuk permintaan MFA, Anda dapat mengonfigurasi pengalaman mereka, seperti ID penelepon atau pesan suara pembuka yang mereka dengar.

Di Amerika Serikat, jika Anda belum mengonfigurasi ID Penelepon MFA, panggilan suara dari Microsoft berasal dari nomor berikut. Penggunaan dengan filter spam harus mengecualikan nomor ini.

  • +1 (855) 330-8653

Catatan

Saat panggilan Azure AD Multi-Factor Authentication ditempatkan melalui jaringan telepon publik, terkadang panggilan dirutekan melalui operator yang tidak mendukung ID penelepon. Karena itu, ID penelepon tidak dijamin, meskipun Azure AD Multi-Factor Authentication selalu mengirimkannya. Ini berlaku untuk panggilan telepon dan pesan teks yang disediakan oleh Azure AD Multi-Factor Authentication. Jika Anda perlu memvalidasi bahwa pesan teks berasal dari Azure AD Multi-Factor Authentication, lihat Kode singkat SMS apa yang digunakan untuk mengirim pesan?.

Untuk mengonfigurasi nomor ID penelepon Anda sendiri, selesaikan langkah-langkah berikut:

  1. Buka Azure Active Directory>Keamanan>Autentikasi multifaktor>Pengaturan panggilan telepon.
  2. Atur nomor ID penelepon MFA ke nomor yang Anda ingin pengguna lihat di ponsel mereka. Hanya nomor yang berbasis di AS yang diizinkan.
  3. Pilih Simpan.

Pesan suara kustom

Anda dapat menggunakan rekaman atau pesan pembuka Anda sendiri untuk Azure AD Multi-Factor Authentication. Pesan ini dapat digunakan selain rekaman Microsoft default atau untuk menggantinya.

Sebelum memulai, ketahui batasan berikut:

  • Format file yang didukung adalah .wav dan .mp3.
  • Batas ukuran file adalah 1 MB.
  • Pesan autentikasi harus lebih pendek dari 20 detik. Pesan yang berjarak lebih dari 20 detik dapat menyebabkan verifikasi gagal. Jika pengguna tidak merespons sebelum pesan selesai, waktu verifikasi akan habis.

Perilaku bahasa pesan kustom

Saat pesan suara kustom diputar ke pengguna, bahasa pesan bergantung pada faktor-faktor berikut:

  • Bahasa pengguna.
    • Bahasa yang terdeteksi oleh browser pengguna.
    • Skenario autentikasi lainnya mungkin berperilaku berbeda.
  • Bahasa dari setiap pesan kustom yang tersedia.
    • Bahasa ini dipilih oleh administrator, ketika pesan kustom ditambahkan.

Misalnya, jika hanya ada satu pesan kustom, dan itu dalam bahasa Jerman:

  • Pengguna yang mengautentikasi dalam bahasa Jerman akan mendengar pesan dalam bahasa Jerman kustom.
  • Pengguna yang mengautentikasi dalam bahasa Inggris akan mendengar pesan dalam bahasa Inggris standar.

Default pesan suara kustom

Anda dapat menggunakan sampel skrip berikut untuk membuat pesan kustom Anda sendiri. Frasa ini adalah default jika Anda tidak mengonfigurasi pesan kustom Anda sendiri.

Nama pesan Skrip
Autentikasi berhasil Proses masuk Anda berhasil diverifikasi. Selamat tinggal.
Perintah ekstensi Terima kasih telah menggunakan sistem verifikasi masuk Microsoft. Harap tekan tombol pagar untuk melanjutkan.
Konfirmasi penipuan Peringatan penipuan telah disampaikan. Untuk membuka blokir akun Anda, hubungi meja bantuan TI perusahaan Anda.
Pesan pembuka penipuan (standar) Terima kasih telah menggunakan sistem verifikasi masuk Microsoft. Tekan tombol pagar untuk menyelesaikan verifikasi Anda. Jika Anda tidak memulai verifikasi ini, seseorang mungkin mencoba mengakses akun Anda. Tekan nol lalu tanda pagar untuk mengirimkan peringatan penipuan. Fitur akan memberi tahu tim TI perusahaan Anda dan memblokir upaya verifikasi lebih lanjut.
Penipuan dilaporkan Peringatan penipuan telah disampaikan. Untuk membuka blokir akun Anda, hubungi meja bantuan TI perusahaan Anda.
Aktivasi Terima kasih telah menggunakan sistem verifikasi masuk Microsoft. Tekan tombol pagar untuk menyelesaikan verifikasi Anda.
Autentikasi ditolak, coba lagi Verifikasi ditolak.
Coba Lagi (standar) Terima kasih telah menggunakan sistem verifikasi masuk Microsoft. Tekan tombol pagar untuk menyelesaikan verifikasi Anda.
Pesan pembuka (standar) Terima kasih telah menggunakan sistem verifikasi masuk Microsoft. Tekan tombol pagar untuk menyelesaikan verifikasi Anda.
Pesan Pembuka (PIN) Terima kasih telah menggunakan sistem verifikasi masuk Microsoft. Masukkan PIN Anda diikuti dengan tombol pagar untuk menyelesaikan verifikasi Anda.
Pesan pembuka penipuan (PIN) Terima kasih telah menggunakan sistem verifikasi masuk Microsoft. Masukkan PIN Anda diikuti dengan tombol pagar untuk menyelesaikan verifikasi Anda. Jika Anda tidak memulai verifikasi ini, seseorang mungkin mencoba mengakses akun Anda. Tekan nol lalu tanda pagar untuk mengirimkan peringatan penipuan. Fitur akan memberi tahu tim TI perusahaan Anda dan memblokir upaya verifikasi lebih lanjut.
Coba Lagi (PIN) Terima kasih telah menggunakan sistem verifikasi masuk Microsoft. Masukkan PIN Anda diikuti dengan tombol pagar untuk menyelesaikan verifikasi Anda.
Perintah ekstensi setelah digit Jika sudah pada ekstensi ini, tekan tombol pagar untuk melanjutkan.
Autentikasi Ditolak Maaf, kami tidak bisa mengontrakmu saat ini. Coba lagi nanti.
Pesan pembuka aktivasi (standar) Terima kasih telah menggunakan sistem verifikasi masuk Microsoft. Tekan tombol pagar untuk menyelesaikan verifikasi Anda.
Upaya ulang aktivasi (standar) Terima kasih telah menggunakan sistem verifikasi masuk Microsoft. Tekan tombol pagar untuk menyelesaikan verifikasi Anda.
Pesan pembuka aktivasi (PIN) Terima kasih telah menggunakan sistem verifikasi masuk Microsoft. Masukkan PIN Anda diikuti dengan tombol pagar untuk menyelesaikan verifikasi Anda.
Perintah ekstensi sebelum digit Terima kasih telah menggunakan sistem verifikasi masuk Microsoft. Harap transfer panggilan ini ke ekstensi <ekstensi>.

Menyiapkan pesan kustom

Untuk menggunakan pesan kustom Anda sendiri, selesaikan langkah-langkah berikut:

  1. Buka Azure Active Directory>Keamanan>Autentikasi multifaktor>Pengaturan panggilan telepon.
  2. Pilih Tambahkan salam.
  3. Pilih Jenis salam, seperti Salam (standar) atau Auentikasi berhasil.
  4. Pilih tab Bahasa. Lihat bagian sebelumnya tentang perilaku bahasa pesan kustom.
  5. Telusuri dan pilih file suara .mp3 atau .wav untuk diunggah.
  6. Pilih Tambahkan, lalu Simpan.

Pengaturan layanan MFA

Pengaturan untuk kata sandi aplikasi, IP tepercaya, opsi verifikasi, dan mengingat autentikasi multifaktor pada perangkat tepercaya tersedia di pengaturan layanan. Ini adalah portal warisan. Ini bukan bagian dari portal Azure AD biasa.

Anda dapat mengakses pengaturan layanan dari portal Azure dengan membuka Azure Active Directory>Keamanan>Autentikasi multifaktor>Memulai>Konfigurasi>Pengaturan MFA berbasis cloud tambahan. Jendela atau tab terbuka dengan opsi pengaturan layanan tambahan.

IP Tepercaya

Fitur IP Tepercaya dari Azure AD Multi-Factor Authentication melewati permintaan autentikasi multifaktor untuk pengguna yang masuk dari rentang alamat IP yang ditentukan. Anda dapat mengatur rentang IP tepercaya untuk lingkungan lokal Anda. Ketika pengguna berada di salah satu lokasi ini, tidak ada permintaan Azure AD Multi-Factor Authentication. Fitur IP tepercaya membutuhkan edisi Azure AD Premium P1.

Catatan

IP tepercaya hanya dapat menyertakan rentang IP privat saat Anda menggunakan MFA Server. Untuk Azure AD Multi-Factor Authentication berbasis cloud, Anda hanya dapat menggunakan rentang alamat IP publik.

Rentang IPv6 hanya didukung di antarmuka Lokasi bernama (pratinjau).

Jika organisasi Anda menggunakan ekstensi NPS untuk menyediakan MFA ke aplikasi lokal, alamat IP sumber akan selalu muncul sebagai server NPS yang dilalui upaya autentikasi.

Tipe penyewa Azure AD Opsi fitur IP tepercaya
Terkelola Rentang alamat IP tertentu: Administrator menentukan berbagai alamat IP yang dapat melewati autentikasi multifaktor bagi pengguna yang masuk dari intranet perusahaan. Maksimal 50 rentang IP tepercaya dapat dikonfigurasi.
Gabungan Semua Pengguna Terfederasi: Semua pengguna terfederasi yang masuk dari dalam organisasi bisa melewati autentikasi multifaktor. Pengguna melewati verifikasi menggunakan klaim yang dikeluarkan oleh Active Directory Federation Services (AD FS).
Rentang alamat IP tertentu: Administrator menentukan berbagai alamat IP yang dapat melewati autentikasi multifaktor untuk pengguna yang masuk dari intranet perusahaan.

Bypass IP tepercaya hanya berfungsi dari dalam intranet perusahaan. Jika Anda memilih opsi Semua Pengguna Gabungan dan masuk pengguna dari luar intranet perusahaan, pengguna harus mengautentikasi dengan menggunakan autentikasi multifaktor. Prosesnya sama bahkan jika pengguna menyajikan klaim AD FS.

Pengalaman pengguna di dalam jaringan perusahaan

Ketika fitur IP tepercaya dinonaktifkan, autentikasi multifaktor diperlukan untuk alur browser. Kata sandi aplikasi diperlukan untuk aplikasi klien kaya yang lebih lama.

Saat IP tepercaya digunakan, autentikasi multifaktor tidak diperlukan untuk alur browser. Kata sandi aplikasi tidak diperlukan untuk aplikasi klien kaya yang lebih lama jika pengguna belum membuat kata sandi aplikasi. Setelah kata sandi aplikasi digunakan, kata sandi diperlukan.

Pengalaman pengguna di luar jaringan perusahaan

Terlepas dari apakah IP tepercaya telah didefinisikan, autentikasi multifaktor diperlukan untuk alur browser. Kata sandi aplikasi diperlukan untuk aplikasi klien kaya yang lebih lama.

Mengaktifkan lokasi bernama dengan menggunakan Akses Bersyarat

Anda dapat menggunakan aturan Akses Bersyarat untuk menentukan lokasi bernama dengan menggunakan langkah-langkah berikut:

  1. Di portal Azure, cari dan pilih Azure Active Directory, lalu buka Keamanan>Akses Bersyarat>Lokasi Bernama.
  2. Pilih Lokasi baru.
  3. Masukkan nama untuk lokasi tersebut.
  4. Pilih Tandai sebagai lokasi tepercaya.
  5. Masukkan rentang IP untuk lingkungan Anda dalam notasi CIDR. Misalnya, 40.77.182.32/27.
  6. Pilih Buat.

Mengaktifkan fitur IP tepercaya menggunakan Akses Bersyarat

Untuk mengaktifkan IP tepercaya menggunakan kebijakan Akses Bersyarat, selesaikan langkah-langkah berikut:

  1. Di portal Azure, cari dan pilih Azure Active Directory, lalu buka Keamanan>Akses Bersyarat>Lokasi Bernama.

  2. Pilih Konfigurasi IP tepercaya MFA.

  3. Pada halaman Pengaturan Layanan, di bagian IP Tepercaya, pilih salah satu opsi ini:

    • Untuk permintaan dari pengguna terfederasi yang berasal dari intranet saya: Untuk memilih opsi ini, pilih kotak centang. Semua pengguna terfederasi yang masuk dari jaringan perusahaan melewati autentikasi multi-faktor menggunakan klaim yang dikeluarkan oleh Active Directory Federation Services. Pastikan bahwa AD FS memiliki aturan untuk menambahkan klaim intranet ke traffic yang sesuai. Jika aturan tidak ada, buat aturan berikut di AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Untuk permintaan dari rentang IP publik tertentu: Untuk memilih opsi ini, masukkan alamat IP di kotak teks, dalam notasi CIDR.

      • Untuk alamat IP yang berada dalam rentang xxx.xxx.xxx.1 hingga xxx.xxx.xxx.254, gunakan notasi seperti xxx.xxx.xxx.0/24.
      • Untuk alamat IP tunggal, gunakan notasi seperti xxx.xxx.xxx.xxx/32.
      • Masukkan hingga 50 rentang alamat IP. Pengguna yang masuk dari alamat IP ini akan melewati autentikasi multifaktor.
  4. Pilih Simpan.

Mengaktifkan fitur IP tepercaya menggunakan pengaturan layanan

Jika Anda tidak ingin menggunakan kebijakan Akses Bersyarat untuk mengaktifkan IP tepercaya, Anda dapat mengonfigurasi pengaturan layanan untuk Azure AD Multi-Factor Authentication menggunakan langkah-langkah berikut:

  1. Di portal Azure, cari dan pilih Azure Active Directory, lalu pilih Pengguna.

  2. Pilih MFA per pengguna.

  3. Pada autentikasi multi-faktor di bagian atas halaman, pilih pengaturan layanan.

  4. Pada halaman pengaturan layanan, di bagian IP Tepercaya, pilih satu atau dua opsi berikut:

    • Untuk permintaan dari pengguna terfederasi di intranet saya: Untuk memilih opsi ini, pilih kotak centang. Semua pengguna terfederasi yang masuk dari jaringan perusahaan melewati autentikasi multi-faktor menggunakan klaim yang dikeluarkan oleh AD FS. Pastikan bahwa AD FS memiliki aturan untuk menambahkan klaim intranet ke traffic yang sesuai. Jika aturan tidak ada, buat aturan berikut di AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Untuk permintaan dari rentang subnet alamat IP tertentu: Untuk memilih opsi ini, masukkan alamat IP di kotak teks, dalam notasi CIDR.

      • Untuk alamat IP yang berada dalam rentang xxx.xxx.xxx.1 hingga xxx.xxx.xxx.254, gunakan notasi seperti xxx.xxx.xxx.0/24.
      • Untuk alamat IP tunggal, gunakan notasi seperti xxx.xxx.xxx.xxx/32.
      • Masukkan hingga 50 rentang alamat IP. Pengguna yang masuk dari alamat IP ini akan melewati autentikasi multifaktor.
  5. Pilih Simpan.

Metode verifikasi

Anda dapat memilih metode verifikasi yang tersedia untuk pengguna Anda di portal pengaturan layanan. Ketika pengguna Anda mendaftarkan akun mereka untuk Azure AD Multi-Factor Authentication, mereka memilih metode verifikasi pilihan mereka dari opsi yang telah Anda aktifkan. Panduan untuk proses pendaftaran pengguna disediakan dalam Menyiapkan akun saya untuk autentikasi multifaktor.

Metode verifikasi berikut tersedia:

Metode Deskripsi
Panggil untuk menelepon Tempatkan panggilan suara otomatis. Pengguna menjawab panggilan dan menekan # di telepon untuk mengautentikasi. Nomor telepon tidak disinkronkan ke Active Directory lokal.
Pesan teks ke ponsel Mengirim pesan teks yang berisi kode verifikasi. Pengguna diminta untuk memasukkan kode verifikasi ke antarmuka masuk. Proses ini disebut SMS satu arah. SMS dua arah berarti pengguna harus mengirim sms kembali kode tertentu. SMS dua arah ditolak dan tidak didukung setelah 14 November 2018. Administrator harus mengaktifkan metode lain untuk pengguna yang sebelumnya menggunakan SMS dua arah.
Pemberitahuan melalui aplikasi seluler Mengirim pemberitahuan push ke telepon pengguna atau perangkat terdaftar. Pengguna melihat pemberitahuan dan memilih Verifikasi untuk menyelesaikan verifikasi. Aplikasi Microsoft Authenticator tersedia untuk Windows Phone, Android, dan iOS.
Kode verifikasi dari aplikasi seluler atau token perangkat keras Aplikasi Microsoft Authenticator menghasilkan kode verifikasi OATH baru setiap 30 detik. Pengguna memasukkan kode verifikasi ke antarmuka masuk. Aplikasi Microsoft Authenticator tersedia untuk Windows Phone, Android, dan iOS.

Untuk informasi selengkapnya, lihat Metode autentikasi dan verifikasi apa yang tersedia di Azure AD?.

Mengaktifkan dan menonaktifkan metode verifikasi

Untuk mengaktifkan atau menonaktifkan metode verifikasi, selesaikan langkah-langkah berikut:

  1. Di portal Azure, cari dan pilih Azure Active Directory, lalu pilih Pengguna.
  2. Pilih MFA per pengguna.
  3. Pada autentikasi multi-faktor di bagian atas halaman, pilih pengaturan layanan.
  4. Pada halaman pengaturan layanan, di bagian opsi verifikasi, pilih atau bersihkan kotak centang yang sesuai.
  5. Pilih Simpan.

Ingat autentikasi multifaktor

Fitur ingat autentikasi multifaktor memungkinkan pengguna melewati verifikasi berikutnya selama beberapa hari tertentu, setelah mereka berhasil masuk ke perangkat menggunakan MFA. Untuk meningkatkan kegunaan dan meminimalkan berapa kali pengguna harus melakukan MFA pada perangkat tertentu, pilih durasi 90 hari atau lebih.

Penting

Jika akun atau perangkat disusupi, mengingat MFA untuk perangkat tepercaya dapat memengaruhi keamanan. Jika akun perusahaan menjadi terganggu atau perangkat tepercaya hilang atau dicuri, Anda harus Mencabut Sesi MFA.

Tindakan cabut mencabut status tepercaya dari semua perangkat, dan pengguna diharuskan untuk melakukan autentikasi multifaktor lagi. Anda juga dapat menginstruksikan pengguna untuk memulihkan status MFA asli pada perangkat mereka sendiri sebagaimana tercantum dalam Kelola pengaturan Anda untuk autentikasi multifaktor.

Cara kerja fitur

Fitur ingat autentikasi multifaktor menetapkan cookie tetap di browser saat pengguna memilih opsi Jangan tanya lagi selama X hari saat masuk. Pengguna tidak diminta lagi untuk MFA dari browser tersebut sampai cookie kedaluwarsa. Jika pengguna membuka browser yang berbeda pada perangkat yang sama atau membersihkan cookie, mereka akan diminta lagi untuk memverifikasi.

Opsi Jangan tanya lagi selama X hari tidak ditampilkan pada aplikasi non-browser, terlepas dari apakah aplikasi mendukung autentikasi modern. Aplikasi ini menggunakan token refresh yang menyediakan token akses baru setiap jam. Saat token refresh divalidasi, Azure AD memeriksa bahwa autentikasi multifaktor terakhir terjadi dalam jumlah hari yang ditentukan.

Fitur ini mengurangi jumlah autentikasi pada aplikasi web, yang biasanya diminta setiap saat. Fitur ini dapat meningkatkan jumlah autentikasi untuk klien autentikasi modern yang biasanya meminta setiap 180 hari, jika durasi yang lebih rendah dikonfigurasi. Ini juga dapat meningkatkan jumlah autentikasi jika digabungkan dengan kebijakan Akses Bersyarat.

Penting

Fitur ingat autentikasi multifaktor tidak kompatibel dengan fitur biarkan saya tetap masuk AD FS, saat pengguna melakukan autentikasi multifaktor untuk AD FS melalui MFA Server atau solusi autentikasi multifaktor pihak ketiga.

Jika pengguna Anda memilih biarkan saya tetap masuk di AD FS dan juga menandai perangkat mereka sebagai tepercaya untuk MFA, pengguna tidak diverifikasi secara otomatis setelah jumlah hari ingat autentikasi multifaktor berakhir. Azure AD meminta autentikasi multifaktor baru, tetapi AD FS mengembalikan token dengan klaim dan tanggal MFA asli, daripada melakukan autentikasi multifaktor lagi. Reaksi ini memulai loop verifikasi antara Azure AD dan AD FS.

Fitur ingat autentikasi multifaktor tidak kompatibel dengan pengguna B2B dan tidak akan terlihat untuk pengguna B2B saat masuk ke penyewa yang diundang.

Aktifkan ingat autentikasi multifaktor

Untuk mengaktifkan dan mengonfigurasi opsi untuk mengizinkan pengguna mengingat status MFA dan permintaan lewatan mereka, selesaikan langkah-langkah berikut:

  1. Di portal Azure, cari dan pilih Azure Active Directory, lalu pilih Pengguna.
  2. Pilih MFA per pengguna.
  3. Pada autentikasi multi-faktor di bagian atas halaman, pilih pengaturan layanan.
  4. Pada halaman pengaturan layanan, di bawah ingat autentikasi multifaktor, pilih opsi Izinkan pengguna untuk mengingat autentikasi multifaktor pada perangkat yang mereka percayai.
  5. Harap atur jumlah hari agar perangkat tepercaya dapat melewati autentikasi multifaktor. Untuk pengalaman pengguna yang optimal, perpanjang durasi hingga 90 hari atau lebih.
  6. Pilih Simpan.

Menandai perangkat sebagai tepercaya

Setelah Anda mengaktifkan fitur ingat autentikasi multifaktor, pengguna dapat menandai perangkat sebagai tepercaya saat mereka masuk dengan memilih Jangan tanya lagi.

Langkah berikutnya

Untuk mempelajari selengkapnya, lihat Metode autentikasi dan verifikasi apa yang tersedia di Azure Active Directory?