Tanya jawab umum tentang autentikasi multifaktor Microsoft Entra

Dengan Server Multi-Factor Authentication, data pengguna hanya disimpan di server lokal. Tidak ada data pengguna tetap yang disimpan di cloud. Saat pengguna melakukan verifikasi dua langkah, Server Autentikasi Multifaktor mengirim data ke layanan cloud autentikasi multifaktor Microsoft Entra untuk autentikasi. Komunikasi antara Server Autentikasi Multifaktor dan layanan cloud autentikasi multifaktor menggunakan Secure Sockets Layer (SSL) atau Transport Layer Security (TLS) melalui port 443 keluar.

Saat permintaan autentikasi dikirim ke layanan cloud, data dikumpulkan untuk laporan autentikasi dan penggunaan. Bidang data berikut disertakan dalam log verifikasi dua langkah:

• ID Unik (nama pengguna atau ID Server Multi-Factor Authentication lokal)
• Nama Depan dan Belakang (opsional)
• Alamat Email (opsional)
• Telepon Nomor (saat menggunakan panggilan suara atau autentikasi pesan teks)
• Token Perangkat (saat menggunakan autentikasi aplikasi ponsel)
• Mode Autentikasi
• Hasil Autentikasi
• Nama Server Multi-Factor Authentication
• IP Server Multi-Factor Authentication
• IP Klien (jika tersedia)

Bidang opsional dapat dikonfigurasi di Server Multi-Factor Authentication.

Hasil verifikasi (berhasil atau ditolak), dan alasan jika ditolak, disimpan dengan data autentikasi. Data ini tersedia dalam laporan autentikasi dan penggunaan.

Untuk informasi selengkapnya, lihat Residensi data dan data pelanggan untuk autentikasi multifaktor Microsoft Entra.

Dalam Amerika Serikat, kami menggunakan kode pendek berikut:

• 97671
• 69829
• 51789
• 99399

Di Kanada, kami menggunakan kode pendek berikut:

• 759731
• 673801

Tidak ada jaminan pesan teks yang konsisten atau pengiriman permintaan autentikasi multifaktor berbasis suara dengan nomor yang sama. Demi kepentingan pengguna, kami dapat menambahkan atau menghapus kode pendek kapan saja saat kami melakukan penyesuaian rute untuk meningkatkan pengiriman pesan teks.

Kami tidak mendukung kode pendek untuk negara atau wilayah selain Amerika Serikat dan Kanada.

Ya, dalam kasus tertentu yang biasanya melibatkan permintaan autentikasi berulang dalam jangka waktu singkat, autentikasi multifaktor Microsoft Entra akan membatasi upaya masuk pengguna untuk melindungi jaringan telekomunikasi, mengurangi serangan gaya kelelahan MFA, dan melindungi sistemnya sendiri untuk kepentingan semua pelanggan.

Meskipun kami tidak berbagi batas pembatasan tertentu, mereka didasarkan pada penggunaan yang wajar.

Tidak, Anda tidak dikenakan biaya untuk panggilan telepon individual yang ditempatkan atau pesan teks yang dikirim ke pengguna melalui autentikasi multifaktor Microsoft Entra. Jika Anda menggunakan penyedia MFA per autentikasi, Anda akan ditagih untuk setiap autentikasi, tetapi tidak untuk metode yang digunakan.

Pengguna Anda mungkin dikenakan biaya untuk panggilan telepon atau pesan teks yang mereka terima, sesuai dengan layanan telepon pribadi mereka.

Penagihan didasarkan pada jumlah pengguna yang dikonfigurasi untuk menggunakan autentikasi multifaktor, terlepas dari apakah mereka melakukan verifikasi dua langkah bulan itu.

Saat Anda membuat penyedia MFA per pengguna atau per autentikasi, langganan Azure organisasi Anda ditagih setiap bulan berdasarkan penggunaan. Model penagihan ini mirip dengan cara Azure menagih penggunaan komputer virtual dan Web Apps.

Saat Anda membeli langganan untuk autentikasi multifaktor Microsoft Entra, organisasi Anda hanya membayar biaya lisensi tahunan untuk setiap pengguna. Lisensi MFA dan bundel Microsoft 365, Microsoft Entra ID P1 atau P2, atau Enterprise Mobility + Security ditagih dengan cara ini.

Untuk informasi selengkapnya, lihat Cara mendapatkan autentikasi multifaktor Microsoft Entra.

Default keamanan dapat diaktifkan di tingkat Gratis Microsoft Entra ID. Dengan default keamanan, semua pengguna diaktifkan untuk autentikasi multifaktor menggunakan aplikasi Microsoft Authenticator. Tidak ada kemampuan untuk menggunakan pesan teks atau verifikasi telepon dengan default keamanan, hanya aplikasi Microsoft Authenticator.

Untuk informasi selengkapnya, lihat Apa itu default keamanan?

Jika organisasi Anda membeli MFA sebagai layanan mandiri dengan penagihan berbasis konsumsi, Anda memilih model penagihan saat membuat penyedia MFA. Anda tidak dapat mengubah model penagihan setelah penyedia MFA dibuat.

Jika penyedia MFA Anda tidak ditautkan ke penyewa Microsoft Entra, atau Anda menautkan penyedia MFA baru ke penyewa Microsoft Entra, pengaturan pengguna, dan opsi konfigurasi yang berbeda tidak ditransfer. Selain itu, Server MFA yang ada perlu diaktifkan kembali menggunakan kredensial aktivasi yang dihasilkan melalui Penyedia MFA baru. Mengaktifkan kembali Server MFA untuk menautkannya ke Penyedia MFA baru tidak memengaruhi autentikasi panggilan telepon dan pesan teks, tetapi pemberitahuan aplikasi ponsel akan berhenti berfungsi untuk semua pengguna hingga mereka mengaktifkan kembali aplikasi ponsel.

Pelajari selengkapnya tentang penyedia MFA di Mulai menggunakan penyedia autentikasi multifaktor Azure.

Dalam beberapa kasus, ya.

Jika direktori Anda memiliki penyedia autentikasi multifaktor Microsoft Entra per pengguna , Anda dapat menambahkan lisensi MFA. Pengguna dengan lisensi tidak dihitung dalam tagihan berbasis konsumsi per pengguna. Pengguna tanpa lisensi masih dapat diaktifkan untuk MFA melalui penyedia MFA. Jika Anda membeli dan menetapkan lisensi untuk semua pengguna yang dikonfigurasi untuk menggunakan autentikasi multifaktor, Anda dapat menghapus penyedia autentikasi multifaktor Microsoft Entra. Anda selalu dapat membuat penyedia MFA per pengguna lain jika Anda memiliki lebih banyak pengguna daripada lisensi di masa mendatang.

Jika direktori Anda memiliki penyedia autentikasi multifaktor Microsoft Entra per autentikasi, Anda selalu ditagih untuk setiap autentikasi, selama penyedia MFA ditautkan ke langganan Anda. Anda dapat menetapkan lisensi MFA kepada pengguna, tetapi Anda masih akan ditagih untuk setiap permintaan verifikasi dua langkah, apakah itu berasal dari seseorang dengan lisensi MFA yang ditetapkan atau tidak.

Jika organisasi Anda menggunakan model penagihan berbasis konsumsi, ID Microsoft Entra bersifat opsional, tetapi tidak diperlukan. Jika penyedia MFA Anda tidak ditautkan ke penyewa Microsoft Entra, Anda hanya dapat menyebarkan Azure Multi-Factor Authentication Server lokal.

ID Microsoft Entra diperlukan untuk model lisensi karena lisensi ditambahkan ke penyewa Microsoft Entra saat Anda membeli dan menetapkannya kepada pengguna di direktori.

Minta pengguna Anda mencoba hingga lima kali dalam 5 menit untuk mendapatkan panggilan telepon atau pesan teks untuk autentikasi. Microsoft menggunakan beberapa penyedia untuk mengirimkan panggilan dan pesan teks. Jika pendekatan ini tidak berhasil, buka kasus dukungan untuk memecahkan masalah lebih lanjut.

Aplikasi keamanan pihak ketiga juga dapat memblokir pesan teks kode verifikasi atau panggilan telepon. Jika menggunakan aplikasi keamanan pihak ketiga, coba nonaktifkan perlindungan, lalu minta kode verifikasi MFA lain dikirim.

Jika langkah di atas tidak berhasil, periksa apakah pengguna dikonfigurasi untuk lebih dari satu metode verifikasi. Beri tahu untuk mencoba masuk lagi, tetapi pilih metode verifikasi yang berbeda di halaman masuk.

Untuk informasi selengkapnya, lihat panduan pemecahan masalah pengguna akhir.

Anda dapat mengatur ulang akun pengguna dengan membuatnya melalui proses pendaftaran kembali. Pelajari selengkapnya tentang mengelola pengaturan pengguna dan perangkat dengan autentikasi multifaktor Microsoft Entra di cloud.

Untuk mencegah akses tidak sah, hapus semua sandi aplikasi pengguna. Setelah pengguna memiliki perangkat pengganti, mereka dapat membuat ulang sandi. Pelajari selengkapnya tentang mengelola pengaturan pengguna dan perangkat dengan autentikasi multifaktor Microsoft Entra di cloud.

Jika organisasi Anda masih menggunakan klien lama, dan Anda mengizinkan penggunaan sandi aplikasi, maka pengguna Anda tidak dapat masuk ke klien lama ini dengan nama pengguna dan sandi mereka. Sebagai gantinya, mereka perlu mengatur sandi aplikasi. Pengguna Anda harus menghapus informasi masuk mereka, memulai ulang aplikasi, lalu masuk dengan nama pengguna dan sandi aplikasi mereka alih-alih kata sandi reguler mereka.

Jika organisasi Anda tidak memiliki klien lama, Anda seharusnya tidak mengizinkan pengguna untuk membuat sandi aplikasi.

Pengiriman pesan teks tidak dijamin karena faktor yang tidak dapat dikontrol dapat memengaruhi keandalan layanan. Faktor-faktor ini termasuk negara atau wilayah tujuan, operator ponsel, dan kekuatan sinyal.

Aplikasi keamanan pihak ketiga juga dapat memblokir pesan teks kode verifikasi atau panggilan telepon. Jika menggunakan aplikasi keamanan pihak ketiga, coba nonaktifkan perlindungan, lalu minta kode verifikasi MFA lain dikirim.

Jika pengguna Anda sering mengalami masalah menerima pesan teks dengan lancar, beri tahu untuk menggunakan metode aplikasi Microsoft Authenticator atau panggilan ponsel sebagai gantinya. Microsoft Authenticator dapat menerima pemberitahuan baik melalui koneksi seluler dan Wi-Fi. Selain itu, aplikasi ponsel dapat menghasilkan kode verifikasi bahkan ketika perangkat tidak memiliki sinyal sama sekali. Aplikasi Microsoft Authenticator tersedia untuk Android, iOS, dan Windows Phone.

Dalam beberapa kasus, ya.

Untuk SMS satu arah dengan MFA Server v7.0 atau yang lebih tinggi, Anda dapat mengonfigurasi pengaturan batas waktu dengan mengatur kunci registri. Setelah layanan cloud MFA mengirim pesan teks, kode verifikasi (atau kode sandi satu kali) dikembalikan ke Server MFA. Server MFA menyimpan kode dalam memori selama 300 detik secara default. Jika pengguna tidak memasukkan kode sebelum 300 detik berlalu, autentikasi mereka ditolak. Gunakan langkah ini untuk mengubah pengaturan batas waktu default:

1. Buka HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor.
2. Buat kunci registri DWORD yang disebut pfsvc_pendingSmsTimeoutSeconds dan atur waktu dalam hitungan detik yang Anda inginkan agar Server MFA menyimpan kode akses satu kali.

Jika pengguna tidak menanggapi SMS dalam periode batas waktu yang ditentukan, autentikasi mereka ditolak.

Untuk SMS satu arah dengan autentikasi multifaktor Microsoft Entra di cloud (termasuk adaptor LAYANAN Federasi Direktori Aktif atau ekstensi Server Kebijakan Jaringan), Anda tidak dapat mengonfigurasi pengaturan batas waktu. MICROSOFT Entra ID menyimpan kode verifikasi selama 180 detik.

Jika Anda menggunakan Server Autentikasi Multifaktor, Anda dapat mengimpor token berbasis waktu Autentikasi Terbuka (OATH), kata sandi satu kali (TOTP) pihak ketiga, lalu menggunakannya untuk verifikasi dua langkah.

Anda dapat menggunakan token ActiveIdentity yang merupakan token OATH TOTP jika Anda memasukkan kunci rahasia dalam file CSV dan mengimpor ke Server Autentikasi Multifaktor. Anda dapat menggunakan token OATH dengan Layanan Federasi Direktori Aktif (ADFS), autentikasi berbasis formulir Layanan Informasi Internet (IIS), dan Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS) selama sistem klien dapat menerima input pengguna.

Anda dapat mengimpor token OATH TOTP pihak ketiga dengan format berikut:

• Kontainer Kunci Simetris Portabel (PSKC)
• CSV jika file berisi nomor seri, kunci rahasia dalam format Base 32, dan interval waktu

Ya, tetapi jika Anda menggunakan Windows Server 2012 R2 atau yang lebih baru, Anda hanya bisa mengamankan Layanan Terminal dengan menggunakan Gateway Desktop Jarak Jauh (RD Gateway).

Perubahan keamanan di Windows Server 2012 R2 mengubah cara Server Autentikasi Multifaktor tersambung ke paket keamanan Local Security Authority (LSA) di Windows Server 2012 dan versi yang lebih lama. Untuk versi Layanan Terminal di Windows Server 2012 atau yang lebih lama, Anda dapat mengamankan aplikasi dengan Autentikasi Windows. Jika Anda menggunakan Windows Server 2012 R2, Anda memerlukan RD Gateway.

Ketika panggilan autentikasi multifaktor dilakukan melalui jaringan telepon publik, terkadang panggilan tersebut dirutekan melalui operator yang tidak mendukung ID pemanggil. Karena perilaku operator ini, ID pemanggil tidak dijamin, meskipun sistem autentikasi multifaktor selalu mengirimkannya.

Ada beberapa alasan bahwa pengguna dapat diminta untuk mendaftarkan informasi keamanan mereka:

• Pengguna telah diaktifkan untuk MFA oleh administrator mereka di ID Microsoft Entra, tetapi belum memiliki informasi keamanan yang terdaftar untuk akun mereka.
• Pengguna telah diaktifkan untuk pengaturan ulang kata sandi mandiri di ID Microsoft Entra. Informasi keamanan akan membantu mereka mengatur ulang sandi mereka di masa depan jika mereka pernah melupakannya.
• Pengguna mengakses aplikasi yang memiliki kebijakan Akses Bersyarat untuk memerlukan MFA dan sebelumnya belum terdaftar untuk MFA.
• Pengguna mendaftarkan perangkat dengan ID Microsoft Entra (termasuk gabungan Microsoft Entra), dan organisasi Anda memerlukan MFA untuk pendaftaran perangkat, tetapi pengguna sebelumnya belum terdaftar untuk MFA.
• Pengguna membuat Windows Hello for Business di Windows 10 (yang memerlukan MFA) dan sebelumnya belum terdaftar untuk MFA.
• Organisasi telah membuat dan mengaktifkan kebijakan Pendaftaran MFA yang telah diterapkan kepada pengguna.
• Pengguna sebelumnya terdaftar untuk MFA, tetapi memilih metode verifikasi yang telah dinonaktifkan administrator. Oleh karena itu, pengguna harus melalui pendaftaran MFA lagi untuk memilih metode verifikasi default baru.

Minta pengguna untuk menyelesaikan prosedur berikut ini untuk menghapus akun mereka dari Microsoft Authenticator, lalu menambahkannya lagi:

1. Buka profil akun mereka dan masuk dengan akun organisasi.
2. Pilih Verifikasi keamanan tambahan.
3. Hapus akun yang sudah ada dari aplikasi Microsoft Authenticator.
4. Klik Konfigurasikan, lalu ikuti instruksi untuk mengonfigurasi ulang Microsoft Authenticator.

Kesalahan 0x800434D4L terjadi ketika Anda mencoba masuk ke aplikasi non-browser, yang diinstal pada komputer lokal, yang tidak berfungsi dengan akun yang memerlukan verifikasi dua langkah.

Solusi untuk kesalahan ini adalah memiliki akun pengguna terpisah untuk operasi admin terkait dan non-admin. Nantinya, Anda bisa menautkan kotak surat antara akun admin dan akun non-admin Sehingga Anda bisa masuk ke Outlook dengan menggunakan akun non-admin Anda. Untuk detail selengkapnya tentang solusi ini, pelajari cara memberi administrator kemampuan untuk membuka dan menampilkan konten kotak surat pengguna.

Error 1073741715 = Status Logon Failure -> Percobaan masuk tidak valid. Hal ini disebabkan oleh nama pengguna atau autentikasi yang buruk.

Alasan yang masuk akal untuk kesalahan ini: Jika kredensial utama yang dimasukkan benar, mungkin ada ketidakcocokan antara versi NTLM yang didukung pada server MFA dan pengontrol domain. Server MFA hanya mendukung NTLMv1 (LmCompatabilityLevel = 1 sampai 4) dan bukan NTLMv2 (LmCompatabilityLevel = 5).

Langkah berikutnya

Jika pertanyaan Anda tidak terjawab di sini, opsi dukungan berikut ini tersedia:

• Cari Pangkalan Pengetahuan Dukungan Microsoft untuk solusi masalah teknis umum.
• Cari dan telusuri pertanyaan dan jawaban teknis dari komunitas, atau ajukan pertanyaan Anda sendiri di Tanya Jawab Microsoft Entra.
• Hubungi profesional Microsoft melalui dukungan Multi-Factor Authentication Server. Saat menghubungi kami, sangat berguna jika Anda dapat menyertakan informasi sebanyak mungkin tentang masalah Anda. Informasi yang dapat Anda berikan mencakup halaman tempat Anda melihat kesalahan, kode kesalahan tertentu, ID sesi tertentu, dan ID pengguna yang melihat kesalahan.
• Jika Anda adalah pelanggan PhoneFactor lama dan Anda memiliki pertanyaan atau memerlukan bantuan untuk mengatur ulang sandi, gunakan alamat email phonefactorsupport@microsoft.com untuk membuka kasus dukungan.