Tutorial: Mengamankan peristiwa masuk pengguna dengan Autentikasi Multifaktor Microsoft Azure AD

Autentikasi multifaktor (MFA) adalah proses di mana pengguna diminta untuk bentuk identifikasi tambahan selama acara masuk. Misalnya, prompt bisa untuk memasukkan kode pada ponsel mereka atau untuk memberikan pemindaian sidik jari. Ketika Anda memerlukan bentuk identifikasi kedua, keamanan ditingkatkan karena faktor tambahan ini tidak mudah bagi penyerang untuk mendapatkan atau menduplikasi.

Kebijakan Autentikasi Multifaktor dan Akses Bersyarat Azure AD memberi Anda fleksibilitas untuk memerlukan MFA dari pengguna untuk acara masuk tertentu. Untuk gambaran umum MFA, sebaiknya tonton video ini: Cara mengonfigurasi dan menerapkan autentikasi multifaktor di penyewa Anda.

Penting

Tutorial ini memperlihatkan kepada administrator tentang cara mengaktifkan Autentikasi Multifaktor Microsoft Azure AD.

Jika tim TI Anda belum mengaktifkan kemampuan untuk menggunakan Autentikasi Multifaktor Azure AD, atau jika Anda mengalami masalah saat masuk, hubungi Staf Dukungan anda untuk bantuan tambahan.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat kebijakan Akses Bersyarat untuk mengaktifkan Autentikasi Multifaktor Microsoft Azure AD untuk sekelompok pengguna.
  • Mengonfigurasi kondisi kebijakan yang meminta MFA.
  • Uji konfigurasi dan gunakan autentikasi multifaktor sebagai pengguna.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

  • Penyewa Azure AD yang berfungsi dengan Azure AD Premium P1 atau lisensi uji coba diaktifkan.

  • Akun dengan hak istimewa Administrator Akses Bersyarat, Administrator Keamanan, atau Administrator Global. Beberapa pengaturan MFA juga dapat dikelola oleh Administrator Kebijakan Autentikasi. Untuk informasi lebih lanjut, lihat Administrator Kebijakan Autentikasi.

  • Akun non-administrator dengan kata sandi yang Anda ketahui. Untuk tutorial ini, kami membuat akun seperti itu, bernama testuser. Dalam tutorial ini, Anda menguji pengalaman pengguna akhir mengonfigurasi dan menggunakan Autentikasi Multifaktor Azure AD.

  • Grup tempat pengguna non-administrator adalah anggotanya. Untuk tutorial ini, kami membuat grup seperti itu, bernama MFA-Test-Group. Dalam tutorial ini, Anda mengaktifkan Autentikasi Multifaktor Azure AD untuk grup ini.

Membuat kebijakan Akses Bersyarat

Cara yang direkomendasikan untuk mengaktifkan dan menggunakan Autentikasi Multifaktor Microsoft Azure AD adalah dengan kebijakan Akses Bersyarat. Akses Bersyarat memungkinkan Anda membuat dan menentukan kebijakan yang bereaksi terhadap peristiwa masuk dan yang meminta tindakan tambahan sebelum pengguna diberikan akses ke aplikasi atau layanan.

Diagram ringkasan tentang cara kerja Akses Bersyarat untuk mengamankan proses masuk

Kebijakan Akses Bersyarat dapat diterapkan ke pengguna, grup, dan aplikasi tertentu. Tujuannya adalah untuk melindungi organisasi Anda sambil juga menyediakan tingkat akses yang tepat kepada pengguna yang membutuhkannya.

Dalam tutorial ini, kami membuat kebijakan Akses Bersyarat dasar untuk meminta MFA saat pengguna masuk ke portal Microsoft Azure. Dalam tutorial selanjutnya di seri ini, kami mengonfigurasi Autentikasi Multifaktor Azure AD dengan menggunakan kebijakan Akses Bersyarat berbasis risiko.

Pertama, buat kebijakan Akses Bersyarat dan tetapkan sekelompok pengguna uji coba sebagai berikut:

  1. Masuk ke portal Microsoft Azure menggunakan akun dengan izin administrator global.

  2. Cari dan pilih Microsoft Azure Active Directory. Lalu pilih Keamanan dari menu di sisi kiri.

  3. Pilih Akses Bersyarat, pilih + Kebijakan baru, lalu pilih Buat kebijakan baru.

    Cuplikan layar halaman Akses Bersyarat, di mana Anda memilih 'Kebijakan baru' lalu pilih 'Buat kebijakan baru'.

  4. Masukkan nama untuk kebijakan, seperti MFA Pilot.

  5. Di bawah Tugas, pilih nilai saat ini di bawah Identitas Pengguna atau beban kerja.

    Cuplikan layar halaman Akses Bersyarat, di mana Anda memilih nilai saat ini di bawah 'Pengguna atau identitas beban kerja'.

  6. Di bawah Untuk apa kebijakan ini berlaku?, verifikasi bahwa Pengguna dan grup dipilih.

  7. Di bawah Termasuk, pilih Pilih pengguna dan grup, lalu pilih Pengguna dan grup.

    Cuplikan layar halaman untuk membuat kebijakan baru, di mana Anda memilih opsi untuk menentukan pengguna dan grup.

    Karena belum ada yang ditetapkan, daftar pengguna dan grup (ditunjukkan pada langkah berikutnya) akan terbuka secara otomatis.

  8. Telusuri dan pilih grup Microsoft Azure AD, seperti MFA-Test-Group, lalu pilih ikon Pilih.

    Cuplikan layar daftar pengguna dan grup, dengan hasil yang difilter oleh huruf M F A, dan 'MFA-Test-Group' dipilih.

Kami telah memilih grup untuk menerapkan kebijakan tersebut. Di bagian berikutnya, kami mengonfigurasi kondisi di mana untuk menerapkan kebijakan.

Mengonfigurasi kondisi untuk autentikasi multifaktor

Sekarang setelah kebijakan Akses Bersyarat dibuat dan grup pengujian pengguna ditetapkan, tentukan aplikasi cloud atau tindakan yang memicu kebijakan. Aplikasi atau tindakan cloud ini adalah skenario yang Anda putuskan memerlukan pemrosesan tambahan, seperti mendorong autentikasi multifaktor. Misalnya, Anda dapat memutuskan bahwa akses ke aplikasi keuangan atau penggunaan alat manajemen memerlukan prompt tambahan untuk autentikasi.

Mengonfigurasi aplikasi mana yang memerlukan autentikasi multifaktor

Untuk tutorial ini, konfigurasikan kebijakan Akses Bersyarat untuk memerlukan autentikasi multifaktor saat pengguna masuk ke portal Microsoft Azure.

  1. Pilih nilai saat ini di bawah Aplikasi atau tindakan Cloud, lalu di bawah Pilih untuk apa kebijakan ini berlaku, verifikasi bahwa aplikasi Cloud dipilih.

  2. Di bawah Sertakan, pilih Pilih aplikasi.

    Karena belum ada aplikasi yang dipilih, daftar aplikasi (ditampilkan pada langkah berikutnya) akan terbuka secara otomatis.

    Tip

    Anda dapat memilih untuk menerapkan kebijakan Akses Bersyarat ke Semua aplikasi cloud atau Pilih aplikasi. Untuk memberikan fleksibilitas, Anda juga dapat mengecualikan aplikasi tertentu dari kebijakan.

  3. Telusuri daftar acara masuk yang tersedia yang dapat digunakan. Untuk tutorial ini, pilih Microsoft Azure Management agar kebijakan berlaku untuk peristiwa masuk ke portal Microsoft Azure. Lalu pilih Pilih.

    Cuplikan layar halaman Akses Bersyarat, di mana Anda memilih aplikasi, Microsoft Azure Management, tempat kebijakan baru akan diterapkan.

Mengonfigurasi autentikasi multifaktor untuk akses

Selanjutnya, kami mengonfigurasi kontrol akses. Kontrol akses memungkinkan Anda menentukan persyaratan bagi pengguna untuk diberikan akses. Mereka mungkin diminta untuk menggunakan aplikasi klien yang disetujui atau perangkat yang bergabung dengan hibrid ke Azure AD.

Dalam tutorial ini, konfigurasikan kontrol akses untuk memerlukan autentikasi multifaktor selama acara masuk ke portal Microsoft Azure.

  1. Di bawah Kontrol akses, pilih nilai saat ini di bawah Hibah, lalu pilih Berikan akses.

    Cuplikan layar halaman Akses Bersyarat, di mana Anda memilih 'Beri' lalu pilih 'Berikan akses'.

  2. Pilih Memerlukan autentikasi multifaktor, lalu pilih Pilih.

    Cuplikan layar opsi memberikan akses, di mana Anda memilih 'Memerlukan autentikasi multifaktor'.

Mengaktifkan kebijakan

Kebijakan Akses Bersyarat dapat diatur ke Laporan-saja jika Anda ingin melihat bagaimana konfigurasi akan memengaruhi pengguna, atau Nonaktif jika Anda tidak ingin menggunakan kebijakan saat ini. Karena kelompok pengujian pengguna ditargetkan untuk tutorial ini, mari kita aktifkan kebijakan, lalu uji Autentikasi Multifaktor Azure AD.

  1. Di bawah Aktifkan kebijakan, pilih Aktif.

    Cuplikan layar kontrol yang berada di dekat bagian bawah halaman web tempat Anda menentukan apakah kebijakan diaktifkan.

  2. Untuk menerapkan kebijakan Akses Bersyarat, pilih Buat.

Menguji Autentikasi Multifaktor Microsoft Azure AD

Mari kita lihat cara kerja kebijakan Akses Bersyarat Anda dan Autentikasi Multifaktor Microsoft Azure AD.

Pertama, masuk ke sumber daya yang tidak memerlukan MFA:

  1. Buka jendela browser baru dalam mode InPrivate atau penyamaran dan telusuri ke https://account.activedirectory.windowsazure.com.

    Menggunakan mode privat untuk browser Anda mencegah kredensial yang ada memengaruhi peristiwa masuk ini.

  2. Masuk dengan pengguna uji coba non-administrator, seperti testuser. Pastikan untuk menyertakan @ dan nama domain untuk akun pengguna.

    Jika ini adalah contoh pertama masuk dengan akun ini, Anda akan diminta untuk mengubah kata sandi. Namun, tidak ada prompt bagi Anda untuk mengonfigurasi atau menggunakan autentikasi multifaktor.

  3. Tutup jendela browser.

Anda mengonfigurasi kebijakan Akses Bersyarat untuk memerlukan autentikasi tambahan untuk portal Microsoft Azure. Karena konfigurasi tersebut, Anda diminta untuk menggunakan Autentikasi Multifaktor Azure AD atau untuk mengonfigurasi metode jika Anda belum melakukannya. Uji persyaratan baru ini dengan masuk ke portal Microsoft Azure:

  1. Buka jendela browser baru dalam mode InPrivate atau penyamaran dan telusuri ke https://portal.azure.com.

  2. Masuk dengan pengguna uji coba non-administrator, seperti testuser. Pastikan untuk menyertakan @ dan nama domain untuk akun pengguna.

    Anda diharuskan untuk mendaftar dan menggunakan Autentikasi Multifaktor Microsoft Azure AD.

    Perintah yang bertuliskan 'Informasi lebih lanjut diperlukan.' Ini adalah perintah untuk mengonfigurasi metode autentikasi multifaktor untuk pengguna ini.

  3. Pilih Berikutnya untuk memulai proses.

    Anda dapat memilih untuk mengonfigurasi telepon autentikasi, telepon kantor, atau aplikasi seluler untuk autentikasi. Autentikasi telepon mendukung pesan teks dan panggilan telepon, telepon kantor mendukung panggilan ke nomor yang memiliki ekstensi, dan aplikasi ponsel mendukung penggunaan aplikasi ponsel untuk menerima pemberitahuan untuk autentikasi atau untuk menghasilkan kode autentikasi.

    Perintah yang mengatakan, 'Verifikasi keamanan tambahan.' Ini adalah perintah untuk mengonfigurasi metode autentikasi multifaktor untuk pengguna ini. Anda dapat memilih sebagai metode telepon autentikasi, telepon kantor, atau aplikasi seluler.

  4. Lengkapi petunjuk di layar untuk mengonfigurasi metode autentikasi multifaktor yang telah Anda pilih.

  5. Tutup jendela browser, dan masuk lagi ke https://portal.azure.com untuk menguji metode autentikasi yang Anda konfigurasikan. Misalnya, jika Anda mengonfigurasi aplikasi seluler untuk autentikasi, Anda akan melihat prompt seperti berikut ini.

    Untuk masuk, ikuti perintah di browser Anda lalu perintah pada perangkat yang Anda daftarkan untuk autentikasi multifaktor.

  6. Tutup jendela browser.

Membersihkan sumber daya

Jika Anda tidak lagi ingin menggunakan kebijakan Akses Bersyarat yang Anda konfigurasikan sebagai bagian dari tutorial ini, hapus kebijakan dengan menggunakan langkah-langkah berikut:

  1. Masuk ke portal Microsoft Azure.

  2. Cari dan pilih Azure Active Directory, lalu pilih Keamanan dari menu di sebelah kiri.

  3. Pilih Akses bersyarat, lalu pilih kebijakan yang Anda buat, seperti Pilot MFA.

  4. pilih Hapus, lalu konfirmasikan bahwa Anda ingin menghapus kebijakan.

    Untuk menghapus kebijakan Akses Bersyarat yang telah Anda buka, pilih Hapus yang terletak di bawah nama kebijakan.

Langkah berikutnya

Dalam tutorial ini, Anda mengaktifkan Autentikasi Multifaktor Azure AD dengan menggunakan kebijakan Akses Bersyarat untuk grup pengguna yang dipilih. Anda mempelajari cara untuk:

  • Membuat kebijakan Akses Bersyarat untuk mengaktifkan Autentikasi Multifaktor Microsoft Azure AD untuk sekelompok pengguna Microsoft Azure AD.
  • Konfigurasikan kondisi kebijakan yang mendorong autentikasi multifaktor.
  • Uji konfigurasi dan gunakan autentikasi multifaktor sebagai pengguna.