Memerlukan autentikasi multifaktor untuk semua pengguna
Seperti yang disebutkan Alex Weinert, Direktur Keamanan Identitas di Microsoft, menyebutkan dalam posting blognya Your Pa$$word tidak masalah:
Kata sandi Anda memang tidak terlalu penting, tetapi MFA penting! Berdasarkan studi kami, akun Anda memiliki peluang tidak terusupi 99,9% jika menggunakan MFA.
Kekuatan autentikasi
Panduan dalam artikel ini membantu organisasi Anda membuat kebijakan MFA untuk lingkungan Anda menggunakan kekuatan autentikasi. MICROSOFT Entra ID menyediakan tiga kekuatan autentikasi bawaan:
- Kekuatan autentikasi multifaktor (kurang ketat) yang direkomendasikan dalam artikel ini
- Kekuatan MFA tanpa kata sandi
- Kekuatan MFA tahan pengelabuan (paling ketat)
Anda dapat menggunakan salah satu kekuatan bawaan atau membuat kekuatan autentikasi kustom berdasarkan metode autentikasi yang ingin Anda butuhkan.
Untuk skenario pengguna eksternal, metode autentikasi MFA yang dapat diterima penyewa sumber daya bervariasi tergantung pada apakah pengguna menyelesaikan MFA di penyewa rumah mereka atau di penyewa sumber daya. Untuk informasi selengkapnya, lihat Kekuatan autentikasi untuk pengguna eksternal.
Pengecualian pengguna
Kebijakan Akses Bersyarah adalah alat yang canggih, sebaiknya kecualikan akun berikut dari kebijakan Anda:
- Akses darurat atau akun break-glass untuk mencegah penguncian karena kesalahan konfigurasi kebijakan. Dalam skenario yang tidak mungkin semua administrator dikunci, akun administratif akses darurat Anda dapat digunakan untuk masuk dan mengambil langkah-langkah untuk memulihkan akses.
- Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
- Akun layanan dan Perwakilan layanan, seperti Akun Sinkronisasi Microsoft Entra Connect. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
- Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola.
Penyebaran templat
Organisasi dapat memilih untuk menyebarkan kebijakan ini menggunakan langkah-langkah yang diuraikan di bawah ini atau menggunakan templat Akses Bersyar.
Membuat kebijakan Akses Bersyarat
Langkah-langkah berikut membantu membuat kebijakan Akses Bersyarat untuk mengharuskan semua pengguna melakukan autentikasi multifaktor menggunakan kebijakan kekuatan autentikasi.
Peringatan
Jika Anda menggunakan metode autentikasi eksternal, metode ini saat ini tidak kompatibel dengan kekuatan autentikasi dan Anda harus menggunakan kontrol Memerlukan pemberian autentikasi multifaktor.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
- Telusuri Kebijakan Akses>Bersyar perlindungan.>
- Pilih Kebijakan baru.
- Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
- Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
- Pada Sertakan, pilih Semua pengguna
- Di bawah Kecualikan pilih Pengguna dan grup dan pilih akun akses darurat atau break-glass organisasi Anda.
- Anda dapat memilih untuk mengecualikan pengguna tamu jika Anda menargetkannya dengan kebijakan spesifik pengguna tamu.
- Di bawah Sumber Daya sumber daya>target (sebelumnya aplikasi cloud)>Sertakan, pilih Semua sumber daya (sebelumnya 'Semua aplikasi cloud').
- Pada bagian Kecualikan, pilih aplikasi apa pun yang tidak memerlukan autentikasi multifaktor.
- Di bawah Kontrol akses>Hibah, pilih Beri akses.
- Pilih Perlu kekuatan autentikasi, lalu pilih kekuatan autentikasi Multifaktor bawaan dari daftar.
- Pilih Pilih.
- Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
- Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.
Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.
Lokasi bernama
Organisasi mungkin memilih untuk menggabungkan lokasi jaringan yang diketahui yang dikenal sebagai Lokasi bernama dalam kebijakan Akses Bersyarkat mereka. Lokasi bernama ini mungkin mencakup jaringan IP tepercaya seperti untuk lokasi kantor utama. Untuk informasi selengkapnya tentang mengonfigurasi lokasi bernama, lihat artikel Apa kondisi lokasi di Microsoft Entra Conditional Access?
Dalam contoh kebijakan sebelumnya, organisasi mungkin memilih untuk tidak memerlukan autentikasi multifaktor jika mengakses aplikasi cloud dari jaringan perusahaan mereka. Dalam hal ini, mereka dapat menambahkan konfigurasi berikut ke kebijakan:
- Di bawah Penugasan, pilih Jaringan.
- Konfigurasikan Ya.
- Sertakan jaringan atau lokasi apa pun.
- Kecualikan Semua jaringan dan lokasi tepercaya.
- Simpan perubahan kebijakan Anda.
Pengecualian aplikasi
Organisasi mungkin memiliki banyak aplikasi cloud yang digunakan. Tidak semua aplikasi tersebut memerlukan keamanan yang sama. Misalnya, aplikasi penggajian dan kehadiran mungkin memerlukan MFA tetapi kantin mungkin tidak. Administrator dapat memilih untuk mengecualikan aplikasi tertentu dari kebijakan mereka.
Aktivasi langganan
Organisasi yang menggunakan fitur Aktivasi Langganan untuk memungkinkan pengguna "melangkah" dari satu versi Windows ke versi lainnya dan menggunakan kebijakan Akses Bersyar untuk mengontrol akses perlu mengecualikan salah satu aplikasi cloud berikut dari kebijakan Akses Bersyar mereka menggunakan Pilih Aplikasi Cloud yang Dikecualikan:
UNIVERSAL Store Service API dan Aplikasi Web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.
Windows Store untuk Bisnis, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.
Meskipun ID aplikasi sama di kedua instans, nama aplikasi cloud bergantung pada penyewa.
Saat perangkat offline untuk jangka waktu yang lama, perangkat mungkin tidak diaktifkan kembali secara otomatis jika pengecualian Akses Bersyar ini tidak diberlakukan. Mengatur pengecualian Akses Bersyarat ini memastikan bahwa Aktivasi Langganan terus berfungsi dengan lancar.
Dimulai dengan Windows 11, versi 23H2 dengan KB5034848 atau yang lebih baru, pengguna diminta untuk autentikasi dengan pemberitahuan toast saat Aktivasi Langganan perlu diaktifkan kembali. Pemberitahuan toast menunjukkan pesan berikut:
Akun Anda memerlukan autentikasi
Silakan masuk ke akun kerja atau sekolah Anda untuk memverifikasi informasi Anda.
Selain itu, di panel Aktivasi , pesan berikut mungkin muncul:
Silakan masuk ke akun kerja atau sekolah Anda untuk memverifikasi informasi Anda.
Permintaan autentikasi biasanya terjadi ketika perangkat offline untuk jangka waktu yang lama. Perubahan ini menghilangkan kebutuhan akan pengecualian dalam kebijakan Akses Bersyar untuk Windows 11, versi 23H2 dengan KB5034848 atau yang lebih baru. Kebijakan Akses Bersyarah masih dapat digunakan dengan Windows 11, versi 23H2 dengan KB5034848 atau yang lebih baru jika permintaan autentikasi pengguna melalui pemberitahuan toast tidak diinginkan.