Tutorial: Menerapkan autentikasi multifaktor untuk pengguna tamu B2B

  • Artikel

Saat berkolaborasi dengan pengguna tamu B2B eksternal, ada baiknya melindungi aplikasi Anda dengan kebijakan autentikasi multifaktor. Maka pengguna eksternal akan membutuhkan lebih dari sekadar nama pengguna dan kata sandi untuk mengakses sumber daya Anda. Di MICROSOFT Entra ID, Anda dapat mencapai tujuan ini dengan kebijakan Akses Bersyarat yang memerlukan MFA untuk akses. Kebijakan MFA dapat diberlakukan di tingkat penyewa, aplikasi, atau pengguna tamu individual, dengan cara yang sama seperti kebijakan tersebut diaktifkan untuk anggota organisasi Anda sendiri. Penyewa sumber daya selalu bertanggung jawab atas autentikasi multifaktor Microsoft Entra untuk pengguna, bahkan jika organisasi pengguna tamu memiliki kemampuan autentikasi multifaktor.

Contoh:

Diagram showing a guest user signing into a company's apps.

  1. Admin atau karyawan di Perusahaan A mengundang pengguna tamu untuk menggunakan aplikasi cloud atau lokal yang dikonfigurasikan untuk memerlukan MFA untuk akses.
  2. Pengguna tamu dapat masuk dengan identitas kantor, sekolah, atau sosial mereka sendiri.
  3. Pengguna diminta untuk menyelesaikan verifikasi masuk MFA.
  4. Pengguna menyiapkan MFA dengan Perusahaan A dan memilih opsi MFA mereka. Pengguna diperbolehkan mengakses aplikasi.

Catatan

Autentikasi multifaktor Microsoft Entra dilakukan pada penyewaan sumber daya untuk memastikan prediksi. Saat pengguna tamu masuk, mereka akan melihat halaman masuk penyewa sumber daya yang ditampilkan di latar belakang, dan halaman masuk penyewa rumah dan logo perusahaan mereka sendiri di latar depan.

Dalam tutorial ini, Anda akan:

  • Menguji pengalaman rincian masuk sebelum penyiapan MFA.
  • Membuat kebijakan Akses Bersyarat yang memerlukan MFA untuk akses ke aplikasi cloud di lingkungan Anda. Dalam tutorial ini, kita akan menggunakan aplikasi Windows Azure Service Management API untuk mengilustrasikan prosesnya.
  • Menggunakan alat Bagaimana Jika untuk mensimulasikan rincian masuk MFA.
  • Menguji kebijakan Akses Bersyarat Anda.
  • Membersihkan pengguna dan kebijakan pengujian.

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum memulai.

Prasyarat

Untuk menyelesaikan skenario dalam tutorial ini, Anda perlu:

  • Akses ke edisi Microsoft Entra ID P1 atau P2, yang mencakup kemampuan kebijakan Akses Bersyar. Untuk menerapkan MFA, Anda perlu membuat kebijakan Microsoft Entra Conditional Access. Kebijakan MFA selalu diberlakukan di organisasi Anda, terlepas dari apakah mitra memiliki kemampuan MFA.
  • Akun email eksternal yang valid yang bisa Anda tambahkan ke direktori penyewa sebagai pengguna tamu dan gunakan untuk masuk. Jika Anda tidak tahu cara membuat akun tamu, lihat Menambahkan pengguna tamu B2B di pusat admin Microsoft Entra.

Membuat pengguna tamu uji di ID Microsoft Entra

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.

  2. Telusuri ke Pengguna>Identitas>Semua pengguna.

  3. Pilih Pengguna baru , lalu pilih Undang pengguna eksternal .

    Screenshot showing where to select the new guest user option.

  4. Di bawah Identitas pada tab Dasar , masukkan alamat email pengguna eksternal. Secara opsional, sertakan nama tampilan dan pesan selamat datang.

    Screenshot showing where to enter the guest email.

  5. Secara opsional, Anda dapat menambahkan detail lebih lanjut kepada pengguna di bawah tab Properti dan Penugasan .

  6. Pilih Tinjau + undangan untuk mengirim undangan secara otomatis ke pengguna tamu. Pesan Pengguna yang berhasil diundang muncul.

  7. Setelah Anda mengirim undangan, akun pengguna ditambahkan secara otomatis ke direktori sebagai tamu.

Menguji pengalaman rincian masuk sebelum penyiapan MFA

  1. Gunakan nama pengguna dan kata sandi pengujian Anda untuk masuk ke pusat admin Microsoft Entra.
  2. Anda seharusnya dapat mengakses pusat admin Microsoft Entra hanya menggunakan kredensial masuk Anda. Tidak diperlukan autentikasi lain.
  3. Keluar.

Membuat kebijakan Akses Bersyarat yang memerlukan MFA

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.

  2. Telusuri Pusat Keamanan Perlindungan>Identitas.>

  3. Pada Lindungi, pilih Akses Bersyarat.

  4. Pada halaman Akses Bersyar, di toolbar di bagian atas, pilih Buat kebijakan baru.

  5. Pada halaman Baru, di kotak teks Nama, ketik Perlu MFA untuk akses portal B2B.

  6. Di bagian Tugas, pilih tautan di bawah Pengguna dan grup.

  7. Pada halaman Pengguna dan grup , pilih Pilih pengguna dan grup, lalu pilih Pengguna tamu atau eksternal. Anda dapat menetapkan kebijakan ke berbagai jenis pengguna eksternal, peran direktori bawaan, atau pengguna dan grup.

    Screenshot showing selecting all guest users.

  8. Di bagian Tugas, pilih tautan di bawah aplikasi atau tindakan Cloud.

  9. Pilih Pilih Aplikasi, kemudian pilih tautan di bawah Pilih.

    Screenshot showing the Cloud apps page and the Select option.

  10. Pada halaman Pilih , pilih Windows Azure Service Management API, lalu pilih Pilih.

  11. Pada halaman Baru, di bagian kontrol Access, pilih tautan di bawah Grant.

  12. Pada halaman Beri , pilih Berikan akses, pilih kotak centang Perlu autentikasi multifaktor, lalu pilih Pilih.

    Screenshot showing the Require multifactor authentication option.

  13. Di bawah Aktifkan kebijakan, pilih Aktif.

    Screenshot showing the Enable policy option set to On.

  14. Pilih Buat.

Gunakan opsi Bagaimana Jika untuk mensimulasikan rincian masuk

  1. Pada | Akses Bersyarat Halaman Kebijakan, pilih Bagaimana Jika.

    Screenshot that highlights where to select the What if option on the Conditional Access - Policies page.

  2. Pilih link di bawah Pengguna.

  3. Dalam kotak pencarian, ketik nama pengguna tamu uji Anda. Pilih pengguna di hasil pencarian, kemudian pilih Pilih.

    Screenshot showing a guest user selected.

  4. Pilih tautan di bawah aplikasi Cloud, tindakan, atau konten autentikasi. Pilih Pilih Aplikasi, kemudian pilih tautan di bawah Pilih.

    Screenshot showing the Windows Azure Service Management API app selected.

  5. Pada halaman Aplikasi cloud, dalam daftar aplikasi, pilih Windows Azure Service Management API, lalu pilih Pilih.

  6. Pilih Apa Jika, dan verifikasi bahwa kebijakan baru Anda muncul di bawah Hasil Evaluasi pada tab Kebijakan yang akan berlaku.

    Screenshot showing the results of the What If evaluation.

Uji kebijakan Akses Bersyarat Anda

  1. Gunakan nama pengguna dan kata sandi pengujian Anda untuk masuk ke pusat admin Microsoft Entra.

  2. Anda akan melihat permintaan untuk metode autentikasi lainnya. Diperlukan beberapa waktu agar kebijakan diterapkan.

    Screenshot showing the More information required message.

    Catatan

    Anda juga dapat mengonfigurasi pengaturan akses lintas penyewa untuk mempercayai MFA dari penyewa beranda Microsoft Entra. Ini memungkinkan pengguna Microsoft Entra eksternal untuk menggunakan MFA yang terdaftar di penyewa mereka sendiri daripada mendaftar di penyewa sumber daya.

  3. Keluar.

Membersihkan sumber daya

Jika tidak lagi diperlukan, hapus pengguna uji dan kebijakan Akses Bersyarat.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
  2. Telusuri ke Pengguna>Identitas>Semua pengguna.
  3. Pilih pengguna uji, lalu pilih Hapus pengguna.
  4. Telusuri Pusat Keamanan Perlindungan>Identitas.>
  5. Pada Lindungi, pilih Akses Bersyarat.
  6. Di daftar Nama Kebijakan, pilih menu konteks (...) untuk kebijakan pengujian Anda, lalu pilih Hapus. Pilih Ya untuk mengonfirmasi.

Langkah berikutnya

Dalam tutorial ini, Anda telah membuat kebijakan Akses Bersyarat yang mengharuskan pengguna tamu untuk menggunakan MFA saat masuk ke salah satu aplikasi cloud Anda. Untuk mempelajari selengkapnya tentang menambahkan pengguna tamu untuk kolaborasi, lihat Menambahkan pengguna kolaborasi Microsoft Entra B2B di portal Azure.