Membangun ketahanan dengan manajemen informasi masuk

Saat kredensial disajikan ke ID Microsoft Entra dalam permintaan token, ada beberapa dependensi yang harus tersedia untuk validasi. Faktor autentikasi pertama bergantung pada autentikasi Microsoft Entra dan, dalam beberapa kasus, infrastruktur lokal. Untuk informasi selengkapnya tentang arsitektur autentikasi campuran, lihat Membangun ketahanan dalam infrastruktur campuran Anda.

Jika Anda menerapkan faktor kedua, dependensi untuk faktor kedua ditambahkan ke dependensi untuk faktor pertama. Misalnya, jika faktor pertama Anda adalah melalui PTA dan faktor kedua Anda adalah SMS, dependensi Anda adalah sebagai berikut.

• Layanan autentikasi Microsoft Entra
• Layanan autentikasi multifaktor Microsoft Entra
• Infrastruktur lokal
• Operator telepon
• Perangkat pengguna (tidak digambakan)

Strategi kredensial Anda harus mempertimbangkan dependensi dari setiap jenis autentikasi dan metode provisi yang menghindari satu titik kegagalan.

Karena metode autentikasi memiliki dependensi yang berbeda, ada baiknya untuk memungkinkan pengguna mendaftar untuk opsi faktor kedua sebanyak mungkin. Pastikan untuk menyertakan faktor kedua dengan dependensi yang berbeda, jika memungkinkan. Misalnya, Panggilan suara dan SMS sebagai faktor kedua memiliki dependensi yang sama, sehingga memilikinya karena satu-satunya opsi tidak mengurangi risiko.

Strategi informasi masuk yang paling tangguh adalah menggunakan autentikasi tanpa kata sandi. Kunci keamanan Windows Hello for Business dan FIDO 2.0 memiliki lebih sedikit dependensi daripada autentikasi yang kuat dengan dua faktor terpisah. Kunci keamanan aplikasi Microsoft Authenticator, Windows Hello untuk Bisnis, dan FIDO 2.0 adalah yang paling aman.

Untuk faktor kedua, aplikasi Microsoft Authenticator atau aplikasi pengautentikasi lainnya menggunakan token kode sandi satu kali berbasis waktu (TOTP) atau perangkat keras OAuth memiliki dependensi terkecil dan, oleh karena itu, lebih tangguh.

Bagaimana beberapa kredensial membantu ketahanan?

Provisi beberapa jenis informasi masuk memberi opsi kepada pengguna yang mengakomodasi preferensi dan kendala lingkungan mereka. Akibatnya, autentikasi interaktif di mana pengguna diminta untuk autentikasi multifaktor akan lebih tahan terhadap dependensi tertentu yang tidak tersedia pada saat permintaan. Anda dapat mengoptimalkan permintaan autentikasi ulang untuk autentikasi multifaktor.

Selain ketahanan pengguna individu yang dijelaskan di atas, perusahaan harus merencanakan kontingensi untuk gangguan skala besar seperti kesalahan operasional yang menimbulkan kesalahan konfigurasi, bencana alam, atau pemadaman sumber daya di seluruh perusahaan ke layanan federasi lokal (terutama ketika digunakan untuk autentikasi multifaktor).

Bagaimana cara menerapkan informasi masuk yang tangguh?

• Sebarkan Informasi masuk tanpa kata sandi seperti Windows Hello for Business, Autentikasi Telepon, dan kunci keamanan FIDO2 untuk mengurangi dependensi.
• Sebarkan Aplikasi Microsoft Authenticator sebagai faktor kedua.
• Aktifkan sinkronisasi hash kata sandi untuk akun campuran yang disinkronkan dari Direktori Aktif Windows Server. Opsi ini dapat diaktifkan bersama layanan federasi seperti Layanan Federasi Direktori Aktif (AD FS) dan menyediakan fallback jika layanan federasi gagal.
• Analisis penggunaan metode autentikasi multifaktor untuk meningkatkan pengalaman pengguna.
• Menerapkan strategi kontrol akses yang tangguh

Langkah berikutnya

Sumber daya ketahanan untuk admin dan arsitek

• Membangun ketahanan dengan status perangkat
• Membangun ketahanan dengan menggunakan Evaluasi Akses Berkelanjutan (CAE)
• Membangun ketahanan dalam autentikasi pengguna eksternal
• Membangun ketahanan dalam autentikasi campuran Anda
• Membangun ketahanan dalam akses aplikasi dengan Proksi Aplikasi

Sumber daya ketahanan untuk pengembang

• Membangun ketahanan IAM dalam aplikasi Anda
• Membangun ketahanan dalam sistem CIAM Anda