Pilih metode autentikasi yang tepat untuk solusi identitas hibrid Microsoft Entra Anda
Memilih metode autentikasi yang benar adalah kekhawatiran pertama bagi organisasi yang ingin memindahkan aplikasi mereka ke cloud. Jangan menganggap enteng keputusan ini, karena alasan berikut:
Ini adalah keputusan pertama untuk organisasi yang ingin pindah ke cloud.
Metode autentikasi adalah komponen penting dari keberadaan organisasi di cloud. Ini mengontrol akses ke semua data dan sumber daya cloud.
Ini adalah dasar dari semua fitur keamanan dan pengalaman pengguna tingkat lanjut lainnya di ID Microsoft Entra.
Identitas adalah sarana kontrol baru keamanan TI, jadi autentikasi adalah penjaga akses organisasi ke dunia cloud baru. Organisasi membutuhkan bidang kontrol identitas yang memperkuat keamanan mereka dan menjaga aplikasi cloud mereka tetap aman dari penyusup.
Catatan
Mengubah metode autentikasi Anda membutuhkan perencanaan, pengujian, dan kemungkinan waktu henti. Peluncuran bertahap adalah cara yang bagus untuk menguji migrasi pengguna dari federasi ke autentikasi cloud.
Di luar cakupan
Organisasi yang tidak memiliki jejak direktori lokal yang sudah ada bukanlah fokus artikel ini. Biasanya, bisnis tersebut hanya membuat identitas di cloud, yang tidak memerlukan solusi identitas hibrid. Identitas khusus cloud hanya ada di cloud dan tidak terkait dengan identitas lokal yang sesuai.
Metode autentikasi
Ketika solusi identitas hibrid Microsoft Entra adalah sarana kontrol baru Anda, autentikasi adalah fondasi akses cloud. Memilih metode autentikasi yang benar adalah keputusan pertama yang penting dalam menyiapkan solusi identitas hibrid Microsoft Entra. Metode autentikasi yang Anda pilih, dikonfigurasi dengan menggunakan Microsoft Entra Koneksi, yang juga menyediakan pengguna di cloud.
Untuk memilih metode autentikasi, Anda perlu mempertimbangkan waktu, infrastruktur yang ada, kompleksitas, dan biaya penerapan pilihan Anda. Faktor-faktor ini berbeda untuk setiap organisasi dan mungkin berubah dari waktu ke waktu.
MICROSOFT Entra ID mendukung metode autentikasi berikut untuk solusi identitas hibrid.
Autentikasi cloud
Saat Anda memilih metode autentikasi ini, MICROSOFT Entra ID menangani proses masuk pengguna. Ditambah dengan akses menyeluruh (SSO), pengguna dapat masuk ke aplikasi cloud tanpa harus memasukkan kembali kredensial mereka. Dengan autentikasi cloud, Anda dapat memilih dari dua opsi:
Sinkronisasi hash kata sandi Microsoft Entra. Cara paling sederhana untuk mengaktifkan autentikasi untuk objek direktori lokal di ID Microsoft Entra. Pengguna dapat menggunakan nama pengguna dan kata sandi yang sama dengan yang mereka gunakan di tempat tanpa harus menyebarkan infrastruktur lain. Beberapa fitur premium ID Microsoft Entra, seperti Perlindungan Identitas dan Microsoft Entra Domain Services, memerlukan sinkronisasi hash kata sandi, apa pun metode autentikasi yang Anda pilih.
Catatan
Kata sandi tidak pernah disimpan dalam teks yang jelas atau dienkripsi dengan algoritma yang dapat dibalik di ID Microsoft Entra. Untuk informasi selengkapnya tentang proses sinkronisasi hash kata sandi yang sebenarnya, lihat Menerapkan sinkronisasi hash kata sandi dengan Microsoft Entra Koneksi Sync.
Autentikasi pass-through Microsoft Entra. Menyediakan validasi kata sandi sederhana untuk layanan autentikasi Microsoft Entra dengan menggunakan agen perangkat lunak yang berjalan di satu atau beberapa server lokal. Server memvalidasi pengguna secara langsung dengan Active Directory lokal Anda, yang memastikan bahwa validasi kata sandi tidak terjadi di cloud.
Perusahaan dengan persyaratan keamanan untuk segera memberlakukan status akun pengguna lokal, kebijakan kata sandi, dan jam masuk mungkin menggunakan metode autentikasi ini. Untuk informasi selengkapnya tentang proses autentikasi pass-through yang sebenarnya, lihat Masuk pengguna dengan autentikasi pass-through Microsoft Entra.
Autentikasi terfederasi
Saat Anda memilih metode autentikasi ini, MICROSOFT Entra ID menyerahkan proses autentikasi ke sistem autentikasi tepercaya terpisah, seperti Active Directory lokal Federation Services (AD FS), untuk memvalidasi kata sandi pengguna.
Sistem autentikasi dapat menyediakan persyaratan autentikasi tingkat lanjut lainnya, misalnya, autentikasi multifaktor pihak ketiga.
Bagian berikut ini membantu Anda memutuskan metode autentikasi mana yang tepat untuk Anda dengan menggunakan pohon keputusan. Ini membantu Anda menentukan apakah akan menyebarkan autentikasi cloud atau federasi untuk solusi identitas hibrid Microsoft Entra Anda.
Hierarki keputusan
Detail tentang pertanyaan keputusan:
- ID Microsoft Entra dapat menangani masuk untuk pengguna tanpa mengandalkan komponen lokal untuk memverifikasi kata sandi.
- ID Microsoft Entra dapat menyerahkan rincian masuk pengguna ke penyedia autentikasi tepercaya seperti Layanan Federasi Direktori Aktif Microsoft.
- Jika Anda perlu menerapkan, kebijakan keamanan Active Directory tingkat pengguna seperti akun kedaluwarsa, akun yang dinonaktifkan, kata sandi kedaluwarsa, akun dikunci, dan jam masuk pada setiap masuk pengguna, ID Microsoft Entra memerlukan beberapa komponen lokal.
- Fitur masuk yang tidak didukung secara asli oleh MICROSOFT Entra ID:
- Masuk menggunakan solusi autentikasi pihak ketiga.
- Solusi autentikasi lokal multi-situs.
- Microsoft Entra ID Protection memerlukan Sinkronisasi Hash Kata Sandi terlepas dari metode masuk mana yang Anda pilih, untuk memberikan laporan kredensial bocor kepada Pengguna. Organisasi dapat gagal ke Sinkronisasi Hash Kata Sandi jika metode masuk utamanya gagal dan dikonfigurasi sebelum peristiwa kegagalan.
Catatan
Microsoft Entra ID Protection memerlukan lisensi Microsoft Entra ID P2 .
Pertimbangan terperinci
Autentikasi cloud: Sinkronisasi hash kata sandi
Usaha. Sinkronisasi hash kata sandi memerlukan upaya paling sedikit mengenai penyebaran, pemeliharaan, dan infrastruktur. Tingkat upaya ini biasanya berlaku untuk organisasi yang hanya memerlukan pengguna mereka untuk masuk ke Microsoft 365, aplikasi SaaS, dan sumber daya berbasis ID Microsoft Entra lainnya. Saat diaktifkan, sinkronisasi hash kata sandi adalah bagian dari proses Microsoft Entra Koneksi Sync dan berjalan setiap dua menit.
Pengalaman pengguna. Untuk meningkatkan pengalaman masuk pengguna, gunakan perangkat yang bergabung dengan Microsoft Entra atau perangkat gabungan hibrid Microsoft Entra. Jika Anda tidak dapat menggabungkan perangkat Windows ke MICROSOFT Entra ID, sebaiknya sebarkan SSO tanpa hambatan dengan sinkronisasi hash kata sandi. SSO yang mulus menghilangkan perintah yang tidak perlu saat pengguna masuk.
Skenario tingkat lanjut. Jika organisasi memilih, anda dapat menggunakan wawasan dari identitas dengan laporan Microsoft Entra ID Protection dengan Microsoft Entra ID P2. Contohnya adalah laporan info masuk yang bocor. Windows Hello untuk Bisnis memiliki persyaratan khusus saat Anda menggunakan sinkronisasi hash kata sandi. Microsoft Entra Domain Services memerlukan sinkronisasi hash kata sandi untuk memprovisikan pengguna dengan kredensial perusahaan mereka di domain terkelola.
Organisasi yang memerlukan autentikasi multifaktor dengan sinkronisasi hash kata sandi harus menggunakan autentikasi multifaktor Microsoft Entra atau kontrol kustom Akses Bersyarat. Organisasi tersebut tidak dapat menggunakan metode autentikasi multifaktor pihak ketiga atau lokal yang bergantung pada federasi.
Catatan
Akses Bersyarat Microsoft Entra memerlukan lisensi Microsoft Entra ID P1 .
Keberlanjutan bisnis. Menggunakan sinkronisasi hash kata sandi dengan autentikasi cloud sangat tersedia sebagai layanan cloud yang menskalakan ke semua pusat data Microsoft. Untuk memastikan sinkronisasi hash kata sandi tidak turun untuk jangka waktu yang lama, sebarkan server Microsoft Entra Koneksi kedua dalam mode penahapan dalam konfigurasi siaga.
Pertimbangan. Saat ini, sinkronisasi hash kata sandi tidak segera memberlakukan perubahan dalam status akun lokal. Dalam situasi ini, pengguna memiliki akses ke aplikasi cloud hingga status akun pengguna disinkronkan ke ID Microsoft Entra. Organisasi mungkin ingin mengatasi pembatasan ini dengan menjalankan siklus sinkronisasi baru setelah administrator melakukan pembaruan massal ke status akun pengguna lokal. Contohnya adalah menonaktifkan akun.
Catatan
Status kedaluwarsa kata sandi dan akun terkunci saat ini tidak disinkronkan ke ID Microsoft Entra dengan Microsoft Entra Koneksi. Saat Anda mengubah kata sandi pengguna dan mengatur pengguna harus mengubah kata sandi pada bendera masuk berikutnya, hash kata sandi tidak akan disinkronkan ke ID Microsoft Entra dengan Microsoft Entra Koneksi hingga pengguna mengubah kata sandi mereka.
Lihat menerapkan sinkronisasi hash kata sandi untuk langkah-langkah penyebaran.
Autentikasi cloud: Autentikasi Pass-through
Usaha. Untuk autentikasi pass-through, Anda memerlukan satu atau beberapa (sebaiknya tiga) agen ringan yang dipasang pada server yang ada. Agen-agen ini harus memiliki akses ke Active Directory Domain Services lokal Anda, termasuk pengendali domain AD lokal Anda. Mereka membutuhkan akses keluar ke Internet dan akses ke pengendali domain Anda. Karena alasan ini, tidak didukung untuk menerapkan agen di jaringan sekitar.
Autentikasi Pass-through memerlukan akses jaringan yang tidak dibatasi ke pengendali domain. Semua lalu lintas jaringan dienkripsi dan terbatas pada permintaan autentikasi. Untuk informasi selengkapnya tentang proses ini, lihat penyelaman mendalam keamanan pada autentikasi pass-through.
Pengalaman pengguna. Untuk meningkatkan pengalaman masuk pengguna, gunakan perangkat yang bergabung dengan Microsoft Entra atau perangkat gabungan hibrid Microsoft Entra. Jika Anda tidak dapat menggabungkan perangkat Windows ke MICROSOFT Entra ID, sebaiknya sebarkan SSO tanpa hambatan dengan sinkronisasi hash kata sandi. SSO yang mulus menghilangkan perintah yang tidak perlu saat pengguna masuk.
Skenario tingkat lanjut. Autentikasi Pass-through memberlakukan kebijakan akun lokal pada saat masuk. Misalnya, akses ditolak ketika status akun pengguna lokal dinonaktifkan, dikunci, atau kata sandi mereka kedaluwarsa atau upaya masuk berada di luar jam ketika pengguna diizinkan untuk masuk.
Organisasi yang memerlukan autentikasi multifaktor dengan autentikasi pass-through harus menggunakan autentikasi multifaktor Microsoft Entra atau kontrol kustom Akses Bersyarat. Organisasi-organisasi tersebut tidak dapat menggunakan metode autentikasi multifaktor pihak ketiga atau lokal yang bergantung pada federasi. Fitur lanjutan mengharuskan sinkronisasi hash kata sandi diterapkan apakah Anda memilih autentikasi pass-through atau tidak. Contohnya adalah laporan kredensial Perlindungan Identitas yang bocor.
Keberlanjutan bisnis. Sebaiknya Anda menyebarkan dua agen autentikasi pass-through tambahan. Ekstra ini selain agen pertama di server Microsoft Entra Koneksi. Penyebaran lainnya ini memastikan ketersediaan permintaan autentikasi yang tinggi. Ketika Anda memiliki tiga agen yang dikerahkan, satu agen masih dapat gagal ketika agen lain turun untuk pemeliharaan.
Ada keuntungan lain untuk menyebarkan sinkronisasi hash kata sandi selain autentikasi pass-through. Ini bertindak sebagai metode autentikasi cadangan ketika metode autentikasi utama tidak lagi tersedia.
Pertimbangan. Anda dapat menggunakan sinkronisasi hash kata sandi sebagai metode autentikasi cadangan untuk autentikasi pass-through, ketika agen tidak dapat memvalidasi info masuk pengguna karena kegagalan lokal yang signifikan. Failover ke sinkronisasi hash kata sandi tidak terjadi secara otomatis dan Anda harus menggunakan Microsoft Entra Koneksi untuk mengalihkan metode masuk secara manual.
Untuk pertimbangan lain tentang Autentikasi Pass-through, termasuk dukungan ID Alternatif, lihat tanya jawab umum.
Lihat menerapkan autentikasi pass-through untuk langkah-langkah penyebaran.
Autentikasi terfederasi
Usaha. Sistem autentikasi terfederasi bergantung pada sistem tepercaya eksternal untuk mengautentikasi pengguna. Beberapa perusahaan ingin menggunakan kembali investasi sistem federasi yang ada dengan solusi identitas hibrid Microsoft Entra mereka. Pemeliharaan dan manajemen sistem federasi berada di luar kendali ID Microsoft Entra. Terserah organisasi yang menggunakan sistem terfederasi untuk memastikannya disebarkan dengan aman dan dapat menangani pemuatan autentikasi.
Pengalaman pengguna. Pengalaman pengguna autentikasi terfederasi tergantung pada implementasi fitur, topologi, dan konfigurasi farm federasi. Beberapa organisasi membutuhkan fleksibilitas ini untuk beradaptasi dan mengonfigurasi akses ke farm federasi agar sesuai dengan persyaratan keamanan mereka. Misalnya, Anda dapat mengonfigurasi pengguna dan perangkat yang terhubung secara internal untuk masuk ke pengguna secara otomatis, tanpa meminta info masuk kepada mereka. Konfigurasi ini berfungsi karena mereka sudah masuk ke perangkat mereka. Jika perlu, beberapa fitur keamanan lanjutan mempersulit proses masuk pengguna.
Skenario tingkat lanjut. Solusi autentikasi gabungan diperlukan ketika pelanggan memiliki persyaratan autentikasi yang tidak didukung oleh ID Microsoft Entra secara asli. Lihat informasi terperinci untuk membantu Anda memilih opsi masuk yang tepat. Pertimbangkan persyaratan umum berikut:
- Penyedia multifaktor pihak ketiga yang memerlukan penyedia identitas federasi.
- Autentikasi dengan menggunakan solusi autentikasi pihak ketiga. Lihat daftar kompatibilitas federasi Microsoft Entra.
- Masuk yang memerlukan sAMAccountName, misalnya DOMAIN\username, bukan Nama Prinsipal Pengguna (UPN), misalnya, user@domain.com.
Keberlanjutan bisnis. Sistem federasi biasanya memerlukan array server yang seimbang beban, yang dikenal sebagai farm. Farm ini dikonfigurasi dalam jaringan internal dan topologi jaringan sekitar untuk memastikan ketersediaan tinggi untuk permintaan autentikasi.
Menyebarkan sinkronisasi hash kata sandi bersama dengan autentikasi terfederasi sebagai metode autentikasi cadangan ketika metode autentikasi utama tidak lagi tersedia. Contohnya adalah ketika server lokal tidak tersedia. Beberapa organisasi perusahaan besar memerlukan solusi federasi untuk mendukung beberapa titik masuk Internet yang dikonfigurasi dengan geo-DNS untuk permintaan autentikasi latensi rendah.
Pertimbangan. Sistem federasi biasanya membutuhkan investasi yang lebih signifikan dalam infrastruktur lokal. Sebagian besar organisasi memilih opsi ini jika mereka sudah memiliki investasi federasi lokal. Dan jika itu adalah persyaratan bisnis yang kuat untuk menggunakan IdP tunggal. Federasi lebih kompleks untuk mengoperasikan dan memecahkan masalah dibandingkan dengan solusi autentikasi cloud.
Untuk domain yang tidak dapat dialihkan yang tidak dapat diverifikasi di ID Microsoft Entra, Anda memerlukan konfigurasi tambahan untuk menerapkan masuk ID pengguna. Persyaratan ini dikenal sebagai dukungan ID masuk alternatif. Lihat Mengonfigurasi ID Masuk Alternatif untuk batasan dan persyaratan. Jika Anda memilih untuk menggunakan penyedia autentikasi multifaktor pihak ketiga dengan federasi, pastikan penyedia mendukung WS-Trust untuk mengizinkan perangkat bergabung dengan ID Microsoft Entra.
Lihat Menyebarkan Server Federasi untuk langkah-langkah penyebaran.
Catatan
Saat menyebarkan solusi identitas hibrid Microsoft Entra, Anda harus menerapkan salah satu topologi microsoft Entra Koneksi yang didukung. Pelajari selengkapnya tentang konfigurasi yang didukung dan tidak didukung di Topologi untuk Microsoft Entra Koneksi.
Diagram arsitektur
Diagram berikut menguraikan komponen arsitektur tingkat tinggi yang diperlukan untuk setiap metode autentikasi yang dapat Anda gunakan dengan solusi identitas hibrid Microsoft Entra Anda. Mereka memberikan ikhtisar untuk membantu Anda membandingkan perbedaan antara solusi.
Kesederhanaan solusi sinkronisasi hash kata sandi:
Persyaratan agen autentikasi pass-through, menggunakan dua agen untuk redundansi:
Komponen yang diperlukan untuk federasi di perimeter dan jaringan internal organisasi Anda:
Membandingkan metode
| Pertimbangan | Sinkronisasi hash kata sandi | Autentikasi Pass-through | Federasi dengan AD FS |
|---|---|---|---|
| Di mana autentikasi terjadi? | Di cloud | Di cloud, setelah pertukaran verifikasi kata sandi yang aman dengan agen autentikasi lokal | Lokal |
| Apa saja persyaratan server lokal di luar sistem provisi: Microsoft Entra Koneksi? | Tidak | Satu server untuk setiap agen autentikasi tambahan | Dua atau beberapa server AD FS Dua atau beberapa server WAP dalam jaringan perimeter/DMZ |
| Apa persyaratan untuk Internet lokal dan jaringan di luar sistem provisi? | Tidak | Akses Internet keluar dari server yang menjalankan agen autentikasi | Akses Internet masuk ke server WAP di perimeter Akses jaringan masuk ke server AD FS dari server WAP di perimeter Penyeimbangan beban jaringan |
| Apakah ada persyaratan sertifikat TLS/SSL? | Tidak | No | Ya |
| Apakah ada solusi pemantauan kesehatan? | Tidak diperlukan | Status agen yang disediakan oleh pusat admin Microsoft Entra | Microsoft Entra Koneksi Health |
| Apakah pengguna mendapatkan akses menyeluruh ke sumber daya cloud dari perangkat yang bergabung dengan domain dalam jaringan perusahaan? | Ya dengan perangkat yang bergabung dengan Microsoft Entra, perangkat gabungan hibrid Microsoft Entra, plug-in SSO Microsoft Enterprise untuk perangkat Apple, atau SSO Tanpa Hambatan | Ya dengan perangkat yang bergabung dengan Microsoft Entra, perangkat gabungan hibrid Microsoft Entra, plug-in SSO Microsoft Enterprise untuk perangkat Apple, atau SSO Tanpa Hambatan | Ya |
| Jenis rincian masuk apa yang didukung? | UserPrincipalName + kata sandi Autentikasi Terintegrasi Windows dengan menggunakan SSO Mulus ID masuk alternatif Perangkat yang bergabung dengan Microsoft Entra Perangkat gabungan hibrid Microsoft Entra Autentikasi sertifikat dan kartu pintar |
UserPrincipalName + kata sandi Autentikasi Terintegrasi Windows dengan menggunakan SSO Mulus ID masuk alternatif Perangkat yang bergabung dengan Microsoft Entra Perangkat gabungan hibrid Microsoft Entra Autentikasi sertifikat dan kartu pintar |
UserPrincipalName + kata sandi sAMAccountName + kata sandi Autentikasi Terintegrasi Windows Autentikasi sertifikat dan kartu pintar ID masuk alternatif |
| Apakah Windows Hello untuk Bisnis didukung? | Model kepercayaan kunci Kepercayaan Cloud Hibrid |
Model kepercayaan kunci Kepercayaan Cloud Hibrid Keduanya memerlukan tingkat fungsi windows Server 2016 Domain |
Model kepercayaan kunci Kepercayaan Cloud Hibrid Model kepercayaan sertifikat |
| Apa saja opsi autentikasi multifaktor? | Autentikasi multifaktor Microsoft Entra Kontrol Kustom dengan Akses Bersyarat* |
Autentikasi multifaktor Microsoft Entra Kontrol Kustom dengan Akses Bersyarat* |
Autentikasi multifaktor Microsoft Entra MFA Pihak Ketiga Kontrol Kustom dengan Akses Bersyarat* |
| Apa status akun pengguna yang didukung? | Akun yang dinonaktifkan (penundaan hingga 30 menit) |
Akun yang dinonaktifkan Akun terkunci Akun kedaluwarsa Kata sandi kedaluwarsa Jam rincian masuk |
Akun yang dinonaktifkan Akun terkunci Akun kedaluwarsa Kata sandi kedaluwarsa Jam rincian masuk |
| Apa saja opsi Akses Bersyarat? | Microsoft Entra Conditional Access, dengan Microsoft Entra ID P1 atau P2 | Microsoft Entra Conditional Access, dengan Microsoft Entra ID P1 atau P2 | Microsoft Entra Conditional Access, dengan Microsoft Entra ID P1 atau P2 Aturan klaim AD FS |
| Apakah pemblokiran protokol warisan didukung? | Ya | Ya | Ya |
| Bisakah Anda menyesuaikan logo, gambar, dan deskripsi pada halaman masuk? | Ya, dengan Microsoft Entra ID P1 atau P2 | Ya, dengan Microsoft Entra ID P1 atau P2 | Ya |
| Skenario tingkat lanjut apa yang didukung? | Penguncian kata sandi cerdas Laporan kredensial bocor, dengan Microsoft Entra ID P2 |
Penguncian kata sandi cerdas | Sistem autentikasi latensi rendah multisitus Penguncian extranet AD FS Integrasi dengan sistem identitas pihak ketiga |
Catatan
Kontrol kustom di Microsoft Entra Conditional Access saat ini tidak mendukung pendaftaran perangkat.
Rekomendasi
Sistem identitas Anda memastikan akses pengguna ke aplikasi yang Anda migrasikan dan sediakan di cloud. Gunakan atau aktifkan sinkronisasi hash kata sandi dengan metode autentikasi mana pun yang Anda pilih, karena alasan berikut:
Ketersediaan tinggi dan pemulihan bencana. Autentikasi Pass-through dan federasi mengandalkan infrastruktur lokal. Untuk autentikasi pass-through, jejak lokal mencakup perangkat keras server dan jaringan yang diperlukan agen Autentikasi Pass-through. Untuk federasi, jejak lokal bahkan lebih besar. Ini membutuhkan server di jaringan sekitar Anda untuk memproksi permintaan autentikasi dan server federasi internal.
Untuk menghindari satu titik kegagalan, sebarkan server yang berlebihan. Kemudian permintaan autentikasi akan selalu dilayani jika ada komponen yang gagal. Baik autentikasi pass-through dan federasi juga mengandalkan pengontrol domain untuk menanggapi permintaan autentikasi, yang juga dapat gagal. Banyak dari komponen ini membutuhkan perawatan agar tetap sehat. Pemadaman lebih mungkin terjadi jika pemeliharaan tidak direncanakan dan diterapkan dengan benar.
Kelangsungan hidup pemadaman lokal. Konsekuensi dari pemadaman lokal karena serangan cyber atau bencana bisa substansial, mulai dari kerusakan merek reputasi hingga organisasi yang lumpuh tidak dapat menangani serangan itu. Baru-baru ini, banyak organisasi menjadi korban serangan malware, termasuk ransomware yang ditargetkan, yang menyebabkan server lokal mereka tidak berfungsi. Saat membantu pelanggan menangani jenis serangan ini, Microsoft melihat dua kategori organisasi:
Organisasi yang sebelumnya juga mengaktifkan sinkronisasi hash kata sandi di atas autentikasi terfederasi atau pass-through mengubah metode autentikasi utama mereka untuk kemudian menggunakan sinkronisasi hash kata sandi. Mereka kembali online dalam hitungan jam. Dengan menggunakan akses ke email melalui Microsoft 365, mereka bekerja untuk mengatasi masalah dan mengakses beban kerja berbasis cloud lainnya.
Organisasi yang sebelumnya tidak mengaktifkan sinkronisasi hash kata sandi harus menggunakan sistem email konsumen eksternal yang tidak tepercaya untuk komunikasi guna mengatasi masalah. Dalam kasus tersebut, mereka membutuhkan waktu berminggu-minggu untuk memulihkan infrastruktur identitas lokal mereka, sebelum pengguna dapat masuk ke aplikasi berbasis cloud lagi.
Perlindungan identitas. Salah satu cara terbaik untuk melindungi pengguna di cloud adalah Microsoft Entra ID Protection dengan Microsoft Entra ID P2. Microsoft terus-menerus memindai Internet untuk mencari pengguna dan daftar kata sandi yang dijual oleh pelaku jahat dan tersedia di web gelap. ID Microsoft Entra dapat menggunakan informasi ini untuk memverifikasi apakah salah satu nama pengguna dan kata sandi di organisasi Anda disusupi. Oleh karena itu, sangat penting untuk mengaktifkan sinkronisasi hash kata sandi apa pun metode autentikasi yang Anda gunakan, apakah itu autentikasi terfederasi atau pass-through. Kredensial yang bocor disajikan sebagai laporan. Gunakan informasi ini untuk memblokir atau memaksa pengguna untuk mengubah kata sandi mereka ketika mereka mencoba masuk dengan kata sandi yang bocor.
Kesimpulan
Artikel ini menguraikan berbagai opsi autentikasi yang dapat dikonfigurasi dan disebarkan organisasi untuk mendukung akses ke aplikasi cloud. Untuk memenuhi berbagai persyaratan bisnis, keamanan, dan teknis, organisasi dapat memilih antara sinkronisasi hash kata sandi, Autentikasi Pass-through, dan federasi.
Pertimbangkan setiap metode autentikasi. Apakah upaya untuk menyebarkan solusi, dan pengalaman pengguna tentang proses masuk memenuhi persyaratan bisnis Anda? Evaluasi apakah organisasi Anda memerlukan skenario lanjutan dan fitur kelangsungan bisnis dari setiap metode autentikasi. Terakhir, evaluasi pertimbangan setiap metode autentikasi. Apakah salah satu dari metode terebut mencegah Anda dari menerapkan pilihan Anda?
Langkah berikutnya
Di dunia saat ini, ancaman hadir 24 jam sehari dan berasal dari mana-mana. Terapkan metode autentikasi yang benar, dan itu akan mengurangi risiko keamanan Anda dan melindungi identitas Anda.
Mulai menggunakan ID Microsoft Entra dan sebarkan solusi autentikasi yang tepat untuk organisasi Anda.
Jika Anda berpikir untuk melakukan migrasi dari federasi ke autentikasi cloud, pelajari selengkapnya tentang mengubah metode masuk. Untuk membantu Anda merencanakan dan menerapkan migrasi, gunakan rencana penyebaran proyek ini, atau pertimbangkan untuk menggunakan fitur Peluncuran Bertahap baru untuk memigrasikan pengguna federasi menggunakan autentikasi cloud dalam pendekatan bertahap.