Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Ketika kredensial disajikan ke ID Microsoft Entra dalam permintaan token, mungkin ada beberapa dependensi yang harus tersedia untuk validasi. Faktor autentikasi pertama bergantung pada autentikasi Microsoft Entra dan, dalam beberapa kasus, pada dependensi eksternal (id non-Entra), seperti infrastruktur lokal. Untuk informasi selengkapnya tentang arsitektur autentikasi campuran, lihat Membangun ketahanan dalam infrastruktur campuran Anda.
Strategi kredensial yang paling aman dan tangguh adalah menggunakan autentikasi tanpa kata sandi. kunci keamanan Windows Hello untuk Bisnis dan Passkey (FIDO 2.0) memiliki lebih sedikit dependensi daripada metode MFA lainnya. Untuk pengguna macOS, pelanggan dapat mengaktifkan Info Masuk Platform untuk macOS. Ketika Anda menerapkan metode ini, pengguna dapat melakukan autentikasi Multifaktor (MFA) tanpa kata sandi dan tahan phishing yang kuat.
Tip
Untuk penyelaman mendalam seri video tentang penyebaran metode autentikasi ini, lihat Autentikasi tahan phishing di ID Microsoft Entra
Jika Anda menerapkan faktor kedua, dependensi untuk faktor kedua ditambahkan ke dependensi untuk faktor pertama. Misalnya, jika faktor pertama Anda adalah melalui Autentikasi Pass Through (PTA) dan faktor kedua Anda adalah SMS, dependensi Anda adalah sebagai berikut.
- Layanan autentikasi Microsoft Entra
- Layanan autentikasi multifaktor Microsoft Entra
- Infrastruktur lokal
- Operator telepon
- Perangkat pengguna (tidak digambakan)
Strategi kredensial Anda harus mempertimbangkan dependensi dari setiap jenis autentikasi dan metode provisi yang menghindari satu titik kegagalan.
Karena metode autentikasi memiliki dependensi yang berbeda, ada baiknya untuk memungkinkan pengguna mendaftar untuk opsi faktor kedua sebanyak mungkin. Pastikan untuk menyertakan faktor kedua dengan dependensi yang berbeda, jika memungkinkan. Misalnya, Panggilan suara dan SMS sebagai faktor kedua memiliki dependensi yang sama, sehingga memilikinya karena satu-satunya opsi tidak mengurangi risiko.
Untuk faktor kedua, aplikasi Microsoft Authenticator atau aplikasi pengautentikasi lainnya menggunakan token kode sandi satu kali berbasis waktu (TOTP) atau perangkat keras OAuth memiliki dependensi terkecil dan, oleh karena itu, lebih tangguh.
Detail Tambahan tentang Dependensi Eksternal (Non-Entra)
| Metode Autentikasi | Dependensi Eksternal (Non-Entra) | Informasi Selengkapnya |
|---|---|---|
| Autentikasi Berbasis Sertifikat (CBA) | Dalam kebanyakan kasus (tergantung konfigurasi) CBA akan memerlukan pemeriksaan pencabutan. Ini menambahkan dependensi eksternal pada titik distribusi CRL (CDP) | Memahami proses pencabutan sertifikat |
| Autentikasi Pass Through (PTA) | PTA menggunakan agen lokal untuk memproses autentikasi kata sandi. | Bagaimana cara kerja autentikasi pass-through Microsoft Entra? |
| Federasi | Server federasi harus online dan tersedia untuk memproses upaya autentikasi | Penerapan AD FS lintas geografis ketersediaan tinggi di Azure dengan Azure Traffic Manager |
| Metode Autentikasi Eksternal (EAM) | EAM menyediakan jalur bagi pelanggan untuk menggunakan penyedia MFA eksternal. | Mengelola metode autentikasi eksternal di ID Microsoft Entra (Pratinjau) |
Bagaimana beberapa kredensial membantu ketahanan?
Provisi beberapa jenis informasi masuk memberi opsi kepada pengguna yang mengakomodasi preferensi dan kendala lingkungan mereka. Akibatnya, autentikasi interaktif di mana pengguna diminta untuk autentikasi multifaktor akan lebih tahan terhadap dependensi tertentu yang tidak tersedia pada saat permintaan. Anda dapat mengoptimalkan permintaan autentikasi ulang untuk autentikasi multifaktor.
Selain ketahanan pengguna individu yang dijelaskan di atas, perusahaan harus merencanakan kontingensi untuk gangguan skala besar seperti kesalahan operasional yang menimbulkan kesalahan konfigurasi, bencana alam, atau pemadaman sumber daya di seluruh perusahaan ke layanan federasi lokal (terutama ketika digunakan untuk autentikasi multifaktor).
Bagaimana cara menerapkan informasi masuk yang tangguh?
- Menyebarkan kredensial Tanpa Kata Sandi. Lebih suka metode tahan phishing seperti Windows Hello untuk Bisnis, Passkeys (baik Kunci Masuk Authenticator Passkey dan kunci keamanan FIDO2) dan autentikasi berbasis sertifikat (CBA) untuk meningkatkan keamanan sekaligus mengurangi dependensi.
- Sebarkan Aplikasi Microsoft Authenticator sebagai faktor kedua.
- Migrasi dari federasi ke autentikasi cloud untuk menghapus keandalan pada penyedia identitas federasi.
- Aktifkan sinkronisasi hash kata sandi untuk akun campuran yang disinkronkan dari Direktori Aktif Windows Server. Opsi ini dapat diaktifkan bersama layanan federasi seperti Layanan Federasi Direktori Aktif (AD FS) dan menyediakan fallback jika layanan federasi gagal.
- Analisis penggunaan metode autentikasi multifaktor untuk meningkatkan pengalaman pengguna.
- Menerapkan strategi kontrol akses yang tangguh
Langkah berikutnya
Sumber daya ketahanan untuk admin dan arsitek
- Membangun ketahanan dengan status perangkat
- Membangun ketahanan dengan menggunakan Evaluasi Akses Berkelanjutan (CAE)
- Membangun ketahanan dalam autentikasi pengguna eksternal
- Membangun ketahanan dalam autentikasi campuran Anda
- Membangun ketahanan dalam akses aplikasi dengan Proksi Aplikasi