Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
MICROSOFT Entra ID memungkinkan penggunaan berbagai metode autentikasi untuk mendukung berbagai skenario masuk. Untuk gambaran umum opsi yang tersedia, lihat Metode autentikasi di ID Microsoft Entra. Administrator dapat secara khusus mengonfigurasi setiap metode untuk memenuhi tujuan mereka untuk pengalaman dan keamanan pengguna. Topik ini menjelaskan cara mengelola metode autentikasi untuk ID Microsoft Entra, dan bagaimana opsi konfigurasi memengaruhi skenario masuk pengguna dan reset kata sandi.
Kebijakan metode autentikasi
Kebijakan metode Autentikasi adalah cara yang disarankan untuk mengelola metode autentikasi, termasuk metode modern seperti autentikasi tanpa kata sandi. Administrator Kebijakan Autentikasi dapat mengedit kebijakan ini untuk mengaktifkan metode autentikasi untuk semua pengguna atau grup tertentu.
Metode yang diaktifkan dalam kebijakan Metode autentikasi biasanya dapat digunakan di mana saja di ID Microsoft Entra, untuk skenario autentikasi dan pengaturan ulang kata sandi. Pengecualiannya adalah bahwa beberapa metode secara inheren terbatas pada penggunaan dalam autentikasi, seperti FIDO2 dan Windows Hello untuk Bisnis, dan yang lain terbatas pada penggunaan dalam reset kata sandi, seperti pertanyaan keamanan. Untuk kontrol lebih besar atas metode mana yang dapat digunakan dalam skenario autentikasi tertentu, pertimbangkan untuk menggunakan fitur Kekuatan Autentikasi.
Sebagian besar metode juga memiliki parameter konfigurasi untuk mengontrol dengan lebih tepat bagaimana metode tersebut dapat digunakan. Misalnya, jika mengaktifkan Panggilan suara, Anda juga dapat menentukan apakah telepon kantor dapat digunakan selain ponsel.
Atau katakanlah Anda ingin mengaktifkan autentikasi tanpa kata sandi dengan Microsoft Authenticator. Anda dapat mengatur parameter tambahan seperti menampilkan lokasi masuk pengguna atau nama aplikasi yang sedang masuk. Opsi ini memberikan konteks lebih lanjut untuk pengguna saat mereka masuk dan membantu mencegah persetujuan MFA yang tidak disengaja.
Untuk mengelola kebijakan metode autentikasi, masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi dan telusuri ke Entra ID>Metode Autentikasi>Kebijakan.
Hanya pengalaman pendaftaran yang terkonvergensi yang mengetahui kebijakan metode Autentikasi. Pengguna dalam cakupan kebijakan metode Autentikasi tetapi tidak memperoleh pengalaman pendaftaran yang terkonvergensi tidak akan melihat metode yang benar untuk mendaftar.
Kebijakan MFA dan SSPR lama
Dua kebijakan lain, yang terletak di pengaturan autentikasi multifaktor dan pengaturan reset kata sandi, menyediakan cara lama untuk mengelola beberapa metode autentikasi untuk semua pengguna di tenant. Anda tidak dapat mengontrol siapa yang menggunakan metode autentikasi yang diaktifkan, atau bagaimana metode dapat digunakan.
Penting
Pada bulan Maret 2023, kami mengumumkan penghentian pengelolaan metode autentikasi dalam kebijakan autentikasi multifaktor warisan dan pengaturan ulang kata sandi mandiri (SSPR). Mulai 30 September 2025, metode autentikasi tidak dapat dikelola dalam kebijakan MFA dan SSPR warisan ini. Kami menganjurkan pelanggan menggunakan kontrol migrasi manual untuk bermigrasi ke kebijakan metode autentikasi sebelum batas akhir penghentian dukungan.
Untuk mengelola kebijakan MFA lama, Telusuri ke Entra ID>autentikasi multifaktor>Memulai>Mengonfigurasi>Pengaturan autentikasi multifaktor berbasis cloud tambahan.
Untuk mengelola metode autentikasi untuk pengaturan ulang kata sandi mandiri (SSPR), telusuri ke Entra ID>Pengaturan Ulang Kata Sandi>Metode Autentikasi. Opsi Ponsel dalam kebijakan ini memungkinkan panggilan suara atau pesan teks dikirim ke ponsel. Opsi telepon Office hanya mengizinkan panggilan suara.
Bagaimana kebijakan bekerja sama
Pengaturan tidak disinkronkan antara kebijakan, yang memungkinkan administrator mengelola setiap kebijakan secara independen. ID Microsoft Entra menghormati pengaturan dalam semua kebijakan sehingga pengguna yang diaktifkan untuk metode autentikasi dalam kebijakan apa pun dapat mendaftar dan menggunakan metode tersebut. Untuk mencegah pengguna menggunakan metode , metode harus dinonaktifkan di semua kebijakan.
Mari kita telusuri contoh di mana pengguna yang termasuk dalam grup Akuntansi ingin mendaftarkan Microsoft Authenticator. Proses pendaftaran terlebih dahulu memeriksa kebijakan metode Autentikasi. Jika grup Akuntansi diaktifkan untuk Microsoft Authenticator, pengguna dapat mendaftarkannya.
Jika tidak, proses pendaftaran memeriksa kebijakan MFA lama. Dalam kebijakan itu, setiap pengguna dapat mendaftarkan Microsoft Authenticator jika salah satu pengaturan ini diaktifkan untuk MFA:
- Pemberitahuan melalui aplikasi seluler
- Kode verifikasi dari aplikasi seluler atau token perangkat keras
Jika pengguna tidak dapat mendaftarkan Microsoft Authenticator berdasarkan salah satu kebijakan tersebut, proses pendaftaran memeriksa kebijakan SSPR warisan. Dalam kebijakan itu juga, pengguna dapat mendaftarkan Microsoft Authenticator jika pengguna diaktifkan untuk SSPR dan salah satu pengaturan ini diaktifkan:
- Pemberitahuan aplikasi ponsel
- Kode aplikasi seluler
Untuk pengguna yang telah diaktifkan telepon selulernya untuk SSPR, kontrol independen antar kebijakan dapat memengaruhi perilaku proses masuk. Di mana kebijakan lain memiliki opsi terpisah untuk pesan teks dan panggilan suara, Telepon seluler untuk SSPR memungkinkan kedua opsi. Akibatnya, siapa pun yang menggunakan Ponsel untuk SSPR juga dapat menggunakan panggilan suara untuk pengaturan ulang kata sandi, bahkan jika kebijakan lain tidak mengizinkan panggilan suara.
Demikian pula, misalkan Anda mengaktifkan Panggilan Suara untuk grup. Setelah mengaktifkannya, Anda akan menemukan bahwa bahkan pengguna yang bukan anggota grup dapat masuk dengan panggilan suara. Dalam hal ini, kemungkinan pengguna tersebut diaktifkan untuk Ponsel dalam kebijakan SSPR lama atau Panggilan ke telepon dalam kebijakan MFA lama.
Migrasi antar kebijakan
Kebijakan metode Autentikasi menyediakan panduan migrasi untuk membantu menyatukan administrasi semua metode autentikasi. Semua metode yang diinginkan dapat diaktifkan dalam kebijakan Metode autentikasi jika kebijakan menargetkan grup pengguna yang dimaksudkan, atau semua pengguna. Panduan migrasi metode autentikasi mengotomatiskan langkah-langkah untuk mengaudit pengaturan kebijakan Anda saat ini untuk MFA dan SSPR, dan mengonsolidasikannya dalam kebijakan Metode autentikasi. Anda dapat mengakses panduan dari pusat admin Microsoft Entra dengan menelusuri Entra ID>Metode Autentikasi>Kebijakan.
Anda juga dapat memigrasikan pengaturan kebijakan secara manual. Migrasi memiliki tiga pengaturan untuk memungkinkan Anda mengelola proses dengan ritme Anda sendiri, serta menghindari masalah dengan otentikasi pengguna atau pengaturan ulang sandi mandiri selama transisi.
Setelah migrasi selesai, metode dalam kebijakan MFA dan SSPR warisan dapat dinonaktifkan. Anda dapat memusatkan kontrol atas metode autentikasi untuk masuk dan SSPR di satu tempat, dan kebijakan MFA dan SSPR warisan akan dinonaktifkan.
Catatan
Pertanyaan keamanan hanya dapat diaktifkan hari ini dengan menggunakan kebijakan SSPR lama. Jika Anda menggunakan pertanyaan keamanan, dan tidak ingin menonaktifkannya, pastikan untuk mengaktifkannya dalam kebijakan SSPR warisan hingga kontrol migrasi tersedia. Anda dapat memigrasikan sisa metode autentikasi Anda dan masih mengelola pertanyaan keamanan dalam kebijakan SSPR warisan.
Untuk melihat opsi migrasi, buka kebijakan Metode autentikasi dan klik Kelola migrasi.
Tabel berikut menjelaskan masing-masing elemen.
| Opsi | Deskripsi |
|---|---|
| Pra-migrasi | Kebijakan metode Autentikasi hanya digunakan untuk autentikasi. Pengaturan kebijakan warisan dihormati. |
| Migrasi sedang Berlangsung | Kebijakan metode Autentikasi digunakan untuk autentikasi dan SSPR. Pengaturan kebijakan warisan dihormati. |
| Migrasi Selesai | Hanya kebijakan metode Autentikasi yang digunakan untuk autentikasi dan SSPR. Pengaturan kebijakan warisan diabaikan. |
Penyewa diatur ke "Pre-migration" atau "Migration in Progress" secara default, tergantung pada status penyewa mereka saat ini. Jika Anda mulai dalam Pra-migrasi, Anda dapat pindah ke salah satu status kapan saja. Jika Anda mulai dalam Migrasi sedang Berlangsung, Anda dapat berpindah antara Migrasi sedang Berlangsung dan Migrasi Selesai kapan saja, tetapi tidak akan diizinkan untuk pindah ke Pra-migrasi. Jika Anda pindah ke Migrasi Selesai, lalu memilih untuk kembali ke status sebelumnya, kami akan menanyakan alasannya sehingga kami dapat mengevaluasi performa produk.
Catatan
Setelah semua metode autentikasi sepenuhnya dimigrasikan, elemen berikut dari kebijakan SSPR warisan tetap aktif:
- Jumlah metode yang diperlukan untuk mengatur ulang kontrol: admin dapat terus mengubah berapa banyak metode autentikasi yang harus diverifikasi sebelum pengguna dapat melakukan SSPR.
- Kebijakan administrator SSPR: admin dapat terus mendaftar dan menggunakan metode apa pun yang tercantum di bawah kebijakan administrator SSPR lama atau metode yang diizinkan untuk digunakan dalam kebijakan Metode Autentikasi.
Di masa depan, kedua fitur ini akan diintegrasikan dengan kebijakan metode Autentikasi.
Masalah dan batasan yang diketahui
Dalam pembaruan terbaru, kami menghapus kemampuan untuk menargetkan pengguna individual. Pengguna yang ditargetkan sebelumnya akan tetap berada dalam kebijakan, tetapi sebaiknya pindahkan ke grup yang ditargetkan.
Pendaftaran metode autentikasi dapat gagal jika banyak grup disertakan dalam kebijakan Metode autentikasi atau kampanye pendaftaran. Sebaiknya konsolidasikan beberapa grup ke dalam satu grup untuk setiap metode autentikasi. Untuk mempertahankan pendaftaran bagi pengguna selama konsolidasi, tambahkan grup baru dan hapus grup saat ini dalam operasi yang sama.
Catatan
Anda mungkin tidak dapat menyimpan pembaruan ke kebijakan Metode autentikasi jika menargetkan banyak grup dan ukuran kebijakan melebihi 20 KB. Untuk menghindari batasan ini, konsolidasikan grup yang ditargetkan sebanyak mungkin.
Metode yang dapat digunakan dan tidak dapat digunakan untuk pengguna
Administrator dapat melihat metode autentikasi pengguna di pusat admin Microsoft Entra. Metode yang dapat digunakan dicantumkan terlebih dahulu, diikuti oleh metode yang tidak dapat digunakan.
Setiap metode autentikasi dapat menjadi tidak dapat digunakan karena alasan yang berbeda. Misalnya, Kode Akses Sementara mungkin kedaluwarsa, atau kunci keamanan FIDO2 mungkin gagal pengesahan. Portal akan diperbarui untuk menjelaskan mengapa metode tidak dapat digunakan.
Metode autentikasi yang tidak lagi tersedia karena Perlu mendaftarkan ulang autentikasi multifaktor juga muncul di sini.