Mengelola metode autentikasi untuk ID Microsoft Entra
MICROSOFT Entra ID memungkinkan penggunaan berbagai metode autentikasi untuk mendukung berbagai skenario masuk. Administrator dapat secara khusus mengonfigurasi setiap metode untuk memenuhi tujuan mereka untuk pengalaman dan keamanan pengguna. Topik ini menjelaskan cara mengelola metode autentikasi untuk ID Microsoft Entra, dan bagaimana opsi konfigurasi memengaruhi skenario masuk pengguna dan reset kata sandi.
Kebijakan metode autentikasi
Kebijakan metode Autentikasi adalah cara yang disarankan untuk mengelola metode autentikasi, termasuk metode modern seperti autentikasi tanpa kata sandi. Administrator Kebijakan Autentikasi dapat mengedit kebijakan ini untuk mengaktifkan metode autentikasi untuk semua pengguna atau grup tertentu.
Metode yang diaktifkan dalam kebijakan Metode autentikasi biasanya dapat digunakan di mana saja di ID Microsoft Entra, untuk skenario autentikasi dan pengaturan ulang kata sandi. Pengecualiannya adalah bahwa beberapa metode secara inheren terbatas pada penggunaan dalam autentikasi, seperti FIDO2 dan Windows Hello untuk Bisnis, dan yang lain terbatas pada penggunaan dalam reset kata sandi, seperti pertanyaan keamanan. Untuk kontrol lebih besar atas metode mana yang dapat digunakan dalam skenario autentikasi tertentu, pertimbangkan untuk menggunakan fitur Kekuatan Autentikasi.
Sebagian besar metode juga memiliki parameter konfigurasi untuk mengontrol dengan lebih tepat bagaimana metode tersebut dapat digunakan. Misalnya, jika mengaktifkan Panggilan suara, Anda juga dapat menentukan apakah telepon kantor dapat digunakan selain ponsel.
Atau katakanlah Anda ingin mengaktifkan autentikasi tanpa kata sandi dengan Microsoft Authenticator. Anda dapat mengatur parameter tambahan seperti menampilkan lokasi masuk pengguna atau nama aplikasi yang sedang masuk. Opsi ini memberikan konteks lebih lanjut untuk pengguna saat mereka masuk dan membantu mencegah persetujuan MFA yang tidak disengaja.
Untuk mengelola kebijakan metode Autentikasi, masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi dan telusuri Kebijakan metode>Autentikasi Perlindungan.>
Hanya pengalaman pendaftaran yang terkonvergensi yang mengetahui kebijakan metode Autentikasi. Pengguna dalam cakupan kebijakan metode Autentikasi tetapi tidak pengalaman pendaftaran yang terkonvergensi tidak akan melihat metode yang benar untuk mendaftar.
Kebijakan MFA dan SSPR warisan
Dua kebijakan lain, yang terletak di pengaturan autentikasi Multifaktor dan Pengaturan reset kata sandi, menyediakan cara lama untuk mengelola beberapa metode autentikasi untuk semua pengguna di penyewa. Anda tidak dapat mengontrol siapa yang menggunakan metode autentikasi yang diaktifkan, atau bagaimana metode dapat digunakan. Administrator Global diperlukan untuk mengelola kebijakan ini.
Penting
Pada bulan Maret 2023, kami mengumumkan penghentian pengelolaan metode autentikasi dalam kebijakan autentikasi multifaktor warisan dan pengaturan ulang kata sandi mandiri (SSPR). Mulai 30 September 2025, metode autentikasi tidak dapat dikelola dalam kebijakan MFA dan SSPR warisan ini. Sebaiknya pelanggan menggunakan kontrol migrasi manual untuk bermigrasi ke kebijakan Metode autentikasi pada tanggal penghentian.
Untuk mengelola kebijakan MFA warisan, pilih Autentikasi>Multifaktor Keamanan>Pengaturan autentikasi multifaktor berbasis cloud tambahan.
Untuk mengelola metode autentikasi untuk pengaturan ulang kata sandi mandiri (SSPR), klik Metode autentikasi pengaturan ulang>kata sandi. Opsi Ponsel dalam kebijakan ini memungkinkan panggilan suara atau pesan teks dikirim ke ponsel. Opsi telepon Office hanya mengizinkan panggilan suara.
Bagaimana kebijakan bekerja sama
Pengaturan tidak disinkronkan antara kebijakan, yang memungkinkan administrator mengelola setiap kebijakan secara independen. ID Microsoft Entra menghormati pengaturan dalam semua kebijakan sehingga pengguna yang diaktifkan untuk metode autentikasi dalam kebijakan apa pun dapat mendaftar dan menggunakan metode tersebut. Untuk mencegah pengguna menggunakan metode , metode harus dinonaktifkan di semua kebijakan.
Mari kita telusuri contoh di mana pengguna yang termasuk dalam grup Akuntansi ingin mendaftarkan Microsoft Authenticator. Proses pendaftaran terlebih dahulu memeriksa kebijakan metode Autentikasi. Jika grup Akuntansi diaktifkan untuk Microsoft Authenticator, pengguna dapat mendaftarkannya.
Jika tidak, proses pendaftaran memeriksa kebijakan MFA warisan. Dalam kebijakan itu, setiap pengguna dapat mendaftarkan Microsoft Authenticator jika salah satu pengaturan ini diaktifkan untuk MFA:
- Pemberitahuan melalui aplikasi seluler
- Kode verifikasi dari aplikasi seluler atau token perangkat keras
Jika pengguna tidak dapat mendaftarkan Microsoft Authenticator berdasarkan salah satu kebijakan tersebut, proses pendaftaran memeriksa kebijakan SSPR warisan. Dalam kebijakan itu juga, pengguna dapat mendaftarkan Microsoft Authenticator jika pengguna diaktifkan untuk SSPR dan salah satu pengaturan ini diaktifkan:
- Pemberitahuan aplikasi seluler
- Kode aplikasi seluler
Untuk pengguna yang diaktifkan untuk Ponsel untuk SSPR, kontrol independen antar kebijakan dapat memengaruhi perilaku masuk. Di mana kebijakan lain memiliki opsi terpisah untuk pesan teks dan panggilan suara, Telepon seluler untuk SSPR memungkinkan kedua opsi. Akibatnya, siapa pun yang menggunakan Ponsel untuk SSPR juga dapat menggunakan panggilan suara untuk pengaturan ulang kata sandi, bahkan jika kebijakan lain tidak mengizinkan panggilan suara.
Demikian pula, misalkan Anda mengaktifkan panggilan Voice untuk grup. Setelah mengaktifkannya, Anda akan menemukan bahwa bahkan pengguna yang bukan anggota grup dapat masuk dengan panggilan suara. Dalam hal ini, kemungkinan pengguna tersebut diaktifkan untuk Ponsel dalam kebijakan SSPR warisan atau Telepon ke telepon dalam kebijakan MFA warisan.
Migrasi antar kebijakan
Kebijakan Metode autentikasi menyediakan jalur migrasi menuju administrasi terpadu dari semua metode autentikasi. Semua metode yang diinginkan dapat diaktifkan dalam kebijakan Metode autentikasi, dengan asumsi telah ditentukan grup pengguna yang diperlukan untuk setiap kebijakan Metode Autentikasi (kecuali berlaku untuk Semua Pengguna). Setelah aktivitas manajemen grup pengguna ini, metode dalam kebijakan MFA dan SSPR warisan dapat dinonaktifkan. Migrasi memiliki tiga pengaturan untuk memungkinkan Anda bergerak dengan kecepatan Anda sendiri, dan menghindari masalah dengan masuk atau SSPR selama transisi. Setelah migrasi selesai, Anda akan memusatkan kontrol atas metode autentikasi untuk masuk dan SSPR di satu tempat, dan kebijakan MFA dan SSPR warisan akan dinonaktifkan.
Catatan
Pertanyaan keamanan hanya dapat diaktifkan hari ini dengan menggunakan kebijakan SSPR warisan. Di masa mendatang, itu akan tersedia dalam kebijakan metode Autentikasi. Jika Anda menggunakan pertanyaan keamanan, dan tidak ingin menonaktifkannya, pastikan untuk mengaktifkannya dalam kebijakan SSPR warisan hingga kontrol baru tersedia di masa mendatang. Anda dapat memigrasikan sisa metode autentikasi Anda dan masih mengelola pertanyaan keamanan dalam kebijakan SSPR warisan.
Untuk melihat opsi migrasi, buka kebijakan Metode autentikasi dan klik Kelola migrasi.
Tabel berikut menjelaskan masing-masing elemen.
| Opsi | Deskripsi |
|---|---|
| Pra-migrasi | Kebijakan metode Autentikasi hanya digunakan untuk autentikasi. Pengaturan kebijakan warisan dihormati. |
| Migrasi sedang Berlangsung | Kebijakan metode Autentikasi digunakan untuk autentikasi dan SSPR. Pengaturan kebijakan warisan dihormati. |
| Migrasi Selesai | Hanya kebijakan metode Autentikasi yang digunakan untuk autentikasi dan SSPR. Pengaturan kebijakan warisan diabaikan. |
Penyewa diatur ke Pra-migrasi atau Migrasi sedang Berlangsung secara default, tergantung pada status penyewa mereka saat ini. Jika Anda mulai dalam Pra-migrasi, Anda dapat pindah ke salah satu status kapan saja. Jika Anda memulai Migrasi sedang Berlangsung, Anda dapat berpindah antara Migrasi sedang Berlangsung dan Microsoft Complete kapan saja, tetapi tidak akan diizinkan untuk pindah ke Pra-migrasi. Jika Anda pindah ke Migrasi Selesai, lalu memilih untuk kembali ke status sebelumnya, kami akan menanyakan alasannya sehingga kami dapat mengevaluasi performa produk.
Catatan
Setelah semua metode autentikasi sepenuhnya dimigrasikan, elemen berikut dari kebijakan SSPR warisan tetap aktif:
- Jumlah metode yang diperlukan untuk mengatur ulang kontrol: admin dapat terus mengubah berapa banyak metode autentikasi yang harus diverifikasi sebelum pengguna dapat melakukan SSPR.
- Kebijakan administrator SSPR: admin dapat terus mendaftar dan menggunakan metode apa pun yang tercantum di bawah kebijakan atau metode administrator SSPR warisan yang diaktifkan untuk digunakan dalam kebijakan Metode autentikasi.
Di masa depan, kedua fitur ini akan diintegrasikan dengan kebijakan metode Autentikasi.
Masalah dan batasan yang diketahui
- Dalam pembaruan terbaru, kami menghapus kemampuan untuk menargetkan pengguna individual. Pengguna yang ditargetkan sebelumnya akan tetap berada dalam kebijakan tetapi kami sarankan memindahkannya ke grup yang ditargetkan.
- Pendaftaran kunci keamanan FIDO2 mungkin gagal bagi beberapa pengguna jika kebijakan metode Autentikasi FIDO2 ditargetkan untuk grup dan kebijakan metode Autentikasi keseluruhan memiliki lebih dari 20 grup yang dikonfigurasi. Kami berupaya meningkatkan batas ukuran kebijakan dan dalam waktu rata-rata merekomendasikan pembatasan jumlah target grup menjadi tidak lebih dari 20.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk