Bagikan melalui

Membuat dan mengelola kekuatan otentikasi Akses Bersyarat kustom

Kekuatan autentikasi adalah kontrol Microsoft Entra Conditional Access yang menentukan kombinasi metode autentikasi untuk akses ke sumber daya. Sebagai administrator, Anda dapat membuat hingga 15 kekuatan autentikasi kustom agar sesuai dengan kebutuhan Anda.

Prasyarat

  • Untuk menggunakan Akses Kondisional, penyewa (tenant) harus memiliki lisensi Microsoft Entra ID P1. Jika Anda tidak memiliki lisensi ini, Anda dapat memulai uji coba gratis.

Membuat kekuatan autentikasi kustom

  1. Masuklah ke Pusat Admin Microsoft Entra sebagai setidaknya Administrator Keamanan.

  2. Jelajahi ke Entra ID>Metode autentikasi>Kekuatan autentikasi.

  3. Pilih Kekuatan autentikasi baru.

  4. Untuk Nama, berikan nama deskriptif untuk kekuatan autentikasi baru Anda.

  5. Untuk Deskripsi, Anda dapat memberikan deskripsi opsional.

  6. Pilih metode yang tersedia yang ingin Anda izinkan, seperti yang ada di bawah MFA tahan Phishing, MFA Tanpa Kata Sandi, dan Kode Akses Sementara.

  7. Pilih Berikutnya dan tinjau konfigurasi kebijakan.

Cuplikan layar yang memperlihatkan pembuatan kekuatan autentikasi kustom.

Memperbarui dan menghapus kekuatan autentikasi kustom

Anda dapat mengedit kekuatan autentikasi kustom. Jika kebijakan Akses Bersyarat mereferensikan kekuatan autentikasi tersebut, Anda tidak dapat menghapusnya, dan Anda harus mengonfirmasi setiap pengeditan.

Untuk memeriksa apakah kebijakan Akses Bersyarat merujuk pada tingkat autentikasi, buka kolom Kebijakan Akses Bersyarat.

Mengonfigurasi opsi lanjutan untuk kode akses (FIDO2)

Anda dapat membatasi penggunaan kode akses (FIDO2) berdasarkan GUID Pengesahan Authenticator (AAGUID) mereka. Anda dapat menggunakan kemampuan ini untuk memerlukan kunci keamanan FIDO2 dari produsen tertentu untuk akses ke sumber daya:

  1. Setelah Anda membuat kekuatan autentikasi kustom, pilih Passkeys (FIDO2)>Opsi tingkat lanjut.

    Cuplikan layar yang memperlihatkan tautan untuk opsi tingkat lanjut untuk kode akses.

  2. Di samping Tambahkan AAGUID, pilih tanda plus (+), salin nilai AAGUID, lalu pilih Simpan.

    Cuplikan layar yang memperlihatkan cara menambahkan GUID Pengesahan Authenticator.

Mengonfigurasi opsi tingkat lanjut untuk autentikasi berbasis sertifikat

Dalam kebijakan pengikatan autentikasi, Anda dapat mengonfigurasi apakah sertifikat terikat dalam sistem ke tingkat perlindungan autentikasi faktor tunggal atau multifaktor, berdasarkan penerbit sertifikat atau pengidentifikasi objek kebijakan (OID). Anda juga dapat memerlukan sertifikat autentikasi faktor tunggal atau multifaktor untuk sumber daya tertentu, berdasarkan kebijakan kekuatan autentikasi Akses Bersyarat.

Dengan menggunakan opsi tingkat lanjut untuk kekuatan autentikasi, Anda dapat memerlukan penerbit sertifikat atau OID kebijakan tertentu untuk lebih membatasi masuk ke aplikasi.

Misalnya, asumsikan bahwa organisasi bernama Contoso mengeluarkan kartu pintar kepada karyawan dengan tiga jenis sertifikat multifaktor yang berbeda. Satu sertifikat adalah untuk izin rahasia, yang lain adalah untuk izin sangat rahasia, dan yang ketiga adalah untuk izin rahasia tertinggi. Masing-masing dibedakan oleh properti sertifikat, seperti penerbit atau OID kebijakan. Contoso ingin memastikan bahwa hanya pengguna yang memiliki sertifikat multifaktor yang sesuai yang dapat mengakses data untuk setiap klasifikasi.

Bagian berikutnya menunjukkan cara mengonfigurasi opsi tingkat lanjut untuk autentikasi berbasis sertifikat (CBA) dengan menggunakan pusat admin Microsoft Entra dan Microsoft Graph.

pusat admin Microsoft Entra

  1. Masuk ke pusat admin Microsoft Entra sebagai administrator.

  2. Jelajahi ke Entra ID>Metode autentikasi>Kekuatan autentikasi.

  3. Pilih Kekuatan autentikasi baru.

  4. Untuk Nama, berikan nama deskriptif untuk kekuatan autentikasi baru Anda.

  5. Untuk Deskripsi, Anda dapat memberikan deskripsi opsional.

  6. Di bawah opsi untuk autentikasi berbasis sertifikat (baik faktor tunggal atau multifaktor), pilih Opsi tingkat lanjut.

    Cuplikan layar yang memperlihatkan tautan untuk opsi tingkat lanjut untuk autentikasi berbasis sertifikat.

  7. Pilih atau masukkan penerbit sertifikat, dan masukkan OID kebijakan yang diizinkan.

    Anda dapat mengonfigurasi penerbit sertifikat dengan memilihnya di daftar drop-down Penerbit Sertifikat dari Otoritas Sertifikat di lingkungan penyewa Anda. Daftar dropdown menunjukkan semua otoritas sertifikat dari penyewa, baik itu faktor tunggal atau multifaktor.

    Untuk skenario di mana sertifikat yang ingin Anda gunakan tidak diunggah ke otoritas sertifikat di penyewa Anda, Anda dapat memasukkan penerbit sertifikat di kotak Penerbit Sertifikat Lain oleh SubjectkeyIdentifier . Salah satu contoh adalah skenario pengguna eksternal, di mana pengguna dapat melakukan autentikasi di tenant asal dan kekuatan autentikasi dapat diterapkan pada tenant sumber daya.

    Cuplikan layar yang memperlihatkan opsi konfigurasi untuk penerbit sertifikat dan pengidentifikasi objek kebijakan.

    Ketentuan ini berlaku:

    • Jika Anda mengonfigurasi kedua atribut (penerbit sertifikat dan OID kebijakan), pengguna harus menggunakan sertifikat yang memiliki setidaknya salah satu penerbit dan salah satu OID kebijakan dari daftar untuk memenuhi kekuatan autentikasi.
    • Jika Anda hanya mengonfigurasi atribut penerbit sertifikat, pengguna harus menggunakan sertifikat yang memiliki setidaknya salah satu penerbit untuk memenuhi kekuatan autentikasi.
    • Jika Anda hanya mengonfigurasi atribut OID kebijakan, pengguna harus menggunakan sertifikat yang memiliki setidaknya salah satu OID kebijakan untuk memenuhi kekuatan autentikasi.

    Nota

    Anda dapat mengonfigurasi maksimal lima penerbit dan lima OID untuk kekuatan autentikasi.

  8. Pilih Berikutnya untuk meninjau konfigurasi, lalu pilih Buat.

Microsoft Graph

Untuk membuat kebijakan tingkat kekuatan autentikasi Akses Bersyarat baru dengan menggunakan sertifikat combinationConfigurations, gunakan kode ini:

POST  /beta/identity/conditionalAccess/authenticationStrength/policies
{
    "displayName": "CBA Restriction",
    "description": "CBA Restriction with both IssuerSki and OIDs",
    "allowedCombinations": [
        " x509CertificateMultiFactor "
    ],
    "combinationConfigurations": [
        {
            "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
            "appliesToCombinations": [
                "x509CertificateMultiFactor"
            ],
            "allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
            "allowedPolicyOIDs": [
                "1.2.3.4.6",
                "1.2.3.4.5.6"
            ]
        }
    ]
}

Untuk menambahkan informasi baru combinationConfiguration ke kebijakan yang sudah ada, gunakan kode ini:

POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations

{
    "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
    "allowedIssuerSkis": [
        "9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
    ],
    "allowedPolicyOIDs": [],
    "appliesToCombinations": [
        "x509CertificateSingleFactor "
    ]
}

Memahami batasan

Opsi tingkat lanjut untuk kode akses (FIDO2)

Opsi lanjutan untuk kata sandi (FIDO2) tidak didukung untuk pengguna eksternal yang penyewa asal dan penyewa sumber dayanya berada di cloud Microsoft yang berbeda.

Opsi tingkat lanjut untuk autentikasi berbasis sertifikat

  • Pengguna hanya dapat menggunakan satu sertifikat di setiap sesi browser. Setelah pengguna masuk dengan sertifikat, sertifikat di-cache di browser selama durasi sesi. Pengguna tidak diminta untuk memilih sertifikat lain jika tidak memenuhi persyaratan kekuatan autentikasi. Pengguna perlu keluar dan masuk kembali untuk memulai ulang sesi, lalu memilih sertifikat yang relevan.

  • Otoritas sertifikat dan sertifikat pengguna harus sesuai dengan standar X.509 v3. Secara khusus, untuk memberlakukan pembatasan CBA pada pengidentifikasi kunci subjek penerbit (SKI), sertifikat memerlukan pengidentifikasi kunci otoritas (AKI) yang valid.

    Cuplikan layar yang memperlihatkan pengidentifikasi kunci otoritas.

    Nota

    Jika sertifikat tidak sesuai, autentikasi pengguna mungkin berhasil tetapi tidak memenuhi pembatasan SKI penerbit untuk kebijakan kekuatan autentikasi.

  • Selama masuk, MICROSOFT Entra ID mempertimbangkan lima OID kebijakan pertama dari sertifikat pengguna dan membandingkannya dengan OID kebijakan yang dikonfigurasi dalam kebijakan kekuatan autentikasi. Jika sertifikat pengguna memiliki lebih dari lima OID kebijakan, ID Microsoft Entra memperhitungkan lima OID kebijakan pertama (dalam urutan leksikal) yang sesuai dengan persyaratan kekuatan autentikasi.

  • Untuk pengguna B2B, contohnya ketika Contoso mengundang pengguna dari organisasi lain (Fabrikam) ke penyewa mereka. Dalam hal ini, Contoso adalah penyewa sumber daya dan Fabrikam adalah penyewa rumah. Akses bergantung pada pengaturan akses lintas penyewa:

    • Ketika pengaturan akses lintas penyewa dalam kondisi Nonaktif, berarti Contoso tidak menerima MFA yang dilakukan oleh penyewa rumah. Autentikasi berbasis sertifikat pada penyewa sumber daya tidak didukung.
    • Saat pengaturan akses lintas penyewa dinyalakan Aktif, penyewa Fabrikam dan Contoso berada di platform cloud Microsoft yang sama, baik di platform cloud komersial Azure maupun platform cloud Azure untuk Pemerintah AS. Selain itu, Contoso mempercayai MFA yang dilakukan pada penyewa rumah. Dalam hal ini:
      • Administrator dapat membatasi akses ke sumber daya tertentu dengan menggunakan OID kebijakan atau pengaturan Penerbit Sertifikat Lain oleh SubjectkeyIdentifier dalam kebijakan kekuatan autentikasi kustom.
      • Admin dapat membatasi akses ke sumber daya tertentu dengan menggunakan pengaturan Penerbit Sertifikat Lain oleh SubjectkeyIdentifier dalam kebijakan kekuatan autentikasi kustom.
    • Saat pengaturan akses lintas penyewa Aktif, Fabrikam dan Contoso tidak berada di cloud Microsoft yang sama. Misalnya, penyewa Fabrikam berada di platform cloud komersial Azure dan penyewa Contoso berada di platform cloud Azure for US Government. Admin tidak dapat membatasi akses ke sumber daya tertentu dengan menggunakan ID penerbit atau OID kebijakan dalam kebijakan kekuatan autentikasi kustom.

Memecahkan masalah opsi tingkat lanjut untuk kekuatan autentikasi

Pengguna tidak dapat menggunakan kode akses mereka (FIDO2) untuk masuk

Administrator Akses Bersyarat dapat membatasi akses ke kunci keamanan tertentu. Saat pengguna mencoba masuk dengan kunci yang tidak dapat mereka gunakan, pesan "Anda tidak dapat sampai di sana dari sini" muncul. Pengguna harus memulai ulang sesi dan masuk dengan kode akses yang berbeda (FIDO2).

Cuplikan layar kesalahan masuk saat pengguna menggunakan kode akses terbatas.

Anda perlu memeriksa penerbit sertifikat atau OID kebijakan

Anda dapat mengonfirmasi bahwa properti sertifikat pribadi cocok dengan konfigurasi dalam opsi tingkat lanjut untuk kekuatan autentikasi:

  1. Di perangkat pengguna, masuk sebagai administrator.

  2. Pilih Jalankan, ketik certmgr.msc, lalu pilih tombol Enter .

  3. PilihSertifikat>, klik kanan sertifikat, lalu buka tab Detail.

Cuplikan layar yang memperlihatkan pilihan untuk memeriksa penerbit sertifikat atau OID kebijakan.

Konten terkait

  • Last updated on