Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Kekuatan autentikasi adalah kontrol Microsoft Entra Conditional Access yang menentukan kombinasi metode autentikasi mana yang dapat digunakan pengguna untuk mengakses sumber daya. Pengguna dapat memenuhi persyaratan kekuatan dengan mengautentikasi dengan salah satu kombinasi yang diizinkan.
Misalnya, kekuatan autentikasi dapat mengharuskan pengguna untuk hanya menggunakan metode autentikasi tahan phishing untuk mengakses sumber daya sensitif. Untuk mengakses sumber daya yang tidak sensitif, administrator dapat membuat kekuatan autentikasi lain yang memungkinkan kombinasi autentikasi multifaktor (MFA) yang kurang aman, seperti kata sandi dan pesan teks.
Kekuatan autentikasi didasarkan pada kebijakan untuk metode autentikasi. Artinya, administrator dapat mencakup metode autentikasi untuk pengguna dan grup tertentu yang akan digunakan di seluruh aplikasi federasi ID Microsoft Entra. Kekuatan autentikasi memungkinkan kontrol lebih lanjut atas penggunaan metode ini, berdasarkan skenario tertentu seperti akses sumber daya sensitif, risiko pengguna, dan lokasi.
Prasyarat
- Untuk menggunakan Akses Kondisional, penyewa (tenant) harus memiliki lisensi Microsoft Entra ID P1. Jika Anda tidak memiliki lisensi ini, Anda dapat memulai uji coba gratis.
Skenario untuk kekuatan autentikasi
Kekuatan autentikasi dapat membantu pelanggan mengatasi skenario ini:
- Memerlukan metode autentikasi tertentu untuk mengakses sumber daya sensitif.
- Memerlukan metode autentikasi tertentu saat pengguna mengambil tindakan sensitif dalam aplikasi (dalam kombinasi dengan konteks autentikasi Akses Bersyarat).
- Mengharuskan pengguna untuk menggunakan metode autentikasi tertentu saat mereka mengakses aplikasi sensitif di luar jaringan perusahaan.
- Memerlukan metode autentikasi yang lebih aman untuk pengguna dengan risiko tinggi.
- Memerlukan metode autentikasi tertentu dari pengguna tamu yang mengakses tenant sumber daya (dalam kombinasi dengan pengaturan antar-tenant).
Kekuatan autentikasi bawaan dan kustom
Administrator dapat menentukan kekuatan autentikasi untuk mengakses sumber daya dengan membuat kebijakan Akses Bersyarat dengan memerlukan kontrol kekuatan autentikasi. Mereka dapat memilih dari tiga kekuatan autentikasi bawaan: Kekuatan autentikasi multifaktor, kekuatan MFA Tanpa Kata Sandi, dan kekuatan MFA tahan Phishing. Mereka juga dapat membuat kekuatan autentikasi kustom berdasarkan kombinasi metode autentikasi yang ingin mereka izinkan.
Kekuatan autentikasi bawaan
Kekuatan autentikasi bawaan adalah kombinasi metode autentikasi yang telah ditentukan microsoft. Kekuatan autentikasi bawaan selalu tersedia dan tidak dapat dimodifikasi. Microsoft memperbarui kekuatan autentikasi bawaan saat metode baru tersedia.
Misalnya, kekuatan autentikasi kekuatan MFA tahan Phishing bawaan memungkinkan kombinasi:
- Kredensial Windows Hello untuk Bisnis atau platform
- Kunci keamanan FIDO2
- Autentikasi berbasis sertifikat Microsoft Entra (multifaktor)
Tabel berikut mencantumkan kombinasi metode autentikasi untuk setiap kekuatan autentikasi bawaan. Kombinasi ini mencakup metode yang perlu didaftarkan oleh pengguna dan diaktifkan oleh admin dalam kebijakan untuk metode autentikasi atau kebijakan untuk pengaturan MFA lama:
- Kekuatan MFA: Kumpulan kombinasi yang sama yang dapat digunakan untuk memenuhi pengaturan Memerlukan autentikasi multifaktor .
- Kekuatan MFA tanpa kata sandi: Mencakup metode autentikasi yang memenuhi MFA tetapi tidak memerlukan kata sandi.
- Kekuatan Otentikasi Multi Faktor yang tahan terhadap phishing: Mencakup metode yang memerlukan interaksi antara metode autentikasi dan antarmuka masuk.
| Kombinasi metode autentikasi | Kekuatan MFA | Kekuatan MFA tanpa kata sandi | Kekuatan MFA yang resisten terhadap phishing |
|---|---|---|---|
| Kunci keamanan FIDO2 | ✅ | ✅ | ✅ |
| Kredensial Windows Hello untuk Bisnis atau platform | ✅ | ✅ | ✅ |
| Autentikasi berbasis sertifikat (multifaktor) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (masuk dengan telepon) | ✅ | ✅ | |
| Kode Akses Sementara (penggunaan satu kali dan beberapa penggunaan) | ✅ | ||
| Kata sandi ditambah sesuatu yang dimiliki pengguna1 | ✅ | ||
| Faktor tunggal gabungan ditambah sesuatu yang dimiliki pengguna1 | ✅ | ||
| Multifaktor Terkonsolidasi | ✅ | ||
| Autentikasi berbasis sertifikat (faktor tunggal) | |||
| Proses masuk menggunakan SMS | |||
| Kata sandi | |||
| Faktor tunggal federasi |
1Sesuatu yang dimiliki pengguna mengacu pada salah satu metode berikut: pesan teks, suara, pemberitahuan push, token OATH perangkat lunak, atau token OATH perangkat keras.
Anda dapat menggunakan panggilan API berikut untuk mencantumkan definisi semua kekuatan autentikasi bawaan:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Kekuatan autentikasi kustom
Administrator Akses Bersyarat juga dapat membuat kekuatan autentikasi kustom untuk secara tepat memenuhi persyaratan akses mereka. Untuk informasi selengkapnya, lihat Membuat dan mengelola tingkat autentikasi Conditional Access kustom.
Batasan
Pengaruh kekuatan autentikasi pada autentikasi: Kebijakan Akses Kondisional hanya dievaluasi setelah autentikasi awal. Akibatnya, kekuatan autentikasi tidak membatasi autentikasi awal pengguna.
Misalkan Anda menggunakan kekuatan autentikasi kekuatan MFA tahan Phishing bawaan . Pengguna masih dapat memasukkan kata sandi tetapi harus masuk dengan menggunakan metode tahan pengelabuan, seperti kunci keamanan FIDO2, sebelum mereka dapat melanjutkan.
Kombinasi kontrol pemberian yang tidak didukung: Anda tidak dapat menggunakan kontrol Memerlukan autentikasi multifaktor dan Memerlukan kontrol pemberian kekuatan autentikasi bersama-sama dalam kebijakan Akses Bersyarat yang sama. Alasannya adalah bahwa kekuatan autentikasi autentikasi Multifaktor bawaan setara dengan kontrol memerlukan pemberian autentikasi multifaktor .
Metode autentikasi yang tidak didukung: Metode autentikasiEmail sekali pakai (Tamu) saat ini tidak didukung dalam kombinasi yang tersedia.
Windows Hello for Business: Jika pengguna masuk dengan Windows Hello for Business sebagai metode autentikasi utama, ini dapat digunakan untuk memenuhi persyaratan kekuatan autentikasi yang mencakup Windows Hello for Business. Tetapi jika pengguna masuk dengan metode lain (seperti kata sandi) sebagai metode autentikasi utama, dan kekuatan autentikasi memerlukan Windows Hello untuk Bisnis, pengguna tidak diminta untuk masuk dengan Windows Hello for Business. Pengguna perlu menghidupkan ulang sesi, pilih Opsi masuk, dan pilih metode yang diperlukan kekuatan autentikasi.
Masalah umum
Kekuatan autentikasi dan frekuensi masuk: Ketika sumber daya memerlukan kekuatan autentikasi dan frekuensi masuk, pengguna dapat memenuhi kedua persyaratan pada dua waktu yang berbeda.
Misalnya, sumber daya memerlukan kode akses (FIDO2) untuk kekuatan autentikasi, bersama dengan frekuensi masuk 1 jam. Pengguna masuk dengan kode akses (FIDO2) untuk mengakses sumber daya 24 jam yang lalu.
Ketika pengguna membuka kunci perangkat Windows mereka dengan menggunakan Windows Hello untuk Bisnis, mereka dapat mengakses sumber daya lagi. Tindakan masuk kemarin memenuhi persyaratan tingkat kekuatan autentikasi, dan buka kunci perangkat hari ini memenuhi persyaratan frekuensi masuk.
FAQ
Haruskah saya menggunakan kekuatan autentikasi atau kebijakan untuk metode autentikasi?
Kekuatan autentikasi didasarkan pada kebijakan Metode autentikasi . Kebijakan Metode autentikasi membantu mencakup dan mengonfigurasi metode autentikasi yang dapat digunakan pengguna dan grup di seluruh ID Microsoft Entra. Kekuatan autentikasi memungkinkan pembatasan metode lain untuk skenario tertentu, seperti akses sumber daya sensitif, risiko pengguna, dan lokasi.
Misalnya, asumsikan bahwa administrator organisasi bernama Contoso ingin mengizinkan pengguna menggunakan Microsoft Authenticator dengan pemberitahuan push atau mode autentikasi tanpa kata sandi. Administrator masuk ke pengaturan Authenticator dalam kebijakan Metode autentikasi , mencakup kebijakan untuk pengguna yang relevan, dan mengatur mode Autentikasi ke Apa pun.
Untuk sumber daya Contoso yang paling sensitif, administrator ingin membatasi akses hanya ke metode autentikasi tanpa kata sandi. Administrator membuat kebijakan Akses Bersyarat baru dengan menggunakan autentikasi kekuatan MFA Tanpa Kata Sandi bawaan.
Akibatnya, pengguna di Contoso dapat mengakses sebagian besar sumber daya di penyewa dengan menggunakan kata sandi dan pemberitahuan push dari Authenticator, atau hanya menggunakan Authenticator (masuk melalui telepon). Namun, ketika pengguna di penyewa mengakses aplikasi sensitif, mereka harus menggunakan Authenticator (masuk melalui telepon).