Autentikasi multifaktor pilihan sistem - Kebijakan metode autentikasi
Autentikasi multifaktor pilihan sistem (MFA) meminta pengguna untuk masuk dengan menggunakan metode paling aman yang mereka daftarkan. Administrator dapat mengaktifkan MFA pilihan sistem untuk meningkatkan keamanan masuk dan mencegah metode masuk yang kurang aman seperti SMS.
Misalnya, jika pengguna mendaftarkan pemberitahuan push SMS dan Microsoft Authenticator sebagai metode untuk MFA, MFA pilihan sistem akan meminta pengguna untuk masuk menggunakan metode pemberitahuan push yang lebih aman. Pengguna masih dapat memilih untuk masuk dengan menggunakan metode lain, tetapi mereka pertama-tama diminta untuk mencoba metode paling aman yang mereka daftarkan.
MFA pilihan sistem adalah pengaturan terkelola Microsoft, yang merupakan kebijakan tristate. Untuk pratinjau, status default dinonaktifkan. Jika Anda ingin mengaktifkannya untuk semua pengguna atau sekelompok pengguna selama pratinjau, Anda perlu secara eksplisit mengubah status terkelola Microsoft menjadi Diaktifkan. Beberapa saat setelah ketersediaan umum, status terkelola Microsoft untuk MFA pilihan sistem akan berubah menjadi Diaktifkan.
Setelah MFA pilihan sistem diaktifkan, sistem autentikasi akan melakukan semua pekerjaan. Pengguna tidak perlu mengatur metode autentikasi apa pun sebagai default mereka karena sistem selalu menentukan dan menyajikan metode paling aman yang sudah mereka daftarkan.
Catatan
MFA pilihan sistem adalah peningkatan keamanan penting bagi pengguna yang mengautentikasi dengan menggunakan transportasi telekomunikasi. Mulai 07 Juli 2023, nilai terkelola Microsoft dari MFA pilihan sistem akan berubah dari Dinonaktifkan menjadi Diaktifkan. Jika Anda tidak ingin mengaktifkan MFA pilihan sistem, ubah status dari Default ke Dinonaktifkan, atau kecualikan pengguna dan grup dari kebijakan.
Mengaktifkan MFA pilihan sistem di pusat admin Microsoft Entra
Secara default, MFA pilihan sistem dikelola microsoft dan dinonaktifkan untuk semua pengguna.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.
Telusuri metode >Autentikasi Perlindungan>Pengaturan.
Untuk autentikasi multifaktor pilihan sistem, pilih apakah akan mengaktifkan atau menonaktifkan fitur secara eksplisit, dan menyertakan atau mengecualikan pengguna apa pun. Grup yang dikecualikan lebih diutamakan daripada menyertakan grup.
Misalnya, cuplikan layar berikut menunjukkan cara membuat MFA pilihan sistem diaktifkan secara eksplisit hanya untuk grup Teknik.
Setelah Anda selesai membuat perubahan apa pun, klik Simpan.
Mengaktifkan MFA pilihan sistem menggunakan Graph API
Untuk mengaktifkan MFA pilihan sistem terlebih dahulu, Anda perlu memilih satu grup target untuk konfigurasi skema, seperti yang ditunjukkan dalam contoh Permintaan .
Properti konfigurasi fitur metode autentikasi
Secara default, MFA pilihan sistem dikelola dan dinonaktifkan Microsoft selama pratinjau. Setelah ketersediaan umum, nilai default status terkelola Microsoft akan berubah untuk mengaktifkan MFA pilihan sistem.
| Properti | Tipe | Deskripsi |
|---|---|---|
| excludeTarget | featureTarget | Satu entitas yang dikecualikan dari fitur ini. Anda hanya dapat mengecualikan satu grup dari MFA pilihan sistem, yang dapat menjadi grup dinamis atau berlapis. |
| includeTarget | featureTarget | Satu entitas yang disertakan dalam fitur ini. Anda hanya dapat menyertakan satu grup untuk MFA pilihan sistem, yang dapat menjadi grup dinamis atau berlapis. |
| Status | advancedConfigState | Kemungkinan nilai adalah: aktif secara eksplisit mengaktifkan fitur untuk grup yang dipilih. nonaktif secara eksplisit menonaktifkan fitur untuk grup yang dipilih. default memungkinkan MICROSOFT Entra ID mengelola apakah fitur diaktifkan atau tidak untuk grup yang dipilih. |
Properti target fitur
MFA pilihan sistem hanya dapat diaktifkan untuk satu grup, yang dapat menjadi grup dinamis atau berlapis.
| Properti | Tipe | Deskripsi |
|---|---|---|
| ID | String | ID entitas yang menjadi target. |
| targetType | featureTargetType | Jenis entitas yang menjadi target, seperti grup, peran, atau unit administratif. Nilai yang mungkin adalah: 'group', 'administrativeUnit', 'role', 'unknownFutureValue'. |
Gunakan titik akhir API berikut untuk mengaktifkan systemCredentialPreferences dan menyertakan atau mengecualikan grup:
https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Catatan
Di Graph Explorer, Anda perlu menyetujui izin Policy.ReadWrite.AuthenticationMethod .
Minta
Contoh berikut mengecualikan grup target sampel dan menyertakan semua pengguna. Untuk informasi selengkapnya, lihat Memperbarui authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
FAQ
Bagaimana MFA pilihan sistem menentukan metode yang paling aman?
Saat pengguna masuk, proses autentikasi memeriksa metode autentikasi mana yang terdaftar untuk pengguna. Pengguna diminta untuk masuk dengan metode yang paling aman sesuai dengan urutan berikut. Urutan metode autentikasi bersifat dinamis. Ini diperbarui saat lanskap keamanan berubah, dan seiring munculnya metode autentikasi yang lebih baik. Karena masalah yang diketahui dengan autentikasi berbasis Sertifikat dan MFA pilihan Sistem, kami telah memindahkan CBA ke bagian bawah daftar. Klik tautan untuk informasi tentang setiap metode.
- Kode Akses Sementara
- Kunci keamanan FIDO2
- Pemberitahuan Microsoft Authenticator
- Kata sandi satu kali berbasis waktu (TOTP)1
- Telepon 2
- Autentikasi berbasis sertifikat
1 Mencakup TOTP perangkat keras atau perangkat lunak dari Microsoft Authenticator, Authenticator Lite, atau aplikasi pihak ketiga.
2 Termasuk SMS dan panggilan suara.
Bagaimana MFA pilihan sistem memengaruhi ekstensi NPS?
MFA pilihan sistem tidak memengaruhi pengguna yang masuk dengan menggunakan ekstensi Server Kebijakan Jaringan (NPS). Pengguna tersebut tidak melihat perubahan apa pun pada pengalaman masuk mereka.
Apa yang terjadi bagi pengguna yang tidak ditentukan dalam kebijakan Metode autentikasi tetapi diaktifkan dalam kebijakan seluruh penyewa MFA warisan?
MFA pilihan sistem juga berlaku untuk pengguna yang diaktifkan untuk MFA dalam kebijakan MFA warisan.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk