Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Anda dapat memigrasikan pengaturan kebijakan lama ID Microsoft Entra yang secara terpisah mengontrol autentikasi multifaktor (MFA) dan kata sandi mandiri pengaturan ulang (SSPR) ke manajemen terpadu dengan kebijakan metode autentikasi.
Anda dapat menggunakan panduan migrasi metode autentikasi di pusat admin Microsoft Entra untuk mengotomatiskan migrasi. Panduan ini menyediakan asisten untuk membantu mengaudit pengaturan kebijakan Anda saat ini untuk MFA dan SSPR. Kemudian mengonsolidasikan pengaturan tersebut dalam kebijakan Metode autentikasi, di mana mereka dapat dikelola bersama dengan lebih mudah.
Anda juga dapat memigrasikan pengaturan kebijakan secara manual pada jadwal Anda sendiri. Proses migrasi sepenuhnya dapat dibatalkan. Anda dapat terus menggunakan kebijakan MFA dan SSPR di tingkat penyewa saat mengonfigurasi metode autentikasi dengan lebih tepat untuk pengguna dan grup dalam kebijakan Metode Autentikasi.
Untuk informasi selengkapnya tentang cara kerja kebijakan ini selama migrasi, lihat Mengelola metode autentikasi untuk ID Microsoft Entra.
Catatan
Panduan migrasi hanya memigrasikan pengaturan kebijakan penyewa. Pengaturan pengguna individual tidak dimigrasikan.
Panduan migrasi otomatis
Panduan migrasi otomatis memungkinkan Anda bermigrasi di mana Anda mengelola metode autentikasi hanya dengan beberapa klik. Ini dapat diakses dari pusat admin Microsoft Entra dengan menelusurikebijakan> Autentikasi > Entra.
Halaman pertama wizard menjelaskan apa itu dan cara kerjanya. Ini juga menyediakan tautan ke setiap kebijakan warisan untuk referensi Anda.
Wizard kemudian mengonfigurasi kebijakan metode Autentikasi berdasarkan apa yang saat ini telah diaktifkan organisasi Anda dalam kebijakan MFA dan SSPR warisan. Jika metode diaktifkan dalam salah satu kebijakan warisan, rekomendasinya adalah juga mengaktifkannya dalam kebijakan metode Autentikasi. Dengan konfigurasi tersebut, pengguna dapat terus masuk dan mengatur ulang kata sandi mereka dengan menggunakan metode yang sama dengan yang mereka gunakan sebelumnya.
Selain itu, kami sarankan Anda mengaktifkan metode modern terbaru yang aman seperti kode akses, Kode Akses Sementara, dan Microsoft Authenticator untuk membantu meningkatkan postur keamanan organisasi Anda. Untuk mengedit konfigurasi yang direkomendasikan, pilih ikon pensil di samping setiap metode.
Setelah Anda puas dengan konfigurasi, pilih Migrasi, lalu konfirmasi migrasi. Kebijakan metode Autentikasi diperbarui agar sesuai dengan konfigurasi yang ditentukan dalam wizard. Metode autentikasi dalam kebijakan MFA dan SSPR warisan menjadi abu-abu dan tidak lagi berlaku.
Status migrasi Anda diperbarui ke Migrasi Selesai. Anda dapat mengubah status ini kembali ke Sedang Berlangsung kapan saja untuk mengaktifkan kembali metode dalam kebijakan warisan jika diperlukan.
Migrasi manual
Mulailah dengan melakukan audit pengaturan kebijakan yang ada untuk setiap metode autentikasi yang tersedia untuk pengguna. Jika Anda mengembalikan selama migrasi, Anda mungkin menginginkan catatan pengaturan metode autentikasi dari setiap kebijakan ini:
- Kebijakan MFA
- Kebijakan SSPR (jika digunakan)
- Kebijakan metode autentikasi (jika digunakan)
Jika Anda belum menggunakan SSPR dan belum menggunakan kebijakan Metode autentikasi, Anda hanya perlu mendapatkan pengaturan dari kebijakan MFA.
Meninjau kebijakan MFA lama
Mulailah dengan mendokumen metode mana yang tersedia dalam kebijakan MFA warisan.
- Masuk ke Microsoft Entra Admin Center sebagai minimal seorang Administrator Kebijakan Autentikasi.
- Telusuri pengaturanlayanan>>> Per pengguna untuk melihat pengaturan.
Pengaturan ini berlaku tingkat penyewa, jadi informasi pengguna atau grup tidak dibutuhkan.
Untuk setiap metode, perhatikan apakah metode diaktifkan atau tidak untuk penyewa. Tabel berikut mencantumkan metode yang tersedia dalam kebijakan MFA warisan dan metode yang sesuai dalam kebijakan metode Autentikasi.
| Kebijakan autentikasi multifaktor | Kebijakan metode autentikasi |
|---|---|
| Panggil untuk menelepon | Panggilan suara |
| Pesan teks ke ponsel | SMS |
| Pemberitahuan melalui aplikasi ponsel | Microsoft Authenticator |
| Kode verifikasi dari aplikasi seluler atau token perangkat keras | Token OATH perangkat lunak pihak ketiga Token Perangkat Keras OATH Microsoft Authenticator |
Tinjau kebijakan SSPR lama
Untuk mendapatkan metode autentikasi yang tersedia dalam kebijakan SSPR warisan, bukaMetode autentikasi>>>. Tabel berikut mencantumkan metode yang tersedia dalam kebijakan SSPR warisan dan metode terkait dalam kebijakan metode Autentikasi.
Catat pengguna mana yang berada dalam cakupan untuk SSPR (baik semua pengguna, satu grup tertentu, atau tanpa pengguna) dan metode autentikasi yang dapat mereka gunakan. Pertanyaan keamanan belum tersedia untuk dikelola dalam kebijakan Metode autentikasi, dan akan tetap dapat dikelola dalam pengaturan Metode Autentikasi SSPR warisan. Anda dapat meninjau informasi pertanyaan keamanan saat ini dengan membukaProperti>>>.
| Metode autentikasi SSPR | Kebijakan metode autentikasi |
|---|---|
| Pemberitahuan aplikasi ponsel | Microsoft Authenticator |
| Kode aplikasi ponsel | Microsoft Authenticator Token perangkat lunak OATH |
| Email Kata Sandi Sekali Pakai (OTP) | |
| Ponsel | Panggilan suara SMS |
| Telepon kantor | Tab Konfigurasi > Panggilan Suara |
| Pertanyaan keamanan | Belum tersedia; salin pertanyaan untuk digunakan nanti |
Kebijakan metode autentikasi
Untuk memeriksa pengaturan dalam kebijakan Metode autentikasi, masuk ke pusat admin Microsoft Entra sebagai Administrator Kebijakan Autentikasi minimal dan navigasikan ke Entra ID>metode autentikasi>kebijakan. Penyewa baru memiliki semua metode Nonaktif secara default, yang mempermudah migrasi karena pengaturan kebijakan warisan tidak perlu digabungkan dengan pengaturan yang ada.
- Masuk ke Microsoft Entra Admin Center sebagai minimal seorang Administrator Kebijakan Autentikasi.
- Jelajahi ke Entra ID>metode Autentikasi>
Kebijakan metode Autentikasi memiliki metode lain yang tidak tersedia dalam kebijakan warisan, seperti kunci keamanan FIDO2, Kode Akses Sementara, dan autentikasi berbasis sertifikat Microsoft Entra. Metode ini tidak berada dalam cakupan migrasi dan Anda tidak perlu membuat perubahan apa pun jika Anda sudah mengonfigurasinya.
Jika Anda telah mengaktifkan metode lain dalam kebijakan Metode autentikasi, tulis pengguna dan grup yang dapat atau tidak dapat menggunakan metode tersebut. Catat parameter konfigurasi yang mengatur bagaimana metode dapat digunakan. Misalnya, Anda dapat mengonfigurasi Microsoft Authenticator untuk menyediakan lokasi dalam pemberitahuan push. Buat catatan pengguna dan grup mana yang diaktifkan untuk parameter konfigurasi serupa yang terkait dengan setiap metode.
Memulai migrasi
Setelah Anda mengambil metode autentikasi yang tersedia dari kebijakan yang saat ini Anda gunakan, Anda dapat memulai migrasi. Buka kebijakan Metode autentikasi, pilih Kelola migrasi, dan pilih Migrasi sedang berlangsung.
Anda mengatur opsi ini sebelum membuat perubahan apa pun karena menerapkan kebijakan baru Anda ke skenario masuk dan reset kata sandi.
Langkah selanjutnya adalah memperbarui kebijakan Metode autentikasi agar sesuai dengan audit Anda. Anda harus meninjau setiap metode satu per satu. Jika penyewa Anda hanya menggunakan kebijakan MFA warisan, dan tidak menggunakan SSPR, pembaruannya mudah - Anda dapat mengaktifkan setiap metode untuk semua pengguna dan dengan tepat mencocokkan kebijakan yang ada.
Jika penyewa Anda menggunakan MFA dan SSPR, Anda harus mempertimbangkan setiap metode:
- Jika metode diaktifkan dalam kedua kebijakan warisan, aktifkan untuk semua pengguna dalam kebijakan Metode autentikasi.
- Jika metode dinonaktifkan dalam kedua kebijakan lama, biarkan tetap dinonaktifkan untuk semua pengguna dalam kebijakan Metode autentikasi.
- Jika metode diaktifkan hanya dalam satu kebijakan, Anda perlu memutuskan apakah metode tersebut harus tersedia dalam semua situasi atau tidak.
Jika kebijakan cocok, Anda dapat dengan mudah mencocokkan status Anda saat ini. Jika ada ketidakcocokan, Anda harus memutuskan apakah akan mengaktifkan atau menonaktifkan metode sama sekali. Misalnya, misalkan Pemberitahuan melalui aplikasi seluler diaktifkan untuk memungkinkan pemberitahuan push MFA. Dalam kebijakan SSPR warisan, metode notifikasi aplikasi seluler tidak diaktifkan. Dalam hal ini, kebijakan warisan memungkinkan pemberitahuan push untuk MFA tetapi bukan SSPR.
Dalam kebijakan Metode autentikasi, Anda kemudian harus memilih apakah akan mengaktifkan Microsoft Authenticator untuk SSPR dan MFA atau menonaktifkannya (sebaiknya aktifkan Microsoft Authenticator).
Perhatikan bahwa dalam kebijakan Metode autentikasi, Anda memiliki opsi untuk mengaktifkan metode untuk grup pengguna selain semua pengguna, dan Anda juga dapat mengecualikan grup pengguna agar tidak dapat menggunakan metode tertentu. Ini berarti Anda memiliki banyak fleksibilitas untuk mengontrol apa yang dapat digunakan pengguna metode mana. Misalnya, Anda dapat mengaktifkan Microsoft Authenticator untuk semua pengguna dan membatasi SMS dan Panggilan suara ke 1 grup yang terdiri dari 20 pengguna yang memerlukan metode tersebut.
Saat Anda memperbarui setiap metode dalam kebijakan Metode autentikasi, beberapa metode memiliki parameter yang dapat dikonfigurasi yang memungkinkan Anda mengontrol bagaimana metode tersebut dapat digunakan. Misalnya, jika Anda mengaktifkan panggilan Suara sebagai metode autentikasi, pada tab Konfigurasi , Anda dapat memilih untuk mengizinkan telepon kantor dan ponsel, atau ponsel saja. Ikuti proses untuk mengonfigurasi setiap metode autentikasi dari audit Anda.
Anda tidak diharuskan untuk mencocokkan kebijakan yang ada! Ini adalah kesempatan bagus untuk meninjau metode yang diaktifkan dan memilih kebijakan baru yang memaksimalkan keamanan dan kegunaan untuk penyewa Anda. Perhatikan bahwa menonaktifkan metode untuk pengguna yang sudah menggunakannya mungkin mengharuskan pengguna tersebut mendaftarkan metode autentikasi baru dan mencegah mereka menggunakan metode terdaftar sebelumnya.
Bagian berikutnya mencakup panduan migrasi tertentu untuk setiap metode.
Kode sekali pakai untuk email
Ada dua kontrol untuk Kode sandi sekali pakai untuk email:
Di bawah bagian Aktifkan dan Target: Pengguna penyewa dapat diaktifkan agar dapat menggunakan OTP Email untuk digunakan dalam Pengaturan Ulang Password dengan memasukkan atau mengecualikan grup tertentu (atau diaktifkan untuk semua pengguna anggota).
Di bawah bagian Konfigurasi: Kontrol terpisah Izinkan pengguna eksternal untuk menggunakan OTP email memungkinkan pengguna B2B untuk menggunakan OTP email saat masuk. Metode autentikasi Email OTP tidak dapat dinonaktifkan jika pengaturan ini diaktifkan.
Microsoft Authenticator
Jika Pemberitahuan melalui aplikasi seluler diaktifkan dalam kebijakan MFA warisan, aktifkan Microsoft Authenticator untuk Semua pengguna dalam kebijakan Metode autentikasi. Atur mode autentikasi ke Apa pun untuk mengizinkan pemberitahuan push atau autentikasi tanpa kata sandi.
Jika Kode verifikasi dari aplikasi seluler atau token perangkat keras diaktifkan dalam kebijakan MFA warisan, atur Izinkan penggunaan OTP Microsoft Authenticator ke Ya.
Catatan
Jika pengguna mendaftar ke Microsoft Authenticator hanya untuk kode OTP menggunakan wizard saya ingin menggunakan aplikasi pengautentikasi yang berbeda, perlu mengaktifkan kebijakan token OATH perangkat lunak pihak ketiga.
SMS dan panggilan suara
Kebijakan MFA warisan memiliki kontrol terpisah untuk SMS dan Panggilan telepon. Tetapi ada juga kontrol Ponsel yang memungkinkan ponsel untuk SMS dan panggilan suara. Dan kontrol lain untuk telepon kantor mengaktifkan telepon kantor hanya digunakan untuk panggilan suara.
Kebijakan metode Autentikasi memiliki pengaturan untuk SMS dan panggilan suara, yang sesuai dengan kebijakan MFA lama. Jika penyewa Anda menggunakan SSPR dan telepon seluler diaktifkan, Anda perlu mengaktifkan SMS dan panggilan suara dalam kebijakan metode autentikasi. Jika penyewa Anda menggunakan SSPR dan telepon Office diaktifkan, Anda mungkin ingin mengaktifkan panggilan Suara dalam kebijakan Metode autentikasi, dan memastikan bahwa opsi telepon Office diaktifkan pada tab Konfigurasikan .
Catatan
Opsi Gunakan untuk masuk diaktifkan secara default pada pengaturan SMS . Opsi ini memungkinkan masuk dengan SMS. Jika masuk dengan SMS diaktifkan untuk pengguna, mereka dikecualikan dari sinkronisasi lintas penyewa. Jika Anda menggunakan sinkronisasi lintas tenant atau tidak ingin mengaktifkan login menggunakan SMS, nonaktifkan login SMS untuk pengguna sasaran.
Token OATH
Kontrol token OATH dalam kebijakan MFA dan SSPR warisan adalah kontrol tunggal yang memungkinkan penggunaan tiga jenis token OATH yang berbeda: aplikasi Microsoft Authenticator, aplikasi generator kode OATH TOTP perangkat lunak pihak ketiga, dan token OATH perangkat keras.
Kebijakan metode Autentikasi memiliki kontrol terperinci dengan kontrol terpisah untuk setiap jenis token OATH. Penggunaan OTP dari Microsoft Authenticator dikontrol oleh bagian Izinkan penggunaan kontrol OTP Microsoft Authenticator di bagian Microsoft Authenticator dari kebijakan. Aplikasi pihak ketiga dikendalikan oleh bagian Token OATH perangkat lunak pihak ketiga dari kebijakan. Token OATH perangkat keras dikendalikan oleh Hardware OATH tokens dari kebijakan.
Pertanyaan keamanan
Mengontrol pertanyaan Keamanan akan tetap ada di SSPR. Jika Anda menggunakan pertanyaan keamanan, dan tidak ingin menonaktifkannya sebagai bagian dari migrasi ini, pastikan untuk mengaktifkannya dalam kebijakan SSPR warisan. Anda dapat menyelesaikan migrasi seperti yang dijelaskan di bagian berikutnya dengan pertanyaan keamanan diaktifkan.
Menyelesaikan migrasi
Setelah Anda memperbarui kebijakan metode Autentikasi, buka kebijakan MFA warisan, dan SSPR dan hapus setiap metode autentikasi satu per satu. Uji dan validasi perubahan untuk setiap metode.
Ketika Anda menentukan bahwa MFA dan SSPR berfungsi seperti yang diharapkan dan Anda tidak lagi memerlukan kebijakan MFA dan SSPR warisan, Anda dapat mengubah proses migrasi menjadi Migrasi Selesai. Dalam mode ini, Microsoft Entra hanya mengikuti kebijakan Metode autentikasi. Tidak ada perubahan yang dapat dilakukan pada kebijakan warisan jika Migrasi Selesai ditetapkan, kecuali untuk pertanyaan keamanan dalam kebijakan SSPR. Jika Anda perlu kembali ke kebijakan warisan karena alasan tertentu, Anda dapat memindahkan status migrasi kembali ke Migrasi sedang Berlangsung kapan saja.
