Bagikan melalui

Merencanakan penyebaran autentikasi tanpa kata sandi yang tahan pengelabuan di ID Microsoft Entra

  • Artikel

Saat Anda menyebarkan dan mengoprasikan autentikasi tanpa kata sandi tahan pengelabuan di lingkungan Anda, kami merekomendasikan pendekatan berbasis persona pengguna. Metode tanpa kata sandi tahan pengelabuan yang berbeda lebih efektif daripada yang lain untuk persona pengguna tertentu. Panduan penyebaran ini membantu Anda melihat jenis metode dan rencana peluncuran mana yang masuk akal bagi persona pengguna di lingkungan Anda. Pendekatan penyebaran tanpa kata sandi tahan phishing biasanya memiliki 6 langkah, yang kira-kira mengalir secara berurutan, tetapi tidak harus 100% selesai sebelum melanjutkan ke langkah lain:

Menentukan persona pengguna Anda

Tentukan persona pengguna yang relevan untuk organisasi Anda. Langkah ini sangat penting bagi proyek Anda karena persona yang berbeda memiliki kebutuhan yang berbeda. Microsoft menyarankan Anda mempertimbangkan dan mengevaluasi setidaknya 4 persona pengguna generik di organisasi Anda.

Persona pengguna Deskripsi
Pekerja informasi
  • Contohnya termasuk staf produktivitas kantor, seperti dalam pemasaran, keuangan, atau sumber daya manusia.
  • Jenis pekerja informasi lainnya mungkin eksekutif dan pekerja sensitivitas tinggi lainnya yang membutuhkan kontrol khusus
  • Biasanya memiliki hubungan 1:1 dengan perangkat seluler dan komputasi mereka
  • Dapat membawa perangkat mereka sendiri (BYOD), terutama untuk seluler
    		•
    Pekerja garis depan
  • Contohnya termasuk pekerja toko ritel, pekerja pabrik, pekerja manufaktur
  • Biasanya hanya berfungsi pada perangkat atau kios bersama
  • Mungkin tidak diizinkan untuk membawa ponsel
    		•
    Pekerja It Pros/DevOps
  • Contohnya termasuk admin TI untuk Active Directory lokal, ID Microsoft Entra, atau akun istimewa lainnya. contoh lain adalah pekerja DevOps atau pekerja DevSecOps yang mengelola dan menyebarkan otomatisasi.
  • Biasanya memiliki beberapa akun pengguna, termasuk akun pengguna "normal", dan satu atau beberapa akun administratif
  • Umumnya menggunakan protokol akses jarak jauh, seperti Protokol Desktop Jarak Jauh (RDP) dan Protokol Shell Aman (SSH), untuk mengelola sistem jarak jauh
  • Mungkin bekerja pada perangkat yang dikunci dengan Bluetooth dinonaktifkan
  • Dapat menggunakan akun sekunder untuk menjalankan otomatisasi dan skrip non-interaktif
    		•
    Pekerja yang sangat teregulasi
  • Contohnya termasuk pekerja pemerintah federal AS tunduk pada persyaratan Perintah Eksekutif 14028 , pekerja pemerintah negara bagian dan lokal, atau pekerja yang tunduk pada peraturan keamanan tertentu
  • Biasanya memiliki hubungan 1:1 dengan perangkat mereka, tetapi memiliki kontrol peraturan tertentu yang harus dipenuhi pada perangkat tersebut dan untuk autentikasi
  • Ponsel mungkin tidak diizinkan di area aman
  • Dapat mengakses lingkungan terisolasi tanpa konektivitas internet
  • Mungkin bekerja pada perangkat yang dikunci dengan Bluetooth dinonaktifkan
    		•

    Microsoft menyarankan agar Anda menyebarkan autentikasi tanpa kata sandi yang tahan pengelabuan secara luas di seluruh organisasi Anda. Secara tradisional, pekerja informasi adalah persona pengguna termampu untuk memulai. Jangan tunda peluncuran kredensial aman untuk pekerja informasi saat Anda menyelesaikan masalah yang memengaruhi Profesional TI. Ambil pendekatan "jangan biarkan sempurna menjadi musuh yang baik" dan sebarkan kredensial yang aman sebanyak mungkin. Karena lebih banyak pengguna masuk menggunakan kredensial tanpa kata sandi tahan phishing, Anda mengurangi permukaan serangan lingkungan Anda.

    Microsoft menyarankan agar Anda menentukan persona Anda, lalu menempatkan setiap persona ke dalam grup ID Microsoft Entra khusus untuk persona pengguna tersebut. Grup ini digunakan dalam langkah-langkah selanjutnya untuk meluncurkan kredensial ke berbagai jenis pengguna, dan ketika Anda mulai memberlakukan penggunaan kredensial tanpa kata sandi yang tahan pengelabuan.

    Merencanakan kesiapan perangkat

    Perangkat merupakan aspek penting dalam keberhasilan penyebaran tanpa kata sandi yang tahan phishing, karena salah satu tujuan dari kredensial ini adalah melindungi kredensial dengan perangkat keras modern. Pertama, kenali dukungan FIDO2 untuk Microsoft Entra ID.

    Pastikan perangkat Anda disiapkan untuk tanpa kata sandi yang tahan terhadap upaya phishing dengan melakukan patch ke versi terbaru yang didukung dari setiap sistem operasi. Microsoft merekomendasikan perangkat Anda menjalankan versi ini minimal:

    • Windows 10 22H2 (untuk Windows Hello untuk Bisnis)
    • Windows 11 22H2 (untuk pengalaman pengguna terbaik saat menggunakan kode akses)
    • macOS 13 Ventura
    • iOS 17
    • Android 14

    Versi ini memberikan dukungan terbaik untuk fitur terintegrasi asli seperti kode akses, Windows Hello untuk Bisnis, dan Kredensial Platform macOS. Sistem operasi yang lebih lama mungkin memerlukan pengautentikasi eksternal, seperti kunci keamanan FIDO2, untuk mendukung autentikasi tanpa kata sandi tahan phishing.

    Mendaftarkan pengguna untuk kredensial tahan pengelabuan

    Pendaftaran kredensial dan pemulaaan adalah aktivitas utama yang dihadapi pengguna akhir dalam proyek penerapan sistem tanpa kata sandi yang tahan terhadap phishing. Bagian ini mencakup peluncuran kredensial portabel dan kredensial lokal.

    Kredensial Deskripsi Keuntungan
    Portabel Dapat digunakan di seluruh perangkat. Anda dapat menggunakan kredensial portabel untuk masuk ke perangkat lain, atau untuk mendaftarkan kredensial di perangkat lain. Jenis kredensial yang paling penting untuk didaftarkan bagi sebagian besar pengguna, karena mereka dapat digunakan di seluruh perangkat, dan menyediakan autentikasi tahan phishing dalam banyak skenario.
    Lokal Anda dapat menggunakan kredensial lokal untuk mengautentikasi pada perangkat tanpa perlu mengandalkan perangkat keras eksternal, seperti menggunakan pengenalan biometrik Windows Hello untuk Bisnis untuk masuk ke aplikasi di browser Microsoft Edge pada PC yang sama Mereka memiliki dua manfaat utama atas kredensial portabel:
  • Mereka memberikan redundansi. Jika pengguna kehilangan perangkat portabel mereka, lupakan di rumah, atau memiliki masalah lain, kredensial lokal memberi mereka metode pencadangan untuk terus bekerja pada perangkat komputasi mereka.
  • Mereka memberikan pengalaman pengguna yang hebat. Dengan kredensial lokal, pengguna tidak perlu menarik ponsel dari saku mereka, memindai kode QR, atau melakukan tugas lain yang memperlambat autentikasi dan menambahkan gesekan. Kredensial tahan pengelabuan yang tersedia secara lokal membantu pengguna masuk dengan lebih mudah di perangkat yang mereka gunakan secara teratur.
    		•
    • Untuk pengguna baru, proses pendaftaran dan inisialisasi mengambil pengguna yang tidak memiliki kredensial perusahaan yang ada, dan memverifikasi identitas mereka. Ini menginisiasi mereka ke dalam kredensial portabel pertama mereka, dan menggunakan kredensial portabel tersebut untuk menginisiasi kredensial lokal lainnya di setiap perangkat komputasi mereka. Setelah pendaftaran, admin dapat memberlakukan autentikasi tahan phishing untuk pengguna di ID Microsoft Entra.
    • Untuk pengguna yang sudah ada, fase ini memungkinkan pengguna untuk mendaftar tanpa kata sandi tahan phishing langsung di perangkat mereka yang sudah ada, atau menggunakan kredensial MFA yang sudah ada untuk memulai kredensial tanpa kata sandi tahan phishing. Tujuan akhir sama dengan pengguna baru - sebagian besar pengguna harus memiliki setidaknya satu kredensial portabel , lalu kredensial lokal pada setiap perangkat komputasi. Jika Anda adalah admin yang menerapkan fitur tanpa kata sandi yang tahan terhadap phishing untuk pengguna yang ada, maka Anda mungkin dapat langsung melanjutkan ke bagian Onboarding Langkah 2: Bootstrapping Kredensial Portabel.

    Sebelum memulai, Microsoft merekomendasikan untuk mengaktifkan kode akses dan kredensial lainnya untuk pengguna perusahaan di penyewa. Jika pengguna termotivasi untuk mendaftarkan diri untuk kredensial yang kuat, akan bermanfaat untuk mengizinkannya. Minimal, Anda harus mengaktifkan kebijakan Passkey (FIDO2) sehingga pengguna dapat mendaftar untuk kode akses dan kunci keamanan jika mereka lebih suka.

    Bagian ini berfokus pada fase 1-3:

    Diagram yang menunjukkan tiga fase pertama dari proses perencanaan.

    Pengguna harus memiliki setidaknya dua metode autentikasi yang terdaftar. Dengan metode lain yang terdaftar, pengguna memiliki metode pencadangan yang tersedia jika sesuatu terjadi pada metode utama mereka, seperti ketika perangkat hilang atau dicuri. Misalnya, ini adalah praktik yang baik bagi pengguna untuk memiliki kode akses yang terdaftar baik di ponsel mereka, dan secara lokal di stasiun kerja mereka di Windows Hello untuk Bisnis.

    Catatan

    Selalu disarankan agar pengguna memiliki setidaknya dua metode autentikasi yang terdaftar. Ini memastikan pengguna memiliki metode pencadangan yang tersedia jika terjadi sesuatu pada metode utama mereka, seperti dalam kasus kehilangan perangkat atau pencurian. Misalnya, ini adalah praktik yang baik bagi pengguna untuk memiliki kode akses yang terdaftar baik di ponsel mereka maupun secara lokal di stasiun kerja mereka di Windows Hello untuk Bisnis.

    Catatan

    Panduan ini disesuaikan untuk dukungan yang ada saat ini untuk kode akses di ID Microsoft Entra, yang mencakup kode akses terikat perangkat di Microsoft Authenticator dan kode akses terikat perangkat pada kunci keamanan fisik. Microsoft Entra ID berencana menambahkan dukungan untuk kode akses yang disinkronkan. Untuk informasi selengkapnya, lihat Pratinjau publik: Memperluas dukungan kode akses di ID Microsoft Entra. Panduan ini akan diperbarui untuk menyertakan panduan kode akses yang disinkronkan setelah tersedia. Misalnya, banyak organisasi mungkin mendapat manfaat dengan mengandalkan sinkronisasi saat memasuki fase 3 pada diagram sebelumnya, alih-alih membuat kredensial baru sepenuhnya dari awal.

    Onboarding langkah 1: Verifikasi identitas

    Bagi pengguna remote yang belum membuktikan identitas mereka, proses orientasi perusahaan adalah tantangan yang signifikan. Tanpa verifikasi identitas yang tepat, organisasi tidak dapat sepenuhnya yakin bahwa mereka melakukan onboarding orang yang mereka inginkan. ID Terverifikasi Microsoft Entra dapat memberikan verifikasi identitas jaminan tinggi. Organisasi dapat bekerja dengan mitra verifikasi identitas (IDV) untuk memverifikasi identitas pengguna jarak jauh baru dalam proses onboarding. Setelah memproses ID yang dikeluarkan pemerintah pengguna, IDV dapat memberikan ID Terverifikasi yang menegaskan identitas pengguna. Pengguna baru menyajikan ID Terverifikasi yang menegaskan identitas ini kepada organisasi perekrutan untuk membangun kepercayaan dan mengonfirmasi bahwa organisasi melakukan onboarding orang yang tepat. Organisasi dapat menambahkan Pengecekan Wajah dengan Microsoft Entra Verified ID, yang menambahkan lapisan pencocokan wajah ke proses verifikasi, memastikan bahwa pengguna tepercaya menunjukkan ID Terverifikasi yang membuktikan identitas pada saat itu.

    Setelah memverifikasi identitas mereka melalui proses pemeriksaan, karyawan baru diberi Kode Akses Sementara (TAP) yang dapat mereka gunakan untuk mem-bootstrap kredensial portabel pertama mereka.

    Lihat panduan berikut untuk mengaktifkan proses onboarding ID Terverifikasi Microsoft Entra dan pengeluaran TAP.

    Lihat tautan berikut untuk detail lisensi untuk ID Terverifikasi Microsoft Entra:

    Beberapa organisasi mungkin memilih metode lain daripada ID Terverifikasi Microsoft Entra untuk onboarding pengguna dan mengeluarkan kredensial pertama mereka. Microsoft merekomendasikan organisasi tersebut masih menggunakan TAP, atau cara lain yang memungkinkan pengguna onboarding tanpa kata sandi. Misalnya, Anda dapat menyediakan kunci keamanan FIDO2 menggunakan Microsoft Graph API.

    Onboarding langkah 2: Memulai kredensial portabel

    Untuk memulai integrasi pengguna yang ada dengan kredensial tahan phishing tanpa kata sandi, pertama-tama tentukan apakah pengguna Anda sudah menggunakan MFA tradisional. Pengguna dengan metode MFA tradisional yang terdaftar dapat ditargetkan dengan kebijakan pendaftaran tanpa kata sandi tahan phishing. Mereka dapat menggunakan MFA tradisional mereka untuk mendaftarkan kredensial tahan phishing portabel pertama mereka, dan kemudian melanjutkan untuk mendaftar kredensial lokal sesuai kebutuhan.

    Untuk pengguna atau pengguna baru tanpa MFA, lakukan proses untuk mengeluarkan Kode Akses Sementara (TAP) kepada pengguna. Anda dapat mengeluarkan TAP dengan cara yang sama seperti Anda memberi pengguna baru kredensial pertama mereka, atau dengan menggunakan integrasi ID Terverifikasi Microsoft Entra. Setelah pengguna memiliki TAP, mereka siap untuk bootstrap kredensial tahan pengelabuan pertama mereka.

    Penting bagi kredensial tanpa kata sandi pertama pengguna untuk menjadi kredensial portabel yang dapat digunakan untuk mengautentikasi pada perangkat komputasi lain. Misalnya, kode akses dapat digunakan untuk mengautentikasi secara lokal di ponsel iOS, tetapi juga dapat digunakan untuk mengautentikasi pada PC Windows menggunakan alur autentikasi lintas perangkat. Kemampuan lintas perangkat ini memungkinkan kode akses portabel tersebut digunakan untuk melakukan bootstrap Windows Hello untuk Bisnis pada PC Windows.

    Penting juga bahwa setiap perangkat yang digunakan pengguna secara teratur memiliki kredensial yang tersedia secara lokal untuk memberi pengguna pengalaman pengguna semulus mungkin. Kredensial yang tersedia secara lokal mengurangi waktu yang diperlukan untuk mengautentikasi karena pengguna tidak perlu menggunakan beberapa perangkat, dan ada lebih sedikit langkah. Menggunakan TAP dari Langkah 1 untuk mendaftarkan kredensial portabel yang dapat melakukan bootstrap kredensial lain ini memungkinkan pengguna untuk menggunakan kredensial tahan phishing secara asli di banyak perangkat yang mungkin mereka miliki.

    Tabel berikut ini mencantumkan rekomendasi untuk persona yang berbeda:

    Persona Pengguna Kredensial portabel yang direkomendasikan Kredensial alternatif yang portabel
    Pekerja informasi Kode akses (aplikasi Authenticator) Kunci keamanan, kartu pintar
    Pekerja garis depan Kunci keamanan Kode akses (aplikasi Authenticator), kartu pintar
    Pekerja it pro/DevOps Kode akses (aplikasi Authenticator) Kunci keamanan, kartu pintar
    Pekerja yang sangat teregulasi Sertifikat (kartu pintar) Kode akses (aplikasi Authenticator), kunci keamanan

    Gunakan panduan berikut untuk mengaktifkan kredensial portabel yang direkomendasikan dan alternatif untuk persona pengguna yang relevan untuk organisasi Anda:

    Metode Panduan
    Kode akses
  • Microsoft menyarankan agar pengguna masuk ke Microsoft Authenticator secara langsung untuk melakukan bootstrap kode akses di aplikasi.
  • Pengguna dapat menggunakan TAP mereka untuk masuk ke Microsoft Authenticator langsung di perangkat iOS atau Android mereka.
  • Kode akses dinonaktifkan secara default di MICROSOFT Entra ID. Anda dapat mengaktifkan kode akses dalam kebijakan Metode autentikasi.
  • Daftarkan kode akses di Authenticator di perangkat Android atau iOS.
    		•
    Kunci keamanan
  • Kunci keamanan dinonaktifkan secara default di MICROSOFT Entra ID. Anda dapat mengaktifkan kunci keamanan FIDO2 dalam kebijakan Metode autentikasi.
  • Pertimbangkan untuk mendaftarkan kunci atas nama pengguna Anda dengan API provisi ID Microsoft Entra. Untuk informasi selengkapnya, lihat Menyediakan kunci keamanan FIDO2 menggunakan Microsoft Graph API.
    		•
    Kartu pintar/autentikasi berbasis sertifikat (CBA)
  • Autentikasi berbasis sertifikat lebih rumit untuk dikonfigurasi daripada kode akses atau metode lainnya. Pertimbangkan untuk hanya menggunakannya jika perlu.
  • Cara mengonfigurasi autentikasi berbasis sertifikat Microsoft Entra.
  • Pastikan untuk mengonfigurasi kebijakan CBA PKI dan Microsoft Entra ID lokal Anda sehingga pengguna benar-benar menyelesaikan autentikasi multifaktor untuk masuk. Konfigurasi umumnya memerlukan Kartu Pintar Pengidentifikasi Objek Kebijakan (OID) dan pengaturan pengikatan afinitas yang diperlukan. Untuk konfigurasi CBA yang lebih canggih, lihat Memahami kebijakan pengikatan autentikasi.
    		•

    Onboarding langkah 3: Mengatur kredensial lokal pada perangkat komputer

    Setelah pengguna mendaftarkan kredensial portabel, mereka siap untuk mem-bootstrap kredensial lain di setiap perangkat komputasi yang secara teratur mereka gunakan dalam hubungan 1:1, yang menguntungkan pengalaman pengguna sehari-hari mereka. Jenis kredensial ini umum untuk pekerja informasi dan profesional TI, tetapi tidak untuk pekerja garis depan yang berbagi perangkat. Pengguna yang hanya berbagi perangkat hanya boleh menggunakan kredensial portabel.

    Organisasi Anda perlu menentukan jenis kredensial mana yang lebih disukai untuk setiap persona pengguna pada tahap ini. Microsoft merekomendasikan:

    Persona pengguna Kredensial lokal yang direkomendasikan - Windows Kredensial lokal yang direkomendasikan - macOS Kredensial lokal yang direkomendasikan - iOS Kredensial lokal yang direkomendasikan - Android Kredensial Lokal yang Direkomendasikan - Linux
    Pekerja informasi Windows Hello untuk Bisnis Kunci Enklave Aman Akses Menyeluruh Platform (SSO) Kode akses (aplikasi Authenticator) Kode akses (aplikasi Authenticator) N/A (gunakan kredensial portabel sebagai gantinya)
    Pekerja garis depan N/A (gunakan kredensial portabel sebagai gantinya) N/A (gunakan kredensial portabel sebagai gantinya) N/A (gunakan kredensial portabel sebagai gantinya) N/A (gunakan kredensial portabel sebagai gantinya) N/A (gunakan kredensial portabel sebagai gantinya)
    Pekerja it pro/DevOps Windows Hello untuk Bisnis Kunci Enklave Aman Platform SSO Kode akses (aplikasi Authenticator) Kode akses (aplikasi Authenticator) N/A (gunakan kredensial portabel sebagai gantinya)
    Pekerja yang Sangat Teregulasi Windows Hello bagi Bisnis atau CBA Kunci Enklave Aman Platform SSO atau CBA Kode akses (aplikasi Authenticator) atau CBA Kode akses (aplikasi Authenticator) atau CBA N/A (gunakan kartu pintar sebagai gantinya)

    Gunakan panduan berikut untuk mengaktifkan kredensial lokal yang direkomendasikan di lingkungan Anda untuk persona pengguna yang relevan untuk organisasi Anda:

    Metode Panduan
    Windows Hello untuk Bisnis
  • Microsoft merekomendasikan penggunaan metode Cloud Kerberos Trust untuk menyebarkan Windows Hello untuk Bisnis. Untuk informasi selengkapnya, lihat panduan penyebaran kepercayaan Cloud Kerberos. Metode Cloud Kerberos Trust berlaku untuk lingkungan apa pun tempat pengguna disinkronkan dari Active Directory lokal ke ID Microsoft Entra. Ini membantu pengguna yang disinkronkan di PC yang bergabung dengan Microsoft Entra maupun bergabung secara hybrid dengan Microsoft Entra.
  • Windows Hello untuk Bisnis hanya boleh digunakan ketika setiap pengguna pada PC masuk dengan akun mereka masing-masing ke PC tersebut. Ini tidak boleh digunakan pada perangkat kios yang menggunakan akun pengguna bersama.
  • Windows Hello untuk Bisnis mendukung hingga 10 pengguna per perangkat. Jika perangkat bersama Anda perlu mendukung lebih banyak pengguna, gunakan kredensial portabel sebagai gantinya, seperti kunci keamanan.
  • Biometrik bersifat opsional, tetapi disarankan. Untuk informasi selengkapnya, lihat Menyiapkan pengguna untuk memprovisikan dan menggunakan Windows Hello untuk Bisnis.
    		•
    Kunci Enklave Aman Platform SSO
  • SSO platform mendukung 3 metode autentikasi pengguna yang berbeda (kunci Enklave Aman, kartu pintar, dan kata sandi). Terapkan metode kunci Secure Enclave untuk mereplikasi Windows Hello for Business Anda di Mac Anda.
  • SSO platform mengharuskan Mac terdaftar dalam Pengelolaan Perangkat Bergerak (MDM). Untuk petunjuk khusus untuk Intune, lihat Mengonfigurasi SSO Platform untuk perangkat macOS di Microsoft Intune.
  • Lihat dokumentasi vendor MDM Anda jika Anda menggunakan layanan MDM lain di Mac Anda.
    		•
    Kode akses
  • Microsoft merekomendasikan opsi pendaftaran perangkat yang sama untuk bootstrap kode akses di Microsoft Authenticator (bukan opsi pendaftaran lintas perangkat).
  • Pengguna menggunakan TAP mereka untuk masuk ke Microsoft Authenticator langsung di perangkat iOS atau Android mereka.
  • Kode akses dinonaktifkan secara default di MICROSOFT Entra ID, mengaktifkannya dalam kebijakan Metode autentikasi. Untuk informasi selengkapnya, lihat Mengaktifkan kode akses di Microsoft Authenticator.
  • Daftarkan kode akses di Authenticator di perangkat Android atau iOS.
    		•

    Pertimbangan khusus persona

    Setiap persona memiliki tantangan dan pertimbangan sendiri yang umumnya muncul selama penyebaran tanpa kata sandi yang tahan phishing. Saat Anda mengidentifikasi persona mana yang perlu Anda akomodasi, Anda harus memperhitungkan pertimbangan ini ke dalam perencanaan proyek penyebaran Anda. Tautan berikut memiliki panduan khusus untuk setiap persona:

    Mendorong penggunaan kredensial tahan pengelabuan

    Langkah ini mencakup cara mempermudah pengguna untuk mengadopsi kredensial tahan phishing. Anda harus menguji strategi penyebaran, merencanakan peluncuran, dan mengomunikasikan rencana kepada pengguna akhir. Kemudian Anda dapat membuat laporan dan memantau kemajuan sebelum menerapkan kredensial tahan pengelabuan di seluruh organisasi Anda.

    Menguji strategi penyebaran

    Microsoft menyarankan agar Anda menguji strategi penyebaran yang dibuat pada langkah sebelumnya dengan serangkaian pengguna pengujian dan pilot. Fase ini harus mencakup langkah-langkah berikut:

    • Buat daftar pengguna uji dan pengadopsi awal. Pengguna ini harus mewakili persona pengguna Anda yang berbeda, dan bukan hanya Admin TI.
    • Buat grup ID Microsoft Entra, dan tambahkan pengguna uji Anda ke grup.
    • Aktifkan kebijakan metode Autentikasi Anda di ID Microsoft Entra, dan lingkup grup pengujian ke metode yang Anda aktifkan.
    • Ukur peluncuran pendaftaran bagi pengguna percontohan Anda dengan menggunakan laporan Aktivitas Metode Autentikasi.
    • Buat kebijakan Akses Bersyarat untuk memaksakan penggunaan kredensial tahan phishing tanpa kata sandi pada setiap jenis sistem operasi, dan targetkan kelompok percobaan Anda.
    • Mengukur keberhasilan penerapan menggunakan Azure Monitor dan Buku Kerja.
    • Kumpulkan umpan balik dari pengguna tentang keberhasilan peluncuran.

    Rencanakan strategi peluncuran

    Microsoft merekomendasikan mendorong penggunaan berdasarkan profil pengguna mana yang paling siap untuk diimplementasikan. Biasanya, ini berarti menyebarkan untuk pengguna dalam urutan ini, tetapi ini dapat berubah tergantung pada organisasi Anda:

    1. Pekerja informasi
    2. Pekerja garis depan
    3. Profesional IT/pekerja DevOps
    4. Pekerja yang sangat teregulasi

    Gunakan bagian berikut untuk membuat komunikasi pengguna akhir untuk setiap grup persona, mendefinisikan cakupan dan meluncurkan fitur pendaftaran passkey, serta pelaporan dan pemantauan pengguna untuk melacak kemajuan peluncurannya.

    Mendorong kesiapan dengan Buku Kerja Tanpa Kata Sandi Phishing-Resistant (Pratinjau)

    Organisasi dapat secara opsional memilih untuk mengekspor log masuk ID Microsoft Entra mereka ke Azure Monitor untuk retensi jangka panjang, perburuan ancaman, dan tujuan lainnya. Microsoft telah merilis buku kerja yang dapat digunakan organisasi dengan log di Azure Monitor untuk membantu berbagai fase penyebaran tanpa kata sandi yang tahan pengelabuan. Buku Kerja Tanpa Kata Sandi Phishing-Resistant dapat diakses di sini: aka.ms/PasswordlessWorkbook. Pilih buku kerja berjudul Phishing-Resistant Penyebaran Tanpa Kata Sandi (Pratinjau):

    Cuplikan layar berbagai buku kerja di MICROSOFT Entra ID.

    Buku kerja memiliki dua bagian utama:

    1. Fase Kesiapan Pendaftaran
    2. Fase Kesiapan Penegakan

    Fase kesiapan pendaftaran

    Gunakan tab Fase Kesiapan Pendaftaran untuk menganalisis log masuk di penyewa Anda, menentukan pengguna mana yang siap untuk pendaftaran dan pengguna mana yang mungkin diblokir dari pendaftaran. Misalnya, dengan tab Fase Kesiapan Pendaftaran, Anda dapat memilih iOS sebagai platform OS lalu Authenticator App Passkey sebagai jenis kredensial yang ingin Anda nilai kesiapannya. Anda kemudian dapat mengklik visualisasi buku kerja untuk memfilter pengguna yang diharapkan memiliki kesulitan pendaftaran dan mengekspor daftar.

    Cuplikan layar Fase Enrollmen dari buku kerja Phishing-Resistant Tanpa Kata Sandi.

    Tab Fase Kesiapan Pendaftaran buku kerja dapat membantu Anda dalam mengevaluasi kesiapan untuk sistem operasi dan kredensial berikut ini:

    • Windows
      • Windows Hello untuk Bisnis
      • Kunci Keamanan FIDO2
      • Kunci Sandi Aplikasi Authenticator
      • Autentikasi Certificate-Based / Kartu Pintar
    • macOS
      • Kunci Enklaf Aman untuk Platform SSO
      • Kunci Keamanan FIDO2
      • Kunci Sandi Aplikasi Authenticator
      • Autentikasi Certificate-Based / Kartu Pintar
    • Ios
      • Kunci Keamanan FIDO2
      • Kunci Sandi Aplikasi Authenticator
      • Autentikasi Certificate-Based / Kartu Pintar
    • Android
      • Kunci Keamanan FIDO2
      • Kunci Sandi Aplikasi Authenticator
      • Autentikasi Certificate-Based / Kartu Pintar

    Gunakan setiap daftar yang diekspor untuk mengidentifikasi dan menyelesaikan masalah pengguna yang mungkin mengalami masalah pendaftaran. Respons terhadap masalah pendaftaran harus mencakup membantu pengguna dalam meningkatkan versi OS perangkat, mengganti perangkat yang menua, dan memilih kredensial alternatif di mana opsi yang disukai tidak layak. Misalnya, organisasi Anda dapat memilih untuk memberikan kunci keamanan FIDO2 fisik kepada pengguna Android 13 yang tidak dapat menggunakan Passkeys di aplikasi Microsoft Authenticator.

    Demikian pula, gunakan laporan kesiapan pendaftaran untuk membantu Anda membangun daftar pengguna yang siap memulai komunikasi dan kampanye pendaftaran, selaras dengan strategi peluncuran Anda secara keseluruhan.

    Fase kesiapan penegakan

    Langkah pertama dari fase kesiapan penegakan adalah membuat kebijakan Akses Bersyarat dalam mode Report-Only. Kebijakan ini akan mengisi log masuk Anda dengan data mengenai apakah akses akan diblokir atau tidak jika Anda menempatkan pengguna/perangkat dalam cakupan untuk penegakan tahan phishing. Buat kebijakan Akses Kondisional baru di penyewa Anda dengan pengaturan berikut:

    Pengaturan Nilai
    Penugasan Pengguna/Grup Semua pengguna, tidak termasuk akun break glass
    Penugasan Aplikasi Semua sumber daya
    Memberikan Kontrol Memerlukan Tingkat Kekuatan Autentikasi - MFA tahan phishing
    Aktifkan kebijakan Hanya Laporan

    Buat kebijakan ini sedini mungkin dalam peluncuran Anda, sebaiknya sebelum bahkan memulai kampanye pendaftaran Anda. Ini akan memastikan bahwa Anda memiliki dataset historis yang baik tentang pengguna dan login mana yang akan diblokir oleh kebijakan jika diterapkan.

    Selanjutnya, gunakan buku kerja untuk menganalisis lokasi pasangan pengguna/perangkat yang siap untuk penerapan. Unduh daftar pengguna yang siap untuk penegakan dan tambahkan mereka ke grup yang dibuat selaras dengan kebijakan penegakan Anda. Mulailah dengan memilih kebijakan Akses Bersyarat yang hanya bisa dibaca di filter kebijakan.

    Cuplikan layar fase Penegakan buku kerja Phishing-Resistant Tanpa Kata Sandi dengan kebijakan Akses Bersyar khusus laporan dipilih.

    Laporan ini akan memberi Anda daftar pengguna yang berhasil melewati persyaratan tanpa kata sandi tahan phishing di setiap platform perangkat. Unduh setiap daftar dan letakkan pengguna yang sesuai dalam grup penegakan yang selaras dengan platform perangkat.

    Cuplikan layar fase Penegakan dari daftar pengguna dari buku kerja Passwordless Phishing-Resistant yang siap untuk diberlakukan.

    Ulangi proses ini dari waktu ke waktu, hingga Anda mencapai titik di mana setiap grup penegakan berisi sebagian besar atau semua pengguna. Akhirnya, Anda harus dapat mengaktifkan kebijakan khusus laporan untuk memberikan penegakan bagi semua pengguna dan platform perangkat di penyewa. Setelah mencapai tahap selesai ini, Anda dapat menghapus kebijakan pembatasan per perangkat untuk setiap OS perangkat, mengurangi jumlah kebijakan Akses Bersyarat yang diperlukan.

    Menyelidiki pengguna yang tidak siap untuk penegakan

    Gunakan tabAnalisis Data Lebih Lanjutuntuk menyelidiki mengapa pengguna tertentu tidak siap untuk penerapan di berbagai platform. Pilih kotakKebijakanTidak Terpenuhi untuk memfilter data ke rincian masuk pengguna yang akan diblokir oleh kebijakan Akses Bersyarat khusus laporan.

    Cuplikan layar dari fase Penegakan pada tab analisis data lanjutan dari buku kerja tanpa kata sandi Phishing-Resistant.

    Gunakan data yang disediakan oleh laporan ini untuk menentukan pengguna mana yang akan diblokir, OS perangkat mana yang mereka gunakan, jenis aplikasi klien apa yang mereka gunakan, dan sumber daya apa yang coba mereka akses. Data ini akan membantu Anda menargetkan pengguna tersebut untuk berbagai tindakan remediasi atau pendaftaran, sehingga mereka dapat dipindahkan secara efektif ke dalam cakupan untuk penegakan.

    Merencanakan komunikasi pengguna akhir

    Microsoft menyediakan templat komunikasi untuk pengguna akhir. Materi peluncuran autentikasi mencakup templat email yang dapat disesuaikan untuk memberi tahu pengguna tentang penyebaran autentikasi tanpa kata sandi yang tahan pengelabuan. Gunakan templat berikut untuk berkomunikasi dengan pengguna Anda sehingga mereka memahami penyebaran tanpa kata sandi yang tahan pengelabuan:

    Komunikasi harus diulang beberapa kali untuk membantu menangkap pengguna sebanyak mungkin. Misalnya, organisasi Anda dapat memilih untuk mengomunikasikan berbagai fase dan garis waktu dengan pola seperti ini:

    1. 60 hari sejak pemberlakuan: pesan nilai metode autentikasi tahan phishing dan dorong pengguna untuk mendaftar secara proaktif
    2. 45 hari menjelang penegakan: ulangi pesan
    3. 30 hari sebelum penegakan: pesan bahwa dalam 30 hari penegakan tahan phising akan dimulai, dorong pengguna untuk mendaftar secara proaktif.
    4. 15 hari dari penegakan: ulangi pesan, beri tahu mereka tentang cara menghubungi staf dukungan
    5. 7 hari sejak pemberlakuan: ulangi pesan, beri tahu mereka tentang cara menghubungi staf dukungan
    6. 1 hari sebelum penegakan: beri tahu mereka bahwa penegakan akan terjadi dalam 24 jam, beri tahu mereka tentang cara menghubungi bantuan teknis

    Microsoft merekomendasikan komunikasi kepada pengguna melalui saluran lain selain hanya email. Opsi lain dapat mencakup pesan Microsoft Teams, poster ruang istirahat, dan program juara di mana karyawan tertentu dilatih untuk mengadvokasi program kepada rekan-rekan mereka.

    Pelaporan dan Pemantauan

    Gunakan Buku Kerja Tanpa Kata Sandi Phishing-Resistant yang telah dibahas sebelumnya untuk membantu pemantauan dan pelaporan pada peluncuran Anda. Selain itu, gunakan laporan yang dibahas di bawah ini, atau mengandalkannya jika Anda tidak dapat menggunakan buku kerja tanpa kata sandi Phishing-Resistant.

    Laporan ID Microsoft Entra (seperti Aktivitas Metode Autentikasi dan Detail Peristiwa Masuk untuk Autentikasi Multifaktor Microsoft Entra) memberikan wawasan teknis dan bisnis yang dapat membantu Anda mengukur dan mendorong adopsi.

    Dari dasbor aktivitas Metode autentikasi, Anda dapat melihat pendaftaran dan penggunaan.

    • Pendaftaran menunjukkan jumlah pengguna yang mampu melakukan autentikasi tanpa kata sandi tahan phishing, dan metode autentikasi lainnya. Anda dapat melihat grafik yang menunjukkan metode autentikasi mana yang didaftarkan pengguna, dan pendaftaran terbaru untuk setiap metode.
    • Penggunaan menunjukkan metode autentikasi mana yang digunakan untuk masuk.

    Pemilik aplikasi bisnis dan teknis harus memiliki dan menerima laporan berdasarkan persyaratan organisasi.

    • Lacak peluncuran kredensial bebas kata sandi yang tahan phishing dengan laporan aktivitas pendaftaran dan Metode Autentikasi.
    • Lacak adopsi pengguna kredensial tahan phishing tanpa kata sandi dengan laporan aktivitas masuk dan log masuk Metode Autentikasi.
    • Gunakan laporan aktivitas rincian masuk untuk melacak metode autentikasi yang digunakan untuk masuk ke berbagai aplikasi. Pilih baris pengguna; pilih Detail Autentikasi untuk melihat metode autentikasi dan aktivitas masuk yang sesuai.

    ID Microsoft Entra menambahkan entri ke log audit ketika kondisi ini terjadi:

    • Administrator mengubah metode autentikasi.
    • Pengguna membuat segala jenis perubahan pada kredensial mereka dalam ID Microsoft Entra.

    MICROSOFT Entra ID menyimpan sebagian besar data audit selama 30 hari. Kami merekomendasikan retensi yang lebih lama untuk audit, analisis tren, dan kebutuhan bisnis lainnya.

    Akses data audit di pusat admin atau API Microsoft Entra dan unduh ke sistem analisis Anda. Jika Anda memerlukan retensi yang lebih lama, ekspor dan konsumsi log dalam alat Security Information and Event Management (SIEM), seperti Microsoft Sentinel, Splunk, atau Sumo Logic.

    Memantau jumlah tiket meja bantuan

    Staf dukungan TI Anda dapat memberikan sinyal yang tak ternilai tentang seberapa baik kemajuan penyebaran Anda, jadi Microsoft merekomendasikan untuk melacak volume tiket staf dukungan Anda saat menjalankan penyebaran tanpa kata sandi yang tahan pengelabuan.

    Saat volume tiket help desk meningkat, Anda harus memperlambat laju penyebaran, komunikasi dengan pengguna, dan tindakan penegakan. Ketika volume tiket berkurang, Anda dapat meningkatkan aktivitas ini kembali. Menggunakan pendekatan ini mengharuskan Anda mempertahankan fleksibilitas dalam rencana peluncuran Anda.

    Misalnya, Anda dapat menjalankan penyebaran dan penegakan dalam gelombang dengan rentang tanggal alih-alih tanggal tertentu.

    1. 1-15 Juni: Pelaksanaan pendaftaran kohor gelombang 1 dan kampanye
    2. Juni 16-30: Penyebaran dan kampanye pendaftaran kelompok Gelombang 2
    3. 1-15 Juli: Pelaksanaan pendaftaran kohor Gelombang 3 dan kampanye
    4. Penegakan kelompok Gelombang 1 diaktifkan pada 16-31 Juli
    5. 1-15 Agustus: Penerapan kohor Gelombang 2 diaktifkan
    6. 16-31 Agustus: Penegakan kelompok Gelombang 3 diaktifkan

    Saat Anda menjalankan fase yang berbeda ini, Anda mungkin perlu melambat tergantung pada volume tiket help desk yang dibuka dan kemudian melanjutkan ketika volume telah berkurang. Untuk menjalankan strategi ini, Microsoft menyarankan agar Anda membuat grup keamanan ID Microsoft Entra untuk setiap gelombang, dan menambahkan setiap grup ke kebijakan Anda satu per satu. Pendekatan ini membantu menghindari kewalahan pada tim dukungan Anda.

    Menerapkan metode tahan pengelabuan untuk masuk

    Bagian ini berfokus pada fase 4.

    Diagram yang menyoroti fase penerapan.

    Fase akhir implementasi tanpa kata sandi yang tahan phishing menerapkan penggunaan kredensial yang tahan terhadap phishing. Mekanisme utama untuk melakukan ini di ID Microsoft Entra adalah kekuatan otentikasi Conditional Access. Microsoft merekomendasikan agar Anda menerapkan penegakan kebijakan untuk setiap persona berdasarkan metodologi pasangan pengguna/perangkat. Misalnya, peluncuran penegakan dapat mengikuti pola ini:

    1. Pekerja informasi di Windows dan iOS
    2. Pekerja informasi di macOS dan Android
    3. Profesional IT di iOS dan Android
    4. FLW di iOS dan Android
    5. FLW di Windows dan macOS
    6. Pro IT di Windows dan macOS

    Microsoft menyarankan agar Anda membuat laporan dari semua pasangan pengguna dan perangkat Anda dengan menggunakan data masuk dari penyewa Anda. Anda bisa menggunakan alat kueri seperti Azure Monitor dan Buku Kerja. Minimal, coba identifikasi semua pasangan pengguna/perangkat yang cocok dengan kategori ini.

    Gunakan Buku Kerja Tanpa Kata Sandi Phishing-Resistant yang dicakup sebelumnya untuk membantu fase penerapan, jika memungkinkan.

    Untuk setiap pengguna, buat daftar sistem operasi mana yang mereka gunakan secara teratur untuk bekerja. Petakan daftar ke kesiapan untuk penegakan masuk tahan phishing untuk pasangan pengguna/perangkat tersebut.

    Jenis OS Siap untuk Penegakan Belum Siap untuk Penegakan
    Windows 10+ 8.1 dan yang lebih lama, Windows Server
    iOS 17+ 16 dan lebih awal
    Android 14+ 13 dan yang lebih lama
    macOS 13+ (Ventura) 12 dan yang lebih awal
    VDI Tergantung 1 Tergantung 1
    Lainnya Tergantung 1 Tergantung 1

    1Untuk setiap pasangan pengguna/perangkat di mana versi perangkat belum siap untuk penegakan, tentukan cara mengatasi kebutuhan untuk menerapkan perlindungan terhadap phishing. Pertimbangkan opsi berikut untuk sistem operasi yang lebih lama, infrastruktur desktop virtual (VDI), dan sistem operasi lainnya seperti Linux:

    • Terapkan ketahanan phishing menggunakan perangkat keras eksternal – kunci keamanan FIDO2
    • Menerapkan ketahanan phishing menggunakan perangkat keras eksternal – kartu pintar
    • Terapkan ketahanan phishing menggunakan kredensial jarak jauh, seperti kode akses dalam alur autentikasi lintas perangkat
    • Terapkan ketahanan phishing menggunakan kredensial jarak jauh di dalam terowongan RDP (terutama untuk VDI)

    Tugas utamanya adalah mengukur melalui data pengguna dan persona mana yang siap untuk penegakan pada platform tertentu. Mulailah tindakan penegakan Anda terhadap pasangan pengguna/perangkat yang siap untuk penegakan guna "menghentikan risiko," dan mengurangi jumlah autentikasi yang rentan phishing di lingkungan Anda.

    Kemudian beralih ke skenario lain di mana pasangan pengguna/perangkat memerlukan upaya kesiapan. Telusuri daftar pasangan pengguna/perangkat sampai Anda memberlakukan autentikasi yang tahan phishing secara menyeluruh.

    Buat sekumpulan grup ID Microsoft Entra untuk meluncurkan penerapan secara bertahap. Gunakan kembali grup dari langkah sebelumnya jika Anda menggunakan pendekatan peluncuran berbasis gelombang.

    Menargetkan setiap grup dengan kebijakan Akses Bersyarat tertentu. Pendekatan ini membantu Anda meluncurkan kontrol penegakan secara bertahap untuk setiap pasangan pengguna/perangkat.

    Kebijakan Nama grup yang ditargetkan dalam kebijakan Kebijakan – Kondisi Platform Perangkat Kebijakan – Memberikan kontrol
    1 Pengguna Windows siap tanpa kata sandi yang tahan terhadap phishing Windows Memerlukan kekuatan autentikasi – MFA tahan phishing
    2 pengguna macOS yang siap untuk tanpa kata sandi yang tahan terhadap phishing macOS Memerlukan kekuatan autentikasi – MFA tahan phishing
    3 Pengguna iOS siap menggunakan sistem tanpa kata sandi yang tahan pengelabuan iOS Memerlukan kekuatan autentikasi – MFA tahan phishing
    4 Pengguna Android siap tanpa kata sandi yang tahan phishing Android Memerlukan kekuatan autentikasi – MFA tahan phishing
    5 Pengguna lainnya yang siap tanpa kata sandi dan tahan pengelabuan Apa pun kecuali Windows, macOS, iOS, atau Android Memerlukan kekuatan autentikasi – MFA tahan phishing

    Tambahkan setiap pengguna ke setiap grup saat Anda menentukan apakah perangkat dan sistem operasi mereka siap, atau mereka tidak memiliki perangkat jenis tersebut. Di akhir peluncuran, setiap pengguna harus berada di salah satu grup.

    Menanggapi risiko untuk pengguna tanpa kata sandi

    Microsoft Entra ID Protection membantu organisasi mendeteksi, menyelidiki, dan memulihkan risiko berbasis identitas. Microsoft Entra ID Protection menyediakan deteksi penting dan berguna bagi pengguna Anda bahkan setelah mereka beralih menggunakan kredensial tanpa kata sandi tahan phishing. Misalnya, beberapa deteksi yang relevan untuk pengguna tahan phishing meliputi:

    • Aktivitas dari alamat IP anonim
    • Admin mengonfirmasi bahwa pengguna disusupi
    • Token Anomali
    • Alamat IP berbahaya
    • Inteligensi ancaman Microsoft Entra
    • Browser yang mencurigakan
    • Penyerang di tengah
    • Kemungkinan upaya untuk mengakses Primary Refresh Token (PRT)
    • Dan lainnya: Deteksi risiko dipetakan ke riskEventType

    Microsoft menyarankan agar pelanggan Microsoft Entra ID Protection mengambil tindakan berikut untuk melindungi pengguna tanpa kata sandi yang tahan pengelabuan mereka:

    1. Tinjau panduan penyebaran Microsoft Entra ID Protection: Rencanakan penyebaran Perlindungan ID
    2. Mengonfigurasi log risiko Anda untuk diekspor ke SIEM
    3. Menyelidiki dan bertindak atas risiko pengguna medium
    4. Mengonfigurasi kebijakan Akses Bersyarat untuk memblokir pengguna dengan risiko tinggi

    Setelah Anda menyebarkan Microsoft Entra ID Protection, pertimbangkan untuk menggunakan perlindungan token Akses Kondisional. Saat pengguna masuk dengan kredensial tanpa kata sandi yang tahan pengelabuan, serangan dan deteksi terus berkembang. Misalnya, ketika kredensial pengguna tidak dapat lagi mudah di-phish, penyerang dapat melanjutkan untuk mencoba menyelundupkan token dari perangkat pengguna. Perlindungan token membantu mengurangi risiko ini dengan mengikat token ke perangkat keras perangkat tempat mereka dikeluarkan.

    Langkah berikutnya

    Pertimbangan untuk peran tertentu dalam penyebaran otentikasi tanpa kata sandi yang tahan terhadap phishing di Microsoft Entra ID