Share via

Mengaktifkan kode akses di Microsoft Authenticator (pratinjau)

  • Artikel

Artikel ini mencantumkan langkah-langkah untuk mengaktifkan dan menerapkan penggunaan kode akses di Authenticator untuk ID Microsoft Entra. Pertama, Anda memperbarui kebijakan Metode autentikasi untuk memungkinkan pengguna akhir mendaftar dan masuk dengan kode akses di Authenticator. Kemudian Anda dapat menggunakan kebijakan kekuatan autentikasi Akses Bersyarat untuk memberlakukan masuk kode akses saat pengguna mengakses sumber daya sensitif.

Persyaratan

  • Autentikasi multifaktor Microsoft Entra (MFA)
  • Android 14 dan yang lebih baru atau iOS 17 dan yang lebih baru
  • Koneksi internet aktif pada perangkat apa pun yang merupakan bagian dari proses pendaftaran/autentikasi kode akses
  • Untuk pendaftaran/autentikasi lintas perangkat, kedua perangkat harus mengaktifkan Bluetooth

Catatan

Pengguna perlu menginstal versi terbaru Authenticator untuk Android atau iOS untuk menggunakan kode akses.

Untuk mempelajari selengkapnya tentang tempat Anda dapat menggunakan kode akses di Authenticator untuk masuk, lihat Dukungan untuk autentikasi FIDO2 dengan ID Microsoft Entra.

Mengaktifkan kode akses di Authenticator di pusat admin

Kebijakan Microsoft Authenticator tidak memberi Anda opsi untuk mengaktifkan kode akses di Authenticator. Sebagai gantinya, untuk mengaktifkan kode akses di Authenticator, Anda harus mengedit kebijakan metode Autentikasi kunci keamanan FIDO2.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.

  2. Telusuri kebijakan metode Autentikasi metode>Autentikasi Perlindungan>.

  3. Di bawah metode kunci keamanan FIDO2, pilih Semua pengguna atau Tambahkan grup untuk memilih grup tertentu. Hanya grup keamanan yang didukung.

  4. Pada tab Konfigurasikan , atur:

    • Izinkan layanan mandiri disiapkan ke Ya

    • Menerapkan pengesahan ke Tidak

    • Menerapkan pembatasan kunci ke Ya

    • Membatasi kunci tertentu untuk Mengizinkan

    • Pilih Microsoft Authenticator (pratinjau) jika kotak centang ditampilkan di pusat admin. Pengaturan ini secara otomatis mengisi AAGUID aplikasi Authenticator untuk Anda dalam daftar pembatasan kunci. Jika tidak, Anda dapat menambahkan AAGUID berikut secara manual untuk mengaktifkan pratinjau kode akses Authenticator:

      • Authenticator untuk Android: de1e552d-db1d-4423-a619-566b625cdc84
      • Authenticator untuk iOS: 90a3ccdf-635c-4729-a248-9b709135078f

    Cuplikan layar memperlihatkan Microsoft Authenticator diaktifkan untuk kode akses.

Peringatan

Pembatasan utama menetapkan kegunaan kode akses tertentu untuk pendaftaran dan autentikasi. Jika Anda mengubah pembatasan kunci dan menghapus AAGUID yang sebelumnya Anda izinkan, pengguna yang sebelumnya mendaftarkan metode yang diizinkan tidak dapat lagi menggunakannya untuk masuk. Jika organisasi Anda saat ini tidak memberlakukan pembatasan kunci dan sudah memiliki penggunaan kode akses aktif, Anda harus mengumpulkan AAGUID kunci yang digunakan hari ini. Tambahkan ke daftar Izinkan, bersama dengan AAGUID Authenticator, untuk mengaktifkan pratinjau ini. Tugas ini dapat dilakukan dengan skrip otomatis yang menganalisis log seperti detail pendaftaran dan log masuk.

Daftar berikut ini menjelaskan pengaturan opsional lainnya:

Umum

  • Izinkan pengaturan layanan mandiri harus tetap diatur ke Ya. Jika diatur ke tidak, pengguna Anda tidak dapat mendaftarkan kode akses melalui MySecurityInfo, bahkan jika diaktifkan oleh kebijakan Metode Autentikasi.
  • Terapkan pengesahan Harus diatur ke Tidak untuk pratinjau. Dukungan pengesahan direncanakan untuk Ketersediaan Umum.

Kebijakan Pembatasan Utama

  • Terapkan pembatasan kunci harus diatur ke Ya hanya jika organisasi Anda hanya ingin mengizinkan atau melarang kode akses tertentu, yang diidentifikasi oleh AUTHENTICATOR Attestation GUID (AAGUID) mereka. Jika mau, Anda dapat memasukkan AAGUID aplikasi Authenticator secara manual atau secara khusus membatasi hanya perangkat Android atau iOS. Jika tidak, Anda dapat menambahkan AAGUID berikut secara manual untuk mengaktifkan pratinjau kode akses Authenticator:

    • Authenticator untuk Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator untuk iOS: 90a3ccdf-635c-4729-a248-9b709135078f

Setelah Anda menyelesaikan konfigurasi, pilih Simpan.

Mengaktifkan kunci sandi di Authenticator menggunakan Graph Explorer

Selain menggunakan pusat admin Microsoft Entra, Anda juga dapat mengaktifkan kode akses di Authenticator dengan menggunakan Graph Explorer. Administrator Global dan Administrator Kebijakan Autentikasi dapat memperbarui kebijakan metode Autentikasi untuk mengizinkan AAGUID untuk Authenticator.

Untuk mengonfigurasi kebijakan dengan menggunakan Graph Explorer:

  1. Masuk ke Graph Explorer dan setujui izin Policy.Read.All dan Policy.ReadWrite.AuthenticationMethod .

  2. Ambil kebijakan metode Autentikasi:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Untuk menonaktifkan penegakan pengesahan dan menerapkan pembatasan kunci untuk hanya mengizinkan AAGUID untuk Microsoft Authenticator, lakukan operasi PATCH menggunakan isi permintaan berikut:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "90a3ccdf-635c-4729-a248-9b709135078f",
            "de1e552d-db1d-4423-a619-566b625cdc84"

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Pastikan bahwa kebijakan kode akses (FIDO2) diperbarui dengan benar.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Menghapus kunci sandi

Untuk menghapus kode akses yang terkait dengan akun pengguna, hapus kunci dari metode autentikasi pengguna.

  1. Masuk ke pusat admin Microsoft Entra dan cari pengguna yang kode aksesnya perlu dihapus.

  2. Pilih Metode> autentikasi klik kanan kunci keamanan FIDO2 dan pilih Hapus.

    Cuplikan layar Lihat detail Metode Autentikasi.

Catatan

Pengguna juga perlu menghapus kode akses di Authenticator di perangkat mereka.

Menerapkan rincian masuk dengan kode akses di Authenticator

Untuk membuat pengguna masuk dengan kode akses saat mereka mengakses sumber daya sensitif, gunakan kekuatan autentikasi tahan phishing bawaan, atau buat kekuatan autentikasi kustom dengan mengikuti langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Akses Bersyarat.

  2. Telusuri ke kekuatan Autentikasi metode>Autentikasi Perlindungan>.

  3. Pilih Kekuatan autentikasi baru.

  4. Berikan Nama deskriptif untuk kekuatan autentikasi baru Anda.

  5. Secara opsional berikan Deskripsi.

  6. Pilih Passkeys (FIDO2) lalu pilih Opsi tingkat lanjut.

  7. Tambahkan AAGUID untuk kode akses di Authenticator:

    • Authenticator untuk Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator untuk iOS: 90a3ccdf-635c-4729-a248-9b709135078f

  8. Pilih Berikutnya dan tinjau konfigurasi kebijakan.

Langkah berikutnya

Dukungan untuk kode akses di Windows