Bagikan melalui

Pertimbangan untuk persona tertentu dalam penyebaran autentikasi tanpa kata sandi tahan phishing di ID Microsoft Entra

  • Artikel

Setiap persona memiliki tantangan dan pertimbangan sendiri yang umumnya muncul selama penyebaran tanpa kata sandi yang tahan phishing. Saat Anda mengidentifikasi persona mana yang perlu Anda akomodasi, Anda harus memperhitungkan pertimbangan ini ke dalam perencanaan proyek penyebaran Anda. Bagian berikutnya memberikan panduan khusus untuk setiap persona.

Pekerja informasi

Pekerja informasi biasanya memiliki persyaratan paling sederhana dan paling mudah untuk memulai penyebaran tanpa kata sandi tahan phishing Anda. Namun, masih ada beberapa masalah yang sering muncul saat menyebarkan untuk pengguna ini. Contoh umumnya termasuk:

Diagram yang memperlihatkan contoh persyaratan untuk pekerja informasi.

Penyebaran pekerja informasi, sama seperti persona pengguna lainnya, memerlukan komunikasi dan dukungan yang tepat. Ini biasanya melibatkan pengguna yang meyakinkan untuk menginstal aplikasi tertentu di ponsel mereka, mendistribusikan kunci keamanan di mana pengguna tidak akan menggunakan aplikasi, mengatasi kekhawatiran tentang biometrik, dan mengembangkan proses untuk membantu pengguna pulih dari sebagian atau total kehilangan kredensial mereka.

Saat berhadapan dengan kekhawatiran tentang biometrik, pastikan Anda memahami bagaimana teknologi seperti Windows Hello untuk Bisnis menangani biometrik. Data biometrik hanya disimpan secara lokal di perangkat dan tidak dapat dikonversi kembali menjadi data biometrik mentah meskipun dicuri:

Alur penyebaran pekerja informasi

Fase 1-3 alur penyebaran untuk pekerja informasi biasanya harus mengikuti alur penyebaran standar, seperti yang ditunjukkan pada gambar berikut. Sesuaikan metode yang digunakan pada setiap langkah sesuai kebutuhan di lingkungan Anda:

Diagram yang memperlihatkan alur penyebaran untuk pekerja informasi.

  1. Fase 1: Onboarding
    1. layanan ID Terverifikasi Microsoft Entra digunakan untuk memperoleh Kode Akses Sementara
  2. Fase 2: Pendaftaran kredensial portabel
    1. Kode akses aplikasi Microsoft Authenticator (lebih disukai)
    2. Kunci keamanan FIDO2
  3. Fase 3: Pendaftaran kredensial lokal
    1. Windows Hello untuk Bisnis
    2. Kunci Enklave Aman SSO Platform

Pekerja garis depan

Pekerja garis depan sering memiliki persyaratan yang lebih rumit karena peningkatan kebutuhan untuk portabilitas kredensial dan batasan perangkat yang dapat mereka bawa dalam pengaturan ritel atau manufaktur. Kunci keamanan adalah opsi yang bagus untuk pekerja garis depan, tetapi memiliki biaya yang harus dipertimbangkan. Untuk mencapai ketahanan phishing, pastikan untuk menyeimbangkan tantangan biaya kunci keamanan terhadap beban penyebaran tambahan kartu pintar dan autentikasi berbasis sertifikat. Pertimbangkan apakah mungkin ada persona pengguna pekerja garis depan yang berbeda di lingkungan Anda. Ada kemungkinan kunci keamanan lebih baik untuk beberapa pekerja garis depan, di mana kartu pintar lebih baik untuk orang lain.

Diagram yang menunjukkan contoh persyaratan untuk pekerja garis depan.

Alur penyebaran pekerja garis depan

Fase 1-3 alur penyebaran untuk pekerja garis depan biasanya harus mengikuti alur yang dimodifikasi yang menekankan kredensial portabel. Banyak pekerja garis depan mungkin tidak memiliki perangkat komputasi permanen, dan mereka tidak pernah memerlukan kredensial lokal di stasiun kerja Windows atau Mac. Sebaliknya, mereka sebagian besar mengandalkan kredensial portabel yang dapat mereka ambil dengan mereka dari perangkat ke perangkat. Sesuaikan metode yang digunakan pada setiap langkah sesuai kebutuhan di lingkungan Anda:

Diagram yang menunjukkan alur penyebaran untuk pekerja garis depan.

  1. Fase 1: Onboarding
    1. Kunci keamanan FIDO2 atas nama pendaftaran (lebih disukai)
    2. layanan ID Terverifikasi Microsoft Entra digunakan untuk memperoleh Kode Akses Sementara
  2. Fase 2: Pendaftaran kredensial portabel
    1. Kunci keamanan FIDO2 (lebih disukai)
    2. Kartu pintar
    3. Kode akses aplikasi Microsoft Authenticator
  3. Fase 3 (Opsional): Pendaftaran kredensial lokal
    1. Opsional: Windows Hello untuk Bisnis
    2. Opsional: Kunci Enklave Aman SSO Platform

Profesional IT/pekerja DevOps

Profesional TI dan pekerja DevOps sangat bergantung pada akses jarak jauh dan beberapa akun pengguna, itulah sebabnya mereka dianggap berbeda dari pekerja informasi. Banyak tantangan yang ditimbulkan oleh tanpa kata sandi tahan phishing untuk pro IT disebabkan oleh peningkatan kebutuhan mereka akan akses jarak jauh ke sistem dan kemampuan untuk menjalankan otomatisasi.

Diagram yang menunjukkan contoh persyaratan untuk pekerja pro IT.

Pahami opsi yang didukung untuk tahan phishing dengan RDP terutama untuk persona ini.

Pastikan untuk memahami di mana pengguna menggunakan skrip yang berjalan dalam konteks pengguna dan oleh karena itu tidak menggunakan MFA hari ini. Instruksikan profesional TI Anda tentang cara yang tepat untuk menjalankan otomatisasi menggunakan perwakilan layanan dan identitas terkelola. Anda juga harus mempertimbangkan proses untuk memungkinkan profesional TI dan profesional lain untuk meminta perwakilan layanan baru dan mendapatkan izin yang tepat yang ditetapkan kepada mereka.

Alur penyebaran pro IT/DevOps worker

Fase 1-3 dari alur penyebaran untuk pekerja IT pro/DevOps biasanya harus mengikuti alur penyebaran standar seperti yang digambarkan sebelumnya untuk akun utama pengguna. Pekerja profesional TI/DevOps sering memiliki akun sekunder yang memerlukan pertimbangan yang berbeda. Sesuaikan metode yang digunakan pada setiap langkah sesuai kebutuhan di lingkungan Anda untuk akun utama:

Diagram yang menunjukkan alur penyebaran untuk profesional TI/pekerja DevOps.

  1. Fase 1: Onboarding
    1. layanan ID Terverifikasi Microsoft Entra digunakan untuk memperoleh Kode Akses Sementara
  2. Fase 2: Pendaftaran kredensial portabel
    1. Kode akses aplikasi Microsoft Authenticator (lebih disukai)
    2. Kunci keamanan FIDO2
  3. Fase 3: Pendaftaran kredensial lokal
    1. Windows Hello untuk Bisnis
    2. Kunci Enklave Aman SSO Platform

Jika pekerja IT pro/DevOps Anda memiliki akun sekunder, Anda mungkin perlu menangani akun tersebut secara berbeda. Misalnya, untuk akun sekunder Anda dapat memilih untuk menggunakan kredensial portabel alternatif dan kredensial lokal forego pada perangkat komputasi Anda sepenuhnya:

Diagram yang menunjukkan alur penyebaran alternatif untuk pro IT/pekerja DevOps.

  1. Fase 1: Onboarding
    1. layanan ID Terverifikasi Microsoft Entra digunakan untuk memperoleh Kode Akses Sementara (lebih disukai)
    2. Proses alternatif untuk menyediakan TA untuk akun sekunder ke pekerja PRO/DevOps TI
  2. Fase 2: Pendaftaran kredensial portabel
    1. Kode akses aplikasi Microsoft Authenticator (lebih disukai)
    2. Kunci keamanan FIDO2
    3. Kartu pintar
  3. Fase 3: Kredensial portabel yang digunakan daripada kredensial lokal

Pekerja yang sangat teregulasi

Pekerja yang sangat teregulasi menimbulkan lebih banyak tantangan daripada pekerja informasi rata-rata karena mereka dapat bekerja pada perangkat yang terkunci, bekerja di lingkungan yang terkunci, atau memiliki persyaratan peraturan khusus yang harus mereka penuhi.

Diagram yang menunjukkan contoh persyaratan untuk pekerja yang sangat diatur.

Pekerja yang sangat teregulasi sering menggunakan kartu pintar karena lingkungan yang diatur sudah memiliki adopsi PKI dan infrastruktur kartu pintar yang berat. Namun, pertimbangkan kapan kartu pintar diinginkan dan diperlukan dan kapan kartu tersebut dapat diseimbangkan dengan opsi yang lebih ramah pengguna, seperti Windows Hello untuk Bisnis.

Alur penyebaran pekerja yang sangat diatur tanpa PKI

Jika Anda tidak berencana untuk menggunakan sertifikat, kartu pintar, dan PKI, maka penyebaran pekerja yang sangat teregulasi mencerminkan penyebaran pekerja informasi. Untuk informasi selengkapnya, lihat Pekerja informasi.

Alur penyebaran pekerja yang sangat diatur dengan PKI

Jika Anda berencana menggunakan sertifikat, kartu pintar, dan PKI, maka alur penyebaran untuk pekerja yang sangat teregulasi biasanya berbeda dari alur penyiapan pekerja informasi di tempat-tempat utama. Ada peningkatan kebutuhan untuk mengidentifikasi apakah metode autentikasi lokal layak untuk beberapa pengguna. Demikian pula, Anda perlu mengidentifikasi apakah ada beberapa pengguna yang membutuhkan kredensial khusus portabel, seperti kartu pintar, yang dapat berfungsi tanpa koneksi internet. Bergantung pada kebutuhan Anda, Anda dapat menyesuaikan alur penyebaran lebih lanjut, dan menyesuaikannya dengan berbagai persona pengguna yang diidentifikasi di lingkungan Anda. Sesuaikan metode yang digunakan pada setiap langkah sesuai kebutuhan di lingkungan Anda:

Diagram yang menunjukkan alur penyebaran untuk pekerja yang sangat diatur.

  1. Fase 1: Onboarding
    1. layanan ID Terverifikasi Microsoft Entra digunakan untuk memperoleh Kode Akses Sementara (lebih disukai)
    2. Pendaftaran kartu pintar atas nama pengguna, mengikuti proses pemeriksaan identitas
  2. Fase 2: Pendaftaran kredensial portabel
    1. Kartu pintar (lebih disukai)
    2. Kunci keamanan FIDO2
    3. Kode akses aplikasi Microsoft Authenticator
  3. Fase 3 (Opsional): Pendaftaran kredensial lokal
    1. Opsional: Windows Hello untuk Bisnis
    2. Opsional: Kunci Enklave Aman SSO Platform

Catatan

Selalu disarankan agar pengguna memiliki setidaknya dua kredensial yang terdaftar. Ini memastikan pengguna memiliki kredensial cadangan yang tersedia jika terjadi sesuatu pada kredensial mereka yang lain. Untuk pekerja yang sangat teregulasi, disarankan agar Anda menyebarkan kode akses atau Windows Hello untuk Bisnis selain kartu pintar apa pun yang Anda sebarkan.

Langkah berikutnya

Menyebarkan penyebaran autentikasi tanpa kata sandi yang tahan pengelabuan di ID Microsoft Entra

Pertimbangan untuk Koneksi Desktop Jarak Jauh dalam penerapan autentikasi tanpa kata sandi tahan phishing di Microsoft Entra ID