Edit

Bagikan melalui

Mengelola metode autentikasi pengguna untuk autentikasi multifaktor Microsoft Entra

  • Bagaimana

Pengguna di MICROSOFT Entra ID memiliki dua set informasi kontak yang berbeda:

  • Informasi kontak profil publik, yang dikelola di profil pengguna dan dapat dilihat oleh anggota organisasi Anda. Untuk pengguna yang disinkronkan dari Direktori Aktif lokal, informasi ini dikelola di Layanan Domain Direktori Aktif Server Windows lokal.
  • Metode autentikasi, yang selalu dirahasiakan dan hanya digunakan untuk autentikasi, termasuk autentikasi multifaktor. Administrator dapat mengelola metode ini di bilah metode autentikasi pengguna dan pengguna dapat mengelola metode mereka di halaman Info Keamanan di MyAccount.

Saat mengelola metode autentikasi multifaktor Microsoft Entra untuk pengguna Anda, administrator Autentikasi dapat:

  • Menambahkan metode autentikasi untuk pengguna tertentu, termasuk nomor telepon yang digunakan untuk MFA.
  • Mereset kata sandi pengguna.
  • Mengharuskan pengguna mendaftar ulang untuk MFA.
  • Mencabut sesi MFA yang ada.
  • Menghapus kata sandi aplikasi pengguna yang ada

Catatan

Cuplikan layar dalam topik ini menunjukkan cara mengelola metode autentikasi pengguna dengan menggunakan pengalaman yang diperbarui di pusat admin Microsoft Entra. Ada juga pengalaman warisan, dan admin dapat beralih di antara keduanya menggunakan banner di pusat admin. Pengalaman modern memiliki paritas penuh dengan pengalaman warisan, dan mengelola metode modern seperti Kode Akses Sementara, kode akses, dan pengaturan lainnya. Pengalaman warisan di pusat admin Microsoft Entra akan dihentikan mulai 31 Okt 2024. Tidak ada tindakan yang diperlukan oleh organisasi sebelum penghentian.

Prasyarat

Autentikasi multifaktor Microsoft Entra, yang diaktifkan secara default.

Menambahkan atau mengubah metode autentikasi untuk pengguna

Anda dapat menambahkan atau mengubah metode autentikasi untuk pengguna dengan menggunakan pusat admin Microsoft Entra atau Microsoft Graph PowerShell. Di pusat admin Microsoft Entra, metode leagcy untuk mengelola metode autentikasi pengguna akan dihentikan setelah 31 Oktober 2024.

Catatan

Untuk alasan keamanan, bidang informasi kontak pengguna publik tidak boleh digunakan untuk melakukan MFA. Sebagai gantinya, pengguna harus mengisi nomor metode autentikasi mereka untuk digunakan untuk MFA.

Cuplikan layar cara menambahkan metode autentikasi dari pusat admin Microsoft Entra.

Untuk menambahkan atau mengubah metode autentikasi untuk pengguna di pusat admin Microsoft Entra:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Autentikasi.
  2. Telusuri ke Pengguna>Identitas>Semua pengguna.
  3. Pilih pengguna yang ingin Anda tambahkan atau ubah metode autentikasi dan pilih Metode autentikasi.
  4. Di bagian atas jendela, pilih + Tambahkan metode autentikasi.
    • Pilih metode (nomor telepon atau email). Email dapat digunakan untuk reset kata sandi mandiri tetapi bukan autentikasi. Saat menambahkan nomor telepon, pilih jenis telepon dan masukkan nomor telepon dengan format yang valid (seperti +1 4255551234).
    • Pilih Tambahkan.

Pengguna dapat menambahkan atau mengedit metode autentikasi mereka sendiri di Masuk Saya | Info keamanan. Misalnya, untuk mengubah nomor telepon, pilih Nomor telepon dan ketuk Ubah.

Mengelola metode menggunakan PowerShell

Instal modul Microsoft.Graph.Identity.Signins PowerShell menggunakan perintah berikut.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Mengelola opsi autentikasi pengguna

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Administrator Autentikasi dapat mengharuskan pengguna lain untuk mengatur ulang kata sandi mereka, mendaftar ulang untuk MFA, atau mencabut sesi MFA yang ada dari objek pengguna mereka. Pengguna tidak dapat memperbarui objek pengguna mereka sendiri. Untuk mengubah atau mengatur ulang metode keamanan mereka sendiri, pengguna dapat membuka Info keamanan, atau membuka pengaturan ulang kata sandi layanan mandiri untuk mengatur ulang kata sandi mereka. Untuk mengelola pengaturan pengguna lain, selesaikan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Autentikasi.

  2. Telusuri ke Pengguna>Identitas>Semua pengguna.

  3. Pilih pengguna yang akan ditindaklanjuti, lalu pilih Metode autentikasi. Di bagian atas jendela, lalu pilih salah satu opsi berikut untuk pengguna:

    • Reset kata sandi mengatur ulang kata sandi pengguna dan menetapkan kata sandi sementara yang harus diubah pada rincian masuk berikutnya.
    • Perlu mendaftarkan ulang MFA menonaktifkan token OATH perangkat keras pengguna dan menghapus metode autentikasi berikut dari pengguna ini: nomor telepon, aplikasi Microsoft Authenticator, dan token OATH perangkat lunak. Jika diperlukan, pengguna diminta untuk menyiapkan metode autentikasi MFA baru saat berikutnya mereka masuk.
    • Mencabut sesi MFA menghapus sesi MFA yang diingat pengguna dan mengharuskan mereka untuk melakukan MFA saat berikutnya diperlukan oleh kebijakan pada perangkat.

    Cuplikan layar mengelola metode autentikasi dari pusat admin Microsoft Entra.

Menghapus kata sandi aplikasi pengguna yang sudah ada

Untuk pengguna yang telah menentukan kata sandi aplikasi, administrator juga dapat memilih untuk menghapus kata sandi ini, yang menyebabkan autentikasi lama gagal dalam aplikasi tersebut. Tindakan ini mungkin diperlukan jika Anda perlu memberikan bantuan kepada pengguna, atau perlu mereset metode autentikasi mereka. Aplikasi non-browser yang terkait dengan kata sandi aplikasi ini akan berhenti berfungsi sampai kata sandi aplikasi baru dibuat.

Untuk menghapus kata sandi aplikasi pengguna, selesaikan langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Autentikasi.

  2. Telusuri ke Pengguna>Identitas>Semua pengguna.

  3. Pilih Autentikasi multifaktor. Anda mungkin perlu menggulir ke kanan untuk melihat opsi menu ini. Pilih contoh cuplikan layar di bawah ini untuk melihat jendela lengkap dan lokasi menu: Cuplikan layar pilih autentikasi multifaktor dari jendela Pengguna di ID Microsoft Entra.

  4. Centang kotak di samping pengguna atau pengguna yang ingin Anda kelola. Daftar opsi langkah cepat muncul di sebelah kanan.

  5. Pilih Kelola pengaturan pengguna, lalu centang kotak untuk Hapus semua kata sandi aplikasi yang ada yang dihasilkan oleh pengguna yang dipilih, seperti yang ditunjukkan dalam contoh berikut: Cuplikan layar menghapus semua kata sandi aplikasi yang ada.

  6. Pilih simpan, lalu tutup.

Konten terkait