Mengaktifkan autentikasi multifaktor Microsoft Entra per pengguna untuk mengamankan peristiwa masuk
Untuk mengamankan peristiwa masuk pengguna di ID Microsoft Entra, Anda dapat memerlukan autentikasi multifaktor Microsoft Entra (MFA). Cara terbaik untuk melindungi pengguna dengan Microsoft Entra MFA adalah dengan membuat kebijakan Akses Bersyar. Akses Bersyarat adalah fitur Microsoft Entra ID P1 atau P2 yang memungkinkan Anda menerapkan aturan untuk mewajibkan MFA sesuai kebutuhan dalam skenario tertentu. Untuk mulai menggunakan Akses Bersyarat, lihat Tutorial: Mengamankan peristiwa masuk pengguna dengan autentikasi multifaktor Microsoft Entra.
Untuk penyewa Microsoft Entra ID Gratis tanpa Akses Bersyar, Anda dapat menggunakan default keamanan untuk melindungi pengguna. Pengguna diminta untuk MFA sesuai kebutuhan, tetapi Anda tidak dapat menentukan aturan Anda sendiri untuk mengontrol perilaku.
Jika diperlukan, Anda dapat mengaktifkan setiap akun untuk Microsoft Entra MFA per pengguna. Saat Anda mengaktifkan pengguna satu per satu, mereka melakukan MFA setiap kali mereka masuk. Anda dapat mengaktifkan pengecualian, seperti saat mereka masuk dari alamat IP tepercaya, atau ketika fitur ingat MFA pada perangkat tepercaya diaktifkan.
Mengubah status pengguna tidak disarankan kecuali lisensi ID Microsoft Entra Anda tidak menyertakan Akses Bersyar dan Anda tidak ingin menggunakan default keamanan. Untuk informasi selengkapnya tentang berbagai cara untuk mengaktifkan MFA, lihat Fitur dan lisensi untuk autentikasi multifaktor Microsoft Entra.
Penting
Artikel ini merinci cara menampilkan dan mengubah status untuk autentikasi multifaktor Microsoft Entra per pengguna. Jika Anda menggunakan Akses Bersyarat atau default keamanan, Anda tidak meninjau atau mengaktifkan akun pengguna menggunakan langkah-langkah ini.
Mengaktifkan autentikasi multifaktor Microsoft Entra melalui kebijakan Akses Bersyar tidak mengubah status pengguna. Jangan khawatir jika pengguna tampak tidak aktif. Akses Bersyarat tidak mengubah status.
Jangan mengaktifkan atau memberlakukan autentikasi multifaktor Microsoft Entra per pengguna jika Anda menggunakan kebijakan Akses Bersyar.
Status pengguna autentikasi multifaktor Microsoft Entra
Status pengguna mencerminkan apakah Administrator Autentikasi mendaftarkannya dalam autentikasi multifaktor Microsoft Entra per pengguna. Akun pengguna di autentikasi multifaktor Microsoft Entra memiliki tiga status berbeda berikut:
Provinsi | Deskripsi | Autentikasi lama terpengaruh | Aplikasi browser terpengaruh | Autentikasi modern terpengaruh |
---|---|---|---|---|
Nonaktif | Status default untuk pengguna yang tidak terdaftar dalam autentikasi multifaktor Microsoft Entra per pengguna. | Tidak | No | Tidak |
Diaktifkan | Pengguna terdaftar dalam autentikasi multifaktor Microsoft Entra per pengguna, tetapi masih dapat menggunakan kata sandi mereka untuk autentikasi warisan. Jika pengguna tidak memiliki metode autentikasi MFA terdaftar, mereka menerima permintaan untuk mendaftar saat berikutnya mereka masuk menggunakan autentikasi modern (seperti ketika mereka masuk di browser web). | Tidak. Autentikasi lama terus bekerja sampai proses pendaftaran selesai. | Ya. Setelah sesi kedaluwarsa, pendaftaran autentikasi multifaktor Microsoft Entra diperlukan. | Ya. Setelah token akses kedaluwarsa, pendaftaran autentikasi multifaktor Microsoft Entra diperlukan. |
Dipaksa | Pengguna terdaftar per pengguna di autentikasi multifaktor Microsoft Entra. Jika pengguna tidak memiliki metode autentikasi terdaftar, mereka menerima permintaan untuk mendaftar saat berikutnya mereka masuk menggunakan autentikasi modern (seperti ketika mereka masuk di browser web). Pengguna yang menyelesaikan pendaftaran saat Diaktifkan secara otomatis dipindahkan ke status Diberlakukan. | Ya. Aplikasi memerlukan kata sandi aplikasi. | Ya. Autentikasi multifaktor Microsoft Entra diperlukan saat masuk. | Ya. Autentikasi multifaktor Microsoft Entra diperlukan saat masuk. |
Semua pengguna awalnya Dinonaktifkan. Saat Anda mendaftarkan pengguna dalam autentikasi multifaktor Microsoft Entra per pengguna, status mereka berubah menjadi Diaktifkan. Saat pengguna yang diaktifkan masuk dan menyelesaikan proses pendaftaran, status mereka berubah menjadi Diterapkan. Administrator dapat memindahkan pengguna antar negara bagian, termasuk dari Diterapkan ke Diaktifkan atau Dinonaktifkan.
Catatan
Jika MFA per pengguna diaktifkan kembali di pengguna dan pengguna tidak melakukan pendaftaran ulang, status MFA mereka tidak beralih dari Aktif ke Diberlakukan di UI manajemen MFA. Administrator harus memindahkan pengguna langsung ke Diberlakukan.
Menampilkan status untuk pengguna
Pengalaman administrasi MFA per pengguna di pusat admin Microsoft Entra baru-baru ini ditingkatkan. Untuk melihat dan mengelola status pengguna, selesaikan langkah-langkah berikut:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.
Telusuri ke Pengguna>Identitas>Semua pengguna.
Pilih akun pengguna, dan klik Pengaturan MFA Pengguna.
Setelah Anda membuat perubahan apa pun, klik Simpan.
Jika Anda mencoba mengurutkan ribuan pengguna, hasilnya mungkin ditampilkan dengan lancar Tidak ada pengguna yang ditampilkan. Cobalah untuk memasukkan kriteria pencarian yang lebih spesifik untuk mempersempit pencarian, atau menerapkan filter Status atau Tampilan tertentu.
Selama transisi ke pengalaman MFA per pengguna baru, Anda juga dapat mengakses pengalaman MFA warisan per pengguna. Formatnya adalah:
https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx?tenantId=${userTenantID}
Untuk mendapatkan userTenantID
, salin ID penyewa di halaman Gambaran Umum di pusat admin Microsoft Entra. Kemudian ikuti langkah-langkah ini untuk melihat status bagi pengguna dengan pengalaman warisan:
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Autentikasi.
- Telusuri ke Pengguna>Identitas>Semua pengguna.
- Pilih MFA per pengguna.
- Halaman baru terbuka yang menampilkan status pengguna, seperti yang diperlihatkan dalam contoh berikut.
Mengubah status pengguna
Untuk mengubah status autentikasi multifaktor Microsoft Entra per pengguna untuk pengguna, selesaikan langkah-langkah berikut:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.
Telusuri ke Pengguna>Identitas>Semua pengguna.
Pilih akun pengguna, dan klik Aktifkan MFA.
Tip
Pengguna yang diaktifkan secara otomatis dialihkan ke Diberlakukan saat mereka mendaftar untuk autentikasi multifaktor Microsoft Entra. Jangan mengubah status pengguna secara manual menjadi Diberlakukan kecuali pengguna sudah terdaftar atau jika dapat diterima oleh pengguna untuk mengalami gangguan koneksi ke protokol autentikasi lama.
Konfirmasikan pilihan di jendela pop-up yang terbuka.
Setelah Anda mengaktifkan pengguna, beri tahu mereka melalui email. Beri tahu pengguna bahwa prompt ditampilkan untuk meminta mereka mendaftar jika nanti mereka masuk. Jika organisasi Anda menggunakan aplikasi yang tidak berjalan di browser atau mendukung autentikasi modern, Anda dapat membuat kata sandi aplikasi. Untuk informasi selengkapnya, lihat Menerapkan autentikasi multifaktor Microsoft Entra dengan aplikasi lama menggunakan kata sandi aplikasi.
Menggunakan Microsoft Graph untuk mengelola MFA per pengguna
Anda dapat mengelola pengaturan MFA per pengguna dengan menggunakan Microsoft Graph REST API Beta. Anda dapat menggunakan jenis sumber daya autentikasi untuk mengekspos status metode autentikasi untuk pengguna.
Untuk mengelola MFA per pengguna, gunakan properti perUserMfaState dalam pengguna/id/autentikasi/persyaratan. Untuk informasi selengkapnya, lihat jenis sumber daya strongAuthenticationRequirements.
Menampilkan status MFA per pengguna
Untuk mengambil status autentikasi multifaktor per pengguna untuk pengguna:
GET /users/{id | userPrincipalName}/authentication/requirements
Contohnya:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Jika pengguna diaktifkan untuk MFA per pengguna, responsnya adalah:
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Untuk informasi selengkapnya, lihat Mendapatkan status metode autentikasi.
Mengubah status MFA untuk pengguna
Untuk mengubah status autentikasi multifaktor bagi pengguna, gunakan strongAuthenticationRequirements pengguna. Contohnya:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
Jika berhasil, responsnya adalah:
HTTP/1.1 204 No Content
Untuk informasi selengkapnya, lihat Memperbarui status metode autentikasi.
Langkah berikutnya
Untuk mengonfigurasi pengaturan autentikasi multifaktor Microsoft Entra, lihat Mengonfigurasi pengaturan autentikasi multifaktor Microsoft Entra.
Untuk mengelola pengaturan pengguna untuk autentikasi multifaktor Microsoft Entra, lihat Mengelola pengaturan pengguna dengan autentikasi multifaktor Microsoft Entra.
Untuk memahami mengapa pengguna diminta atau tidak diminta untuk melakukan MFA, lihat Laporan autentikasi multifaktor Microsoft Entra.