Artikel ini membahas pertanyaan yang sering diajukan tentang kunci sandi. Terus periksa kembali untuk konten yang diperbarui.
Tanya Jawab Passkeys di Microsoft Entra
Kapan pengguna diminta untuk mendaftarkan kode akses selama masuk?
Pengguna mungkin melihat perintah pendaftaran kode akses jika:
- Kampanye pendaftaran passkey (nudge) telah diaktifkan, atau
- Admin secara eksplisit memerlukan pendaftaran kode akses melalui kebijakan, misalnya dengan memberlakukan MFA tahan phishing dengan kekuatan autentikasi Akses Bersyarat.
Bagaimana admin dapat memantau atau mengaudit penggunaan kode akses?
Admin dapat menggunakan log audit, log masuk, dan pemberitahuan pengguna untuk melacak pembuatan dan penggunaan kode akses. Saat ini tidak ada kedaluwarsa otomatis untuk passkey, sehingga pemantauan dan pemeliharaan siklus hidup disarankan.
Apakah passkey di Microsoft Entra tahan terhadap ancaman kuantum?
Passkeys belum sepenuhnya terlindungi dari ancaman kuantum saat ini, tetapi Microsoft telah menerbitkan peta jalan untuk membuat autentikasi Microsoft Entra, termasuk kunci akses, aman dari ancaman kuantum dengan memanfaatkan kriptografi pasca-kuantum, dengan target penyelesaian transisi penuh pada tahun 2033.
FAQ kata sandi tersinkronisasi
Apa manfaat kode akses yang disinkronkan?
Kode akses yang disinkronkan disimpan di penyedia kode akses asli dan pihak ketiga yang sudah ada di perangkat pengguna memecahkan banyak masalah penerbitan dan manajemen keras yang terkait dengan perangkat autentikasi terpisah. Fakta bahwa kode akses dapat disinkronkan antara perangkat klien pengguna dan cloud secara besar-besaran mengurangi pemulihan dan biaya penerbitan kembali yang terkait dengan kode akses yang terikat perangkat. Kami mengharapkan kombinasi manfaat ini akan menjadikan kode akses yang disinkronkan sebagai opsi terbaik bagi sebagian besar pengguna dan organisasi.
Bagaimana cara melakukan peluncuran kode akses yang disinkronkan secara bertahap?
Anda dapat menggunakan profil sandi untuk menentukan ruang lingkup peluncuran sandi yang disinkronkan untuk grup pengguna tertentu. Microsoft merekomendasikan kode akses terikat perangkat untuk admin dan pengguna yang sangat istimewa, dan kode akses yang disinkronkan untuk semua pengguna dengan izin non-admin di organisasi Anda.
Sebagai admin, dapatkah saya mencabut penggunaan kode akses?
Yes. Admin dapat menggunakan UX atau API metode autentikasi per pengguna untuk menghapus kode akses dari akun ID Microsoft Entra pengguna.
Perlindungan apa yang tersedia untuk melindungi akun pengguna dan perangkat saat menggunakan kode akses yang disinkronkan?
Untuk mendaftarkan kode akses dengan penyedia kode akses, sebagian besar memerlukan autentikasi dua faktor untuk disiapkan terlebih dahulu. Sebagian besar penyedia kode akses juga mengharuskan kunci perangkat dikonfigurasi sebelum kode akses dapat disimpan di perangkat. Pengalaman ini umum di seluruh pengelola kata sandi Google dan Rantai Kunci iCloud tetapi dapat bervariasi dengan penyedia kode akses lainnya.
Dapatkah administrator mengontrol perangkat mana yang tersedia untuk kode akses yang disinkronkan, atau mencegah kode akses dibagikan?
Saat ini, administrator tidak dapat melihat atau mengontrol dengan tepat perangkat mana yang menyimpan salinan kode akses yang disinkronkan, juga tidak dapat meminta di mana kode akses yang disinkronkan telah disinkronkan. Ini mencerminkan batasan industri yang lebih luas terkait visibilitas terhadap kredensial yang disinkronkan di seluruh perangkat pribadi pengguna. Industri, bersama dengan Aliansi FIDO, secara aktif berupaya melakukan perbaikan di bidang ini untuk memberikan sinyal dan kontrol yang lebih kuat bagi pihak yang mengandalkan. Karena itu, penting untuk memilih model kode akses yang sesuai berdasarkan persyaratan keamanan dan kepatuhan: Jika kontrol batas perangkat yang ketat adalah persyaratan keras, kode akses yang terikat perangkat adalah opsi yang direkomendasikan. Kredensial ini terkait dengan perangkat tertentu dan tidak disinkronkan di tempat lain. Untuk populasi pengguna lain, kode akses yang disinkronkan disarankan. Kode akses yang disinkronkan memberikan ketahanan phishing yang kuat, sementara banyak metode tradisional tidak menawarkan visibilitas perangkat dan rentan terhadap serangan phishing.
Tanya Jawab Umum kode akses Authenticator
Bagaimana cara Microsoft Authenticator menyimpan kode akses pada perangkat?
Kunci sandi Authenticator didukung oleh perangkat keras.
Di iOS, Authenticator menyimpan kunci privat di Enklave Aman.
Di Android, Authenticator menggunakan API sistem Android Keystore untuk menyimpan kode akses yang terikat perangkat dengan aman. Sistem Android Keystore mendukung pengikatan materi kunci terkait dengan perangkat keras yang dilindungi dari perangkat Android, dalam urutan preferensi ini:
Di Android, Authenticator hanya menyimpan kode akses (kunci privat) jika perangkat Android memiliki salah satu dari dua opsi perangkat keras yang aman ini. Jika tidak ada opsi perangkat keras, pendaftaran kode akses Authenticator gagal, bahkan jika pengesahan dinonaktifkan.
Bisakah saya memulihkan atau menyinkronkan kode akses Authenticator ke perangkat baru?
Kunci sandi Authenticator hanya terikat perangkat dan tidak dapat disinkronkan. Untuk informasi selengkapnya, lihat Kode akses terikat perangkat di Microsoft Authenticator.
Apakah saya perlu mengaktifkan Bluetooth untuk melakukan autentikasi lintas perangkat?
Untuk menggunakan autentikasi lintas perangkat dengan kode akses di Authenticator, Anda harus mengaktifkan Bluetooth dan memiliki akses internet di kedua perangkat.
Mengapa proses masuk dan pendaftaran lintas perangkat gagal dengan "Perangkat tidak dapat tersambung"?
Pastikan kedua perangkat memiliki akses internet dan Bluetooth diaktifkan. Untuk pendaftaran dan autentikasi lintas perangkat, pengguna tidak dapat menggunakan pendaftaran atau autentikasi lintas perangkat jika Anda mengaktifkan pengesahan.
| Platform | URL |
|---|---|
| Android | cable.ua5v.com |
| iOS | cable.auth.comapp-site-association.cdn-apple.comapp-site-association.networking.apple |
Jika organisasi Anda membatasi penggunaan Bluetooth, Anda dapat mengizinkan pemasangan Bluetooth secara eksklusif dengan pengautentikasi FIDO2 berkemampuan passkey untuk mengizinkan masuk lintas perangkat dan pendaftaran kode akses.
Dapatkah saya memiliki beberapa kode akses di Authenticator?
Anda hanya dapat memiliki satu kode akses untuk setiap akun di Authenticator. Saat ini, Authenticator hanya mendukung kode akses untuk ID Microsoft Entra.
Dapatkah saya menggunakan kamera aplikasi Authenticator untuk memindai kode QR WebAuthn untuk pendaftaran dan autentikasi?
Anda dapat menggunakan kamera Authenticator untuk mendaftar dan mengautentikasi dengan kunci sandi. Opsi ini berguna jika organisasi Anda tidak mendorong aplikasi kamera sistem ke Profil Kerja Android.
Dapatkah saya menggunakan kode akses di Authenticator tanpa koneksi internet?
Anda tidak dapat menggunakan passkeys tanpa koneksi internet. Untuk skenario perangkat yang sama, perangkat seluler yang berisi kode akses memerlukan akses internet. Untuk skenario lintas perangkat, baik perangkat dengan kode akses maupun perangkat sekunder tempat Anda ingin masuk memerlukan akses internet.
Saya mencoba mendaftarkan kode akses di aplikasi Microsoft Authenticator tetapi menerima kesalahan "Passkey tidak dapat ditambahkan" atau "kesalahan yang tidak diketahui", apa yang harus saya lakukan?
Jika Anda mengalami kesalahan ini, kirimkan umpan balik dari aplikasi dengan masuk ke menu utama dan pilih Kirim Umpan Balik → Mengalami Masalah. Setelah dikirimkan, berikan ID umpan balik sehingga log aplikasi autentikasi dapat ditinjau.
Saya menggunakan perangkat Android 14, dan mengikuti semua langkahnya. Mengapa saya tidak dapat mendaftarkan kode akses di aplikasi Authenticator?
Aplikasi Authenticator menggunakan API Android di Android 14 atau yang lebih tinggi untuk menggunakan kunci sandi. Produsen memilih apakah akan menerapkan API ini atau tidak untuk setiap perangkat yang mereka buat. Jika perangkat Anda tidak mendukung API ini, aplikasi Authenticator mungkin tidak berfungsi untuk perangkat Anda di Android 14. Untuk pengalaman terbaik, kami sarankan Anda meningkatkan ke Android 15.
Saya menyimpan kode akses saya di aplikasi Microsoft Authenticator di profil pribadi Android saya dan saya tidak dapat menggunakannya di profil kerja saya?
Perilaku ini tidak spesifik untuk aplikasi Microsoft Authenticator. Profil Kerja Android sengaja membuat dua lingkungan terisolasi (pribadi dan pekerjaan), dan aplikasi yang berpartisipasi dalam identitas perusahaan dan keamanan perangkat harus berjalan di dalam kontainer profil kerja. Karena model isolasi ini, aplikasi (termasuk Microsoft Authenticator) tidak dapat dibagikan di seluruh profil, dan instans terpisah diperlukan untuk profil kerja. Ini adalah desain keamanan tingkat platform, bukan pilihan atau batasan aplikasi.
Mengapa saya dimintai PIN alih-alih masuk biometrik di perangkat Android saya?
Jika proses masuk biometrik gagal di perangkat Android, aplikasi Authenticator akan meminta Anda untuk memasukkan PIN. Saat berikutnya Anda masuk ke akun dengan kunci sandi, Authenticator terus meminta PIN daripada menggunakan masuk biometrik. Authenticator secara berkala mengulangi masuk biometrik. Jika proses masuk biometrik berhasil, itu akan digunakan untuk proses masuk berikutnya.
Apa yang terjadi pada kode akses saya setelah saya mengubah PIN atau masuk biometrik di perangkat Android saya?
Kode akses Anda tidak valid jika Anda mengubah PIN, atau jika Anda mengubah masuk biometrik dari thumbprint ke wajah, atau sebaliknya. Jika kode akses Anda tidak valid, Anda perlu masuk dengan menggunakan metode yang berbeda, lalu membuat kode akses baru.
Dapatkah saya masuk dengan kode akses di Authenticator di Tiongkok?
Kode akses tidak tersedia untuk Microsoft Azure yang dioperasikan oleh 21Vianet. Di iOS, Anda dapat masuk dengan kode akses di Authenticator ke organisasi global lainnya, seperti saat bepergian. Untuk informasi selengkapnya, lihat Mengunduh Microsoft Authenticator di Tiongkok.