Bagikan melalui

Tutorial: Mengamankan peristiwa masuk pengguna dengan autentikasi multifaktor Microsoft Entra

Autentikasi multifaktor adalah proses di mana pengguna diminta untuk bentuk identifikasi tambahan selama peristiwa masuk. Misalnya, instruksi bisa berupa untuk memberikan pemindaian sidik jari atau memasukkan sebuah kode pada ponsel mereka. Ketika Anda memerlukan bentuk identifikasi kedua, keamanan ditingkatkan karena faktor tambahan ini tidak mudah bagi penyerang untuk mendapatkan atau menduplikasi.

Autentikasi multifaktor Microsoft Entra dan kebijakan Akses Bersyarat memberi Anda fleksibilitas untuk mengharuskan MFA dari pengguna untuk peristiwa masuk tertentu.

Penting

Tutorial ini menunjukkan kepada administrator cara mengaktifkan autentikasi multifaktor Microsoft Entra. Untuk menelusuri autentikasi multifaktor sebagai pengguna, lihat Masuk ke akun kerja atau sekolah Anda menggunakan metode verifikasi dua langkah Anda.

Jika tim TI Anda belum mengaktifkan kemampuan untuk menggunakan autentikasi multifaktor Microsoft Entra, atau jika Anda mengalami masalah selama masuk, hubungi Staf dukungan Anda untuk mendapatkan bantuan tambahan.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Buat kebijakan Akses Bersyarat untuk mengaktifkan autentikasi multifaktor Microsoft Entra bagi kelompok pengguna.
  • Konfigurasikan kondisi kebijakan yang memerlukan MFA.
  • Uji mengonfigurasi dan menggunakan autentikasi multifaktor sebagai pengguna.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

Membuat kebijakan Akses Bersyarat

Cara yang disarankan untuk mengaktifkan dan menggunakan autentikasi multifaktor Microsoft Entra adalah melalui kebijakan Akses Bersyarat. Akses Bersyarat memungkinkan Anda membuat dan menentukan kebijakan yang bereaksi terhadap peristiwa masuk dan yang meminta tindakan tambahan sebelum pengguna diberikan akses ke aplikasi atau layanan.

Diagram gambaran umum tentang cara kerja Akses Bersyarat untuk mengamankan proses masuk

Kebijakan Akses Bersyarat dapat diterapkan ke pengguna, grup, dan aplikasi tertentu. Tujuannya adalah untuk melindungi organisasi Anda sambil juga menyediakan tingkat akses yang tepat kepada pengguna yang membutuhkannya.

Dalam tutorial ini, kami membuat kebijakan Akses Bersyarat dasar untuk meminta MFA saat pengguna masuk. Dalam tutorial selanjutnya dalam seri ini, kami mengonfigurasi autentikasi multifaktor Microsoft Entra dengan menggunakan kebijakan Akses Bersyarah berbasis risiko.

Pertama, buat kebijakan Akses Bersyarat dan tetapkan sekelompok pengguna uji coba sebagai berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri ke Entra ID>Akses Bersyarat> Gambaran Umum, pilih + Buat kebijakan baru.

Cuplikan layar halaman Akses Bersyarat, di mana Anda memilih 'Kebijakan baru' kemudian memilih 'Buat kebijakan baru'.

  1. Masukkan nama untuk kebijakan, seperti MFA Pilot.

  2. Di bawah Penugasan, pilih nilai saat ini di bawah Pengguna atau identitas beban kerja.

    Tangkapan layar halaman Akses Bersyarat, tempat Anda memilih nilai saat ini di bawah 'Pengguna atau identitas beban kerja'.

  3. Di bagian Apa kebijakan ini berlaku untuk?, pastikan bahwa Pengguna dan grup telah dipilih.

  4. Di bawah Sertakan, pilih Pilih pengguna dan grup, lalu pilih Pengguna dan grup.

    Cuplikan layar halaman untuk membuat kebijakan baru, tempat Anda memilih opsi untuk menentukan pengguna dan grup.

    Karena belum ada yang ditetapkan, daftar pengguna dan grup (ditunjukkan pada langkah berikutnya) akan terbuka secara otomatis.

  5. Telusuri dan pilih grup Microsoft Entra Anda, seperti MFA-Test-Group, lalu pilih Pilih.

    Cuplikan layar daftar pengguna dan grup, dengan hasil yang difilter oleh huruf M F A, dan 'MFA-Test-Group' dipilih.

Kami telah memilih grup untuk menerapkan kebijakan tersebut. Di bagian berikutnya, kami mengonfigurasi kondisi untuk penerapan kebijakan.

Mengonfigurasi kondisi untuk autentikasi multifaktor

Sekarang setelah kebijakan Akses Bersyarat dibuat dan grup pengujian pengguna ditetapkan, tentukan aplikasi cloud atau tindakan yang memicu kebijakan. Aplikasi atau tindakan cloud ini adalah skenario yang Anda putuskan memerlukan pemrosesan tambahan, seperti meminta autentikasi multifaktor. Misalnya, Anda dapat memutuskan bahwa akses ke aplikasi keuangan atau penggunaan alat manajemen memerlukan prompt tambahan untuk autentikasi.

Mengonfigurasi aplikasi mana yang memerlukan autentikasi multifaktor

Untuk tutorial ini, konfigurasikan kebijakan Akses Bersyarat untuk memerlukan autentikasi multifaktor saat pengguna masuk.

  1. Pilih nilai saat ini di bawah Aplikasi atau tindakan cloud, lalu di bawah Pilih apa kebijakan ini berlaku untuk, verifikasi bahwa aplikasi Cloud dipilih.

  2. Di bawah Sertakan, pilih Pilih sumber daya.

    Karena belum ada aplikasi yang dipilih, daftar aplikasi (ditampilkan pada langkah berikutnya) akan terbuka secara otomatis.

    Petunjuk

    Anda dapat memilih untuk menerapkan kebijakan Akses Bersyarat ke Semua sumber daya (sebelumnya 'Semua aplikasi cloud') atau Memilih sumber daya. Untuk memberikan fleksibilitas, Anda juga dapat mengecualikan aplikasi tertentu dari kebijakan.

  3. Telusuri daftar acara masuk yang tersedia yang dapat digunakan. Untuk tutorial ini, pilih Windows Azure Service Management API sehingga kebijakan berlaku untuk peristiwa masuk. Lalu pilih Pilih.

    Cuplikan layar halaman Akses Bersyarat, tempat Anda memilih aplikasi, Windows Azure Service Management API, tempat kebijakan baru akan diterapkan.

Mengonfigurasi autentikasi multifaktor untuk akses

Selanjutnya, kami mengonfigurasi kontrol akses. Kontrol akses memungkinkan Anda menentukan persyaratan bagi pengguna untuk diberikan akses. Mereka mungkin perlu menggunakan aplikasi klien yang disetujui atau perangkat yang bergabung secara hybrid dengan ID Microsoft Entra.

Dalam tutorial ini, konfigurasikan kontrol akses untuk memerlukan autentikasi multifaktor selama peristiwa masuk.

  1. Di bawah Kontrol akses, pilih nilai saat ini di bawah Berikan, lalu pilih Berikan akses.

    Cuplikan layar halaman Akses Bersyarat, tempat Anda memilih 'Berikan Akses' lalu pilih 'Pilihan Berikan Akses'.

  2. Pilih Perlu autentikasi multifaktor, lalu pilih Pilih.

    Cuplikan layar opsi untuk memberikan akses, tempat Anda memilih 'Memerlukan autentikasi multifaktor'.

Aktifkan kebijakan

Kebijakan Akses Bersyarat dapat diatur ke Laporan saja jika Anda ingin melihat bagaimana konfigurasi akan memengaruhi pengguna, atau Nonaktif jika Anda tidak ingin menggunakan kebijakan sekarang. Karena grup pengujian pengguna ditargetkan untuk tutorial ini, mari kita aktifkan kebijakan, lalu uji autentikasi multifaktor Microsoft Entra.

  1. Di bawah Aktifkan kebijakan, pilih Aktif.

    Cuplikan layar kontrol yang berada di dekat bagian bawah halaman web tempat Anda menentukan apakah kebijakan diaktifkan.

  2. Untuk menerapkan kebijakan Akses Bersyarat, pilih Buat.

Menguji autentikasi multifaktor Microsoft Entra

Mari kita periksa kebijakan Akses Bersyarat Anda dan autentikasi multifaktor Microsoft Entra yang sedang beraksi.

Pertama, masuk ke sumber daya yang tidak memerlukan MFA:

  1. Buka jendela browser baru dalam mode InPrivate atau penyamaran dan buka situs https://account.activedirectory.windowsazure.com.

    Menggunakan mode privat untuk browser Anda mencegah kredensial yang ada memengaruhi peristiwa masuk ini.

  2. Masuk dengan pengguna uji non-administrator Anda, seperti testuser. Pastikan untuk menyertakan @ dan nama domain untuk akun pengguna.

    Jika ini adalah contoh pertama masuk dengan akun ini, Anda akan diminta untuk mengubah kata sandi. Namun, tidak ada permintaan bagi Anda untuk mengonfigurasi atau menggunakan autentikasi multifaktor.

  3. Tutup jendela browser.

Anda mengonfigurasi kebijakan Akses Bersyarat untuk memerlukan autentikasi tambahan untuk masuk. Karena konfigurasi tersebut, Anda diminta untuk menggunakan autentikasi multifaktor Microsoft Entra atau untuk mengonfigurasi metode jika Anda belum melakukannya. Uji persyaratan baru ini dengan masuk ke pusat admin Microsoft Entra:

  1. Buka jendela browser baru dalam mode InPrivate atau penyamaran dan masuk ke pusat admin Microsoft Entra .

  2. Masuk dengan pengguna uji non-administrator Anda, seperti testuser. Pastikan untuk menyertakan @ dan nama domain untuk akun pengguna.

    Anda diharuskan mendaftar dan menggunakan autentikasi multifaktor Microsoft Entra.

    Perintah yang bertuliskan 'Informasi lebih lanjut diperlukan.' Ini adalah permintaan untuk mengonfigurasi metode autentikasi multifaktor untuk pengguna ini.

  3. Pilih Berikutnya untuk memulai proses.

    Anda dapat memilih untuk mengonfigurasi telepon autentikasi, telepon kantor, atau aplikasi seluler untuk autentikasi. Telepon autentikasi mendukung pesan teks dan panggilan telepon, telepon kantor mendukung panggilan ke nomor yang memiliki ekstensi, dan aplikasi seluler mendukung penggunaan aplikasi seluler untuk menerima pemberitahuan autentikasi atau menghasilkan kode autentikasi.

    Perintah yang mengatakan, 'Verifikasi keamanan tambahan.' Ini adalah permintaan untuk mengonfigurasi metode autentikasi multifaktor untuk pengguna ini. Anda dapat memilih sebagai metode telepon autentikasi, telepon kantor, atau aplikasi seluler.

  4. Selesaikan instruksi di layar untuk mengonfigurasi metode autentikasi multifaktor yang telah Anda pilih.

  5. Tutup jendela browser, dan masuk ke pusat admin Microsoft Entra lagi untuk menguji metode autentikasi yang Anda konfigurasikan. Misalnya, jika Anda mengonfigurasi aplikasi seluler untuk autentikasi, Anda akan melihat prompt seperti berikut ini.

    Untuk masuk, ikuti perintah di browser Anda lalu perintah pada perangkat yang Anda daftarkan untuk autentikasi multifaktor.

  6. Tutup jendela browser.

Membersihkan sumber daya

Jika Anda tidak lagi ingin menggunakan kebijakan Akses Bersyarat yang Anda konfigurasikan sebagai bagian dari tutorial ini, hapus kebijakan dengan menggunakan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.

  2. Buka Kebijakan>Akses Bersyarat, lalu pilih kebijakan yang Anda buat, seperti MFA Pilot.

  3. pilih Hapus, lalu konfirmasikan bahwa Anda ingin menghapus kebijakan.

    Untuk menghapus kebijakan Akses Kondisional yang telah Anda buka, pilih Hapus yang terletak di bawah nama kebijakan.

Langkah berikutnya

Dalam tutorial ini, Anda mengaktifkan autentikasi multifaktor Microsoft Entra dengan menggunakan kebijakan Akses Bersyarat untuk sekelompok pengguna yang dipilih. Anda mempelajari cara untuk:

  • Buat kebijakan Akses Bersyarat untuk mengaktifkan autentikasi multifaktor Microsoft Entra bagi sekelompok pengguna Microsoft Entra.
  • Konfigurasikan kondisi kebijakan yang meminta autentikasi multifaktor.
  • Uji mengonfigurasi dan menggunakan autentikasi multifaktor sebagai pengguna.

Aktifkan tulis balik kata sandi untuk pengaturan ulang kata sandi mandiri (SSPR)