Bagikan melalui

Tutorial: Mengamankan peristiwa masuk pengguna dengan autentikasi multifaktor Microsoft Entra

  • Artikel

Autentikasi multifaktor adalah proses di mana pengguna diminta untuk bentuk identifikasi tambahan selama peristiwa masuk. Misalnya, prompt bisa untuk memasukkan kode pada ponsel mereka atau untuk memberikan pemindaian sidik jari. Ketika Anda memerlukan bentuk identifikasi kedua, keamanan ditingkatkan karena faktor tambahan ini tidak mudah bagi penyerang untuk mendapatkan atau menduplikasi.

Autentikasi multifaktor Microsoft Entra dan kebijakan Akses Bersyarat memberi Anda fleksibilitas untuk mengharuskan MFA dari pengguna untuk peristiwa masuk tertentu.

Penting

Tutorial ini menunjukkan kepada administrator cara mengaktifkan autentikasi multifaktor Microsoft Entra. Untuk menelusuri autentikasi multifaktor sebagai pengguna, lihat Masuk ke akun kerja atau sekolah Anda menggunakan metode verifikasi dua langkah Anda.

Jika tim TI Anda belum mengaktifkan kemampuan untuk menggunakan autentikasi multifaktor Microsoft Entra, atau jika Anda mengalami masalah selama masuk, hubungi Staf dukungan Anda untuk mendapatkan bantuan tambahan.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Buat kebijakan Akses Bersyar untuk mengaktifkan autentikasi multifaktor Microsoft Entra untuk sekelompok pengguna.
  • Mengonfigurasi kondisi kebijakan yang meminta MFA.
  • Uji mengonfigurasi dan menggunakan autentikasi multifaktor sebagai pengguna.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

  • Penyewa Microsoft Entra yang berfungsi dengan Microsoft Entra ID P1 atau lisensi uji coba diaktifkan.

  • Akun dengan setidaknya peran Administrator Akses Bersyar. Beberapa pengaturan MFA juga dapat dikelola oleh Administrator Kebijakan Autentikasi.

  • Akun non-administrator dengan kata sandi yang Anda ketahui. Untuk tutorial ini, kami membuat akun seperti itu, bernama testuser. Dalam tutorial ini, Anda menguji pengalaman pengguna akhir untuk mengonfigurasi dan menggunakan autentikasi multifaktor Microsoft Entra.

  • Grup tempat pengguna non-administrator adalah anggotanya. Untuk tutorial ini, kami membuat grup seperti itu, bernama MFA-Test-Group. Dalam tutorial ini, Anda mengaktifkan autentikasi multifaktor Microsoft Entra untuk grup ini.

Membuat kebijakan Akses Bersyarat

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Cara yang disarankan untuk mengaktifkan dan menggunakan autentikasi multifaktor Microsoft Entra adalah dengan kebijakan Akses Bersyar. Akses Bersyarat memungkinkan Anda membuat dan menentukan kebijakan yang bereaksi terhadap peristiwa masuk dan yang meminta tindakan tambahan sebelum pengguna diberikan akses ke aplikasi atau layanan.

Diagram ringkasan tentang cara kerja Akses Bersyarat untuk mengamankan proses masuk

Kebijakan Akses Bersyarat dapat diterapkan ke pengguna, grup, dan aplikasi tertentu. Tujuannya adalah untuk melindungi organisasi Anda sambil juga menyediakan tingkat akses yang tepat kepada pengguna yang membutuhkannya.

Dalam tutorial ini, kami membuat kebijakan Akses Bersyarat dasar untuk meminta MFA saat pengguna masuk. Dalam tutorial selanjutnya dalam seri ini, kami mengonfigurasi autentikasi multifaktor Microsoft Entra dengan menggunakan kebijakan Akses Bersyarah berbasis risiko.

Pertama, buat kebijakan Akses Bersyarat dan tetapkan sekelompok pengguna uji coba sebagai berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.

  2. Telusuri Proteksi>Akses Bersyarah, pilih + Kebijakan baru, lalu pilih Buat kebijakan baru.

    Cuplikan layar halaman Akses Bersyarat, di mana Anda memilih 'Kebijakan baru' lalu pilih 'Buat kebijakan baru'.

  3. Masukkan nama untuk kebijakan, seperti MFA Pilot.

  4. Di bawah Tugas, pilih nilai saat ini di bawah Identitas Pengguna atau beban kerja.

    Cuplikan layar halaman Akses Bersyarat, di mana Anda memilih nilai saat ini di bawah 'Pengguna atau identitas beban kerja'.

  5. Di bawah Untuk apa kebijakan ini berlaku?, verifikasi bahwa Pengguna dan grup dipilih.

  6. Di bawah Termasuk, pilih Pilih pengguna dan grup, lalu pilih Pengguna dan grup.

    Cuplikan layar halaman untuk membuat kebijakan baru, di mana Anda memilih opsi untuk menentukan pengguna dan grup.

    Karena belum ada yang ditetapkan, daftar pengguna dan grup (ditunjukkan pada langkah berikutnya) akan terbuka secara otomatis.

  7. Telusuri dan pilih grup Microsoft Entra Anda, seperti MFA-Test-Group, lalu pilih Pilih.

    Cuplikan layar daftar pengguna dan grup, dengan hasil yang difilter oleh huruf M F A, dan 'MFA-Test-Group' dipilih.

Kami telah memilih grup untuk menerapkan kebijakan tersebut. Di bagian berikutnya, kami mengonfigurasi kondisi di mana untuk menerapkan kebijakan.

Mengonfigurasi kondisi untuk autentikasi multifaktor

Sekarang setelah kebijakan Akses Bersyarat dibuat dan grup pengujian pengguna ditetapkan, tentukan aplikasi cloud atau tindakan yang memicu kebijakan. Aplikasi atau tindakan cloud ini adalah skenario yang Anda putuskan memerlukan pemrosesan tambahan, seperti meminta autentikasi multifaktor. Misalnya, Anda dapat memutuskan bahwa akses ke aplikasi keuangan atau penggunaan alat manajemen memerlukan prompt tambahan untuk autentikasi.

Mengonfigurasi aplikasi mana yang memerlukan autentikasi multifaktor

Untuk tutorial ini, konfigurasikan kebijakan Akses Bersyarat untuk memerlukan autentikasi multifaktor saat pengguna masuk.

  1. Pilih nilai saat ini di bawah Aplikasi atau tindakan Cloud, lalu di bawah Pilih untuk apa kebijakan ini berlaku, verifikasi bahwa aplikasi Cloud dipilih.

  2. Di bawah Sertakan, pilih Pilih sumber daya.

    Karena belum ada aplikasi yang dipilih, daftar aplikasi (ditampilkan pada langkah berikutnya) akan terbuka secara otomatis.

    Tip

    Anda dapat memilih untuk menerapkan kebijakan Akses Bersyar ke Semua sumber daya (sebelumnya 'Semua aplikasi cloud') atau Pilih sumber daya. Untuk memberikan fleksibilitas, Anda juga dapat mengecualikan aplikasi tertentu dari kebijakan.

  3. Telusuri daftar acara masuk yang tersedia yang dapat digunakan. Untuk tutorial ini, pilih Windows Azure Service Management API sehingga kebijakan berlaku untuk peristiwa masuk. Lalu pilih Pilih.

    Cuplikan layar halaman Akses Bersyarat, tempat Anda memilih aplikasi, Windows Azure Service Management API, tempat kebijakan baru akan diterapkan.

Mengonfigurasi autentikasi multifaktor untuk akses

Selanjutnya, kami mengonfigurasi kontrol akses. Kontrol akses memungkinkan Anda menentukan persyaratan bagi pengguna untuk diberikan akses. Mereka mungkin diperlukan untuk menggunakan aplikasi klien yang disetujui atau perangkat yang bergabung dengan hibrid ke ID Microsoft Entra.

Dalam tutorial ini, konfigurasikan kontrol akses untuk memerlukan autentikasi multifaktor selama peristiwa masuk.

  1. Di bawah Kontrol akses, pilih nilai saat ini di bawah Hibah, lalu pilih Berikan akses.

    Cuplikan layar halaman Akses Bersyarat, di mana Anda memilih 'Beri' lalu pilih 'Berikan akses'.

  2. Pilih Perlu autentikasi multifaktor, lalu pilih Pilih.

    Cuplikan layar opsi memberikan akses, di mana Anda memilih 'Memerlukan autentikasi multifaktor'.

Mengaktifkan kebijakan

Kebijakan Akses Bersyarat dapat diatur ke Laporan-saja jika Anda ingin melihat bagaimana konfigurasi akan memengaruhi pengguna, atau Nonaktif jika Anda tidak ingin menggunakan kebijakan saat ini. Karena grup pengujian pengguna ditargetkan untuk tutorial ini, mari kita aktifkan kebijakan, lalu uji autentikasi multifaktor Microsoft Entra.

  1. Di bawah Aktifkan kebijakan, pilih Aktif.

    Cuplikan layar kontrol yang berada di dekat bagian bawah halaman web tempat Anda menentukan apakah kebijakan diaktifkan.

  2. Untuk menerapkan kebijakan Akses Bersyarat, pilih Buat.

Menguji autentikasi multifaktor Microsoft Entra

Mari kita lihat kebijakan Akses Bersyar anda dan autentikasi multifaktor Microsoft Entra sedang beraksi.

Pertama, masuk ke sumber daya yang tidak memerlukan MFA:

  1. Buka jendela browser baru dalam mode InPrivate atau penyamaran dan telusuri ke https://account.activedirectory.windowsazure.com.

    Menggunakan mode privat untuk browser Anda mencegah kredensial yang ada memengaruhi peristiwa masuk ini.

  2. Masuk dengan pengguna uji coba non-administrator, seperti testuser. Pastikan untuk menyertakan @ dan nama domain untuk akun pengguna.

    Jika ini adalah contoh pertama masuk dengan akun ini, Anda akan diminta untuk mengubah kata sandi. Namun, tidak ada permintaan bagi Anda untuk mengonfigurasi atau menggunakan autentikasi multifaktor.

  3. Tutup jendela browser.

Anda mengonfigurasi kebijakan Akses Bersyarat untuk memerlukan autentikasi tambahan untuk masuk. Karena konfigurasi tersebut, Anda diminta untuk menggunakan autentikasi multifaktor Microsoft Entra atau untuk mengonfigurasi metode jika Anda belum melakukannya. Uji persyaratan baru ini dengan masuk ke pusat admin Microsoft Entra:

  1. Buka jendela browser baru dalam mode InPrivate atau penyamaran dan masuk ke pusat admin Microsoft Entra.

  2. Masuk dengan pengguna uji coba non-administrator, seperti testuser. Pastikan untuk menyertakan @ dan nama domain untuk akun pengguna.

    Anda diharuskan mendaftar dan menggunakan autentikasi multifaktor Microsoft Entra.

    Perintah yang bertuliskan 'Informasi lebih lanjut diperlukan.' Ini adalah perintah untuk mengonfigurasi metode autentikasi multifaktor untuk pengguna ini.

  3. Pilih Berikutnya untuk memulai proses.

    Anda dapat memilih untuk mengonfigurasi telepon autentikasi, telepon kantor, atau aplikasi seluler untuk autentikasi. Autentikasi telepon mendukung pesan teks dan panggilan telepon, telepon kantor mendukung panggilan ke nomor yang memiliki ekstensi, dan aplikasi ponsel mendukung penggunaan aplikasi ponsel untuk menerima pemberitahuan untuk autentikasi atau untuk menghasilkan kode autentikasi.

    Perintah yang mengatakan, 'Verifikasi keamanan tambahan.' Ini adalah perintah untuk mengonfigurasi metode autentikasi multifaktor untuk pengguna ini. Anda dapat memilih sebagai metode telepon autentikasi, telepon kantor, atau aplikasi seluler.

  4. Selesaikan instruksi di layar untuk mengonfigurasi metode autentikasi multifaktor yang telah Anda pilih.

  5. Tutup jendela browser, dan masuk ke pusat admin Microsoft Entra lagi untuk menguji metode autentikasi yang Anda konfigurasikan. Misalnya, jika Anda mengonfigurasi aplikasi seluler untuk autentikasi, Anda akan melihat prompt seperti berikut ini.

    Untuk masuk, ikuti perintah di browser Anda lalu perintah pada perangkat yang Anda daftarkan untuk autentikasi multifaktor.

  6. Tutup jendela browser.

Membersihkan sumber daya

Jika Anda tidak lagi ingin menggunakan kebijakan Akses Bersyarat yang Anda konfigurasikan sebagai bagian dari tutorial ini, hapus kebijakan dengan menggunakan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.

  2. Telusuri Ke Akses Bersyar perlindungan>, lalu pilih kebijakan yang Anda buat, seperti MFA Pilot.

  3. pilih Hapus, lalu konfirmasikan bahwa Anda ingin menghapus kebijakan.

    Untuk menghapus kebijakan Akses Bersyarat yang telah Anda buka, pilih Hapus yang terletak di bawah nama kebijakan.

Langkah berikutnya

Dalam tutorial ini, Anda mengaktifkan autentikasi multifaktor Microsoft Entra dengan menggunakan kebijakan Akses Bersyar untuk sekelompok pengguna yang dipilih. Anda mempelajari cara untuk:

  • Buat kebijakan Akses Bersyar untuk mengaktifkan autentikasi multifaktor Microsoft Entra untuk sekelompok pengguna Microsoft Entra.
  • Konfigurasikan kondisi kebijakan yang meminta autentikasi multifaktor.
  • Uji mengonfigurasi dan menggunakan autentikasi multifaktor sebagai pengguna.

Mengaktifkan kata sandi write-back untuk pengaturan ulang kata sandi mandiri (SSPR)