Tutorial: Mengamankan peristiwa masuk pengguna dengan autentikasi multifaktor Microsoft Entra
Autentikasi multifaktor adalah proses di mana pengguna diminta untuk bentuk identifikasi tambahan selama peristiwa masuk. Misalnya, prompt bisa untuk memasukkan kode pada ponsel mereka atau untuk memberikan pemindaian sidik jari. Ketika Anda memerlukan bentuk identifikasi kedua, keamanan ditingkatkan karena faktor tambahan ini tidak mudah bagi penyerang untuk mendapatkan atau menduplikasi.
Autentikasi multifaktor Microsoft Entra dan kebijakan Akses Bersyarat memberi Anda fleksibilitas untuk mengharuskan MFA dari pengguna untuk peristiwa masuk tertentu.
Penting
Tutorial ini menunjukkan kepada administrator cara mengaktifkan autentikasi multifaktor Microsoft Entra. Untuk menelusuri autentikasi multifaktor sebagai pengguna, lihat Masuk ke akun kerja atau sekolah Anda menggunakan metode verifikasi dua langkah Anda.
Jika tim TI Anda belum mengaktifkan kemampuan untuk menggunakan autentikasi multifaktor Microsoft Entra, atau jika Anda mengalami masalah selama masuk, hubungi Staf dukungan Anda untuk mendapatkan bantuan tambahan.
Dalam tutorial ini, Anda akan mempelajari cara:
- Buat kebijakan Akses Bersyar untuk mengaktifkan autentikasi multifaktor Microsoft Entra untuk sekelompok pengguna.
- Mengonfigurasi kondisi kebijakan yang meminta MFA.
- Uji mengonfigurasi dan menggunakan autentikasi multifaktor sebagai pengguna.
Prasyarat
Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:
Penyewa Microsoft Entra yang berfungsi dengan Microsoft Entra ID P1 atau lisensi uji coba diaktifkan.
- Jika perlu, buat satu secara gratis.
Akun dengan setidaknya peran Administrator Akses Bersyar. Beberapa pengaturan MFA juga dapat dikelola oleh Administrator Kebijakan Autentikasi.
Akun non-administrator dengan kata sandi yang Anda ketahui. Untuk tutorial ini, kami membuat akun seperti itu, bernama testuser. Dalam tutorial ini, Anda menguji pengalaman pengguna akhir untuk mengonfigurasi dan menggunakan autentikasi multifaktor Microsoft Entra.
- Jika Anda memerlukan informasi tentang membuat akun pengguna, lihat Menambahkan atau menghapus pengguna menggunakan ID Microsoft Entra.
Grup tempat pengguna non-administrator adalah anggotanya. Untuk tutorial ini, kami membuat grup seperti itu, bernama MFA-Test-Group. Dalam tutorial ini, Anda mengaktifkan autentikasi multifaktor Microsoft Entra untuk grup ini.
- Jika Anda memerlukan informasi selengkapnya tentang membuat grup, lihat Membuat grup dasar dan menambahkan anggota menggunakan ID Microsoft Entra.
Membuat kebijakan Akses Bersyarat
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Cara yang disarankan untuk mengaktifkan dan menggunakan autentikasi multifaktor Microsoft Entra adalah dengan kebijakan Akses Bersyar. Akses Bersyarat memungkinkan Anda membuat dan menentukan kebijakan yang bereaksi terhadap peristiwa masuk dan yang meminta tindakan tambahan sebelum pengguna diberikan akses ke aplikasi atau layanan.
Kebijakan Akses Bersyarat dapat diterapkan ke pengguna, grup, dan aplikasi tertentu. Tujuannya adalah untuk melindungi organisasi Anda sambil juga menyediakan tingkat akses yang tepat kepada pengguna yang membutuhkannya.
Dalam tutorial ini, kami membuat kebijakan Akses Bersyarat dasar untuk meminta MFA saat pengguna masuk. Dalam tutorial selanjutnya dalam seri ini, kami mengonfigurasi autentikasi multifaktor Microsoft Entra dengan menggunakan kebijakan Akses Bersyarah berbasis risiko.
Pertama, buat kebijakan Akses Bersyarat dan tetapkan sekelompok pengguna uji coba sebagai berikut:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
Telusuri Proteksi>Akses Bersyarah, pilih + Kebijakan baru, lalu pilih Buat kebijakan baru.
Masukkan nama untuk kebijakan, seperti MFA Pilot.
Di bawah Tugas, pilih nilai saat ini di bawah Identitas Pengguna atau beban kerja.
Di bawah Untuk apa kebijakan ini berlaku?, verifikasi bahwa Pengguna dan grup dipilih.
Di bawah Termasuk, pilih Pilih pengguna dan grup, lalu pilih Pengguna dan grup.
Karena belum ada yang ditetapkan, daftar pengguna dan grup (ditunjukkan pada langkah berikutnya) akan terbuka secara otomatis.
Telusuri dan pilih grup Microsoft Entra Anda, seperti MFA-Test-Group, lalu pilih Pilih.
Kami telah memilih grup untuk menerapkan kebijakan tersebut. Di bagian berikutnya, kami mengonfigurasi kondisi di mana untuk menerapkan kebijakan.
Mengonfigurasi kondisi untuk autentikasi multifaktor
Sekarang setelah kebijakan Akses Bersyarat dibuat dan grup pengujian pengguna ditetapkan, tentukan aplikasi cloud atau tindakan yang memicu kebijakan. Aplikasi atau tindakan cloud ini adalah skenario yang Anda putuskan memerlukan pemrosesan tambahan, seperti meminta autentikasi multifaktor. Misalnya, Anda dapat memutuskan bahwa akses ke aplikasi keuangan atau penggunaan alat manajemen memerlukan prompt tambahan untuk autentikasi.
Mengonfigurasi aplikasi mana yang memerlukan autentikasi multifaktor
Untuk tutorial ini, konfigurasikan kebijakan Akses Bersyarat untuk memerlukan autentikasi multifaktor saat pengguna masuk.
Pilih nilai saat ini di bawah Aplikasi atau tindakan Cloud, lalu di bawah Pilih untuk apa kebijakan ini berlaku, verifikasi bahwa aplikasi Cloud dipilih.
Di bawah Sertakan, pilih Pilih aplikasi.
Karena belum ada aplikasi yang dipilih, daftar aplikasi (ditampilkan pada langkah berikutnya) akan terbuka secara otomatis.
Tip
Anda dapat memilih untuk menerapkan kebijakan Akses Bersyarat ke Semua aplikasi cloud atau Pilih aplikasi. Untuk memberikan fleksibilitas, Anda juga dapat mengecualikan aplikasi tertentu dari kebijakan.
Telusuri daftar acara masuk yang tersedia yang dapat digunakan. Untuk tutorial ini, pilih Windows Azure Service Management API sehingga kebijakan berlaku untuk peristiwa masuk. Lalu pilih Pilih.
Mengonfigurasi autentikasi multifaktor untuk akses
Selanjutnya, kami mengonfigurasi kontrol akses. Kontrol akses memungkinkan Anda menentukan persyaratan bagi pengguna untuk diberikan akses. Mereka mungkin diperlukan untuk menggunakan aplikasi klien yang disetujui atau perangkat yang bergabung dengan hibrid ke ID Microsoft Entra.
Dalam tutorial ini, konfigurasikan kontrol akses untuk memerlukan autentikasi multifaktor selama peristiwa masuk.
Di bawah Kontrol akses, pilih nilai saat ini di bawah Hibah, lalu pilih Berikan akses.
Pilih Perlu autentikasi multifaktor, lalu pilih Pilih.
Mengaktifkan kebijakan
Kebijakan Akses Bersyarat dapat diatur ke Laporan-saja jika Anda ingin melihat bagaimana konfigurasi akan memengaruhi pengguna, atau Nonaktif jika Anda tidak ingin menggunakan kebijakan saat ini. Karena grup pengujian pengguna ditargetkan untuk tutorial ini, mari kita aktifkan kebijakan, lalu uji autentikasi multifaktor Microsoft Entra.
Di bawah Aktifkan kebijakan, pilih Aktif.
Untuk menerapkan kebijakan Akses Bersyarat, pilih Buat.
Menguji autentikasi multifaktor Microsoft Entra
Mari kita lihat kebijakan Akses Bersyar anda dan autentikasi multifaktor Microsoft Entra sedang beraksi.
Pertama, masuk ke sumber daya yang tidak memerlukan MFA:
Buka jendela browser baru dalam mode InPrivate atau penyamaran dan telusuri ke https://account.activedirectory.windowsazure.com.
Menggunakan mode privat untuk browser Anda mencegah kredensial yang ada memengaruhi peristiwa masuk ini.
Masuk dengan pengguna uji coba non-administrator, seperti testuser. Pastikan untuk menyertakan
@
dan nama domain untuk akun pengguna.Jika ini adalah contoh pertama masuk dengan akun ini, Anda akan diminta untuk mengubah kata sandi. Namun, tidak ada permintaan bagi Anda untuk mengonfigurasi atau menggunakan autentikasi multifaktor.
Tutup jendela browser.
Anda mengonfigurasi kebijakan Akses Bersyarat untuk memerlukan autentikasi tambahan untuk masuk. Karena konfigurasi tersebut, Anda diminta untuk menggunakan autentikasi multifaktor Microsoft Entra atau untuk mengonfigurasi metode jika Anda belum melakukannya. Uji persyaratan baru ini dengan masuk ke pusat admin Microsoft Entra:
Buka jendela browser baru dalam mode InPrivate atau penyamaran dan masuk ke pusat admin Microsoft Entra.
Masuk dengan pengguna uji coba non-administrator, seperti testuser. Pastikan untuk menyertakan
@
dan nama domain untuk akun pengguna.Anda diharuskan mendaftar dan menggunakan autentikasi multifaktor Microsoft Entra.
Pilih Berikutnya untuk memulai proses.
Anda dapat memilih untuk mengonfigurasi telepon autentikasi, telepon kantor, atau aplikasi seluler untuk autentikasi. Autentikasi telepon mendukung pesan teks dan panggilan telepon, telepon kantor mendukung panggilan ke nomor yang memiliki ekstensi, dan aplikasi ponsel mendukung penggunaan aplikasi ponsel untuk menerima pemberitahuan untuk autentikasi atau untuk menghasilkan kode autentikasi.
Selesaikan instruksi di layar untuk mengonfigurasi metode autentikasi multifaktor yang telah Anda pilih.
Tutup jendela browser, dan masuk ke pusat admin Microsoft Entra lagi untuk menguji metode autentikasi yang Anda konfigurasikan. Misalnya, jika Anda mengonfigurasi aplikasi seluler untuk autentikasi, Anda akan melihat prompt seperti berikut ini.
Tutup jendela browser.
Membersihkan sumber daya
Jika Anda tidak lagi ingin menggunakan kebijakan Akses Bersyarat yang Anda konfigurasikan sebagai bagian dari tutorial ini, hapus kebijakan dengan menggunakan langkah-langkah berikut:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
Telusuri Ke Akses Bersyar perlindungan>, lalu pilih kebijakan yang Anda buat, seperti MFA Pilot.
pilih Hapus, lalu konfirmasikan bahwa Anda ingin menghapus kebijakan.
Langkah berikutnya
Dalam tutorial ini, Anda mengaktifkan autentikasi multifaktor Microsoft Entra dengan menggunakan kebijakan Akses Bersyar untuk sekelompok pengguna yang dipilih. Anda mempelajari cara untuk:
- Buat kebijakan Akses Bersyar untuk mengaktifkan autentikasi multifaktor Microsoft Entra untuk sekelompok pengguna Microsoft Entra.
- Konfigurasikan kondisi kebijakan yang meminta autentikasi multifaktor.
- Uji mengonfigurasi dan menggunakan autentikasi multifaktor sebagai pengguna.