Bagikan melalui

Kebijakan Akses Bersyar umum: Mengamankan pendaftaran info keamanan

  • Artikel

Mengamankan kapan dan bagaimana pengguna mendaftar untuk autentikasi multifaktor Microsoft Entra dan pengaturan ulang kata sandi mandiri dimungkinkan dengan tindakan pengguna dalam kebijakan Akses Bersyarkat. Fitur ini tersedia untuk organisasi yang mengaktifkan pendaftaran gabungan. Fungsionalitas ini memungkinkan organisasi memperlakukan proses pendaftaran seperti aplikasi apa pun dalam kebijakan Akses Bersyarat dan memaksimalkan penggunaan Akses Bersyarat demi mengamankan pengalaman. Pengguna yang masuk ke aplikasi Microsoft Authenticator atau mengaktifkan masuk melalui telepon tanpa kata sandi tunduk pada kebijakan ini.

Beberapa organisasi di masa lalu mungkin telah menggunakan lokasi jaringan tepercaya atau kepatuhan perangkat sebagai sarana untuk mengamankan pengalaman pendaftaran. Dengan penambahan Kode Akses Sementara di ID Microsoft Entra, administrator dapat memberikan kredensial terbatas waktu kepada pengguna mereka yang memungkinkan mereka mendaftar dari perangkat atau lokasi apa pun. Info masuk Kode Akses Sementara memenuhi persyaratan Akses Bersyarat untuk autentikasi multifaktor.

Pengecualian pengguna

Kebijakan Akses Bersyarah adalah alat yang canggih, sebaiknya kecualikan akun berikut dari kebijakan Anda:

  • Akses darurat atau akun pemecah kaca untuk mencegah penguncian akun di seluruh penyewa. Dalam skenario yang tidak mungkin saat semua administrator dikunci dari penyewa Anda, akun administratif akses darurat Anda dapat digunakan untuk masuk ke penyewa dan mengambil langkah-langkah pemulihan akses.
  • Akun layanan dan perwakilan layanan, seperti Akun Sinkronisasi Microsoft Entra Connect. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Akun layanan seperti ini harus dikecualikan karena MFA tidak dapat diselesaikan secara terprogram. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
    • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola. Sebagai solusi sementara, Anda dapat mengecualikan akun tertentu seperti ini dari kebijakan dasar.

Penyebaran templat

Organisasi dapat memilih untuk menyebarkan kebijakan ini menggunakan langkah-langkah yang diuraikan di bawah ini atau menggunakan templat Akses Bersyar.

Membuat kebijakan untuk mengamankan pendaftaran

Kebijakan berikut berlaku untuk pengguna yang dipilih, yang mencoba mendaftar menggunakan pengalaman pendaftaran gabungan. Kebijakan ini mengharuskan pengguna berada di lokasi jaringan tepercaya dan melakukan autentikasi multifaktor, atau menggunakan kredensial Kode Akses Sementara.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri Kebijakan Akses>Bersyar perlindungan.>
  3. Pilih Kebijakan baru.
  4. Di Nama, Masukkan Nama untuk kebijakan ini. Misalnya, Pendaftaran Info Keamanan Gabungan dengan TAP.
  5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.

    1. Di Sertakan, pilih Semua pengguna.

      Peringatan

      Pengguna harus diaktifkan untuk pendaftaran gabungan.

    2. Pada Kecualikan.

      1. Pilih Semua pengguna eksternal dan tamu.

        Catatan

        Kode Akses Sementara tidak berfungsi untuk pengguna tamu.

      2. Pilih Pengguna dan grup lalu pilih akun urgen atau akses darurat organisasi Anda.

  6. Di bawah Tindakan pengguna sumber daya>target, centang Daftarkan informasi keamanan.
  7. Pada Persyaratan>Lokasi.
    1. Atur Konfigurasikan ke Ya.
      1. Sertakan Lokasi mana pun.
      2. Mengecualikan Semua lokasi tepercaya.
  8. Pada Kontrol akses>Pemberian Izin.
    1. Pilih Berikan akses, Memerlukan autentikasi multifaktor.
    2. Pilih Pilih.
  9. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
  10. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Administrator harus mengeluarkan kredensial Kode Akses Sementara kepada pengguna baru sehingga mereka dapat memenuhi persyaratan autentikasi multifaktor untuk mendaftar. Langkah-langkah untuk menyelesaikan tugas ini, ditemukan di bagian Membuat Kode Akses Sementara di pusat admin Microsoft Entra.

Organisasi mungkin memilih untuk mewajibkan kontrol pemberian lain dengan atau menggantikan Memerlukan autentikasi multifaktor pada langkah 8a. Saat memilih beberapa kontrol, pastikan untuk memilih tombol radio yang sesuai untuk mewajibkan semua atau satu kontrol yang dipilih saat membuat perubahan ini.

Registrasi pengguna tamu

Untuk pengguna tamu yang perlu mendaftar autentikasi multifaktor di direktori Anda, Anda dapat memilih untuk memblokir pendaftaran dari luar lokasi jaringan tepercaya menggunakan panduan berikut.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri Kebijakan Akses>Bersyar perlindungan.>
  3. Pilih Kebijakan baru.
  4. Di Nama, Masukkan Nama untuk kebijakan ini. Misalnya, Pendaftaran Info Keamanan Gabungan pada Jaringan Tepercaya.
  5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
    1. Pada Sertakan, pilih Semua pengguna eksternal dan tamu.
  6. Di bawah Tindakan pengguna sumber daya>target, centang Daftarkan informasi keamanan.
  7. Pada Persyaratan>Lokasi.
    1. Konfigurasikan Ya.
    2. Sertakan Lokasi mana pun.
    3. Mengecualikan Semua lokasi tepercaya.
  8. Pada Kontrol akses>Pemberian Izin.
    1. Pilih Blokir akses.
    2. Lalu pilih Pilih.
  9. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
  10. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Konten terkait