Memerlukan autentikasi multifaktor untuk pendaftaran perangkat

Gunakan tindakan pengguna Akses Bersyarat untuk memberlakukan kebijakan saat pengguna mendaftarkan atau menyambungkan perangkat ke Microsoft Entra ID. Kontrol ini memberikan kerincian dalam pengaturan autentikasi multifaktor untuk mendaftarkan atau menyatukan perangkat, bukan kebijakan seluruh penyewa yang ada saat ini. Administrator dapat menyesuaikan kebijakan ini agar sesuai dengan kebutuhan keamanan organisasi mereka.

Pengecualian pengguna

Kebijakan Akses Bersyarat adalah alat yang kuat, sebaiknya keluarkan akun berikut dari kebijakan Anda:

• Akses darurat atau akun break-glass untuk mencegah penguncian karena kesalahan konfigurasi kebijakan. Dalam skenario yang jarang terjadi di mana semua administrator terkunci, akun administratif akses darurat Anda dapat digunakan untuk login dan memulihkan akses.
  • Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
• Akun layanan dan Prinsipal layanan, seperti Akun Sinkronisasi Microsoft Entra Connect. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Conditional Access yang berlaku untuk pengguna. Gunakan Akses Bersyarat untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan prinsipal layanan.
  • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola.

Membuat kebijakan Akses Bersyarat

Peringatan

Jika Anda menggunakan metode autentikasi eksternal, metode ini saat ini tidak kompatibel dengan kekuatan autentikasi dan Anda harus menggunakan kontrol Memerlukan pemberian autentikasi multifaktor .

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
2. Jelajahi Entra ID>Akses Bersyarat>Kebijakan.
3. Pilih Kebijakan baru.
4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
5. Di bawah Penugasan, pilih Pengguna atau identitas beban kerja.
   1. Di bawah Sertakan, pilih Semua pengguna.
   2. Di bawah Kecualikan, pilih Pengguna dan grup dan pilih akun akses darurat atau akun "break-glass" organisasi Anda.
6. Di bawah Sumber daya target>Tindakan pengguna, pilih Daftarkan atau gabungkan perangkat.
7. Di bawah Kontrol Akses>, pilih Berikan Akses.
   1. Pilih Perlu kekuatan autentikasi, lalu pilih kekuatan autentikasi Multifaktor bawaan dari daftar.
   2. Pilih Pilih.
8. Konfirmasi pengaturan Anda dan atur Aktifkan kebijakan ke Khusus laporan.
9. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengevaluasi pengaturan kebijakan menggunakan dampak kebijakan atau mode khusus laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Peringatan

Saat kebijakan Akses Bersyarat dikonfigurasi dengan tindakan Daftarkan atau gabungkan perangkat, Anda harus mengatur Entra ID>Perangkat>Gambaran Umum>Pengaturan Perangkat - Require Multifactor Authentication to register or join devices with Microsoft Entra ke Tidak. Jika tidak, kebijakan Akses Bersyarat yang memiliki tindakan pengguna ini tidak diberlakukan dengan benar. Informasi lebih lanjut tentang pengaturan perangkat ini dapat ditemukan di Mengonfigurasi pengaturan perangkat.

Konten terkait

• Kekuatan autentikasi Akses Bersyarah
• Menentukan efek menggunakan mode hanya-laporan Akses Bersyarat
• Gunakan mode hanya laporan untuk Akses Bersyarat guna menentukan hasil dari keputusan kebijakan baru.
• Mengelola identitas perangkat menggunakan pusat admin Microsoft Entra