Memerlukan autentikasi multifaktor untuk semua pengguna

Seperti yang disebutkan Alex Weinert, Direktur Keamanan Identitas di Microsoft, dalam posting blognya , Pa$$word Anda tidak masalah:

Kata sandi Anda memang tidak terlalu penting, tetapi MFA penting! Berdasarkan studi kami, akun Anda memiliki kemungkinan lebih dari 99,9% tidak akan terkompromi jika menggunakan MFA.

Tingkat kekuatan autentikasi

Panduan dalam artikel ini membantu organisasi Anda membuat kebijakan MFA untuk lingkungan Anda menggunakan kekuatan autentikasi. MICROSOFT Entra ID menyediakan tiga kekuatan autentikasi bawaan:

• Kekuatan autentikasi multifaktor (kurang ketat) yang direkomendasikan dalam artikel ini
• Kekuatan MFA tanpa kata sandi
• Kekuatan Otentikasi Multi-Faktor (MFA) yang Tahan Phishing (tingkat keamanan tertinggi)

Anda dapat menggunakan salah satu kekuatan bawaan atau membuat kekuatan autentikasi kustom berdasarkan metode autentikasi yang ingin Anda butuhkan.

Untuk skenario pengguna eksternal, metode autentikasi MFA yang dapat diterima penyewa sumber daya bervariasi tergantung pada apakah pengguna menyelesaikan MFA di penyewa rumah mereka atau di penyewa sumber daya. Untuk informasi selengkapnya, lihat Kekuatan autentikasi untuk pengguna eksternal.

Pengecualian pengguna

Kebijakan Akses Bersyarat adalah alat yang kuat; sebaiknya kecualikan akun berikut dari kebijakan Anda.

• Akses darurat atau akun break-glass untuk mencegah penguncian karena kesalahan konfigurasi kebijakan. Dalam skenario yang tidak mungkin terjadi di mana semua administrator terkunci, akun administratif akses darurat Anda dapat digunakan untuk login dan memulihkan akses.
  • Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
• Akun layanan dan Perwakilan layanan, seperti Akun Sinkronisasi Microsoft Entra Connect. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Panggilan yang dilakukan oleh prinsipal layanan tidak akan diblokir oleh kebijakan Akses Bersyarat yang diterapkan kepada pengguna. ** Gunakan Akses Bersyarat untuk identitas tugas untuk mendefinisikan kebijakan yang menargetkan prinsipal layanan.
  • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola.

Penyebaran templat

Organisasi dapat memilih untuk menyebarkan kebijakan ini menggunakan langkah-langkah yang diuraikan di bawah ini atau menggunakan templat Akses Bersyar.

Membuat kebijakan Akses Bersyarat

Langkah-langkah berikut membantu membuat kebijakan Akses Bersyarat untuk mengharuskan semua pengguna melakukan autentikasi multifaktor, menggunakan kebijakan kekuatan autentikasi, tanpa pengecualian aplikasi apa pun.

Peringatan

Metode autentikasi eksternal saat ini tidak kompatibel dengan kekuatan autentikasi. Anda harus menggunakan kontrol Memerlukan pemberian autentikasi multifaktor .

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Akses Bersyarat setidaknya.

2. Telusuri ke Entra ID>Kebijakan Akses> Bersyarat.

3. Pilih Kebijakan baru.

4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.

5. Di bawah Penugasan, pilih Pengguna atau identitas beban kerja.

   1. Di bawah Sertakan, pilih Semua pengguna
   2. Di bawah Kecualikan:
      1. Pilih Pengguna dan grup
         1. Pilih akun akses darurat atau break-glass organisasi Anda.
         2. Jika Anda menggunakan solusi identitas hibrid seperti Microsoft Entra Connect atau Microsoft Entra Connect Cloud Sync, pilih peran Direktori , lalu pilih Akun Sinkronisasi Direktori
      2. Anda dapat memilih untuk mengecualikan pengguna tamu jika Anda menargetkannya dengan kebijakan spesifik pengguna tamu.

6. Di bawah Sumber daya target>Sumber daya (sebelumnya aplikasi cloud)>Sertakan, pilih Semua sumber daya (sebelumnya 'Semua aplikasi cloud').

   Petunjuk

   Microsoft merekomendasikan semua organisasi membuat kebijakan Akses Bersyarat garis besar yang menargetkan: Semua pengguna, semua sumber daya tanpa pengecualian aplikasi apa pun, dan memerlukan autentikasi multifaktor.

7. Di bawah Kontrol akses>, pilih Izinkan akses.

   1. Pilih Perlu kekuatan autentikasi, lalu pilih kekuatan autentikasi Multifaktor bawaan dari daftar.
   2. Pilih Pilih.

8. Konfirmasi pengaturan Anda dan atur Aktifkan kebijakan ke Khusus laporan.

9. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengevaluasi pengaturan kebijakan menggunakan dampak kebijakan atau mode khusus laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Lokasi yang sudah dinamai

Organisasi mungkin memilih untuk menggabungkan lokasi jaringan yang diketahui yang dikenal sebagai Lokasi bernama dalam kebijakan Akses Bersyarkat mereka. Lokasi bernama ini mungkin mencakup jaringan IP tepercaya seperti untuk lokasi kantor utama. Untuk informasi selengkapnya tentang mengonfigurasi lokasi bernama, lihat artikel Apa kondisi lokasi di Microsoft Entra Conditional Access?

Dalam contoh kebijakan sebelumnya, organisasi mungkin memilih untuk tidak memerlukan autentikasi multifaktor jika mengakses aplikasi cloud dari jaringan perusahaan mereka. Dalam hal ini, mereka dapat menambahkan konfigurasi berikut ke kebijakan:

1. Di bawah Penugasan, pilih Jaringan.
   1. Konfigurasikan Ya.
   2. Sertakan jaringan atau lokasi apa pun.
   3. Kecualikan Semua jaringan dan lokasi tepercaya.
2. Simpan perubahan kebijakan Anda.

Konten terkait

• Templat Akses Bersyarah
• Gunakan mode hanya laporan untuk Kebijakan Bersyarat guna menentukan hasil keputusan kebijakan baru.
• Aktivasi langganan Windows