Bagikan melalui

Tutorial: Memigrasikan kebijakan masuk Okta ke Akses Bersyarat Microsoft Entra

  • Artikel

Dalam tutorial ini, pelajari cara memigrasikan organisasi dari kebijakan masuk tingkat global atau aplikasi di Akses Bersyarat Okta di ID Microsoft Entra. Kebijakan Akses Bersyar mengamankan akses pengguna di ID Microsoft Entra dan aplikasi yang terhubung.

Pelajari selengkapnya: Apa itu Akses Bersyar?

Tutorial ini mengasumsikan Anda memiliki:

  • Penyewa Office 365 digabungkan ke Okta untuk autentikasi masuk dan multifaktor
  • Server Microsoft Entra Connect, atau agen provisi cloud Microsoft Entra Connect yang dikonfigurasi untuk provisi pengguna ke ID Microsoft Entra

Prasyarat

Lihat dua bagian berikut untuk prasyarat lisensi dan kredensial.

Pelisensian

Ada persyaratan lisensi jika Anda beralih dari masuk Okta ke Akses Bersyarat. Proses ini memerlukan lisensi Microsoft Entra ID P1 untuk mengaktifkan pendaftaran untuk autentikasi multifaktor Microsoft Entra.

Pelajari selengkapnya: Menetapkan atau menghapus lisensi di pusat admin Microsoft Entra

Kredensial Administrator Perusahaan

Untuk mengonfigurasi catatan titik koneksi layanan (SCP), pastikan Anda memiliki kredensial Administrator Perusahaan di forest lokal.

Mengevaluasi kebijakan masuk Okta untuk transisi

Temukan dan evaluasi kebijakan masuk Okta untuk menentukan apa yang akan ditransisikan ke ID Microsoft Entra.

  1. Di Okta buka Masuk Autentikasi>>.

    Cuplikan layar entri Kebijakan Masuk MFA Global di halaman Autentikasi.

  2. Buka Aplikasi.

  3. Dari submenu, pilih Aplikasi

  4. Dari daftar Aplikasi aktif, pilih instans tersambung Microsoft Office 365.

    Cuplikan layar pengaturan di bawah Masuk, untuk Microsoft Office 365.

  5. Pilih Masuk.

  6. Gulir ke bagian bawah halaman.

Kebijakan masuk aplikasi Microsoft Office 365 memiliki empat aturan:

  • Menerapkan MFA untuk sesi seluler - memerlukan MFA dari autentikasi modern atau sesi browser di iOS atau Android
  • Perbolehkan perangkat Windows tepercaya - mencegah verifikasi atau permintaan faktor yang tidak perlu untuk perangkat Okta tepercaya
  • Memerlukan MFA dari perangkat Windows yang tidak tepercaya - memerlukan MFA dari autentikasi modern atau sesi browser pada perangkat Windows yang tidak tepercaya
  • Memblokir autentikasi warisan - mencegah klien autentikasi warisan tersambung ke layanan

Cuplikan layar berikut adalah kondisi dan tindakan untuk empat aturan, pada layar Kebijakan Masuk.

Cuplikan layar kondisi dan tindakan untuk empat aturan, pada layar Kebijakan Masuk.

Menghapus kebijakan Akses Bersyarat

Konfigurasikan kebijakan Akses Bersyar agar sesuai dengan kondisi Okta. Namun, dalam beberapa skenario, Anda mungkin memerlukan lebih banyak penyiapan:

  • Lokasi jaringan Okta ke lokasi bernama di MICROSOFT Entra ID
  • Kepercayaan perangkat Okta terhadap Akses Bersyarkat berbasis perangkat (dua opsi untuk mengevaluasi perangkat pengguna):
    • Lihat bagian berikut, konfigurasi gabungan hibrid Microsoft Entra untuk menyinkronkan perangkat Windows, seperti Windows 10, Windows Server 2016 dan 2019, ke ID Microsoft Entra
    • Lihat bagian berikut, Mengonfigurasi kepatuhan perangkat
    • Lihat, Menggunakan gabungan hibrid Microsoft Entra, fitur di server Microsoft Entra Connect yang menyinkronkan perangkat Windows, seperti Windows 10, Windows Server 2016, dan Windows Server 2019, ke ID Microsoft Entra
    • Lihat, Mendaftarkan perangkat di Microsoft Intune dan menetapkan kebijakan kepatuhan

Konfigurasi gabungan hibrid Microsoft Entra

Untuk mengaktifkan gabungan hibrid Microsoft Entra di server Microsoft Entra Connect Anda, jalankan wizard konfigurasi. Setelah konfigurasi, daftarkan perangkat.

Catatan

Gabungan hibrid Microsoft Entra tidak didukung dengan agen provisi cloud Microsoft Entra Connect.

  1. Mengonfigurasi gabungan hibrid Microsoft Entra.

  2. Pada halaman konfigurasi SCP, pilih dropdown Layanan Autentikasi.

    Cuplikan layar menu dropdown Layanan Autentikasi pada dialog Microsoft Entra Connect.

  3. Pilih URL penyedia federasi Okta.

  4. Pilih Tambahkan.

  5. Masukkan kredensial Administrator Perusahaan lokal Anda

  6. Pilih Selanjutnya.

    Petunjuk / Saran

    Jika Anda memblokir autentikasi warisan pada klien Windows dalam kebijakan masuk tingkat global atau aplikasi, buat aturan yang memungkinkan proses gabungan hibrid Microsoft Entra selesai. Izinkan tumpukan autentikasi warisan untuk klien Windows.
    Untuk mengaktifkan string klien kustom pada kebijakan aplikasi, hubungi Pusat Bantuan Okta.

Konfigurasikan kepatuhan perangkat

Gabungan hibrid Microsoft Entra adalah pengganti kepercayaan perangkat Okta di Windows. Kebijakan Akses Bersyarkala mengenali kepatuhan untuk perangkat yang terdaftar di Microsoft Intune.

Kebijakan kepatuhan perangkat

Pendaftaran Windows 10/11, iOS, iPadOS, dan Android

Jika Anda menyebarkan gabungan hibrid Microsoft Entra, Anda dapat menyebarkan kebijakan grup lain untuk menyelesaikan pendaftaran otomatis perangkat ini di Intune.

Mengonfigurasi pengaturan penyewa autentikasi multifaktor Microsoft Entra

Sebelum Anda mengonversi ke Akses Bersyar, konfirmasikan pengaturan penyewa MFA dasar untuk organisasi Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Identitas Hibrid.

  2. Jelajahi ke Entra ID>Pengguna.

  3. Pilih MFA Per pengguna di menu atas panel Pengguna .

  4. Portal autentikasi multifaktor Microsoft Entra warisan muncul. Atau pilih portal autentikasi multifaktor Microsoft Entra.

    Cuplikan layar autentikasi multifaktor.

  5. Konfirmasikan tidak ada pengguna yang diaktifkan untuk MFA warisan: Pada menu autentikasi Multifaktor, pada status autentikasi Multifaktor, pilih Diaktifkan dan Diberlakukan. Jika penyewa memiliki pengguna dalam tampilan berikut, nonaktifkan di menu warisan.

    Cuplikan layar autentikasi multifaktor dengan fitur pencarian disorot.

  6. Pastikan bidang Diberlakukan kosong.

  7. Pilih opsi Pengaturan layanan.

  8. Ubah pilihan Kata sandi aplikasi menjadi Jangan izinkan pengguna membuat kata sandi aplikasi untuk masuk ke aplikasi non-browser.

    Cuplikan layar autentikasi multifaktor dengan pengaturan layanan disorot.

  9. Kosongkan kotak centang untuk Lewati autentikasi multifaktor untuk permintaan dari pengguna federasi di intranet saya dan Izinkan pengguna mengingat autentikasi multifaktor pada perangkat yang mereka percayai (antara satu hingga 365 hari).

  10. Pilih Simpan.

    Cuplikan layar kotak centang yang dikosongkan pada layar Memerlukan Perangkat Tepercaya untuk Akses.

    Catatan

    Lihat Mengoptimalkan permintaan autentikasi ulang dan memahami masa pakai sesi untuk autentikasi multifaktor Microsoft Entra.

Membangun kebijakan Akses Bersyar

Untuk mengonfigurasi kebijakan Akses Bersyar, lihat Praktik terbaik untuk menyebarkan dan merancang Akses Bersyar.

Setelah mengonfigurasi prasyarat dan pengaturan dasar yang ditetapkan, Anda dapat membuat kebijakan Akses Bersyarat. Kebijakan dapat ditargetkan ke aplikasi, grup pengujian pengguna, atau keduanya.

Sebelum Anda memulai:

  1. Masuk ke Pusat Admin Microsoft Entra.

  2. Telusuri ke Entra ID>Akses Bersyarat.

  3. Untuk mempelajari cara membuat kebijakan di ID Microsoft Entra. Lihat, Kebijakan Akses Bersyarat Umum: Memerlukan MFA untuk semua pengguna.

  4. Buat aturan Akses Bersyarat berbasis kepercayaan perangkat.

    Cuplikan layar entri untuk Memerlukan Perangkat Tepercaya untuk Akses, di bawah Akses Bersyarat.

    Cuplikan layar dialog Amankan akun Anda dengan pesan berhasil.

  5. Setelah Anda mengonfigurasi kebijakan berbasis lokasi dan kebijakan kepercayaan perangkat, Blokir autentikasi warisan dengan ID Microsoft Entra dengan Akses Bersyarah.

Dengan ketiga kebijakan Akses Bersyarat ini, pengalaman kebijakan masuk Okta asli direplikasi dalam ID Microsoft Entra.

Mendaftarkan anggota pilot di MFA

Pengguna mendaftar untuk metode MFA.

Untuk pendaftaran individual, pengguna masuk ke panel Masuk Microsoft.

Untuk mengelola pendaftaran, pengguna masuk ke Microsoft My Sign-Ins | Info Keamanan.

Pelajari selengkapnya: Mengaktifkan pendaftaran informasi keamanan gabungan di ID Microsoft Entra.

Catatan

Jika pengguna terdaftar, mereka dialihkan ke halaman Keamanan Saya, setelah mereka memenuhi MFA.

Aktifkan kebijakan Akses Bersyarat

  1. Untuk menguji, ubah kebijakan yang dibuat menjadi Mengaktifkan login pengguna uji.

    Cuplikan layar kebijakan pada layar Akses Bersyarah, Kebijakan.

  2. Pada panel Masuk Office 365, pengguna uji John Smith diminta untuk masuk dengan Okta MFA dan autentikasi multifaktor Microsoft Entra.

  3. Selesaikan verifikasi MFA melalui Okta.

    Cuplikan layar verifikasi MFA melalui Okta.

  4. Pengguna dimintai Akses Bersyar.

  5. Pastikan kebijakan dikonfigurasi untuk dipicu untuk MFA.

    Cuplikan layar verifikasi MFA melalui Okta yang diminta untuk Akses Bersyar.

Menambahkan anggota organisasi ke kebijakan Akses Bersyarah

Setelah Anda melakukan pengujian pada anggota pilot, tambahkan anggota organisasi yang tersisa ke kebijakan Akses Bersyar, setelah pendaftaran.

Untuk menghindari permintaan ganda antara autentikasi multifaktor Microsoft Entra dan Okta MFA, pilih keluar dari Okta MFA: ubah kebijakan masuk.

  1. Buka konsol admin Okta

  2. Pilih Autentikasi Keamanan>

  3. Buka Kebijakan Masuk.

    Catatan

    Atur kebijakan global ke Tidak Aktif jika semua aplikasi dari Okta dilindungi oleh kebijakan masuk aplikasi.

  4. Tetapkan kebijakan Berlakukan MFA ke Tidak Aktif. Anda dapat menetapkan kebijakan ke grup baru yang tidak menyertakan pengguna Microsoft Entra.

    Cuplikan layar Kebijakan Masuk MFA Global sebagai Tidak Aktif.

  5. Pada panel kebijakan masuk tingkat aplikasi, pilih opsi Nonaktifkan Aturan .

  6. Pilih Tidak Aktif. Anda dapat menetapkan kebijakan ke grup baru yang tidak menyertakan pengguna Microsoft Entra.

  7. Pastikan setidaknya ada satu kebijakan masuk tingkat aplikasi yang diaktifkan untuk aplikasi yang memungkinkan akses tanpa MFA.

    Cuplikan layar akses aplikasi tanpa MFA.

  8. Pengguna diminta untuk Akses Bersyarat saat berikutnya mereka masuk.

Langkah berikutnya