Bagikan melalui


Pilih metode autentikasi yang tepat untuk solusi identitas hibrid Microsoft Entra Anda

Memilih metode autentikasi yang benar adalah kekhawatiran pertama bagi organisasi yang ingin memindahkan aplikasi mereka ke cloud. Jangan anggap enteng keputusan ini, karena alasan berikut:

  1. Ini adalah keputusan pertama bagi organisasi yang ingin pindah ke cloud.

  2. Metode autentikasi adalah komponen penting dari kehadiran organisasi di cloud. Ini mengontrol akses ke semua data dan sumber daya cloud.

  3. Ini adalah dasar dari semua fitur keamanan dan pengalaman pengguna tingkat lanjut lainnya di ID Microsoft Entra.

Identitas adalah sarana kontrol baru keamanan TI, jadi autentikasi adalah penjaga akses organisasi ke dunia cloud baru. Organisasi memerlukan sarana kontrol identitas yang memperkuat keamanan mereka dan menjaga keamanan aplikasi cloud mereka dari penyusup.

Nota

Mengubah metode autentikasi Anda memerlukan perencanaan, pengujian, dan kemungkinan waktu henti. Peluncuran bertahap adalah cara yang bagus untuk menguji migrasi pengguna dari federasi ke autentikasi cloud.

Di luar cakupan

Organisasi yang tidak memiliki jejak direktori lokal yang sudah ada bukan fokus artikel ini. Biasanya, bisnis tersebut hanya membuat identitas di cloud, yang tidak memerlukan solusi identitas hibrid. Identitas khusus cloud hanya ada di cloud dan tidak terkait dengan identitas lokal yang sesuai.

Metode autentikasi

Ketika solusi identitas hibrid Microsoft Entra adalah sarana kontrol baru Anda, autentikasi adalah fondasi akses cloud. Memilih metode autentikasi yang benar adalah keputusan pertama yang penting dalam menyiapkan solusi identitas hibrid Microsoft Entra. Metode autentikasi yang Anda pilih, dikonfigurasi dengan menggunakan Microsoft Entra Connect, yang juga menyediakan pengguna di cloud.

Untuk memilih metode autentikasi, Anda perlu mempertimbangkan waktu, infrastruktur, kompleksitas, dan biaya yang ada untuk menerapkan pilihan Anda. Faktor-faktor ini berbeda untuk setiap organisasi dan mungkin berubah dari waktu ke waktu.

MICROSOFT Entra ID mendukung metode autentikasi berikut untuk solusi identitas hibrid.

Autentikasi cloud

Saat Anda memilih metode autentikasi ini, MICROSOFT Entra ID menangani proses masuk pengguna. Ditambah dengan akses menyeluruh (SSO), pengguna dapat masuk ke aplikasi cloud tanpa harus memasukkan kembali kredensial mereka. Dengan autentikasi cloud, Anda dapat memilih dari dua opsi:

Sinkronisasi hash kata sandi Microsoft Entra. Cara paling sederhana untuk mengaktifkan autentikasi untuk objek direktori lokal di ID Microsoft Entra. Pengguna dapat menggunakan nama pengguna dan kata sandi yang sama dengan yang mereka gunakan di tempat tanpa harus menyebarkan infrastruktur lain. Beberapa fitur premium ID Microsoft Entra, seperti Microsoft Entra ID Protection dan Microsoft Entra Domain Services, memerlukan sinkronisasi hash kata sandi, apa pun metode autentikasi yang Anda pilih.

Nota

Kata sandi tidak pernah disimpan dalam teks yang jelas atau dienkripsi dengan algoritma yang dapat dibalik di ID Microsoft Entra. Untuk informasi selengkapnya tentang proses sinkronisasi hash kata sandi yang sebenarnya, lihat Menerapkan sinkronisasi hash kata sandi dengan Sinkronisasi Microsoft Entra Connect.

Autentikasi pass-through Microsoft Entra. Menyediakan validasi kata sandi sederhana untuk layanan autentikasi Microsoft Entra dengan menggunakan agen perangkat lunak yang berjalan di satu atau beberapa server lokal. Server memvalidasi pengguna secara langsung dengan Active Directory lokal Anda, yang memastikan bahwa validasi kata sandi tidak terjadi di cloud.

Perusahaan dengan persyaratan keamanan untuk segera menerapkan status akun pengguna lokal, kebijakan kata sandi, dan jam masuk mungkin menggunakan metode autentikasi ini. Untuk informasi selengkapnya tentang proses autentikasi pass-through yang sebenarnya, lihat Masuk pengguna dengan autentikasi pass-through Microsoft Entra.

Autentikasi gabungan

Saat Anda memilih metode autentikasi ini, MICROSOFT Entra ID menyerahkan proses autentikasi ke sistem autentikasi tepercaya terpisah, seperti Active Directory lokal Federation Services (AD FS), untuk memvalidasi kata sandi pengguna.

Sistem autentikasi dapat menyediakan persyaratan autentikasi tingkat lanjut lainnya, misalnya, autentikasi multifaktor pihak ketiga.

Bagian berikut membantu Anda memutuskan metode autentikasi mana yang tepat untuk Anda dengan menggunakan pohon keputusan. Ini membantu Anda menentukan apakah akan menyebarkan autentikasi cloud atau federasi untuk solusi identitas hibrid Microsoft Entra Anda.

Pohon keputusan

Pohon keputusan autentikasi Microsoft Entra

Detail tentang pertanyaan keputusan:

  1. ID Microsoft Entra dapat menangani masuk untuk pengguna tanpa mengandalkan komponen lokal untuk memverifikasi kata sandi.
  2. ID Microsoft Entra dapat menyerahkan rincian masuk pengguna ke penyedia autentikasi tepercaya seperti Layanan Federasi Direktori Aktif Microsoft.
  3. Jika Anda perlu menerapkan, kebijakan keamanan Active Directory tingkat pengguna seperti akun kedaluwarsa, akun yang dinonaktifkan, kata sandi kedaluwarsa, akun dikunci, dan jam masuk pada setiap masuk pengguna, ID Microsoft Entra memerlukan beberapa komponen lokal.
  4. Fitur masuk yang tidak didukung secara asli oleh MICROSOFT Entra ID:
    • Masuk menggunakan solusi autentikasi pihak ketiga.
    • Solusi autentikasi lokal multi-situs.
  5. Microsoft Entra ID Protection memerlukan Sinkronisasi Hash Kata Sandi terlepas dari metode masuk mana yang Anda pilih, untuk memberikan laporan kredensial bocor kepada Pengguna. Organisasi dapat melakukan failover ke Sinkronisasi Hash Kata Sandi jika metode masuk utama mereka gagal dan dikonfigurasi sebelum peristiwa kegagalan.

Nota

Microsoft Entra ID Protection memerlukan lisensi Microsoft Entra ID P2 .

Pertimbangan terperinci

Autentikasi cloud: Sinkronisasi hash kata sandi

  • Usaha. Sinkronisasi hash kata sandi memerlukan upaya paling sedikit mengenai penyebaran, pemeliharaan, dan infrastruktur. Tingkat upaya ini biasanya berlaku untuk organisasi yang hanya memerlukan pengguna mereka untuk masuk ke Microsoft 365, aplikasi SaaS, dan sumber daya berbasis ID Microsoft Entra lainnya. Saat diaktifkan, sinkronisasi hash kata sandi adalah bagian dari proses Sinkronisasi Microsoft Entra Connect dan berjalan setiap dua menit.

  • Pengalaman pengguna. Untuk meningkatkan pengalaman masuk pengguna, gunakan perangkat yang bergabung dengan Microsoft Entra atau perangkat gabungan hibrid Microsoft Entra. Jika Anda tidak dapat menggabungkan perangkat Windows ke MICROSOFT Entra ID, sebaiknya sebarkan SSO tanpa hambatan dengan sinkronisasi hash kata sandi. SSO Tanpa Hambatan menghilangkan perintah yang tidak perlu saat pengguna masuk.

  • Skenario tingkat lanjut. Jika organisasi memilih, anda dapat menggunakan wawasan dari identitas dengan laporan Microsoft Entra ID Protection dengan Microsoft Entra ID P2. Contohnya adalah laporan kredensial yang bocor. Windows Hello untuk Bisnis memiliki persyaratan khusus saat Anda menggunakan sinkronisasi hash kata sandi. Microsoft Entra Domain Services memerlukan sinkronisasi hash kata sandi untuk memprovisikan pengguna dengan kredensial perusahaan mereka di domain terkelola.

    Organisasi yang memerlukan autentikasi multifaktor dengan sinkronisasi hash kata sandi harus menggunakan autentikasi multifaktor Microsoft Entra atau kontrol kustom Akses Bersyarat. Organisasi tersebut tidak dapat menggunakan metode autentikasi multifaktor pihak ketiga atau lokal yang bergantung pada federasi.

Nota

Akses Bersyarat Microsoft Entra memerlukan lisensi Microsoft Entra ID P1 .

  • Kelangsungan bisnis. Menggunakan sinkronisasi hash kata sandi dengan autentikasi cloud sangat tersedia sebagai layanan cloud yang menskalakan ke semua pusat data Microsoft. Untuk memastikan sinkronisasi hash kata sandi tidak turun untuk jangka waktu yang lama, sebarkan server Microsoft Entra Connect kedua dalam mode penahapan dalam konfigurasi siaga.

  • Pertimbangan. Saat ini, sinkronisasi hash kata sandi tidak segera memberlakukan perubahan dalam status akun lokal. Dalam situasi ini, pengguna memiliki akses ke aplikasi cloud hingga status akun pengguna disinkronkan ke ID Microsoft Entra. Organisasi mungkin ingin mengatasi batasan ini dengan menjalankan siklus sinkronisasi baru setelah administrator melakukan pembaruan massal ke status akun pengguna lokal. Contohnya adalah menonaktifkan akun.

Nota

Status kedaluwarsa kata sandi dan akun terkunci saat ini tidak disinkronkan ke ID Microsoft Entra dengan Microsoft Entra Connect. Saat Anda mengubah kata sandi pengguna dan mengatur pengguna harus mengubah kata sandi pada bendera masuk berikutnya, hash kata sandi tidak akan disinkronkan ke ID Microsoft Entra dengan Microsoft Entra Connect hingga pengguna mengubah kata sandi mereka.

Lihat menerapkan sinkronisasi hash kata sandi untuk langkah-langkah penyebaran.

Autentikasi cloud: Autentikasi Pass-through

  • Usaha. Untuk autentikasi pass-through, Anda memerlukan satu atau beberapa agen ringan (kami sarankan tiga) yang diinstal pada server yang ada. Agen ini harus memiliki akses ke Active Directory lokal Domain Services Anda, termasuk pengontrol domain AD lokal Anda. Mereka memerlukan akses keluar ke Internet dan akses ke pengontrol domain Anda. Untuk alasan ini, tidak didukung untuk menyebarkan agen di jaringan perimeter.

    Autentikasi Pass-through memerlukan akses jaringan yang tidak dibatasi ke pengendali domain. Semua lalu lintas jaringan dienkripsi dan terbatas pada permintaan autentikasi. Untuk informasi selengkapnya tentang proses ini, lihat penyelaman mendalam keamanan tentang autentikasi pass-through.

  • Pengalaman pengguna. Untuk meningkatkan pengalaman masuk pengguna, gunakan perangkat yang bergabung dengan Microsoft Entra atau perangkat gabungan hibrid Microsoft Entra. Jika Anda tidak dapat menggabungkan perangkat Windows ke MICROSOFT Entra ID, sebaiknya sebarkan SSO tanpa hambatan dengan sinkronisasi hash kata sandi. SSO Tanpa Hambatan menghilangkan perintah yang tidak perlu saat pengguna masuk.

  • Skenario tingkat lanjut. Autentikasi Pass-through memberlakukan kebijakan akun lokal pada saat masuk. Misalnya, akses ditolak ketika status akun pengguna lokal dinonaktifkan, dikunci, atau kata sandi mereka kedaluwarsa atau upaya masuk berada di luar jam ketika pengguna diizinkan untuk masuk.

    Organisasi yang memerlukan autentikasi multifaktor dengan autentikasi pass-through harus menggunakan autentikasi multifaktor Microsoft Entra atau kontrol kustom Akses Bersyarat. Organisasi tersebut tidak dapat menggunakan metode autentikasi multifaktor pihak ketiga atau lokal yang bergantung pada federasi. Fitur lanjutan mengharuskan sinkronisasi hash kata sandi disebarkan apakah Anda memilih autentikasi pass-through atau tidak. Contohnya adalah deteksi kredensial yang bocor dari Microsoft Entra ID Protection.

  • Kelangsungan bisnis. Kami menyarankan agar Anda menyebarkan dua agen autentikasi pass-through tambahan. Ekstra ini selain agen pertama di server Microsoft Entra Connect. Penyebaran lainnya ini memastikan ketersediaan permintaan autentikasi yang tinggi. Ketika Anda memiliki tiga agen yang disebarkan, satu agen masih dapat gagal ketika agen lain tidak berfungsi untuk pemeliharaan.

    Ada manfaat lain untuk menyebarkan sinkronisasi hash kata sandi selain autentikasi pass-through. Ini bertindak sebagai metode autentikasi cadangan ketika metode autentikasi utama tidak lagi tersedia.

  • Pertimbangan. Anda dapat menggunakan sinkronisasi hash kata sandi sebagai metode autentikasi cadangan untuk autentikasi pass-through, ketika agen tidak dapat memvalidasi kredensial pengguna karena kegagalan lokal yang signifikan. Failover ke sinkronisasi hash kata sandi tidak terjadi secara otomatis dan Anda harus menggunakan Microsoft Entra Connect untuk mengalihkan metode masuk secara manual.

    Untuk pertimbangan lain tentang Autentikasi Pass-through, termasuk dukungan ID Alternatif, lihat tanya jawab umum.

Lihat menerapkan autentikasi pass-through untuk langkah-langkah penyebaran.

Autentikasi gabungan

  • Usaha. Sistem autentikasi gabungan bergantung pada sistem tepercaya eksternal untuk mengautentikasi pengguna. Beberapa perusahaan ingin menggunakan kembali investasi sistem federasi yang ada dengan solusi identitas hibrid Microsoft Entra mereka. Pemeliharaan dan manajemen sistem federasi berada di luar kendali ID Microsoft Entra. Terserah organisasi dengan menggunakan sistem federasi untuk memastikannya disebarkan dengan aman dan dapat menangani beban autentikasi.

  • Pengalaman pengguna. Pengalaman pengguna autentikasi federasi tergantung pada implementasi fitur, topologi, dan konfigurasi farm federasi. Beberapa organisasi membutuhkan fleksibilitas ini untuk beradaptasi dan mengonfigurasi akses ke farm federasi agar sesuai dengan persyaratan keamanan mereka. Misalnya, dimungkinkan untuk mengonfigurasi pengguna dan perangkat yang terhubung secara internal untuk memasukkan pengguna secara otomatis, tanpa meminta kredensial kepada mereka. Konfigurasi ini berfungsi karena mereka sudah masuk ke perangkat mereka. Jika perlu, beberapa fitur keamanan tingkat lanjut membuat proses masuk pengguna lebih sulit.

  • Skenario tingkat lanjut. Solusi autentikasi gabungan diperlukan ketika pelanggan memiliki persyaratan autentikasi yang tidak didukung oleh ID Microsoft Entra secara asli. Lihat informasi terperinci untuk membantu Anda memilih opsi masuk yang tepat. Pertimbangkan persyaratan umum berikut:

    • Penyedia multifaktor pihak ketiga yang memerlukan penyedia identitas federasi.
    • Autentikasi dengan menggunakan solusi autentikasi pihak ketiga. Lihat daftar kompatibilitas federasi Microsoft Entra.
    • Masuk yang memerlukan sAMAccountName, misalnya DOMAIN\username, bukan Nama Prinsipal Pengguna (UPN), misalnya, user@domain.com.
  • Kelangsungan bisnis. Sistem federasi biasanya memerlukan array server yang seimbang beban, yang dikenal sebagai farm. Farm ini dikonfigurasi dalam jaringan internal dan topologi jaringan perimeter untuk memastikan ketersediaan tinggi untuk permintaan autentikasi.

    Sebarkan sinkronisasi hash kata sandi bersama dengan autentikasi federasi sebagai metode autentikasi cadangan ketika metode autentikasi utama tidak lagi tersedia. Contohnya adalah ketika server lokal tidak tersedia. Beberapa organisasi perusahaan besar memerlukan solusi federasi untuk mendukung beberapa titik masuk Internet yang dikonfigurasi dengan geo-DNS untuk permintaan autentikasi latensi rendah.

  • Pertimbangan. Sistem federasi biasanya memerlukan investasi yang lebih signifikan dalam infrastruktur lokal. Sebagian besar organisasi memilih opsi ini jika mereka sudah memiliki investasi federasi lokal. Dan jika itu adalah persyaratan bisnis yang kuat untuk menggunakan penyedia identitas tunggal. Federasi lebih kompleks untuk beroperasi dan memecahkan masalah dibandingkan dengan solusi autentikasi cloud.

Untuk domain yang tidak dapat dialihkan yang tidak dapat diverifikasi di ID Microsoft Entra, Anda memerlukan konfigurasi tambahan untuk menerapkan masuk ID pengguna. Persyaratan ini dikenal sebagai dukungan ID masuk alternatif. Lihat Mengonfigurasi ID Masuk Alternatif untuk batasan dan persyaratan. Jika Anda memilih untuk menggunakan penyedia autentikasi multifaktor pihak ketiga dengan federasi, pastikan penyedia mendukung WS-Trust untuk mengizinkan perangkat bergabung dengan ID Microsoft Entra.

Lihat Menyebarkan Server Federasi untuk langkah-langkah penyebaran.

Nota

Saat menyebarkan solusi identitas hibrid Microsoft Entra, Anda harus menerapkan salah satu topologi Microsoft Entra Connect yang didukung. Pelajari selengkapnya tentang konfigurasi yang didukung dan tidak didukung di Topologi untuk Microsoft Entra Connect.

Diagram arsitektur

Diagram berikut menguraikan komponen arsitektur tingkat tinggi yang diperlukan untuk setiap metode autentikasi yang dapat Anda gunakan dengan solusi identitas hibrid Microsoft Entra Anda. Mereka memberikan gambaran umum untuk membantu Anda membandingkan perbedaan antara solusi.

  • Kesederhanaan solusi sinkronisasi hash kata sandi:

    Identitas hibrid Microsoft Entra dengan sinkronisasi hash Kata Sandi

  • Persyaratan agen autentikasi pass-through, menggunakan dua agen untuk redundansi:

    Identitas hibrid Microsoft Entra dengan Autentikasi Pass-through

  • Komponen yang diperlukan untuk federasi di perimeter dan jaringan internal organisasi Anda:

    Identitas hibrid Microsoft Entra dengan autentikasi gabungan

Membandingkan metode

Pertimbangan Sinkronisasi hash kata sandi Autentikasi Pass-through Federasi dengan Layanan Federasi Direktori Aktif
Di mana autentikasi terjadi? Di cloud Di cloud, setelah pertukaran verifikasi kata sandi yang aman dengan agen autentikasi lokal Lokal
Apa saja persyaratan server lokal di luar sistem provisi: Microsoft Entra Connect? Tidak Satu server untuk setiap agen autentikasi tambahan Dua atau beberapa server Layanan Federasi Direktori Aktif

Dua atau beberapa server WAP di jaringan perimeter/DMZ
Apa saja persyaratan untuk Internet dan jaringan lokal di luar sistem provisi? Tidak Akses Internet keluar dari server yang menjalankan agen autentikasi Akses Internet masuk ke server WAP di perimeter

Akses jaringan masuk ke server Layanan Federasi Direktori Aktif dari server WAP di perimeter

Penyeimbangan beban jaringan
Apakah ada persyaratan sertifikat TLS/SSL? Tidak Tidak Ya
Apakah ada solusi pemantauan kesehatan? Tidak diperlukan Status agen yang disediakan oleh pusat admin Microsoft Entra Microsoft Entra Connect Health
Apakah pengguna mendapatkan akses menyeluruh ke sumber daya cloud dari perangkat yang bergabung dengan domain dalam jaringan perusahaan? Ya dengan perangkat yang bergabung dengan Microsoft Entra, perangkat gabungan hibrid Microsoft Entra, plug-in SSO Microsoft Enterprise untuk perangkat Apple, atau SSO Tanpa Hambatan Ya dengan perangkat yang bergabung dengan Microsoft Entra, perangkat gabungan hibrid Microsoft Entra, plug-in SSO Microsoft Enterprise untuk perangkat Apple, atau SSO Tanpa Hambatan Ya
Jenis masuk apa yang didukung? UserPrincipalName + kata sandi

Autentikasi Terintegrasi Windows dengan menggunakan SSO Tanpa Hambatan

ID masuk alternatif

Perangkat yang bergabung dengan Microsoft Entra

Perangkat gabungan hibrid Microsoft Entra

Autentikasi sertifikat dan kartu pintar
UserPrincipalName + kata sandi

Autentikasi Terintegrasi Windows dengan menggunakan SSO Tanpa Hambatan

ID masuk alternatif

Perangkat yang bergabung dengan Microsoft Entra

Perangkat gabungan hibrid Microsoft Entra

Autentikasi sertifikat dan kartu pintar
UserPrincipalName + kata sandi

sAMAccountName + kata sandi

Autentikasi Terintegrasi Windows

Autentikasi sertifikat dan kartu pintar

ID masuk alternatif
Apakah Windows Hello untuk Bisnis didukung? Model kepercayaan kunci

Kepercayaan Cloud Hibrid
Model kepercayaan kunci

Kepercayaan Cloud Hibrid

Keduanya memerlukan tingkat fungsi windows Server 2016 Domain
Model kepercayaan kunci

Kepercayaan Cloud Hibrid

Model kepercayaan sertifikat
Apa saja opsi autentikasi multifaktor? Autentikasi multifaktor Microsoft Entra

Kontrol Kustom dengan Akses Bersyar*
Autentikasi multifaktor Microsoft Entra

Kontrol Kustom dengan Akses Bersyar*
Autentikasi multifaktor Microsoft Entra

MFA pihak ketiga

Kontrol Kustom dengan Akses Bersyar*
Status akun pengguna apa yang didukung? Akun yang dinonaktifkan
(penundaan hingga 30 menit)
Akun yang dinonaktifkan

Akun dikunci

Akun kedaluwarsa

Kata sandi kedaluwarsa

Jam masuk
Akun yang dinonaktifkan

Akun dikunci

Akun kedaluwarsa

Kata sandi kedaluwarsa

Jam masuk
Apa saja opsi Akses Bersyar? Microsoft Entra Conditional Access, dengan Microsoft Entra ID P1 atau P2 Microsoft Entra Conditional Access, dengan Microsoft Entra ID P1 atau P2 Microsoft Entra Conditional Access, dengan Microsoft Entra ID P1 atau P2

Aturan klaim Layanan Federasi Direktori Aktif
Apakah memblokir protokol warisan didukung? Ya Ya Ya
Bisakah Anda menyesuaikan logo, gambar, dan deskripsi di halaman masuk? Ya, dengan Microsoft Entra ID P1 atau P2 Ya, dengan Microsoft Entra ID P1 atau P2 Ya
Skenario tingkat lanjut apa yang didukung? Penguncian kata sandi pintar

Laporan kredensial bocor, dengan Microsoft Entra ID P2
Penguncian kata sandi pintar Sistem autentikasi latensi rendah multisitus

Penguncian ekstranet Layanan Federasi Direktori Aktif

Integrasi dengan sistem identitas pihak ketiga

Nota

Kontrol kustom di Microsoft Entra Conditional Access saat ini tidak mendukung pendaftaran perangkat.

Rekomendasi

Sistem identitas Anda memastikan akses pengguna ke aplikasi yang Anda migrasikan dan sediakan di cloud. Gunakan atau aktifkan sinkronisasi hash kata sandi dengan metode autentikasi mana pun yang Anda pilih, karena alasan berikut:

  1. Ketersediaan tinggi dan pemulihan bencana. Autentikasi Pass-through dan federasi mengandalkan infrastruktur lokal. Untuk autentikasi pass-through, jejak lokal mencakup perangkat keras server dan jaringan yang diperlukan agen Autentikasi Pass-through. Untuk federasi, jejak lokal bahkan lebih besar. Ini memerlukan server di jaringan perimeter Anda untuk mem-proksi permintaan autentikasi dan server federasi internal.

    Untuk menghindari satu titik kegagalan, sebarkan server redundan. Kemudian permintaan autentikasi akan selalu dilayankan jika ada komponen yang gagal. Baik autentikasi pass-through maupun federasi juga mengandalkan pengendali domain untuk menanggapi permintaan autentikasi, yang juga dapat gagal. Banyak dari komponen ini membutuhkan pemeliharaan untuk tetap sehat. Pemadaman lebih mungkin terjadi ketika pemeliharaan tidak direncanakan dan diimplementasikan dengan benar.

  2. Kelangsungan hidup pemadaman lokal. Konsekuensi dari pemadaman lokal karena serangan cyber atau bencana bisa sangat besar, mulai dari kerusakan merek reputasi hingga organisasi yang lumpuh tidak dapat menangani serangan. Baru-baru ini, banyak organisasi menjadi korban serangan malware, termasuk ransomware yang ditargetkan, yang menyebabkan server lokal mereka tidak berfungsi. Saat Microsoft membantu pelanggan menangani serangan semacam ini, Microsoft akan melihat dua kategori organisasi:

    • Organisasi yang sebelumnya juga mengaktifkan sinkronisasi hash kata sandi di atas autentikasi federasi atau pass-through mengubah metode autentikasi utama mereka untuk kemudian menggunakan sinkronisasi hash kata sandi. Mereka kembali online dalam hitungan jam. Dengan menggunakan akses ke email melalui Microsoft 365, mereka bekerja untuk mengatasi masalah dan mengakses beban kerja berbasis cloud lainnya.

    • Organisasi yang sebelumnya tidak mengaktifkan sinkronisasi hash kata sandi harus menggunakan sistem email konsumen eksternal yang tidak tepercaya untuk komunikasi guna mengatasi masalah. Dalam kasus tersebut, mereka membutuhkan waktu berpekan-minggu untuk memulihkan infrastruktur identitas lokal mereka, sebelum pengguna dapat masuk ke aplikasi berbasis cloud lagi.

  3. Perlindungan ID. Salah satu cara terbaik untuk melindungi pengguna di cloud adalah Microsoft Entra ID Protection dengan Microsoft Entra ID P2. Microsoft terus memindai Internet untuk daftar pengguna dan kata sandi yang dijual dan disediakan oleh pelaku jahat di web gelap. ID Microsoft Entra dapat menggunakan informasi ini untuk memverifikasi apakah salah satu nama pengguna dan kata sandi di organisasi Anda disusupi. Oleh karena itu, sangat penting untuk mengaktifkan sinkronisasi hash kata sandi terlepas dari metode autentikasi mana yang Anda gunakan, baik autentikasi federasi atau pass-through. Kredensial yang bocor disajikan sebagai laporan. Gunakan informasi ini untuk memblokir atau memaksa pengguna mengubah kata sandi mereka ketika mereka mencoba masuk dengan kata sandi yang bocor.

Kesimpulan

Artikel ini menguraikan berbagai opsi autentikasi yang dapat dikonfigurasi dan disebarkan organisasi untuk mendukung akses ke aplikasi cloud. Untuk memenuhi berbagai persyaratan bisnis, keamanan, dan teknis, organisasi dapat memilih antara sinkronisasi hash kata sandi, Autentikasi Pass-through, dan federasi.

Pertimbangkan setiap metode autentikasi. Apakah upaya untuk menyebarkan solusi, dan pengalaman pengguna tentang proses masuk memenuhi kebutuhan bisnis Anda? Evaluasi apakah organisasi Anda memerlukan skenario lanjutan dan fitur kelangsungan bisnis dari setiap metode autentikasi. Terakhir, evaluasi pertimbangan setiap metode autentikasi. Apakah salah satu dari mereka mencegah Anda menerapkan pilihan Anda?

Langkah berikutnya

Di dunia saat ini, ancaman hadir 24 jam sehari dan berasal dari mana-mana. Terapkan metode autentikasi yang benar, dan itu akan mengurangi risiko keamanan Anda dan melindungi identitas Anda.

Mulai menggunakan ID Microsoft Entra dan sebarkan solusi autentikasi yang tepat untuk organisasi Anda.

Jika Anda berpikir untuk bermigrasi dari federasi ke autentikasi cloud, pelajari selengkapnya tentang mengubah metode masuk. Untuk membantu Anda merencanakan dan menerapkan migrasi, gunakan rencana penyebaran proyek ini, atau pertimbangkan untuk menggunakan fitur Peluncuran Bertahap baru untuk memigrasikan pengguna federasi menggunakan autentikasi cloud dalam pendekatan bertahap.