Memenuhi persyaratan autentikasi multifaktor memorandum 22-09

Pelajari tentang menggunakan MICROSOFT Entra ID sebagai sistem manajemen identitas terpusat saat menerapkan prinsip Zero Trust. Lihat, Us Office of Management and Budget (OMB) M 22-09 Memorandum untuk Kepala Departemen Eksekutif dan Badan.

Persyaratan memo adalah bahwa karyawan menggunakan identitas yang dikelola perusahaan untuk mengakses aplikasi, dan bahwa autentikasi multifaktor melindungi karyawan dari serangan online canggih, seperti phishing. Metode serangan ini mencoba untuk mendapatkan dan membahayakan kredensial, dengan tautan ke situs inauthentic.

Autentikasi multifaktor mencegah akses tidak sah ke akun dan data. Persyaratan memo mengutip autentikasi multifaktor dengan metode tahan phishing: proses autentikasi yang dirancang untuk mendeteksi dan mencegah pengungkapan rahasia dan output autentikasi ke situs web atau aplikasi yang menyamar sebagai sistem yang sah. Oleh karena itu, tetapkan metode autentikasi multifaktor apa yang memenuhi syarat sebagai tahan phishing.

Metode tahan phishing

Beberapa lembaga federal telah menyebarkan kredensial modern seperti kunci keamanan FIDO2 atau Windows Hello untuk Bisnis. Banyak yang mengevaluasi autentikasi Microsoft Entra dengan sertifikat.

Selengkapnya:

• Kunci keamanan Fido2
• Windows Hello for Business
• Gambaran umum autentikasi berbasis sertifikat Microsoft Entra

Beberapa lembaga memodernisasi kredensial autentikasi mereka. Ada beberapa opsi untuk memenuhi persyaratan autentikasi multifaktor tahan phishing dengan ID Microsoft Entra. Microsoft merekomendasikan untuk mengadopsi metode autentikasi multifaktor tahan phishing yang cocok dengan kemampuan agensi. Pertimbangkan apa yang mungkin sekarang untuk autentikasi multifaktor tahan phishing untuk meningkatkan postur keamanan cyber secara keseluruhan. Menerapkan kredensial modern. Namun, jika jalur tercepat bukan pendekatan modern, ambil langkah untuk memulai perjalanan menuju pendekatan modern.

Pendekatan modern

• Kunci keamanan FIDO2 adalah, menurut Cybersecurity & Infrastructure Security Agency (CISA) standar emas autentikasi multifaktor
  • Lihat, Opsi autentikasi tanpa kata sandi untuk ID Microsoft Entra, kunci keamanan FIDO2
  • Buka cisa.gov untuk Lebih dari Kata Sandi
• Autentikasi sertifikat Microsoft Entra tanpa dependensi pada penyedia identitas federasi.
  • Solusi ini mencakup implementasi kartu pintar: Kartu Akses Umum (CAC), Verifikasi Identitas Pribadi (PIV), dan kredensial PIV turunan untuk perangkat seluler atau kunci keamanan
  • Lihat, Gambaran Umum autentikasi berbasis sertifikat Microsoft Entra
• Windows Hello untuk Bisnis memiliki autentikasi multifaktor tahan phishing
  • Lihat, gambaran umum penyebaran Windows Hello untuk Bisnis
  • Lihat, Windows Hello untuk Bisnis

Perlindungan dari phishing eksternal

Kebijakan Microsoft Authenticator dan Akses Bersyarah memberlakukan perangkat terkelola: Perangkat atau perangkat yang bergabung dengan hibrid Microsoft Entra yang ditandai sebagai sesuai. Instal Microsoft Authenticator pada perangkat yang mengakses aplikasi yang dilindungi oleh ID Microsoft Entra.

Pelajari selengkapnya: Metode autentikasi di MICROSOFT Entra ID - Aplikasi Microsoft Authenticator

Penting

Untuk memenuhi persyaratan tahan pengelabuan: Kelola hanya perangkat yang mengakses aplikasi yang dilindungi. Pengguna yang diizinkan untuk menggunakan Microsoft Authenticator berada dalam cakupan kebijakan Akses Bersyarat yang memerlukan perangkat terkelola untuk akses. Kebijakan Akses Bersyar memblokir akses ke Aplikasi Cloud Pendaftaran Microsoft Intune. Pengguna yang diizinkan untuk menggunakan Microsoft Authenticator berada dalam cakupan untuk kebijakan Akses Bersyar ini. Gunakan grup yang sama untuk mengizinkan autentikasi Microsoft Authenticator dalam kebijakan Akses Bersyarat untuk memastikan bahwa pengguna yang diaktifkan untuk metode autentikasi berada dalam cakupan untuk kedua kebijakan. Kebijakan Akses Bersyar ini mencegah vektor ancaman pengelabuan yang paling signifikan dari pelaku eksternal berbahaya. Ini juga mencegah aktor jahat mengelabui Microsoft Authenticator untuk mendaftarkan kredensial, atau bergabung dengan perangkat dan mendaftarkannya di Intune untuk menandainya sebagai sesuai.

Selengkapnya:

• Merencanakan implementasi gabungan hibrid Microsoft Entra Anda, atau
• Cara: Merencanakan implementasi gabungan Microsoft Entra Anda
• Lihat juga, kebijakan Akses Bersyarat Umum: Memerlukan perangkat yang sesuai, perangkat gabungan hibrid Microsoft Entra, atau autentikasi multifaktor untuk semua pengguna

Catatan

Microsoft Authenticator tidak tahan phishing. Konfigurasikan kebijakan Akses Bersyarat untuk mengharuskan perangkat terkelola mendapatkan perlindungan dari ancaman pengelabuan eksternal.

Warisan

Penyedia identitas federasi (IdP) seperti Layanan Federasi Direktori Aktif (AD FS) dikonfigurasi dengan metode tahan phishing. Sementara lembaga mencapai ketahanan phishing dengan IdP federasi, itu menambah biaya, kompleksitas, dan risiko. Microsoft mendorong manfaat keamanan IdP Microsoft Entra, menghapus risiko terkait dari IdP federasi

Selengkapnya:

• Melindungi Microsoft 365 dari serangan lokal
• Menyebarkan Layanan Federasi Ad di Azure
• Mengonfigurasi Active Directory Federation Services untuk autentikasi sertifikat pengguna

Pertimbangan metode tahan pengelabuan

Kemampuan perangkat Anda saat ini, persona pengguna, dan persyaratan lainnya mungkin menentukan metode multifaktor. Misalnya, kunci keamanan FIDO2 dengan dukungan USB-C memerlukan perangkat dengan port USB-C. Pertimbangkan informasi berikut saat mengevaluasi autentikasi multifaktor tahan phishing:

• Jenis dan kemampuan perangkat yang dapat Anda dukung: kios, laptop, ponsel, pembaca biometrik, USB, Bluetooth, dan perangkat komunikasi di dekat lapangan
• Persona pengguna organisasi: pekerja garis depan, pekerja jarak jauh dengan dan tanpa perangkat keras milik perusahaan, administrator dengan stasiun kerja akses istimewa, dan pengguna tamu bisnis-ke-bisnis
• Logistik: mendistribusikan, mengonfigurasi, dan mendaftarkan metode autentikasi multifaktor seperti kunci keamanan FIDO2, kartu pintar, peralatan yang dilengkapi pemerintah, atau perangkat Windows dengan chip TPM
• Validasi Federal Information Processing Standards (FIPS) 140 pada tingkat jaminan pengautentikasi: beberapa kunci keamanan FIDO adalah FIPS 140 yang divalidasi pada tingkat untuk AAL3 yang ditetapkan oleh NIST SP 800-63B
  • Lihat, Tingkat jaminan Authenticator
  • Lihat, jaminan pengautentikasi NIST tingkat 3 dengan menggunakan ID Microsoft Entra
  • Buka nist.gov untuk Publikasi Khusus NIST 800-63B, Panduan Identitas Digital

Pertimbangan implementasi untuk autentikasi multifaktor tahan phishing

Lihat bagian berikut untuk dukungan penerapan metode tahan pengelabuan untuk masuk aplikasi dan perangkat virtual.

Skenario kredensial masuk aplikasi dari klien yang berbeda-beda

Tabel berikut merinci ketersediaan skenario autentikasi multifaktor tahan phishing, berdasarkan jenis perangkat yang digunakan untuk masuk ke aplikasi:

Perangkat	Layanan Federasi Direktori Aktif sebagai IdP federasi dengan autentikasi sertifikat	Autentikasi sertifikat Microsoft Entra	Kunci keamanan FIDO2	Windows Hello untuk Bisnis	Microsoft Authenticator dengan kebijakan Akses Bersyariah yang memberlakukan gabungan hibrid Microsoft Entra atau perangkat yang sesuai
Perangkat Windows
Perangkat seluler iOS			Tidak berlaku	Tidak berlaku
Perangkat seluler Android			Tidak berlaku	Tidak berlaku
Perangkat macOS			Edge/Chrome	Tidak berlaku

Pelajari lebih lanjut: Dukungan browser untuk autentikasi tanpa kata sandi FIDO2

Skenario kredensial masuk perangkat virtual yang membutuhkan integrasi

Untuk menerapkan autentikasi multifaktor tahan phishing, integrasi mungkin diperlukan. Terapkan autentikasi multifaktor untuk pengguna yang mengakses aplikasi dan perangkat. Untuk lima jenis autentikasi multifaktor tahan phishing, gunakan fitur yang sama untuk mengakses jenis perangkat berikut:

Sistem target	Tindakan integrasi
Mesin virtual (VM) Azure Linux	Mengaktifkan VM Linux untuk masuk Microsoft Entra
Mesin Virtual Azure Windows	Mengaktifkan VM Windows untuk masuk Microsoft Entra
Azure Virtual Desktop	Mengaktifkan Azure Virtual Desktop untuk masuk Microsoft Entra
Mesin virtual di-hosting secara lokal atau di cloud lain	Aktifkan Azure Arc pada VM lalu aktifkan masuk Microsoft Entra. Saat ini dalam pratinjau privat untuk Linux. Dukungan untuk VM Windows yang dihosting di lingkungan ini ada di peta strategi kami.
Solusi desktop virtual non-Microsoft	Mengintegrasikan solusi desktop virtual sebagai aplikasi di ID Microsoft Entra

Memberlakukan autentikasi multifaktor tahan pengelabuan

Gunakan Akses Bersyarah untuk memberlakukan autentikasi multifaktor untuk pengguna di penyewa Anda. Dengan penambahan kebijakan akses lintas penyewa, Anda dapat menerapkannya pada pengguna eksternal.

Pelajari selengkapnya: Gambaran Umum: Akses lintas penyewa dengan MICROSOFT Entra External ID

Penegakan hukum lintas lembaga

Gunakan kolaborasi Microsoft Entra B2B untuk memenuhi persyaratan yang memfasilitasi integrasi:

• Membatasi apa yang diakses pengguna Anda oleh penyewa Microsoft lainnya
• Izinkan akses ke pengguna yang tidak perlu Anda kelola di penyewa Anda, tetapi terlaksana autentikasi multifaktor dan persyaratan akses lainnya

Pelajari selengkapnya: Gambaran umum kolaborasi B2B

Menerapkan autentikasi multifaktor untuk mitra dan pengguna eksternal yang mengakses sumber daya organisasi. Tindakan ini umum dalam skenario kolaborasi antar lembaga. Gunakan kebijakan akses lintas penyewa Microsoft Entra untuk mengonfigurasi autentikasi multifaktor untuk pengguna eksternal yang mengakses aplikasi dan sumber daya.

Konfigurasikan pengaturan kepercayaan dalam kebijakan akses lintas penyewa untuk mempercayai metode autentikasi multifaktor yang digunakan penyewa pengguna tamu. Hindari meminta pengguna mendaftarkan metode autentikasi multifaktor dengan penyewa Anda. Aktifkan kebijakan ini berdasarkan per organisasi. Anda dapat menentukan metode autentikasi multifaktor di penyewa beranda pengguna dan memutuskan apakah mereka memenuhi persyaratan ketahanan phishing.

Kebijakan kata sandi

Memo ini mengharuskan organisasi mengubah kebijakan kata sandi yang tidak efektif, seperti kata sandi yang kompleks dan diputar. Penerapan termasuk menghapus persyaratan untuk karakter dan angka khusus, dengan kebijakan rotasi kata sandi berbasis waktu. Sebagai gantinya, pertimbangkan opsi berikut:

• Perlindungan kata sandi untuk memberlakukan daftar umum kata sandi lemah yang dipertahankan Microsoft
  • Selain itu, sertakan kata sandi terlarang kustom
  • Lihat, Menghilangkan kata sandi yang buruk menggunakan Perlindungan Kata Sandi Microsoft Entra
• Pengaturan ulang kata sandi mandiri untuk memungkinkan pengguna mengatur ulang kata sandi, misalnya setelah pemulihan akun
  • Tutorial: Memungkinkan pengguna untuk membuka kunci akun atau mereset kata sandi mereka menggunakan reset kata sandi layanan mandiri Microsoft Entra
• Microsoft Entra ID Protection untuk pemberitahuan tentang kredensial yang disusupi
• Apa itu risiko?

Meskipun memo tidak spesifik tentang kebijakan yang akan digunakan dengan kata sandi, pertimbangkan standar dari NIST 800-63B.

Lihat, Publikasi Khusus NIST 800-63B, Pedoman Identitas Digital.

Langkah berikutnya

• Memenuhi persyaratan identitas memorandum 22-09 dengan ID Microsoft Entra
• Sistem manajemen identitas di seluruh perusahaan
• Memenuhi persyaratan otorisasi memorandum 22-09
• Area lain dari Zero Trust yang ditujukan dalam nota 22-09
• Mengamankan identitas dengan Zero Trust