Apa itu pengaturan ulang kata sandi mandiri di ID Microsoft Entra?
Anda diminta untuk menilai cara mengurangi biaya staf dukungan di organisasi ritel Anda. Anda memperhatikan bahwa staf dukungan menghabiskan banyak waktu mereka untuk menyetel ulang kata sandi pengguna. Pengguna sering mengeluh tentang penundaan dengan proses ini, dan penundaan ini berdampak pada produktivitas mereka. Anda ingin memahami bagaimana Anda dapat mengonfigurasi Azure untuk memungkinkan pengguna mengelola kata sandi mereka sendiri.
Di unit ini, Anda akan mempelajari cara kerja pengaturan ulang kata sandi mandiri (SSPR) di ID Microsoft Entra.
Mengapa menggunakan SSPR?
Di ID Microsoft Entra, setiap pengguna dapat mengubah kata sandi mereka jika mereka sudah masuk. Namun, jika mereka tidak masuk dan lupa kata sandi atau kata sandinya kedaluwarsa, mereka harus menyetel ulang kata sandi mereka. Dengan SSPR, pengguna dapat mengatur ulang kata sandi mereka di browser web atau dari layar masuk Windows untuk mendapatkan kembali akses ke Azure, Microsoft 365, dan aplikasi lain yang menggunakan ID Microsoft Entra untuk autentikasi.
SSPR mengurangi beban pada administrator, karena pengguna dapat memperbaiki masalah kata sandi itu sendiri tanpa harus memanggil staf dukungan. Selain itu, meminimalkan dampak produktivitas dari kata sandi yang terlupakan atau kedaluwarsa. Pengguna tidak perlu menunggu sampai administrator tersedia untuk menyetel ulang kata sandi mereka.
Cara kerja SSPR
Pengguna memulai pengaturan ulang kata sandi baik dengan langsung masuk ke portal reset kata sandi atau dengan memilih tautan Tidak dapat mengakses akun Anda di halaman masuk. Portal setel ulang mengambil langkah-langkah berikut:
- Pelokalan:Portal memeriksa pengaturan lokal browser dan merender halaman SSPR dalam bahasa yang sesuai.
- Verifikasi: Pengguna memasukkan nama pengguna mereka dan lolos captcha untuk memastikan bahwa ini adalah pengguna dan bukan bot.
- Autentikasi: Pengguna memasukkan data yang diperlukan untuk mengautentikasi identitas mereka. Misalnya, mereka dapat memasukkan kode atau menjawab pertanyaan keamanan.
- Setel ulang kata sandi : Jika pengguna lulus tes autentikasi, mereka dapat memasukkan kata sandi baru dan mengonfirmasinya.
- Pemberitahuan: Sebuah pesan dikirim ke pengguna untuk mengonfirmasi pengaturan ulang.
Ada beberapa cara untuk menyesuaikan pengalaman pengguna SSPR. Misalnya, Anda dapat menambahkan logo perusahaan ke halaman masuk sehingga pengguna tahu bahwa mereka berada di tempat yang tepat untuk mengatur ulang kata sandi mereka.
Mengautentikasi setel ulang kata sandi
Sangat penting untuk memverifikasi identitas pengguna sebelum Anda mengizinkan pengaturan ulang kata sandi. Pengguna berbahaya mungkin mengeksploitasi kelemahan apa pun dalam sistem untuk meniru pengguna tersebut. Azure mendukung enam cara berbeda untuk mengautentikasi permintaan setel ulang.
Sebagai administrator, Anda dapat memilih metode yang akan digunakan saat mengonfigurasi SSPR. Aktifkan dua atau beberapa metode ini sehingga pengguna dapat memilih metode yang dapat mereka gunakan dengan mudah. Metodenya adalah:
| Metode autentikasi | Cara mendaftar | Cara mengautentikasi untuk setel ulang kata sandi |
|---|---|---|
| Pemberitahuan aplikasi seluler | Instal aplikasi Microsoft Authenticator di perangkat seluler Anda, lalu daftarkan di halaman penyiapan autentikasi multifaktor. | Azure mengirimkan pemberitahuan ke aplikasi, yang dapat Anda verifikasi atau tolak. |
| Kode aplikasi seluler | Metode ini juga menggunakan aplikasi Authenticator, dan Anda menginstal serta mendaftarkannya dengan cara yang sama. | Masukkan kode dari aplikasi. |
| Berikan alamat email yang berada di luar Azure dan Microsoft 365. | Azure mengirim kode ke alamat, yang Anda masukkan dalam wizard setel ulang. | |
| Ponsel | Berikan nomor ponsel. | Azure mengirim kode ke telepon dalam pesan SMS, yang Anda masukkan dalam panduan setel ulang. Anda juga dapat memilih untuk mendapatkan panggilan otomatis. |
| Telepon kantor | Berikan nomor telepon non-ponsel. | Anda menerima panggilan otomatis ke nomor ini dan tekan #. |
| Pertanyaan keamanan | Pilih pertanyaan seperti "Di kota apa ibumu lahir?" dan simpan tanggapan mereka. | Jawab pertanyaannya. |
Dalam organisasi Microsoft Entra gratis dan uji coba, opsi panggilan telepon tidak didukung.
Memerlukan jumlah minimum metode autentikasi
Anda dapat menentukan jumlah minimum metode yang harus disiapkan pengguna: satu atau dua. Misalnya, Anda dapat mengaktifkan metode kode aplikasi seluler, email, telepon kantor, dan pertanyaan keamanan serta menentukan minimal dua metode. Pengguna kemudian dapat memilih dua metode yang mereka sukai, seperti kode aplikasi seluler dan email.
Untuk metode pertanyaan keamanan, Anda dapat menentukan jumlah minimum pertanyaan yang harus disiapkan pengguna untuk mendaftar untuk metode ini. Anda juga dapat menentukan jumlah minimum pertanyaan yang harus mereka jawab dengan benar untuk mengatur ulang kata sandi mereka.
Setelah pengguna Anda mendaftarkan informasi yang diperlukan untuk jumlah minimum metode yang Anda tentukan, mereka dianggap terdaftar untuk SSPR.
Rekomendasi
- Aktifkan dua atau beberapa metode permintaan setel ulang autentikasi.
- Gunakan pemberitahuan atau kode aplikasi seluler sebagai metode utama, tetapi juga aktifkan email atau metode telepon kantor untuk mendukung pengguna tanpa perangkat seluler.
- Metode ponsel bukanlah metode yang direkomendasikan, karena dimungkinkan untuk mengirim pesan SMS penipuan.
- Opsi pertanyaan keamanan adalah metode yang paling tidak direkomendasikan, karena jawaban atas pertanyaan keamanan mungkin diketahui oleh orang lain. Hanya gunakan metode pertanyaan keamanan dalam kombinasi dengan setidaknya satu metode lain.
Akun yang terkait dengan peran administrator
- Kebijakan autentikasi dua metode yang kuat selalu diterapkan ke akun dengan peran administrator, terlepas dari konfigurasi Anda untuk pengguna lain.
- Metode pertanyaan keamanan tidak tersedia untuk akun yang terkait dengan peran administrator.
Mengonfigurasi pemberitahuan
Administrator dapat memilih cara pengguna diberi tahu tentang perubahan kata sandi. Ada dua opsi yang dapat Anda aktifkan:
- Memberi tahu pengguna tentang penyetelan ulang kata sandi: Pengguna yang menyetel ulang kata sandi mereka sendiri akan diberi tahu ke alamat email utama dan sekunder mereka. Jika setel ulang dilakukan oleh pengguna berbahaya, pemberitahuan ini memperingatkan pengguna, yang dapat mengambil langkah mitigasi.
- Memberi tahu semua admin saat admin lain menyetel ulang kata sandi mereka: Semua administrator akan diberi tahu saat administrator lain menyetel ulang kata sandi mereka.
Persyaratan lisensi
Ada tiga edisi ID Microsoft Entra: gratis, Premium P1, dan Premium P2. Fungsionalitas pengaturan ulang kata sandi yang dapat Anda gunakan tergantung pada edisi Anda.
Setiap pengguna yang masuk dapat mengubah kata sandi mereka, terlepas dari edisi ID Microsoft Entra.
Jika Anda tidak masuk dan lupa kata sandi atau kata sandi Anda telah kedaluwarsa, Anda dapat menggunakan SSPR di Microsoft Entra ID P1 atau P2. Opsi ini juga tersedia pada Aplikasi Microsoft 365 untuk bisnis atau Microsoft 365.
Dalam situasi hibrid, di mana Anda memiliki Active Directory lokal dan ID Microsoft Entra di cloud, setiap perubahan kata sandi di cloud harus ditulis kembali ke direktori lokal. Dukungan tulis balik ini tersedia di Microsoft Entra ID P1 atau P2. Opsi ini juga tersedia pada Aplikasi Microsoft 365 untuk bisnis.
Opsi penyebaran SSPR
Anda dapat menyebarkan SSPR dengan tulis balik kata sandi dengan menggunakan Microsoft Entra Koneksi atau sinkronisasi cloud, tergantung pada kebutuhan pengguna. Anda dapat menyebarkan setiap opsi secara berdampingan di domain yang berbeda untuk menargetkan sekumpulan pengguna yang berbeda. Ini membantu pengguna yang ada di tempat untuk menulis kembali perubahan kata sandi, sambil menambahkan opsi untuk pengguna di domain yang terputus karena penggabungan atau pemisahan perusahaan. Pengguna dari domain lokal yang sudah ada dapat menggunakan Microsoft Entra Koneksi, sementara pengguna baru dari penggabungan dapat menggunakan sinkronisasi cloud di domain lain. Sinkronisasi cloud juga dapat memberikan ketersediaan yang lebih tinggi, karena tidak bergantung pada satu instans Microsoft Entra Koneksi. Untuk perbandingan fitur antara dua opsi penyebaran, lihat Perbandingan antara Microsoft Entra Koneksi dan sinkronisasi cloud.