Merencanakan penyebaran autentikasi multifaktor Anda
Sebelum Anda mulai menyebarkan autentikasi multifaktor Microsoft Entra, ada beberapa hal yang harus Anda putuskan.
Pertama, pertimbangkan untuk menjalankan MFA dalam gelombang. Mulai dengan sekelompok kecil pengguna pilot untuk mengevaluasi kompleksitas lingkungan Anda dan mengidentifikasi masalah penyiapan ataupun aplikasi atau perangkat yang tidak didukung. Kemudian, perluas grup tersebut dari waktu ke waktu dan evaluasi hasilnya dengan setiap pass hingga seluruh perusahaan Anda terdaftar.
Selanjutnya, pastikan untuk membuat rencana komunikasi lengkap. Autentikasi multifaktor Microsoft Entra memiliki beberapa persyaratan interaksi pengguna, termasuk proses pendaftaran. Terus informasikan kepada pengguna setiap langkah. Beri tahu mereka apa yang harus mereka lakukan, tanggal penting, dan cara mendapatkan jawaban atas pertanyaan jika mereka mengalami masalah. Microsoft menyediakan templat komunikasi untuk membantu menyusun komunikasi Anda, termasuk poster dan templat email.
Kebijakan autentikasi multifaktor Microsoft Entra
Autentikasi multifaktor Microsoft Entra diberlakukan dengan kebijakan Akses Bersyar. Kebijakan Akses Bersyarat adalah pernyataan IF-THEN. JIKA pengguna ingin mengakses sumber daya, MAKA mereka harus menyelesaikan tindakan. Misalnya, manajer penggajian ingin mengakses aplikasi penggajian dan diperlukan untuk melakukan autentikasi multifaktor untuk mengaksesnya. Permintaan akses umum lainnya yang mungkin memerlukan MFA meliputi:
- JIKA aplikasi cloud tertentu diakses
- JIKA pengguna mengakses jaringan tertentu
- JIKA pengguna mengakses aplikasi klien tertentu
- JIKA pengguna mendaftarkan perangkat baru
Memutuskan metode autentikasi yang didukung
Saat mengaktifkan autentikasi multifaktor Microsoft Entra, Anda dapat memilih metode autentikasi yang ingin Anda sediakan. Anda harus selalu mendukung lebih dari satu metode agar pengguna memiliki opsi cadangan jika metode utama mereka tidak tersedia. Anda dapat memilih dari metode berikut:
| Metode | Deskripsi |
|---|---|
| Kode Verifikasi Aplikasi Seluler | Aplikasi autentikasi seluler seperti aplikasi Microsoft Authenticator dapat digunakan untuk mengambil kode verifikasi OATH, yang kemudian dimasukkan ke dalam antarmuka masuk. Kode ini diubah tiap 30 detik dan aplikasi berfungsi bahkan jika konektivitas terbatas. Pendekatan ini tidak berfungsi di Tiongkok di perangkat Android. |
| Pemberitahuan aplikasi seluler | Azure dapat mengirim pemberitahuan push ke aplikasi autentikasi seluler seperti Microsoft Authenticator. Pengguna dapat memilih pemberitahuan push dan memverifikasi masuk. |
| Panggilan ke telepon | Azure dapat menghubungi nomor telepon yang disediakan. Pengguna kemudian menyetujui autentikasi menggunakan keypad. Metode ini lebih disukai untuk pencadangan. |
| Kunci keamanan FIDO2 | Kunci keamanan FIDO2 adalah metode autentikasi tanpa kata sandi berbasis standar yang tidak dapat dibedakan. Kunci ini biasanya merupakan perangkat USB, tetapi juga dapat menggunakan Bluetooth atau NFC. |
| Windows Hello for Business | Windows Hello untuk Bisnis menggantikan kata sandi dengan otentikasi dua faktor yang kuat pada perangkat. Autentikasi ini terdiri dari jenis kredensial pengguna yang terkait dengan perangkat dan menggunakan biometrik atau PIN. |
| Token OATH | Token OATH dapat menjadi aplikasi perangkat lunak seperti aplikasi Microsoft Authenticator dan aplikasi pengautentikasi lainnya, atau token berbasis perangkat keras yang dapat dibeli pelanggan dari vendor yang berbeda. |
Administrator dapat mengaktifkan satu atau beberapa opsi ini, lalu pengguna dapat memilih untuk setiap metode autentikasi dukungan yang ingin mereka gunakan.
Memilih metode autentikasi
Terakhir, Anda harus memutuskan bagaimana pengguna mendaftarkan metode yang mereka pilih. Pendekatan term mudah adalah menggunakan Microsoft Entra ID Protection. Jika organisasi Anda memiliki lisensi untuk Perlindungan Identitas, Anda dapat mengonfigurasinya untuk meminta pengguna mendaftar MFA saat berikutnya mereka masuk.
Anda juga dapat meminta pengguna untuk mendaftar MFA ketika mereka mencoba menggunakan aplikasi atau layanan yang memerlukan autentikasi multifaktor. Terakhir, Anda dapat memberlakukan pendaftaran menggunakan kebijakan Akses Bersyarat yang diterapkan ke grup Azure yang berisi semua pengguna di organisasi Anda. Pendekatan ini memerlukan beberapa pekerjaan manual untuk secara berkala meninjau grup untuk menghapus pengguna terdaftar. Untuk beberapa skrip yang berguna untuk mengotomatiskan beberapa proses ini, lihat Merencanakan penyebaran autentikasi multifaktor Microsoft Entra.