Acara
29 Apr, 14 - 30 Apr, 19
Bergabunglah dengan acara virtual Windows Server utama 29-30 April untuk sesi teknis mendalam dan tanya jawab langsung dengan teknisi Microsoft.
Daftar sekarangMengonfigurasi penyedia autentikasi pihak ketiga sebagai autentikasi utama di LAYANAN Federasi Direktori Aktif 2019
Organisasi mengalami serangan yang mencoba memaksa, membahayakan, atau mengunci akun pengguna dengan mengirim permintaan autentikasi berbasis kata sandi. Untuk membantu melindungi organisasi dari kompromi, Layanan Federasi Direktori Aktif telah memperkenalkan kemampuan seperti penguncian "pintar" ekstranet, dan pemblokiran berbasis alamat IP.
Namun, mitigasi ini reaktif. Untuk memberikan cara proaktif, untuk mengurangi tingkat keparahan serangan ini, Layanan Federasi Direktori Aktif memiliki kemampuan untuk meminta faktor lain sebelum mengumpulkan kata sandi.
Misalnya, AD FS 2016 memperkenalkan autentikasi multifaktor Microsoft Entra sebagai autentikasi utama sehingga kode OTP dari Aplikasi Authenticator dapat digunakan sebagai faktor pertama. Dimulai dengan Layanan Federasi Direktori Aktif 2019, Anda dapat mengonfigurasi penyedia autentikasi eksternal sebagai faktor autentikasi utama.
Ada dua skenario utama yang memungkinkan:
Lindungi masuk berbasis kata sandi dari serangan brute-force dan penguncian dengan meminta faktor eksternal tambahan terlebih dahulu. Perintah kata sandi hanya terlihat ketika autentikasi eksternal berhasil diselesaikan. Ini menghilangkan cara yang nyaman penyerang telah mencoba untuk membahayakan atau menonaktifkan akun.
Skenario ini terdiri dari dua komponen:
- Meminta autentikasi multifaktor Microsoft Entra (tersedia di Layanan Federasi Direktori Aktif 2016 dan seterusnya) atau faktor autentikasi eksternal sebagai autentikasi utama
- Nama pengguna dan kata sandi sebagai autentikasi tambahan di Layanan Federasi Direktori Aktif
Hilangkan kata sandi sepenuhnya tetapi menyelesaikan autentikasi multifaktor yang kuat menggunakan metode yang sepenuhnya tidak berbasis kata sandi di Layanan Federasi Direktori Aktif
- Autentikasi multifaktor Microsoft Entra dengan aplikasi Authenticator
- Windows 10 Hello untuk Bisnis
- Autentikasi sertifikat
- Penyedia autentikasi eksternal
Apa sebenarnya autentikasi utama berarti bahwa itu adalah metode yang diminta pengguna terlebih dahulu, sebelum faktor tambahan. Sebelumnya satu-satunya metode utama yang tersedia di Layanan Federasi Direktori Aktif dibangun dalam metode untuk Direktori Aktif atau autentikasi multifaktor Microsoft Entra, atau penyimpanan autentikasi LDAP lainnya. Metode eksternal dapat dikonfigurasi sebagai autentikasi "tambahan", yang berlangsung setelah autentikasi utama berhasil diselesaikan.
Dalam Layanan Federasi Direktori Aktif 2019, autentikasi eksternal sebagai kemampuan utama berarti bahwa setiap penyedia autentikasi eksternal yang terdaftar di farm Ad FS (menggunakan Register-AdfsAuthenticationProvider) tersedia untuk autentikasi utama dan autentikasi "tambahan". Mereka dapat diaktifkan dengan cara yang sama seperti penyedia bawaan seperti Autentikasi Formulir dan Autentikasi Sertifikat, untuk penggunaan intranet dan/atau ekstranet.
Setelah penyedia eksternal diaktifkan untuk ekstranet, intranet, atau keduanya, penyedia eksternal akan tersedia untuk digunakan pengguna. Jika lebih dari satu metode diaktifkan, pengguna melihat halaman pilihan dan dapat memilih metode utama, seperti yang mereka lakukan untuk autentikasi tambahan.
Sebelum mengonfigurasi penyedia autentikasi eksternal sebagai utama, pastikan Anda memiliki prasyarat berikut.
- Tingkat perilaku farm Layanan Federasi Direktori Aktif (FBL) telah dinaikkan menjadi '4' (Nilai ini diterjemahkan ke Layanan Federasi Direktori Aktif 2019.)
- Ini adalah nilai FBL default untuk farm AD FS 2019 baru.
- Untuk farm Layanan Federasi Direktori Aktif berdasarkan Windows Server 2012 R2 atau 2016, FBL dapat dinaikkan menggunakan commandlet PowerShell Invoke-AdfsFarmBehaviorLevelRaise. Untuk informasi selengkapnya tentang meningkatkan farm Layanan Federasi Direktori Aktif, lihat artikel peningkatan farm untuk farm SQL atau farm WID
- Anda dapat memeriksa nilai FBL menggunakan cmdlet Get-AdfsFarmInformation.
- Layanan Federasi Direktori Aktif 2019 dikonfigurasi untuk menggunakan halaman pengguna baru 'paginated' 2019.
- Ini adalah perilaku default untuk farm AD FS 2019 baru.
- Untuk farm Layanan Federasi Direktori Aktif yang ditingkatkan dari Windows Server 2012 R2 atau 2016, alur paginasi diaktifkan secara otomatis ketika autentikasi eksternal sebagai utama (fitur yang dijelaskan dalam dokumen ini) diaktifkan seperti yang dijelaskan di bagian berikutnya dari artikel ini.
Setelah Anda memverifikasi prasyarat, ada dua cara untuk mengonfigurasi penyedia autentikasi tambahan Layanan Federasi Direktori Aktif sebagai utama: PowerShell, atau konsol Manajemen Layanan Federasi Direktori Aktif.
PowerShell
PS C:\> Set-AdfsGlobalAuthenticationPolicy -AllowAdditionalAuthenticationAsPrimary $true
Layanan Layanan Federasi Direktori Aktif harus dimulai ulang setelah mengaktifkan atau menonaktifkan autentikasi tambahan sebagai utama.
Di konsol Manajemen Layanan Federasi Direktori Aktif, di bawah Metode Autentikasi Layanan>, di bawah Metode Autentikasi Utama, pilih Edit
Pilih kotak centang untuk Izinkan penyedia autentikasi tambahan sebagai utama.
Layanan Layanan Federasi Direktori Aktif harus dimulai ulang setelah mengaktifkan atau menonaktifkan autentikasi tambahan sebagai utama.
Untuk menyelesaikan skenario "lindungi kata sandi", aktifkan nama pengguna dan kata sandi sebagai autentikasi tambahan menggunakan PowerShell atau konsol Manajemen Layanan Federasi Direktori Aktif. Contoh disediakan untuk kedua metode.
PowerShell
PS C:\> $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider
PS C:\>$providers = $providers + "FormsAuthentication"
PS C:\>Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers
Mengaktifkan nama pengguna dan kata sandi sebagai autentikasi tambahan menggunakan konsol Manajemen Layanan Federasi Direktori Aktif
Di konsol Manajemen Layanan Federasi Direktori Aktif, di bawah Metode Autentikasi Layanan>, di bawah Metode Autentikasi Tambahan, pilih Edit
Pilih kotak centang untuk Autentikasi Formulir untuk mengaktifkan nama pengguna dan kata sandi sebagai autentikasi tambahan.
Sumber Daya Tambahan:
Pelatihan
Modul
Mengelola autentikasi pengguna - Training
Ada beberapa opsi untuk autentikasi di Microsoft Azure AD. Pelajari cara menerapkan dan mengelola autentikasi yang tepat untuk pengguna berdasarkan kebutuhan bisnis.
Sertifikasi
Microsoft Certified: Identitas dan Akses Administrator Associate - Certifications
Menunjukkan fitur ID Microsoft Entra untuk memodernisasi solusi identitas, menerapkan solusi hibrid, dan menerapkan tata kelola identitas.