Akun Microsoft
Pahami cara kerja akun Microsoft untuk meningkatkan keamanan dan privasi bagi pengguna dan bagaimana Anda dapat mengelola jenis akun konsumen di organisasi Anda.
Apakah akun Microsoft itu?
Situs, layanan, properti, dan komputer Microsoft yang menjalankan Windows 10 dapat menggunakan akun Microsoft sebagai cara untuk mengidentifikasi pengguna. Akun Microsoft sebelumnya disebut Windows Live ID. Akun Microsoft memiliki rahasia yang ditentukan pengguna dan terdiri dari alamat email dan kata sandi yang unik.
Saat pengguna masuk dengan akun Microsoft, perangkat tersambung ke layanan cloud. Pengguna dapat berbagi banyak pengaturan, preferensi, dan aplikasi mereka di seluruh perangkat.
Cara kerja akun Microsoft
Pengguna dapat menggunakan akun Microsoft untuk masuk ke situs web yang mendukung layanan ini dengan menggunakan satu set kredensial. Kredensial pengguna divalidasi oleh server autentikasi akun Microsoft yang terkait dengan situs web. Microsoft Store adalah contoh asosiasi ini. Saat pengguna baru masuk ke situs web yang diaktifkan untuk menggunakan akun Microsoft, pengguna dialihkan ke server autentikasi terdekat, yang meminta nama pengguna dan kata sandi. Windows menggunakan Penyedia Dukungan Keamanan Schannel untuk membuka koneksi Keamanan Tingkat Transportasi/Lapisan Soket Aman (TLS/SSL) untuk fungsi ini. Pengguna memiliki opsi untuk menggunakan Pengelola Kredensial untuk menyimpan kredensial mereka.
Saat pengguna masuk ke situs web yang diaktifkan untuk menggunakan akun Microsoft, cookie terbatas waktu diinstal di komputer mereka. Cookie mencakup tag ID terenkripsi triple-DES. Tag ID terenkripsi telah disepakati antara server autentikasi dan situs web. Tag ID dikirim ke situs web, dan situs web menempatkan cookie HTTP terenkripsi terbatas waktu lain di komputer pengguna. Meskipun cookie valid, pengguna tidak diharuskan memasukkan nama pengguna dan kata sandi. Jika pengguna secara aktif keluar dari akun Microsoft mereka, cookie ini akan dihapus.
Catatan
Fungsionalitas akun Windows lokal masih merupakan opsi yang dapat Anda gunakan di lingkungan terkelola.
Cara membuat akun Microsoft
Untuk mencegah penipuan, sistem Microsoft memverifikasi alamat IP pengguna saat pengguna membuat akun Microsoft. Pengguna yang mencoba membuat beberapa akun Microsoft dengan menggunakan alamat IP yang sama dihentikan dari membuat lebih banyak akun. Akun Microsoft tidak dirancang untuk dibuat dalam batch, seperti untuk sekelompok pengguna domain di perusahaan Anda.
Untuk membuat akun Microsoft, pengguna memiliki dua opsi:
Gunakan alamat email yang sudah ada. Pengguna dapat menggunakan alamat email yang valid untuk mendaftar ke akun Microsoft. Layanan mengubah alamat email pengguna yang meminta menjadi akun Microsoft. Pengguna dapat memilih kata sandi terpisah untuk digunakan untuk akun Microsoft.
Daftar untuk alamat email Microsoft. Pengguna dapat mendaftar untuk akun email melalui layanan webmail Microsoft. Pengguna dapat menggunakan akun untuk masuk ke situs web yang diaktifkan untuk menggunakan akun Microsoft.
Cara informasi akun Microsoft dijaga
Informasi kredensial dienkripsi dua kali. Enkripsi pertama didasarkan pada kata sandi akun. Kredensial dienkripsi lagi ketika dikirim melalui internet. Data kredensial yang disimpan tidak tersedia untuk layanan Microsoft lain atau ke non-layanan Microsoft.
Diperlukan kata sandi yang kuat. Kata sandi kosong tidak diperbolehkan.
Untuk informasi selengkapnya, lihat Cara membantu menjaga akun Microsoft Anda tetap aman dan aman.
Diperlukan bukti identitas sekunder. Sebelum pengguna dapat mengakses informasi dan pengaturan profil pengguna pada komputer Windows kedua yang didukung untuk pertama kalinya, kepercayaan harus dibuat untuk perangkat tersebut. Untuk membangun kepercayaan, pengguna harus memberikan bukti identitas sekunder. Pengguna dapat membuktikan identitas mereka dengan memasukkan kode yang dikirim ke nomor ponsel atau dengan mengikuti instruksi yang dikirim ke alamat email alternatif yang ditentukan pengguna di pengaturan akun.
Semua data profil pengguna dienkripsi pada klien sebelum dikirimkan ke cloud. Data pengguna tidak menjelajah jaringan area luas nirkabel secara default sehingga data profil terlindungi. Semua data dan pengaturan yang meninggalkan perangkat ditransmisikan melalui protokol TLS/SSL.
Informasi keamanan akun Microsoft
Pengguna dapat menambahkan informasi keamanan ke akun Microsoft mereka melalui antarmuka Akun di komputer yang menjalankan versi Windows yang didukung. Di Akun, pengguna dapat memperbarui informasi keamanan yang mereka berikan saat membuat akun mereka. Informasi keamanan ini mencakup alamat email alternatif atau nomor telepon sehingga jika kata sandi mereka disusupi atau dilupakan, kode verifikasi dapat dikirim untuk memverifikasi identitas mereka. Pengguna berpotensi menggunakan akun Microsoft mereka untuk menyimpan data perusahaan di OneDrive pribadi atau aplikasi email. Praktik yang aman adalah agar pemilik akun selalu memperbarui informasi keamanan ini.
Akun Microsoft di perusahaan
Meskipun akun Microsoft dirancang untuk melayani konsumen, Anda mungkin memiliki situasi di mana pengguna domain Anda mungkin mendapat manfaat dengan menggunakan akun Microsoft pribadi mereka di perusahaan Anda. Daftar berikut ini menjelaskan beberapa keuntungan:
Unduh aplikasi Microsoft Store. Jika perusahaan Anda memilih untuk mendistribusikan aplikasi atau perangkat lunak melalui Microsoft Store, pengguna perusahaan dapat menggunakan akun Microsoft untuk mengunduh dan menggunakan aplikasi di hingga lima perangkat yang menjalankan versi Windows 10, Windows 8.1, Windows 8, atau Windows RT apa pun.
Akses menyeluruh. Pengguna perusahaan dapat menggunakan kredensial akun Microsoft untuk masuk ke perangkat yang menjalankan Windows 10, Windows 8.1, Windows 8, atau Windows RT. Dalam skenario ini, Windows bekerja dengan aplikasi Microsoft Store Anda untuk memberikan pengalaman terautentikasi di aplikasi. Pengguna dapat mengaitkan akun Microsoft dengan kredensial masuk mereka untuk aplikasi atau situs web Microsoft Store sehingga kredensial ini menjelajah di semua perangkat yang menjalankan versi yang didukung ini.
Sinkronisasi pengaturan yang dipersonalisasi. Pengguna dapat mengaitkan pengaturan sistem operasi yang paling umum digunakan dengan akun Microsoft. Pengaturan ini tersedia setiap kali pengguna masuk dengan akun tersebut di perangkat apa pun yang menjalankan versi Windows yang didukung dan terhubung ke cloud. Setelah pengguna masuk, perangkat secara otomatis mencoba mendapatkan pengaturan pengguna dari cloud dan menerapkannya ke perangkat.
Sinkronisasi aplikasi. Aplikasi Microsoft Store dapat menyimpan pengaturan khusus pengguna sehingga pengaturan ini tersedia untuk perangkat apa pun. Seperti halnya pengaturan sistem operasi, pengaturan aplikasi khusus pengguna ini tersedia setiap kali pengguna masuk dengan akun Microsoft yang sama di perangkat apa pun yang menjalankan versi Windows yang didukung dan terhubung ke cloud. Setelah pengguna masuk, perangkat tersebut secara otomatis mengunduh pengaturan dari cloud dan menerapkannya saat aplikasi diinstal.
Layanan media sosial terintegrasi. Informasi kontak dan status untuk teman dan rekan pengguna secara otomatis tetap terkini dari situs seperti Outlook, Facebook, Twitter, dan LinkedIn. Pengguna juga bisa mengakses dan berbagi foto, dokumen, dan file lainnya dari situs seperti OneDrive, Facebook, dan Flickr.
Mengelola akun Microsoft di domain
Bergantung pada it dan model bisnis Anda, memperkenalkan akun Microsoft ke perusahaan Anda mungkin menambahkan kompleksitas atau mungkin memberikan solusi. Anda harus mengatasi pertimbangan berikut sebelum mengizinkan penggunaan jenis akun ini di perusahaan Anda:
Membatasi penggunaan akun Microsoft
Pengaturan Kebijakan Grup berikut membantu mengontrol penggunaan akun Microsoft di perusahaan:
Aplikasi dan layanan: Memblokir autentikasi pengguna akun Microsoft
Pengaturan ini mengontrol apakah pengguna dapat menyediakan akun Microsoft untuk autentikasi untuk aplikasi atau layanan.
Jika pengaturan ini diaktifkan, semua aplikasi dan layanan di perangkat dicegah menggunakan akun Microsoft untuk autentikasi. Pengaturan ini berlaku untuk pengguna perangkat yang sudah ada dan untuk pengguna baru mana pun.
Aplikasi atau layanan apa pun yang telah mengautentikasi pengguna yang menggunakan akun Microsoft tidak terpengaruh dengan mengaktifkan pengaturan ini hingga cache autentikasi kedaluwarsa. Kami menyarankan agar Anda mengaktifkan pengaturan ini sebelum pengguna masuk ke perangkat untuk mencegah token yang di-cache mengautentikasi akun Microsoft.
Jika pengaturan ini dinonaktifkan atau tidak dikonfigurasi, aplikasi dan layanan dapat menggunakan akun Microsoft untuk autentikasi. Pengaturan ini dinonaktifkan secara default.
Pengaturan ini tidak memengaruhi apakah pengguna dapat masuk ke perangkat dengan menggunakan akun Microsoft atau kemampuan pengguna untuk menyediakan akun Microsoft melalui browser untuk autentikasi dengan aplikasi berbasis web.
Jalur ke pengaturan ini adalah Konfigurasi Komputer\Templat Administratif\Komponen Windows\akun Microsoft.
Akun: Memblokir akun Microsoft
Pengaturan ini mencegah penggunaan aplikasi Pengaturan untuk menambahkan akun Microsoft untuk autentikasi akses menyeluruh untuk layanan Microsoft dan beberapa layanan latar belakang atau menggunakan akun Microsoft untuk akses menyeluruh ke aplikasi atau layanan lain.
Jika pengaturan ini diaktifkan, pengguna memiliki dua opsi:
Pengguna tidak dapat menambahkan akun Microsoft. Akun tersambung yang ada masih dapat masuk ke perangkat (dan akun tersebut muncul di halaman Masuk ). Namun, pengguna tidak dapat menggunakan aplikasi Pengaturan untuk menambahkan akun terhubung baru atau untuk menyambungkan akun lokal ke akun Microsoft.
Pengguna tidak dapat menambahkan atau masuk dengan akun Microsoft. Pengguna tidak dapat menambahkan akun tersambung baru (atau menyambungkan akun lokal ke akun Microsoft) atau menggunakan akun tersambung yang sudah ada melalui Pengaturan.
Pengaturan ini tidak memengaruhi penambahan akun Microsoft untuk autentikasi aplikasi. Misalnya, jika pengaturan ini diaktifkan, pengguna masih dapat menyediakan akun Microsoft untuk autentikasi dengan aplikasi seperti Mail, tetapi pengguna tidak dapat menggunakan akun Microsoft untuk autentikasi akses menyeluruh untuk aplikasi atau layanan lain. Untuk aplikasi dan layanan lain, pengguna diminta untuk mengautentikasi.
Pengaturan ini tidak dikonfigurasi secara default.
Jalur ke pengaturan ini adalah Konfigurasi Komputer\Pengaturan Windows\Pengaturan Keamanan\Kebijakan Lokal\Opsi Keamanan.
Mengonfigurasi akun yang tersambung
Pengguna dapat menyambungkan akun Microsoft ke akun domain mereka dan menyinkronkan pengaturan dan preferensi antara akun. Dengan menyinkronkan pengaturan dan preferensi antara akun, pengguna melihat latar belakang desktop yang sama, pengaturan aplikasi, riwayat browser dan favorit, dan pengaturan akun Microsoft lainnya di perangkat mereka yang lain.
Memutuskan sambungan akun yang tersambung
Pengguna dapat memutuskan koneksi akun Microsoft dari akun domain mereka kapan saja: Di pengaturan PC, pilih Pengguna>Putuskan Sambungan>Selesai.
Catatan
Menyambungkan akun Microsoft ke akun domain mungkin membatasi akses ke beberapa tugas dengan hak istimewa tinggi di Windows. Misalnya, Task Scheduler mengevaluasi akun Microsoft yang tersambung untuk akses dan gagal. Dalam skenario ini, pemilik akun harus memutuskan sambungan akun.
Memprovisikan akun Microsoft di perusahaan
Akun Microsoft adalah akun pengguna privat. Microsoft tidak menyediakan cara untuk menyediakan akun Microsoft untuk perusahaan. Perusahaan harus menggunakan akun domain.
Mengaudit aktivitas akun
Karena akun Microsoft berbasis internet, Windows tidak memiliki cara untuk mengaudit akun Microsoft kecuali akun tersebut dikaitkan dengan akun domain. Anda tidak dapat mengaudit aktivitas akun yang tidak terkait dengan domain Anda karena pengguna dapat memutuskan sambungan akun atau meninggalkan domain kapan saja.
Mengatur ulang kata sandi
Hanya pemilik akun Microsoft yang dapat mengubah kata sandi yang terkait dengan akun tersebut. Pengguna dapat mengubah kata sandi untuk akun Microsoft mereka di portal masuk akun Microsoft.
Membatasi penginstalan dan penggunaan aplikasi
Dalam organisasi, Anda dapat mengatur kebijakan kontrol aplikasi untuk mengatur penginstalan dan penggunaan aplikasi untuk akun Microsoft. Untuk informasi selengkapnya, lihat AppLocker dan Aplikasi paket dan aturan penginstal aplikasi paket di AppLocker.