Metode-metode autentikasi dan verifikasi apakah yang tersedia di Microsoft Entra ID?

Microsoft menyarankan metode autentikasi tanpa kata sandi seperti Windows Hello, kunci keamanan FIDO2, dan aplikasi Microsoft Authenticator karena metode tersebut memberikan pengalaman rincian masuk yang paling aman. Meskipun pengguna dapat masuk menggunakan metode umum lainnya seperti nama pengguna dan kata sandi, kata sandi harus diganti dengan metode autentikasi yang lebih aman.

Illustration of the strengths and preferred authentication methods in Microsoft Entra ID.

Autentikasi multifaktor Microsoft Entra menambahkan keamanan tambahan hanya menggunakan kata sandi saat pengguna masuk. Pengguna dapat dimintai formulir autentikasi tambahan, seperti merespons pemberitahuan push, memasukkan kode dari token perangkat lunak atau perangkat keras, atau merespons pesan teks atau panggilan telepon.

Untuk menyederhanakan pengalaman onboarding pengguna dan mendaftar untuk MFA dan reset kata sandi mandiri (SSPR), kami menyarankan Anda untuk mengaktifkan pendaftaran informasi keamanan gabungan. Untuk ketahanan, kami menyarankan Anda untuk mewajibkan pengguna mendaftarkan beberapa metode autentikasi. Saat satu metode tidak tersedia untuk pengguna selama masuk atau SSPR, mereka dapat memilih untuk mengautentikasi dengan metode lain. Untuk informasi selengkapnya, lihat Membuat strategi manajemen kontrol akses yang tangguh di ID Microsoft Entra.

Berikut adalah video yang kami buat untuk membantu Anda memilih metode autentikasi terbaik agar organisasi Anda tetap aman.

Kekuatan dan keamanan metode autentikasi

Saat Anda menyebarkan fitur seperti autentikasi multifaktor Microsoft Entra di organisasi Anda, tinjau metode autentikasi yang tersedia. Pilih metode yang memenuhi atau melampaui persyaratan Anda dalam hal keamanan, kegunaan, dan ketersediaan. Jika memungkinkan, gunakan metode autentikasi dengan tingkat keamanan tertinggi.

Tabel berikut menguraikan pertimbangan keamanan untuk metode autentikasi yang tersedia. Ketersediaan adalah indikasi pengguna dapat menggunakan metode autentikasi, bukan ketersediaan layanan di ID Microsoft Entra:

Metode autentikasi Keamanan Kegunaan Ketersediaan
Windows Hello untuk Bisnis Sangat Penting Sangat Penting Sangat Penting
Microsoft Authenticator Sangat Penting Sangat Penting Sangat Penting
Authenticator Lite Sangat Penting Sangat Penting Sangat Penting
Kunci keamanan FIDO2 Sangat Penting Sangat Penting Sangat Penting
Autentikasi berbasis sertifikat Sangat Penting Sangat Penting Sangat Penting
Token perangkat keras OATH (pratinjau) Medium Medium Sangat Penting
Token perangkat lunak OATH Medium Medium Sangat Penting
Kode Akses Sementara (TAP) Medium Sangat Penting Sangat Penting
SMS Medium Sangat Penting Medium
Suara Medium Medium Medium
Kata sandi Rendah Tinggi Sangat Penting

Untuk mengetahui informasi terbaru tentang keamanan, lihat posting blog kami:

Tip

Untuk fleksibilitas dan kegunaan, kami sarankan Anda menggunakan aplikasi Microsoft Authenticator. Metode autentikasi ini memberikan pengalaman pengguna terbaik dan beberapa mode, seperti tanpa kata sandi, pemberitahuan push MFA, dan kode OATH.

Cara kerja setiap metode autentikasi

Beberapa metode autentikasi dapat digunakan sebagai faktor utama saat Anda masuk ke aplikasi atau perangkat, seperti menggunakan kunci keamanan FIDO2 atau kata sandi. Metode autentikasi lainnya hanya tersedia sebagai faktor sekunder saat Anda menggunakan autentikasi multifaktor Microsoft Entra atau SSPR.

Tabel berikut ini menguraikan kapan metode autentikasi dapat digunakan selama peristiwa masuk:

Metode Autentikasi utama Autentikasi Sekunder
Windows Hello untuk Bisnis Ya MFA*
Microsoft Authenticator (Dorong) No MFA dan SSPR
Microsoft Authenticator (Tanpa Kata Sandi) Ya Tidak*
Authenticator Lite No MFA
Kunci keamanan FIDO2 Ya MFA
Autentikasi berbasis sertifikat Ya MFA
Token perangkat keras OATH (pratinjau) No MFA dan SSPR
Token perangkat lunak OATH No MFA dan SSPR
Kode Akses Sementara (TAP) Ya MFA
SMS Ya MFA dan SSPR
Panggilan suara No MFA dan SSPR
Kata sandi Ya Tidak

* Windows Hello untuk Bisnis, dengan sendirinya, tidak berfungsi sebagai informasi masuk MFA yang ditingkatkan. Misalnya, Tantangan MFA dari Frekuensi Kredensial Masuk atau Permintaan SAML yang berisi forceAuthn=true. Windows Hello untuk Bisnis dapat berfungsi sebagai informasi masuk MFA yang ditingkatkan dengan digunakan dalam autentikasi FIDO2. Ini mengharuskan pengguna untuk diaktifkan agar autentikasi FIDO2 berhasil berfungsi.

* Masuk tanpa kata sandi dapat digunakan untuk autentikasi sekunder hanya jika autentikasi berbasis sertifikat (CBA) digunakan untuk autentikasi utama. Untuk informasi selengkapnya, lihat Mendalami teknis autentikasi berbasis sertifikat Microsoft Entra.

Semua metode autentikasi ini dapat dikonfigurasi di pusat admin Microsoft Entra, dan semakin menggunakan Microsoft Graph REST API.

Untuk mempelajari lebih lanjut tentang cara kerja setiap metode autentikasi, lihat artikel konseptual terpisah berikut:

Catatan

Di ID Microsoft Entra, kata sandi sering kali merupakan salah satu metode autentikasi utama. Anda tidak dapat menonaktifkan metode autentikasi kata sandi. Jika Anda menggunakan kata sandi sebagai faktor autentikasi utama, tingkatkan keamanan peristiwa masuk menggunakan autentikasi multifaktor Microsoft Entra.

Metode verifikasi tambahan berikut dapat digunakan dalam skenario tertentu:

  • Kata sandi aplikasi - digunakan untuk aplikasi lama yang tidak mendukung autentikasi modern dan dapat dikonfigurasi untuk autentikasi multifaktor Microsoft Entra per pengguna.
  • Pertanyaan keamanan - hanya digunakan untuk SSPR
  • Alamat email - hanya digunakan untuk SSPR

Metode yang dapat digunakan dan tidak dapat digunakan

Administrator dapat melihat metode autentikasi pengguna di pusat admin Microsoft Entra. Metode yang dapat digunakan dicantumkan terlebih dahulu, diikuti oleh metode yang tidak dapat digunakan.

Setiap metode autentikasi dapat menjadi tidak dapat digunakan karena alasan yang berbeda. Misalnya, Kode Akses Sementara mungkin kedaluwarsa, atau kunci keamanan FIDO2 mungkin gagal pengesahan. Portal akan diperbarui untuk memberikan alasan mengapa metode ini tidak dapat digunakan.

Metode autentikasi yang tidak lagi tersedia karena "Perlu mendaftarkan ulang autentikasi multifaktor" juga ditampilkan di sini.

Screenshot of non-usable authentication methods.

Langkah berikutnya

Untuk memulai, lihat tutorial untuk pengaturan ulang kata sandi mandiri (SSPR) dan autentikasi multifaktor Microsoft Entra.

Untuk mempelajari selengkapnya tentang konsep SSPR, lihat Cara kerja pengaturan ulang kata sandi layanan mandiri Microsoft Entra.

Untuk mempelajari selengkapnya tentang konsep MFA, lihat Cara kerja autentikasi multifaktor Microsoft Entra.

Pelajari lebih lanjut tentang mengonfigurasi metode autentikasi menggunakan Microsoft Graph REST API.

Untuk meninjau metode autentikasi apa yang digunakan, lihat Analisis metode autentikasi autentikasi multifaktor Microsoft Entra dengan PowerShell.