Tutorial: Mengamankan peristiwa masuk pengguna dengan autentikasi multifaktor Microsoft Entra

Autentikasi multifaktor adalah proses di mana pengguna diminta untuk bentuk identifikasi tambahan selama peristiwa masuk. Misalnya, prompt bisa untuk memasukkan kode pada ponsel mereka atau untuk memberikan pemindaian sidik jari. Ketika Anda memerlukan bentuk identifikasi kedua, keamanan ditingkatkan karena faktor tambahan ini tidak mudah bagi penyerang untuk mendapatkan atau menduplikasi.

Autentikasi multifaktor Microsoft Entra dan kebijakan Akses Bersyarat memberi Anda fleksibilitas untuk mengharuskan MFA dari pengguna untuk peristiwa masuk tertentu. Untuk gambaran umum MFA, sebaiknya tonton video ini: Cara mengonfigurasi dan menerapkan autentikasi multifaktor di penyewa Anda.

Penting

Tutorial ini menunjukkan kepada administrator cara mengaktifkan autentikasi multifaktor Microsoft Entra. Untuk menelusuri autentikasi multifaktor sebagai pengguna, lihat Masuk ke akun kerja atau sekolah Anda menggunakan metode verifikasi dua langkah Anda.

Jika tim TI Anda belum mengaktifkan kemampuan untuk menggunakan autentikasi multifaktor Microsoft Entra, atau jika Anda mengalami masalah selama masuk, hubungi Staf dukungan Anda untuk mendapatkan bantuan tambahan.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Buat kebijakan Akses Bersyar untuk mengaktifkan autentikasi multifaktor Microsoft Entra untuk sekelompok pengguna.
  • Mengonfigurasi kondisi kebijakan yang meminta MFA.
  • Uji mengonfigurasi dan menggunakan autentikasi multifaktor sebagai pengguna.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

  • Penyewa Microsoft Entra yang berfungsi dengan Microsoft Entra ID P1 atau lisensi uji coba diaktifkan.

  • Akun dengan hak istimewa Administrator Akses Bersyarat, Administrator Keamanan, atau Administrator Global. Beberapa pengaturan MFA juga dapat dikelola oleh Administrator Kebijakan Autentikasi. Untuk informasi lebih lanjut, lihat Administrator Kebijakan Autentikasi.

  • Akun non-administrator dengan kata sandi yang Anda ketahui. Untuk tutorial ini, kami membuat akun seperti itu, bernama testuser. Dalam tutorial ini, Anda menguji pengalaman pengguna akhir untuk mengonfigurasi dan menggunakan autentikasi multifaktor Microsoft Entra.

  • Grup tempat pengguna non-administrator adalah anggotanya. Untuk tutorial ini, kami membuat grup seperti itu, bernama MFA-Test-Group. Dalam tutorial ini, Anda mengaktifkan autentikasi multifaktor Microsoft Entra untuk grup ini.

Membuat Kebijakan Akses Bersyarat

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Cara yang disarankan untuk mengaktifkan dan menggunakan autentikasi multifaktor Microsoft Entra adalah dengan kebijakan Akses Bersyar. Akses Bersyarat memungkinkan Anda membuat dan menentukan kebijakan yang bereaksi terhadap peristiwa masuk dan yang meminta tindakan tambahan sebelum pengguna diberikan akses ke aplikasi atau layanan.

Overview diagram of how Conditional Access works to secure the sign-in process

Kebijakan Akses Bersyarat dapat diterapkan ke pengguna, grup, dan aplikasi tertentu. Tujuannya adalah untuk melindungi organisasi Anda sambil juga menyediakan tingkat akses yang tepat kepada pengguna yang membutuhkannya.

Dalam tutorial ini, kami membuat kebijakan Akses Bersyarat dasar untuk meminta MFA saat pengguna masuk. Dalam tutorial selanjutnya dalam seri ini, kami mengonfigurasi autentikasi multifaktor Microsoft Entra dengan menggunakan kebijakan Akses Bersyarah berbasis risiko.

Pertama, buat kebijakan Akses Bersyarat dan tetapkan sekelompok pengguna uji coba sebagai berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.

  2. Telusuri Proteksi>Akses Bersyarah, pilih + Kebijakan baru, lalu pilih Buat kebijakan baru.

    A screenshot of the Conditional Access page, where you select 'New policy' and then select 'Create new policy'.

  3. Masukkan nama untuk kebijakan, seperti MFA Pilot.

  4. Di bawah Tugas, pilih nilai saat ini di bawah Identitas Pengguna atau beban kerja.

    A screenshot of the Conditional Access page, where you select the current value under 'Users or workload identities'.

  5. Di bawah Untuk apa kebijakan ini berlaku?, verifikasi bahwa Pengguna dan grup dipilih.

  6. Di bawah Termasuk, pilih Pilih pengguna dan grup, lalu pilih Pengguna dan grup.

    A screenshot of the page for creating a new policy, where you select options to specify users and groups.

    Karena belum ada yang ditetapkan, daftar pengguna dan grup (ditunjukkan pada langkah berikutnya) akan terbuka secara otomatis.

  7. Telusuri dan pilih grup Microsoft Entra Anda, seperti MFA-Test-Group, lalu pilih Pilih.

    A screenshot of the list of users and groups, with results filtered by the letters M F A, and 'MFA-Test-Group' selected.

Kami telah memilih grup untuk menerapkan kebijakan tersebut. Di bagian berikutnya, kami mengonfigurasi kondisi di mana untuk menerapkan kebijakan.

Mengonfigurasi kondisi untuk autentikasi multifaktor

Sekarang setelah kebijakan Akses Bersyarat dibuat dan grup pengujian pengguna ditetapkan, tentukan aplikasi cloud atau tindakan yang memicu kebijakan. Aplikasi atau tindakan cloud ini adalah skenario yang Anda putuskan memerlukan pemrosesan tambahan, seperti meminta autentikasi multifaktor. Misalnya, Anda dapat memutuskan bahwa akses ke aplikasi keuangan atau penggunaan alat manajemen memerlukan prompt tambahan untuk autentikasi.

Mengonfigurasi aplikasi mana yang memerlukan autentikasi multifaktor

Untuk tutorial ini, konfigurasikan kebijakan Akses Bersyarat untuk memerlukan autentikasi multifaktor saat pengguna masuk.

  1. Pilih nilai saat ini di bawah Aplikasi atau tindakan Cloud, lalu di bawah Pilih untuk apa kebijakan ini berlaku, verifikasi bahwa aplikasi Cloud dipilih.

  2. Di bawah Sertakan, pilih Pilih aplikasi.

    Karena belum ada aplikasi yang dipilih, daftar aplikasi (ditampilkan pada langkah berikutnya) akan terbuka secara otomatis.

    Tip

    Anda dapat memilih untuk menerapkan kebijakan Akses Bersyarat ke Semua aplikasi cloud atau Pilih aplikasi. Untuk memberikan fleksibilitas, Anda juga dapat mengecualikan aplikasi tertentu dari kebijakan.

  3. Telusuri daftar acara masuk yang tersedia yang dapat digunakan. Untuk tutorial ini, pilih Windows Azure Service Management API sehingga kebijakan berlaku untuk peristiwa masuk. Lalu pilih Pilih.

    A screenshot of the Conditional Access page, where you select the app, Windows Azure Service Management API, to which the new policy will apply.

Mengonfigurasi autentikasi multifaktor untuk akses

Selanjutnya, kami mengonfigurasi kontrol akses. Kontrol akses memungkinkan Anda menentukan persyaratan bagi pengguna untuk diberikan akses. Mereka mungkin diperlukan untuk menggunakan aplikasi klien yang disetujui atau perangkat yang bergabung dengan hibrid ke ID Microsoft Entra.

Dalam tutorial ini, konfigurasikan kontrol akses untuk memerlukan autentikasi multifaktor selama peristiwa masuk.

  1. Di bawah Kontrol akses, pilih nilai saat ini di bawah Hibah, lalu pilih Berikan akses.

    A screenshot of the Conditional Access page, where you select 'Grant' and then select 'Grant access'.

  2. Pilih Perlu autentikasi multifaktor, lalu pilih Pilih.

    A screenshot of the options for granting access, where you select 'Require multi-factor authentication'.

Mengaktifkan kebijakan

Kebijakan Akses Bersyarat dapat diatur ke Laporan-saja jika Anda ingin melihat bagaimana konfigurasi akan memengaruhi pengguna, atau Nonaktif jika Anda tidak ingin menggunakan kebijakan saat ini. Karena grup pengujian pengguna ditargetkan untuk tutorial ini, mari kita aktifkan kebijakan, lalu uji autentikasi multifaktor Microsoft Entra.

  1. Di bawah Aktifkan kebijakan, pilih Aktif.

    A screenshot of the control that's near the bottom of the web page where you specify whether the policy is enabled.

  2. Untuk menerapkan kebijakan Akses Bersyarat, pilih Buat.

Menguji autentikasi multifaktor Microsoft Entra

Mari kita lihat kebijakan Akses Bersyar anda dan autentikasi multifaktor Microsoft Entra sedang beraksi.

Pertama, masuk ke sumber daya yang tidak memerlukan MFA:

  1. Buka jendela browser baru dalam mode InPrivate atau penyamaran dan telusuri ke https://account.activedirectory.windowsazure.com.

    Menggunakan mode privat untuk browser Anda mencegah kredensial yang ada memengaruhi peristiwa masuk ini.

  2. Masuk dengan pengguna uji coba non-administrator, seperti testuser. Pastikan untuk menyertakan @ dan nama domain untuk akun pengguna.

    Jika ini adalah contoh pertama masuk dengan akun ini, Anda akan diminta untuk mengubah kata sandi. Namun, tidak ada permintaan bagi Anda untuk mengonfigurasi atau menggunakan autentikasi multifaktor.

  3. Tutup jendela browser.

Anda mengonfigurasi kebijakan Akses Bersyarat untuk memerlukan autentikasi tambahan untuk masuk. Karena konfigurasi tersebut, Anda diminta untuk menggunakan autentikasi multifaktor Microsoft Entra atau untuk mengonfigurasi metode jika Anda belum melakukannya. Uji persyaratan baru ini dengan masuk ke pusat admin Microsoft Entra:

  1. Buka jendela browser baru dalam mode InPrivate atau penyamaran dan masuk ke pusat admin Microsoft Entra.

  2. Masuk dengan pengguna uji coba non-administrator, seperti testuser. Pastikan untuk menyertakan @ dan nama domain untuk akun pengguna.

    Anda diharuskan mendaftar dan menggunakan autentikasi multifaktor Microsoft Entra.

    A prompt that says 'More information required.' This is a prompt to configure a method of multi-factor authentication for this user.

  3. Pilih Berikutnya untuk memulai proses.

    Anda dapat memilih untuk mengonfigurasi telepon autentikasi, telepon kantor, atau aplikasi seluler untuk autentikasi. Autentikasi telepon mendukung pesan teks dan panggilan telepon, telepon kantor mendukung panggilan ke nomor yang memiliki ekstensi, dan aplikasi ponsel mendukung penggunaan aplikasi ponsel untuk menerima pemberitahuan untuk autentikasi atau untuk menghasilkan kode autentikasi.

    A prompt that says, 'Additional security verification.' This is a prompt to configure a method of multi-factor authentication for this user. You can choose as the method an authentication phone, an office phone, or a mobile app.

  4. Selesaikan instruksi di layar untuk mengonfigurasi metode autentikasi multifaktor yang telah Anda pilih.

  5. Tutup jendela browser, dan masuk ke pusat admin Microsoft Entra lagi untuk menguji metode autentikasi yang Anda konfigurasikan. Misalnya, jika Anda mengonfigurasi aplikasi seluler untuk autentikasi, Anda akan melihat prompt seperti berikut ini.

    To sign in, follow the prompts in your browser and then the prompt on the device that you registered for multifactor authentication.

  6. Tutup jendela browser.

Membersihkan sumber daya

Jika Anda tidak lagi ingin menggunakan kebijakan Akses Bersyarat yang Anda konfigurasikan sebagai bagian dari tutorial ini, hapus kebijakan dengan menggunakan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.

  2. Telusuri Ke Akses Bersyar perlindungan>, lalu pilih kebijakan yang Anda buat, seperti MFA Pilot.

  3. pilih Hapus, lalu konfirmasikan bahwa Anda ingin menghapus kebijakan.

    To delete the Conditional Access policy that you've opened, select Delete which is located under the name of the policy.

Langkah berikutnya

Dalam tutorial ini, Anda mengaktifkan autentikasi multifaktor Microsoft Entra dengan menggunakan kebijakan Akses Bersyar untuk sekelompok pengguna yang dipilih. Anda mempelajari cara untuk:

  • Buat kebijakan Akses Bersyar untuk mengaktifkan autentikasi multifaktor Microsoft Entra untuk sekelompok pengguna Microsoft Entra.
  • Konfigurasikan kondisi kebijakan yang meminta autentikasi multifaktor.
  • Uji mengonfigurasi dan menggunakan autentikasi multifaktor sebagai pengguna.