Mengaktifkan kredensial masuk tanpa kata sandi dengan Microsoft Authenticator

Microsoft Authenticator dapat digunakan untuk masuk ke akun Microsoft Entra apa pun tanpa menggunakan kata sandi. Microsoft Authenticator menggunakan autentikasi berbasis kunci untuk mengaktifkan info masuk pengguna yang terkait dengan perangkat, di mana perangkat menggunakan PIN atau biometrik. Windows Hello untuk Bisnis menggunakan teknologi serupa.

Teknologi autentikasi ini dapat digunakan pada platform perangkat apa pun, termasuk seluler. Teknologi ini juga dapat digunakan dengan aplikasi atau situs web apa pun yang terintegrasi dengan Microsoft Authentication Libraries.

Screenshot that shows an example of a browser sign-in asking for the user to approve the sign-in.

Orang-orang yang mengaktifkan masuk telepon dari Microsoft Authenticator melihat pesan yang meminta mereka mengetuk nomor di aplikasi mereka. Tidak ada nama pengguna atau kata sandi yang diminta. Untuk menyelesaikan proses masuk di aplikasi, pengguna selanjutnya harus melakukan tindakan berikut:

  1. Masukkan nomor yang mereka lihat di layar masuk ke dalam dialog Microsoft Authenticator.
  2. Pilih Setujui.
  3. Berikan PIN atau biometrik mereka.

Beberapa akun di iOS

Anda dapat mengaktifkan proses masuk telepon tanpa kata sandi untuk beberapa akun di Microsoft Authenticator di setiap perangkat iOS yang didukung. Konsultan, siswa, dan lainnya dengan beberapa akun di MICROSOFT Entra ID dapat menambahkan setiap akun ke Microsoft Authenticator dan menggunakan rincian masuk telepon tanpa kata sandi untuk semuanya dari perangkat iOS yang sama.

Sebelumnya, admin mungkin tidak memerlukan proses masuk tanpa kata sandi untuk pengguna yang memiliki beberapa akun karena mengharuskan mereka membawa lebih banyak perangkat untuk masuk. Dengan menghapus batasan satu pengguna masuk dari suatu perangkat, admin dapat dengan lebih percaya diri mendorong pengguna untuk mendaftarkan proses masuk telepon tanpa kata sandi dan menggunakannya sebagai metode proses masuk default mereka.

Akun Microsoft Entra dapat berada di penyewa yang sama atau penyewa yang berbeda. Akun tamu tidak didukung untuk beberapa akun kredensial masuk dari satu perangkat.

Prasyarat

Untuk menggunakan proses masuk telepon tanpa kata sandi dengan Microsoft Authenticator, prasyarat berikut harus dipenuhi:

  • Disarankan: Autentikasi multifaktor Microsoft Entra, dengan pemberitahuan push diizinkan sebagai metode verifikasi. Notifikasi push ke smartphone atau tablet membantu aplikasi Authenticator mencegah akses tidak sah ke akun dan menghentikan transaksi penipuan. Aplikasi Authenticator secara otomatis menghasilkan kode saat disiapkan untuk melakukan pemberitahuan push. Pengguna memiliki metode masuk cadangan meskipun perangkat mereka tidak memiliki konektivitas.
  • Versi terbaru Microsoft Authenticator dipasang pada perangkat yang menjalankan iOS atau Android.
  • Untuk Android, perangkat yang menjalankan Microsoft Authenticator harus didaftarkan ke pengguna tertentu. Kami secara aktif berupaya untuk mendukung beberapa akun di Android.
  • Untuk iOS, perangkat harus terdaftar di setiap penyewa tempat perangkat digunakan untuk masuk. Misalnya, perangkat berikut harus terdaftar di Contoso dan Wingtiptoys untuk memungkinkan semua akun masuk:
    • balas@contoso.com
    • balas@wingtiptoys.com dan bsandhu@wingtiptoys

Untuk menggunakan autentikasi tanpa kata sandi di ID Microsoft Entra, pertama-tama aktifkan pengalaman pendaftaran gabungan, lalu aktifkan pengguna untuk metode tanpa kata sandi.

Mengaktifkan metode autentikasi masuk telepon tanpa kata sandi

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Microsoft Entra ID memungkinkan Anda memilih metode autentikasi mana yang dapat digunakan selama proses login. Pengguna kemudian mendaftar untuk metode yang ingin mereka gunakan. Kebijakan metode autentikasi Microsoft Authenticator mengelola metode MFA push tradisional dan metode autentikasi tanpa kata sandi.

Catatan

Jika Anda mengaktifkan masuk tanpa kata sandi Microsoft Authenticator menggunakan PowerShell, itu diaktifkan untuk seluruh direktori Anda. Jika Anda mengaktifkan penggunaan metode baru ini, metode itu akan membatalkan kebijakan PowerShell. Sebaiknya Anda mengaktifkan untuk semua pengguna di penyewa Anda melalui menu Metode Autentikasi baru. Jika tidak, pengguna yang tidak mengikuti kebijakan baru tidak lagi dapat masuk tanpa kata sandi.

Untuk mengaktifkan metode autentikasi untuk masuk telepon tanpa kata sandi, selesaikan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.

  2. Telusuri kebijakan metode>Autentikasi Perlindungan.>

  3. Di bawah Microsoft Authenticator, pilih opsi berikut ini:

    1. Aktifkan - Ya atau Tidak
    2. Target - Semua pengguna atau Pilih pengguna
  4. Setiap grup atau pengguna yang ditambahkan diaktifkan secara default untuk menggunakan Microsoft Authenticator dalam mode pemberitahuan tanpa kata sandi dan push ("Apa pun"). Untuk mengubah mode, untuk setiap baris untuk mode Autentikasi - pilih Apa pun, atau Tanpa Kata Sandi. Memilih Push mencegah penggunaan kredensial masuk telepon tanpa kata sandi.

  5. Untuk menerapkan kebijakan baru, klik Simpan.

    Catatan

    Jika Anda melihat kesalahan saat mencoba menyimpan, penyebabnya mungkin jumlah pengguna atau grup yang ditambahkan. Sebagai solusinya, ganti pengguna dan grup yang coba Anda tambahkan dengan satu grup, dalam operasi yang sama, lalu pilih Simpan lagi.

Pendaftaran pengguna

Pengguna mendaftarkan diri mereka untuk metode autentikasi tanpa kata sandi ID Microsoft Entra. Untuk pengguna yang sudah mendaftarkan aplikasi Microsoft Authenticator untuk autentikasi multifaktor, lewati ke bagian berikutnya, aktifkan masuk melalui telepon.

Pendaftaran Masuk telepon langsung

Pengguna dapat mendaftar untuk masuk telepon tanpa kata sandi langsung dalam aplikasi Microsoft Authenticator tanpa perlu terlebih dahulu mendaftarkan Microsoft Authenticator dengan akun mereka, sambil tidak pernah mengumpulkan kata sandi. Berikut caranya:

  1. Dapatkan Kode Akses Sementara dari Admin atau Organisasi Anda.
  2. Unduh dan instal aplikasi Microsoft Authenticator di perangkat seluler Anda.
  3. Buka Microsoft Authenticator dan klik Tambahkan akun lalu pilih Akun kantor atau sekolah.
  4. Pilih Masuk.
  5. Ikuti instruksi untuk masuk dengan akun Anda menggunakan Kode Akses Sementara yang disediakan oleh Admin atau Organisasi Anda.
  6. Setelah masuk, lanjutkan mengikuti langkah-langkah tambahan untuk menyiapkan rincian masuk telepon.

Pendaftaran terpandu dengan Masuk Saya

Catatan

Pengguna hanya akan dapat mendaftarkan Microsoft Authenticator melalui pendaftaran gabungan jika mode autentikasi Microsoft Authenticator adalah ke Apa pun atau Dorong.

Untuk mendaftarkan aplikasi Microsoft Authenticator, ikuti langkah-langkah berikut:

  1. Telusuri https://aka.ms/mysecurityinfo.
  2. Masuk, lalu pilih Tambahkan aplikasi>Authenticator metode>Tambahkan untuk menambahkan Microsoft Authenticator.
  3. Ikuti instruksi untuk memasang dan mengonfigurasi aplikasi Microsoft Authenticator di perangkat Anda.
  4. Pilih Selesai untuk menyelesaikan konfigurasi Microsoft Authenticator.

Aktifkan masuk dari ponsel

Setelah pengguna mendaftarkan diri mereka untuk aplikasi Microsoft Authenticator, mereka perlu mengaktifkan masuk melalui telepon:

  1. Di Microsoft Authenticator, pilih akun yang terdaftar.
  2. Pilih Aktifkan masuk melalui telepon.
  3. Ikuti petunjuk di aplikasi untuk menyelesaikan pendaftaran akun untuk masuk telepon tanpa kata sandi.

Organisasi dapat mengarahkan penggunanya untuk masuk dengan ponsel mereka, tanpa menggunakan kata sandi. Untuk bantuan lebih lanjut tentang mengonfigurasi Microsoft Authenticator dan mengaktifkan masuk melalui telepon, lihat Masuk ke akun Anda menggunakan aplikasi Microsoft Authenticator.

Catatan

Pengguna yang tidak diizinkan oleh kebijakan untuk menggunakan masuk telepon tidak lagi dapat mengaktifkannya dalam Microsoft Authenticator.

Masuk dengan kredensial tanpa kata sandi

Pengguna dapat mulai menggunakan masuk tanpa kata sandi setelah semua tindakan berikut selesai:

  • Admin telah mengaktifkan penyewa pengguna.
  • Pengguna telah menambahkan Microsoft Authenticator sebagai metode masuk.

Pertama kali pengguna memulai proses masuk telepon, pengguna melakukan langkah-langkah berikut:

  1. Memasukkan namanya di halaman masuk.
  2. Pilih Berikutnya.
  3. Jika perlu, pilih Cara lain untuk masuk.
  4. Pilih Setujui permintaan di aplikasi Microsoft Authenticator saya.

Pengguna kemudian disajikan dengan nomor. Aplikasi ini meminta pengguna untuk mengautentikasi dengan mengetikkan nomor yang sesuai, alih-alih memasukkan kata sandi.

Setelah pengguna menggunakan masuk telepon tanpa kata sandi, aplikasi terus memandu pengguna melalui metode ini. Namun, pengguna akan melihat opsi untuk memilih metode lain.

Screenshot that shows an example of a browser sign-in using the Microsoft Authenticator app.

Manajemen

Kebijakan metode Autentikasi adalah cara yang disarankan untuk mengelola Microsoft Authenticator. Administrator Kebijakan Autentikasi dapat mengedit kebijakan ini untuk mengaktifkan atau menonaktifkan Microsoft Authenticator. Admin dapat menyertakan atau mengecualikan pengguna dan grup tertentu untuk menggunakannya.

Admin juga dapat mengonfigurasi parameter untuk mengontrol dengan lebih baik bagaimana Microsoft Authenticator dapat digunakan. Misalnya, mereka dapat menambahkan lokasi atau nama aplikasi ke permintaan masuk sehingga pengguna memiliki konteks yang lebih besar sebelum mereka menyetujui.

Administrator Global juga dapat mengelola Microsoft Authenticator secara seluruh penyewa dengan menggunakan kebijakan MFA dan SSPR warisan. Kebijakan ini memungkinkan Microsoft Authenticator diaktifkan atau dinonaktifkan untuk semua pengguna di penyewa. Tidak ada opsi untuk menyertakan atau mengecualikan siapa pun, atau mengontrol bagaimana Microsoft Authenticator dapat digunakan untuk masuk.

Masalah yang diketahui

Masalah yang diketahui berikut ini ada.

Tidak melihat opsi untuk masuk telepon tanpa kata sandi

Dalam satu skenario, pengguna dapat memiliki verifikasi masuk telepon tanpa kata sandi yang belum terjawab yang tertunda. Jika pengguna mencoba masuk lagi, mereka mungkin hanya melihat opsi untuk memasukkan kata sandi.

Untuk mengatasi skenario ini, ikuti langkah-langkah berikut:

  1. Buka Microsoft Authenticator.
  2. Tanggapi setiap permintaan notifikasi.

Kemudian pengguna dapat terus menggunakan masuk telepon tanpa kata sandi.

AuthenticatorAppSignInPolicy tidak didukung

AuthenticatorAppSignInPolicy adalah kebijakan warisan yang tidak didukung dengan Microsoft Authenticator. Untuk mengaktifkan pengguna Anda untuk pemberitahuan push atau masuk telepon tanpa kata sandi dengan aplikasi Authenticator, gunakan kebijakan Metode Autentikasi.

Akun federasi

Ketika pengguna telah mengaktifkan kredensial tanpa kata sandi apa pun, proses masuk Microsoft Entra berhenti menggunakan login_hint. Oleh karena itu proses tidak lagi mempercepat pengguna menuju lokasi masuk terfederasi.

Logika ini umumnya mencegah pengguna dalam penyewa hibrid diarahkan ke Active Directory Federated Services (Layanan Federasi Direktori Aktif) untuk verifikasi masuk. Namun, pengguna mempertahankan opsi untuk mengklik Gunakan kata sandi Anda sebagai gantinya.

Pengguna lokal

Pengguna akhir dapat diaktifkan untuk autentikasi multifaktor melalui idP lokal. Pengguna masih dapat membuat dan menggunakan info masuk telepon tanpa kata sandi tunggal.

Jika pengguna mencoba meningkatkan beberapa penginstalan (5+) Microsoft Authenticator dengan mandat telepon tanpa kata sandi, perubahan ini mungkin mengakibatkan kesalahan.

Langkah berikutnya

Untuk mempelajari tentang autentikasi Microsoft Entra dan metode tanpa kata sandi, lihat artikel berikut ini: