Merencanakan penyebaran autentikasi tanpa kata sandi di ID Microsoft Entra
Kata sandi adalah vektor serangan utama. Pelaku kejahatan menggunakan rekayasa sosial, pengelabuan, dan serangan penyemprotan untuk membahayakan kata sandi. Strategi autentikasi tanpa kata sandi mengurangi risiko serangan ini.
Microsoft menawarkan tiga opsi autentikasi tanpa kata sandi berikut yang terintegrasi dengan ID Microsoft Entra:
Microsoft Authenticator - mengubah ponsel iOS atau Android menjadi info masuk tanpa kata sandi yang kuat dengan memungkinkan pengguna untuk masuk ke platform atau browser apa pun.
Kunci keamanan yang sesuai dengan FIDO2 - sangat bermanfaat bagi pengguna yang masuk ke komputer bersama seperti kios, dalam situasi saat penggunaan ponsel dibatasi, dan untuk identitas yang memiliki hak istimewa.
Windows Hello untuk Bisnis - adalah yang terbaik untuk pengguna di komputer Windows khusus mereka.
Catatan
Untuk membuat versi {i>offline
Menggunakan {i>wizard
Pusat admin Microsoft Entra memiliki wizard metode tanpa kata sandi yang akan membantu Anda memilih metode yang sesuai untuk setiap audiens Anda. Jika Anda belum menentukan metode yang tepat, lihat, https://aka.ms/passwordlesswizard, kemudian kembali ke artikel ini untuk terus merencanakan metode yang Anda pilih. Anda memerlukan hak administrator untuk mengakses wisaya ini.
Skenario autentikasi tanpa sandi
Metode autentikasi tanpa kata sandi Microsoft mengaktifkan skenario yang berbeda. Pertimbangkan kebutuhan organisasi, prasyarat, dan kemampuan setiap metode autentikasi untuk memilih strategi autentikasi tanpa sandi Anda.
Tabel berikut mencantumkan metode autentikasi tanpa kata sandi berdasarkan jenis perangkat. Rekomendasi kami dalam miring tebal.
Jenis perangkat
Metode autentikasi tanpa kata sandi
Perangkat non-{i>windows
Microsoft Authenticator Kunci keamanan
Komputer Windows 10 khusus (versi 1703 dan yang terbaru)
Windows Hello for Business Kunci keamanan
Komputer Windows 10 khusus (sebelum versi 1703)
Windows Hello for Business Aplikasi Microsoft Authenticator
Perangkat bersama: tablet, dan perangkat seluler
Microsoft Authenticator Rincian masuk dengan kata sandi sekali pakai
Kios (Warisan)
Microsoft Authenticator
Kios dan komputer bersama (Windows 10)
Kunci keamanan Aplikasi Microsoft Authenticator
Prasyarat
Pastikan Anda memenuhi prasyarat sebelum memulai penyebaran tanpa kata sandi Anda.
Peran yang Diperlukan
Berikut adalah peran paling tidak istimewa yang diperlukan untuk penyebaran ini:
Peran Microsoft Entra
Deskripsi
Administrator Pengguna atau Administrator Global
Untuk menerapkan pengalaman pendaftaran gabungan.
Administrator Autentikasi
Untuk menerapkan dan mengelola metode autentikasi.
Pengguna
Untuk mengonfigurasi aplikasi Authenticator pada perangkat, atau untuk mendaftarkan perangkat kunci untuk masuk web atau Windows 10.
Sebagai bagian dari rencana penyebaran ini, kami menyarankan agar autentikasi tanpa kata sandi diaktifkan untuk semua akun dengan hak istimewa.
Aplikasi Microsoft Authenticator dan kunci keamanan
Prasyarat ditentukan oleh metode autentikasi tanpa kata sandi yang Anda pilih.
Prasyarat
Microsoft Authenticator
Kunci Keamanan FIDO2
Pendaftaran gabungan untuk autentikasi multifaktor Microsoft Entra dan pengaturan ulang kata sandi mandiri (SSPR) diaktifkan
√
√
Pengguna dapat melakukan autentikasi multifaktor Microsoft Entra
√
√
Pengguna telah mendaftar untuk autentikasi multifaktor Microsoft Entra dan SSPR
√
√
Pengguna telah mendaftarkan perangkat seluler mereka ke ID Microsoft Entra
√
Windows 10 versi 1809 atau lebih tinggi menggunakan browser yang didukung seperti Microsoft Edge atau Mozilla Firefox (versi 67 atau lebih tinggi). Microsoft merekomendasikan versi 1903 atau lebih tinggi untuk dukungan asli.
√
Kunci keamanan yang kompatibel. Pastikan Anda menggunakan kunci keamanan FIDO2 yang diuji dan diverifikasi oleh Microsoft, atau kunci keamanan FIDO2 lain yang kompatibel.
√
Windows Hello untuk Bisnis
Prasyarat dan jalur penerapan untuk Windows Hello for Business sangat bergantung pada apakah Anda menerapkan dalam konfigurasi lokal, hibrida, atau khusus cloud. Ini juga bergantung pada strategi gabungan perangkat Anda.
Pilih Windows Hello untuk Bisnis dan selesaikan wizard untuk menentukan prasyarat dan penyebaran yang sesuai untuk organisasi Anda.
{i>Wizardinput
Merencanakan proyek
Jika proyek teknologi gagal, hal ini biasanya karena harapan yang tidak cocok pada dampak, hasil, dan tanggung jawab. Untuk menghindari masalah ini, pastikan Anda melibatkan pemangku kepentingan yang tepat dan peran pemangku kepentingan dalam proyek dipahami dengan baik.
Merencanakan uji coba
Saat Anda menerapkan autentikasi tanpa sandi, Anda harus terlebih dahulu mengaktifkan satu atau beberapa grup pilot. Anda dapat membuat grup khusus untuk tujuan ini. Tambahkan pengguna yang akan berpartisipasi dalam pilot ke grup. Kemudian, aktifkan metode autentikasi tanpa sandi baru untuk grup yang dipilih. Lihat praktik terbaik untuk pilot.
Merencanakan komunikasi
Komunikasi Anda dengan pengguna akhir harus menyertakan informasi berikut:
Microsoft menyediakan templat komunikasi untuk pengguna akhir. Unduh materi peluncuran autentikasi untuk membantu menyusun komunikasi Anda. Materi peluncuran termasuk poster yang dapat disesuaikan dan templat email yang dapat Anda gunakan untuk memberi tahu pengguna Anda tentang opsi autentikasi tanpa kata sandi yang akan datang di organisasi Anda.
Rencana registrasi pengguna
Pengguna mendaftarkan metode tanpa kata sandi mereka sebagai bagian dari alur kerja informasi keamanan gabungan di https://aka.ms/mysecurityinfo. Microsoft Entra mencatat pendaftaran kunci keamanan dan aplikasi Authenticator, dan perubahan lain pada metode autentikasi.
Untuk pengguna pertama kali yang tidak memiliki kata sandi, admin dapat memberikan Kode Akses Sementara untuk mendaftarkan informasi keamanan mereka di https://aka.ms/mysecurityinfo . Ini adalah kode akses waktu terbatas dan memenuhi persyaratan autentikasi yang kuat. Kode Akses Sementara adalah proses per pengguna.
Metode ini juga dapat digunakan untuk pemulihan yang mudah saat pengguna telah kehilangan atau melupakan faktor autentikasi mereka seperti kunci keamanan atau aplikasi Authenticator, tetapi perlu masuk untuk mendaftarkan metode autentikasi baru yang kuat.
Catatan
Jika Anda tidak dapat menggunakan kunci keamanan atau aplikasi Authenticator untuk beberapa skenario, autentikasi multifaktor dengan nama pengguna dan kata sandi bersama dengan metode terdaftar lainnya dapat digunakan sebagai opsi fallback.
Merencanakan dan menyebarkan Microsoft Authenticator
Microsoft Authenticator mengubah ponsel iOS atau Android menjadi info masuk tanpa kata sandi yang kuat. Aplikasi ini gratis diunduh dari Google Play atau Apple App Store. Minta pengguna untuk mengunduh Microsoft Authenticator dan mengikuti petunjuk guna mengaktifkan kredensial masuk ponsel.
Pertimbangan teknis
Active Directory Federation Services (AD FS) - Saat pengguna mengaktifkan info masuk tanpa kata sandi Authenticator, autentikasi untuk pengguna tersebut secara default mengirim pemberitahuan untuk persetujuan. Pengguna di penyewa hibrid dicegah untuk diarahkan ke AD FS untuk masuk kecuali mereka memilih "Gunakan kata sandi Anda sebagai gantinya." Proses ini juga melewati kebijakan Akses Bersyarat lokal, dan alur autentikasi pass-through (PTA). Namun, jika login_hint ditentukan, pengguna diteruskan ke Layanan Federasi Direktori Aktif dan melewati opsi untuk menggunakan info masuk tanpa sandi. Untuk aplikasi non-Microsoft 365 yang menggunakan Layanan Federasi Direktori Aktif untuk autentikasi, kebijakan Akses Bersyarat Microsoft Entra tidak akan diterapkan dan Anda harus menyiapkan kebijakan kontrol akses dalam Layanan Federasi Direktori Aktif.
Server MFA - Pengguna akhir yang diaktifkan untuk autentikasi multifaktor melalui server MFA lokal organisasi dapat membuat dan menggunakan satu kredensial masuk telepon tanpa kata sandi. Jika pengguna mencoba meningkatkan beberapa penginstalan (5 atau lebih) aplikasi Authenticator dengan info masuk, perubahan ini dapat mengakibatkan kesalahan.
Penting
Pada bulan September 2022, Microsoft mengumumkan penghentian Azure Multi-Factor Authentication Server. Mulai 30 September 2024, penyebaran Azure Multi-Factor Authentication Server tidak akan lagi melayani permintaan autentikasi multifaktor, yang dapat menyebabkan autentikasi gagal untuk organisasi Anda. Untuk memastikan layanan autentikasi yang tidak terganggu dan tetap dalam status yang didukung, organisasi harus memigrasikan data autentikasi pengguna mereka ke layanan Azure MFA berbasis cloud dengan menggunakan Utilitas Migrasi terbaru yang disertakan dalam pembaruan Azure MFA Server terbaru. Untuk informasi selengkapnya, lihat Migrasi Server Azure MFA.
Pendaftaran perangkat - Untuk menggunakan aplikasi Authenticator untuk autentikasi tanpa kata sandi, perangkat harus terdaftar di penyewa Microsoft Entra dan tidak dapat menjadi perangkat bersama. Perangkat hanya dapat didaftarkan dalam satu penyewa. Batas ini berarti hanya satu akun kantor atau sekolah yang didukung untuk masuk dengan ponsel menggunakan aplikasi Authenticator.
Menyebarkan kredensial masuk ponsel dengan aplikasi Authenticator
Ikuti langkah-langkah dalam artikel, Mengaktifkan kredensial masuk tanpa kata sandi dengan Microsoft Authenticator untuk mengaktifkan aplikasi Authenticator sebagai metode autentikasi tanpa kata sandi di organisasi Anda.
Menguji aplikasi Authenticator
Berikut ini adalah sampel kasus pengujian untuk autentikasi tanpa kata sandi dengan aplikasi Authenticator:
Skenario
Hasil yang diharapkan
Pengguna dapat mendaftarkan aplikasi Authenticator.
Pengguna dapat mendaftarkan aplikasi dari https://aka.ms/mysecurityinfo.
Pengguna dapat mengaktifkan masuk dengan ponsel
Kredensial masuk melalui ponsel dikonfigurasi untuk akun kerja.
Pengguna dapat mengakses aplikasi dengan kredensial masuk ponsel.
Pengguna melewati alur masuk dengan ponsel dan dapat mengoperasikan aplikasi.
Menguji kembali pendaftaran kredensial masuk ponsel dengan mematikan kredensial masuk aplikasi Authenticator tanpa kata sandi. Lakukan ini dalam layar Metode autentikasi di pusat admin Microsoft Entra
Pengguna yang sebelumnya diaktifkan tidak dapat menggunakan kredensial masuk tanpa kata sandi dari aplikasi Authenticator.
Menghapus kredensial masuk ponsel dari aplikasi Authenticator
Akun kerja tidak lagi tersedia di aplikasi Authenticator.
Memecahkan masalah masuk dengan ponsel
Skenario
Solusi
Pengguna tidak dapat melakukan registrasi gabungan.
Pastikan pendaftaran gabungan diaktifkan.
Pengguna tidak dapat mengaktifkan aplikasi authenticator masuk dengan telepon.
Pastikan pengguna berada dalam lingkup untuk penerapan.
Pengguna TIDAK dalam cakupan untuk autentikasi tanpa sandi, tetapi disajikan dengan opsi masuk tanpa sandi, yang tidak dapat mereka selesaikan.
Proses ini terjadi ketika pengguna telah mengaktifkan masuk dengan ponsel di aplikasi sebelum kebijakan dibuat. Untuk mengaktifkan masuk, tambahkan pengguna ke grup pengguna yang diaktifkan untuk masuk tanpa kata sandi. Untuk memblokir masuk: minta pengguna menghapus info masuk mereka dari aplikasi itu.
Merencanakan dan menyebarkan kunci keamanan yang sesuai dengan FIDO2
Mengaktifkan kunci keamanan yang kompatibel. Berikut adalah daftar Penyedia kunci keamanan FIDO2 yang menyediakan kunci yang diketahui kompatibel dengan pengalaman tanpa kata sandi.
Merencanakan siklus hidup kunci keamanan
Menyiapkan dan merencanakan siklus hidup kunci.
Distribusi kunci- Merencanakan cara memprovisikan kunci ke organisasi Anda. Anda mungkin memiliki proses provisi terpusat atau mengizinkan pengguna akhir membeli kunci yang kompatibel dengan FIDO 2.0.
Aktivasi kunci - Pengguna akhir harus mengaktifkan kunci keamanan sendiri. Pengguna akhir mendaftarkan kunci keamanan mereka di https://aka.ms/mysecurityinfo dan mengaktifkan faktor kedua (PIN atau biometrik) pada penggunaan pertama. Untuk pengguna pertama kali, mereka dapat menggunakan TAP untuk mendaftarkan informasi keamanan mereka.
Menonaktifkan kunci - Jika admin ingin menghapus kunci FIDO2 yang terkait dengan Akun Pengguna, mereka dapat melakukannya dengan menghapus kunci dari metode autentikasi pengguna seperti yang ditunjukkan di bawah ini. Selengkapnya, lihat Menonaktifkan kunci
Menerbitkan kunci baru: Pengguna dapat mendaftarkan kunci FIDO2 baru dengan membuka https://aka.ms/mysecurityinfo
Pertimbangan teknis
Ada tiga jenis penerapan masuk tanpa sandi yang tersedia dengan kunci keamanan:
Aplikasi web Microsoft Entra di browser yang didukung
Perangkat Windows 10 yang bergabung dengan Microsoft Entra
Perangkat Windows 10 gabungan hibrid Microsoft Entra
- Menyediakan akses ke sumber daya berbasis cloud dan lokal. Untuk informasi selengkapnya tentang akses ke sumber daya lokal, lihat SSO ke sumber daya lokal menggunakan kunci FIDO2
Untuk aplikasi web Microsoft Entra dan perangkat Windows yang bergabung dengan Microsoft Entra, gunakan:
Windows 10 versi 1809 atau lebih tinggi menggunakan browser yang didukung seperti Microsoft Edge atau Mozilla Firefox (versi 67 atau lebih tinggi).
Windows 10 versi 1809 mendukung masuk dengan FIDO2 dan mungkin memerlukan perangkat lunak dari produsen kunci FIDO2 untuk diterapkan. Kami menyarankan untuk menggunakan versi 1903 atau yang lebih baru.
Untuk perangkat gabungan domain Microsoft Entra hibrid, gunakan:
Windows 10 versi 2004 atau yang terbaru.
Server domain yang sepenuhnya di-patch yang menjalankan Windows Server 2016 atau 2019.
Versi terbaru Microsoft Entra Koneksi.
Mengaktifkan dukungan Windows 10
Mengaktifkan rincian masuk Windows 10 menggunakan kunci keamanan FIDO2 memerlukan pengaktifan fungsi penyedia info masuk di Windows 10. Pilih salah satu metode berikut:
Mengaktifkan penyedia kredensial dengan Microsoft Intune
- Kami merekomendasikan penyebaran Microsoft Intune.
Mengaktifkan penyedia info masuk dengan paket provisi
- Jika penyebaran Microsoft Intune tidak dimungkinkan, administrator harus menyebarkan paket di setiap komputer untuk mengaktifkan fungsionalitas penyedia kredensial. Penginstalan paket dapat dilakukan oleh salah satu opsi berikut:
- Kebijakan Grup atau Configuration Manager
- Penginstalan lokal pada komputer Windows 10
Mengaktifkan penyedia info masuk dengan Kebijakan Grup
- Hanya didukung untuk perangkat gabungan hibrid Microsoft Entra.
Mengaktifkan integrasi lokal
Ikuti langkah-langkah dalam artikel Mengaktifkan masuk kunci keamanan tanpa kata sandi ke sumber daya lokal (pratinjau).
Penting
Langkah-langkah ini juga harus diselesaikan untuk setiap perangkat gabungan hibrid Microsoft Entra untuk menggunakan kunci keamanan FIDO2 untuk masuk Windows 10.
Kebijakan pembatasan kunci
Ketika Anda menyebarkan kunci keamanan, Anda dapat secara opsional membatasi penggunaan kunci FIDO2 hanya untuk produsen tertentu yang telah disetujui oleh organisasi Anda. Membatasi kunci memerlukan Authenticator Attestation GUID (AAGUID). Terdapat dua cara untuk mendapatkan AAGUID Anda.
Jika kunci keamanan dibatasi, dan pengguna mencoba mendaftarkan kunci keamanan FIDO2, mereka menerima kesalahan berikut:
Jika AAGUID dibatasi setelah pengguna mendaftarkan kunci keamanan, mereka melihat pesan berikut:
*Kunci FIDO2 diblokir oleh Kebijakan Pembatasan Kunci
Menerapkan masuk kunci keamanan FIDO2
Ikuti langkah dalam artikel, Mengaktifkan masuk kunci keamanan tanpa kata sandi untuk mengaktifkan kunci keamanan FIDO2 sebagai metode autentikasi tanpa kata sandi di organisasi Anda.
Menguji kunci keamanan
Berikut ini adalah sampel kasus pengujian untuk autentikasi tanpa kata sandi dengan kunci keamanan.
Masuk FIDO tanpa kata sandi ke perangkat Windows 10 yang bergabung dengan Microsoft Entra
Skenario (Build Windows)
Hasil yang diharapkan
Pengguna dapat mendaftarkan perangkat FIDO2 (1809)
Pengguna dapat mendaftarkan perangkat FIDO2 di Pengaturan > Akun > opsi masuk > Kunci Keamanan
Pengguna dapat melakukan reset perangkat FIDO2 (1809)
Pengguna dapat melakukan reset perangkat FIDO2 menggunakan perangkat lunak produsen
Pengguna dapat masuk dengan perangkat FIDO2 (1809)
Pengguna dapat memilih Kunci Keamanan dari jendela masuk, dan berhasil masuk.
Pengguna dapat mendaftarkan perangkat FIDO2 (1903)
Pengguna dapat mendaftarkan perangkat FIDO2 di Pengaturan > Akun > opsi masuk > Kunci Keamanan
Pengguna dapat melakukan reset perangkat FIDO2 (1903)
Pengguna dapat melakukan reset perangkat FIDO2 di Pengaturan > Akun > opsi masuk > Kunci Keamanan
Pengguna dapat masuk dengan perangkat FIDO2 (1903)
Pengguna dapat memilih Kunci Keamanan dari jendela masuk, dan berhasil masuk.
Masuk FIDO tanpa kata sandi ke aplikasi web Microsoft Entra
Skenario
Hasil yang diharapkan
Pengguna dapat mendaftarkan perangkat FIDO2 di aka.ms/mysecurityinfo menggunakan Microsoft Edge
Pendaftaran harus berhasil
Pengguna dapat mendaftarkan perangkat FIDO2 di aka.ms/mysecurityinfo menggunakan Firefox
Pendaftaran harus berhasil
Pengguna dapat masuk ke OneDrive online menggunakan perangkat FIDO2 menggunakan Microsoft Edge
Masuk akan berhasil
Pengguna dapat masuk ke OneDrive online menggunakan perangkat FIDO2 menggunakan Firefox
Masuk akan berhasil
Uji gulung balik pendaftaran perangkat FIDO2 dengan menonaktifkan Kunci Keamanan FIDO2 dalam jendela metode Autentikasi di pusat admin Microsoft Entra
Pengguna akan: diminta untuk masuk menggunakan kunci keamanan mereka berhasil masuk dan kesalahan akan ditampilkan: "Kebijakan perusahaan Anda mengharuskan Anda menggunakan metode yang berbeda untuk masuk". dapat memilih metode yang berbeda dan berhasil masuk. Tutup jendela dan masuk lagi untuk memverifikasi bahwa pengguna tidak melihat pesan kesalahan yang sama.
Memecahkan masalah masuk kunci keamanan
Skenario
Solusi
Pengguna tidak dapat melakukan registrasi gabungan.
Pastikan pendaftaran gabungan diaktifkan.
Pengguna tidak dapat menambahkan kunci keamanan di pengaturan keamanan mereka.
Pastikan kunci keamanan diaktifkan.
Pengguna tidak dapat menambahkan kunci keamanan di opsi masuk Windows 10.
Pastikan kunci keamanan untuk masuk ke Windows diaktifkan
Pesan kesalahan: Kami mendeteksi bahwa browser atau OS ini tidak mendukung kunci keamanan FIDO2.
Perangkat keamanan FIDO2 tanpa sandi hanya dapat didaftarkan di browser yang didukung (Microsoft Edge, Firefox versi 67) pada Windows 10 versi 1809 atau lebih tinggi.
Pesan kesalahan: Kebijakan perusahaan mengharuskan Anda menggunakan metode berbeda untuk masuk.
Pastikan kunci keamanan diaktifkan di penyewa.
Pengguna tidak dapat mengelola kunci keamanan saya di Windows 10 versi 1809
Versi 1809 mengharuskan Anda menggunakan perangkat lunak manajemen kunci keamanan yang disediakan oleh vendor kunci FIDO2. Hubungi vendor untuk mendapatkan dukungan.
Sepertinya kunci keamanan FIDO2 saya rusak — bagaimana saya bisa mengujinya.
Buka https://webauthntest.azurewebsites.net/, masukkan info masuk untuk akun penguji, gunakan kunci keamanan yang dicurigai, pilih tombol + di kanan atas layar, pilih buat, dan lakukan proses pembuatan. Jika skenario ini gagal, perangkat Anda mungkin rusak.
Mengelola autentikasi tanpa kata sandi
Untuk mengelola metode autentikasi tanpa kata sandi pengguna Anda di pusat admin Microsoft Entra, pilih akun pengguna Anda, lalu pilih Metode autentikasi.
Microsoft Graph APIs
Anda juga dapat mengelola metode autentikasi tanpa kata sandi menggunakan API metode autentikasi di Microsoft Graph. Contohnya:
Anda dapat mengambil detail Kunci Keamanan FIDO2 pengguna dan menghapusnya jika pengguna kehilangan kunci.
Anda dapat mengambil detail pendaftaran aplikasi Authenticator pengguna dan menghapusnya jika pengguna kehilangan ponsel.
Kelola kebijakan metode autentikasi Anda untuk kunci keamanan dan aplikasi Authenticator.
Untuk informasi selengkapnya tentang metode autentikasi apa yang dapat dikelola di Microsoft Graph, lihat Gambaran umum API metode autentikasi Microsoft Entra.
Pemulihan
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Meskipun autentikasi tanpa sandi adalah fitur ringan dengan dampak minimal pada pengguna akhir, mungkin perlu untuk melakukan roll back.
Menggulung balik mengharuskan administrator untuk masuk ke pusat admin Microsoft Entra, memilih metode autentikasi kuat yang diinginkan, dan mengubah opsi aktifkan ke Tidak. Proses ini menonaktifkan fungsi tanpa sandi untuk semua pengguna.
Pengguna yang telah mendaftarkan perangkat keamanan FIDO2 diminta untuk menggunakan perangkat keamanan saat masuk berikutnya, lalu melihat kesalahan berikut:
Pelaporan dan Pemantauan
MICROSOFT Entra ID memiliki laporan yang memberikan wawasan teknis dan bisnis. Pastikan pemilik aplikasi teknis dan bisnis Anda mengambil alih kepemilikan dan menggunakan laporan ini berdasarkan kebutuhan organisasi Anda.
Tabel berikut ini menyediakan beberapa contoh skenario pelaporan umum:
Mengelola risiko
Meningkatkan produktivitas
Tata kelola dan kepatuhan
lainnya
Jenis laporan
Metode autentikasi- pengguna terdaftar untuk pendaftaran keamanan gabungan
Metode autentikasi – pengguna terdaftar untuk pemberitahuan aplikasi
Masuk: meninjau siapa yang mengakses penyewa dan cara pengaksesan
Potensi tindakan
Pengguna target belum terdaftar
Mendorong adopsi aplikasi Authenticator atau kunci keamanan
Mencabut akses atau menerapkan kebijakan keamanan tambahan untuk admin
Melacak penggunaan dan wawasan
ID Microsoft Entra menambahkan entri ke log audit saat:
Admin membuat perubahan di bagian metode Autentikasi.
Pengguna membuat segala jenis perubahan pada kredensial mereka dalam ID Microsoft Entra.
Pengguna mengaktifkan atau menonaktifkan akun mereka pada kunci keamanan atau mengatur ulang faktor kedua untuk kunci keamanan pada komputer Windows 10 mereka. Lihat peristiwa ID: 4670 dan 5382.
ID Microsoft Entra menyimpan sebagian besar data audit selama 30 hari dan membuat data tersedia dengan menggunakan pusat admin atau API Microsoft Entra untuk Anda unduh ke dalam sistem analisis Anda. Jika Anda memerlukan penyimpanan, ekspor, dan konsumsi log yang lebih lama dalam alat SIEM seperti Microsoft Azure Sentinel, Splunk, atau Sumo Logic. Kami menyarankan retensi yang lebih lama untuk audit, analisis tren, dan kebutuhan bisnis lainnya sebagaimana berlaku
Ada dua tab di dasbor aktivitas metode Autentikasi - Pendaftaran dan Penggunaan.
Tab pendaftaran menunjukkan jumlah pengguna yang mampu melakukan autentikasi tanpa kata sandi serta metode autentikasi lainnya. Tab ini menampilkan dua grafik:
Pengguna terdaftar dengan metode autentikasi.
Pendaftaran terbaru dengan metode autentikasi.
Tab penggunaan menunjukkan rincian masuk melalui metode autentikasi.
Untuk informasi selengkapnya, lihat melacak metode dan penggunaan autentikasi terdaftar di seluruh organisasi Microsoft Entra.
Laporan aktivitas rincian masuk
Gunakan laporan aktivitas rincian masuk untuk melacak metode autentikasi yang digunakan untuk masuk ke berbagai aplikasi.
Pilih baris pengguna, lalu pilih tab Detail Autentikasi untuk melihat metode autentikasi mana yang digunakan untuk aktivitas masuk mana.
Langkah berikutnya
Pusat admin Microsoft Entra memiliki wizard metode tanpa kata sandi yang akan membantu Anda memilih metode yang sesuai untuk setiap audiens Anda. Jika Anda belum menentukan metode yang tepat, lihat, https://aka.ms/passwordlesswizard, kemudian kembali ke artikel ini untuk terus merencanakan metode yang Anda pilih. Anda memerlukan hak administrator untuk mengakses wisaya ini.
Skenario autentikasi tanpa sandi
Metode autentikasi tanpa kata sandi Microsoft mengaktifkan skenario yang berbeda. Pertimbangkan kebutuhan organisasi, prasyarat, dan kemampuan setiap metode autentikasi untuk memilih strategi autentikasi tanpa sandi Anda.
Tabel berikut mencantumkan metode autentikasi tanpa kata sandi berdasarkan jenis perangkat. Rekomendasi kami dalam miring tebal.
| Jenis perangkat | Metode autentikasi tanpa kata sandi |
|---|---|
| Perangkat non-{i>windows | |
| Komputer Windows 10 khusus (versi 1703 dan yang terbaru) | |
| Komputer Windows 10 khusus (sebelum versi 1703) | |
| Perangkat bersama: tablet, dan perangkat seluler | |
| Kios (Warisan) | Microsoft Authenticator |
| Kios dan komputer bersama (Windows 10) |
Prasyarat
Pastikan Anda memenuhi prasyarat sebelum memulai penyebaran tanpa kata sandi Anda.
Peran yang Diperlukan
Berikut adalah peran paling tidak istimewa yang diperlukan untuk penyebaran ini:
| Peran Microsoft Entra | Deskripsi |
|---|---|
| Administrator Pengguna atau Administrator Global | Untuk menerapkan pengalaman pendaftaran gabungan. |
| Administrator Autentikasi | Untuk menerapkan dan mengelola metode autentikasi. |
| Pengguna | Untuk mengonfigurasi aplikasi Authenticator pada perangkat, atau untuk mendaftarkan perangkat kunci untuk masuk web atau Windows 10. |
Sebagai bagian dari rencana penyebaran ini, kami menyarankan agar autentikasi tanpa kata sandi diaktifkan untuk semua akun dengan hak istimewa.
Aplikasi Microsoft Authenticator dan kunci keamanan
Prasyarat ditentukan oleh metode autentikasi tanpa kata sandi yang Anda pilih.
| Prasyarat | Microsoft Authenticator | Kunci Keamanan FIDO2 |
|---|---|---|
| Pendaftaran gabungan untuk autentikasi multifaktor Microsoft Entra dan pengaturan ulang kata sandi mandiri (SSPR) diaktifkan | √ | √ |
| Pengguna dapat melakukan autentikasi multifaktor Microsoft Entra | √ | √ |
| Pengguna telah mendaftar untuk autentikasi multifaktor Microsoft Entra dan SSPR | √ | √ |
| Pengguna telah mendaftarkan perangkat seluler mereka ke ID Microsoft Entra | √ | |
| Windows 10 versi 1809 atau lebih tinggi menggunakan browser yang didukung seperti Microsoft Edge atau Mozilla Firefox (versi 67 atau lebih tinggi). Microsoft merekomendasikan versi 1903 atau lebih tinggi untuk dukungan asli. | √ | |
| Kunci keamanan yang kompatibel. Pastikan Anda menggunakan kunci keamanan FIDO2 yang diuji dan diverifikasi oleh Microsoft, atau kunci keamanan FIDO2 lain yang kompatibel. | √ |
Windows Hello untuk Bisnis
Prasyarat dan jalur penerapan untuk Windows Hello for Business sangat bergantung pada apakah Anda menerapkan dalam konfigurasi lokal, hibrida, atau khusus cloud. Ini juga bergantung pada strategi gabungan perangkat Anda.
Pilih Windows Hello untuk Bisnis dan selesaikan wizard untuk menentukan prasyarat dan penyebaran yang sesuai untuk organisasi Anda.
{i>Wizard Jika proyek teknologi gagal, hal ini biasanya karena harapan yang tidak cocok pada dampak, hasil, dan tanggung jawab. Untuk menghindari masalah ini, pastikan Anda melibatkan pemangku kepentingan yang tepat dan peran pemangku kepentingan dalam proyek dipahami dengan baik. Saat Anda menerapkan autentikasi tanpa sandi, Anda harus terlebih dahulu mengaktifkan satu atau beberapa grup pilot. Anda dapat membuat grup khusus untuk tujuan ini. Tambahkan pengguna yang akan berpartisipasi dalam pilot ke grup. Kemudian, aktifkan metode autentikasi tanpa sandi baru untuk grup yang dipilih. Lihat praktik terbaik untuk pilot. Komunikasi Anda dengan pengguna akhir harus menyertakan informasi berikut: Microsoft menyediakan templat komunikasi untuk pengguna akhir. Unduh materi peluncuran autentikasi untuk membantu menyusun komunikasi Anda. Materi peluncuran termasuk poster yang dapat disesuaikan dan templat email yang dapat Anda gunakan untuk memberi tahu pengguna Anda tentang opsi autentikasi tanpa kata sandi yang akan datang di organisasi Anda. Pengguna mendaftarkan metode tanpa kata sandi mereka sebagai bagian dari alur kerja informasi keamanan gabungan di https://aka.ms/mysecurityinfo. Microsoft Entra mencatat pendaftaran kunci keamanan dan aplikasi Authenticator, dan perubahan lain pada metode autentikasi. Untuk pengguna pertama kali yang tidak memiliki kata sandi, admin dapat memberikan Kode Akses Sementara untuk mendaftarkan informasi keamanan mereka di https://aka.ms/mysecurityinfo . Ini adalah kode akses waktu terbatas dan memenuhi persyaratan autentikasi yang kuat. Kode Akses Sementara adalah proses per pengguna. Metode ini juga dapat digunakan untuk pemulihan yang mudah saat pengguna telah kehilangan atau melupakan faktor autentikasi mereka seperti kunci keamanan atau aplikasi Authenticator, tetapi perlu masuk untuk mendaftarkan metode autentikasi baru yang kuat. Catatan Jika Anda tidak dapat menggunakan kunci keamanan atau aplikasi Authenticator untuk beberapa skenario, autentikasi multifaktor dengan nama pengguna dan kata sandi bersama dengan metode terdaftar lainnya dapat digunakan sebagai opsi fallback. Microsoft Authenticator mengubah ponsel iOS atau Android menjadi info masuk tanpa kata sandi yang kuat. Aplikasi ini gratis diunduh dari Google Play atau Apple App Store. Minta pengguna untuk mengunduh Microsoft Authenticator dan mengikuti petunjuk guna mengaktifkan kredensial masuk ponsel. Active Directory Federation Services (AD FS) - Saat pengguna mengaktifkan info masuk tanpa kata sandi Authenticator, autentikasi untuk pengguna tersebut secara default mengirim pemberitahuan untuk persetujuan. Pengguna di penyewa hibrid dicegah untuk diarahkan ke AD FS untuk masuk kecuali mereka memilih "Gunakan kata sandi Anda sebagai gantinya." Proses ini juga melewati kebijakan Akses Bersyarat lokal, dan alur autentikasi pass-through (PTA). Namun, jika login_hint ditentukan, pengguna diteruskan ke Layanan Federasi Direktori Aktif dan melewati opsi untuk menggunakan info masuk tanpa sandi. Untuk aplikasi non-Microsoft 365 yang menggunakan Layanan Federasi Direktori Aktif untuk autentikasi, kebijakan Akses Bersyarat Microsoft Entra tidak akan diterapkan dan Anda harus menyiapkan kebijakan kontrol akses dalam Layanan Federasi Direktori Aktif. Server MFA - Pengguna akhir yang diaktifkan untuk autentikasi multifaktor melalui server MFA lokal organisasi dapat membuat dan menggunakan satu kredensial masuk telepon tanpa kata sandi. Jika pengguna mencoba meningkatkan beberapa penginstalan (5 atau lebih) aplikasi Authenticator dengan info masuk, perubahan ini dapat mengakibatkan kesalahan. Penting Pada bulan September 2022, Microsoft mengumumkan penghentian Azure Multi-Factor Authentication Server. Mulai 30 September 2024, penyebaran Azure Multi-Factor Authentication Server tidak akan lagi melayani permintaan autentikasi multifaktor, yang dapat menyebabkan autentikasi gagal untuk organisasi Anda. Untuk memastikan layanan autentikasi yang tidak terganggu dan tetap dalam status yang didukung, organisasi harus memigrasikan data autentikasi pengguna mereka ke layanan Azure MFA berbasis cloud dengan menggunakan Utilitas Migrasi terbaru yang disertakan dalam pembaruan Azure MFA Server terbaru. Untuk informasi selengkapnya, lihat Migrasi Server Azure MFA. Pendaftaran perangkat - Untuk menggunakan aplikasi Authenticator untuk autentikasi tanpa kata sandi, perangkat harus terdaftar di penyewa Microsoft Entra dan tidak dapat menjadi perangkat bersama. Perangkat hanya dapat didaftarkan dalam satu penyewa. Batas ini berarti hanya satu akun kantor atau sekolah yang didukung untuk masuk dengan ponsel menggunakan aplikasi Authenticator. Ikuti langkah-langkah dalam artikel, Mengaktifkan kredensial masuk tanpa kata sandi dengan Microsoft Authenticator untuk mengaktifkan aplikasi Authenticator sebagai metode autentikasi tanpa kata sandi di organisasi Anda. Berikut ini adalah sampel kasus pengujian untuk autentikasi tanpa kata sandi dengan aplikasi Authenticator: Mengaktifkan kunci keamanan yang kompatibel. Berikut adalah daftar Penyedia kunci keamanan FIDO2 yang menyediakan kunci yang diketahui kompatibel dengan pengalaman tanpa kata sandi. Menyiapkan dan merencanakan siklus hidup kunci. Distribusi kunci- Merencanakan cara memprovisikan kunci ke organisasi Anda. Anda mungkin memiliki proses provisi terpusat atau mengizinkan pengguna akhir membeli kunci yang kompatibel dengan FIDO 2.0. Aktivasi kunci - Pengguna akhir harus mengaktifkan kunci keamanan sendiri. Pengguna akhir mendaftarkan kunci keamanan mereka di https://aka.ms/mysecurityinfo dan mengaktifkan faktor kedua (PIN atau biometrik) pada penggunaan pertama. Untuk pengguna pertama kali, mereka dapat menggunakan TAP untuk mendaftarkan informasi keamanan mereka. Menonaktifkan kunci - Jika admin ingin menghapus kunci FIDO2 yang terkait dengan Akun Pengguna, mereka dapat melakukannya dengan menghapus kunci dari metode autentikasi pengguna seperti yang ditunjukkan di bawah ini. Selengkapnya, lihat Menonaktifkan kunci Menerbitkan kunci baru: Pengguna dapat mendaftarkan kunci FIDO2 baru dengan membuka https://aka.ms/mysecurityinfo Ada tiga jenis penerapan masuk tanpa sandi yang tersedia dengan kunci keamanan: Aplikasi web Microsoft Entra di browser yang didukung Perangkat Windows 10 yang bergabung dengan Microsoft Entra Perangkat Windows 10 gabungan hibrid Microsoft Entra Untuk aplikasi web Microsoft Entra dan perangkat Windows yang bergabung dengan Microsoft Entra, gunakan: Windows 10 versi 1809 atau lebih tinggi menggunakan browser yang didukung seperti Microsoft Edge atau Mozilla Firefox (versi 67 atau lebih tinggi). Windows 10 versi 1809 mendukung masuk dengan FIDO2 dan mungkin memerlukan perangkat lunak dari produsen kunci FIDO2 untuk diterapkan. Kami menyarankan untuk menggunakan versi 1903 atau yang lebih baru. Untuk perangkat gabungan domain Microsoft Entra hibrid, gunakan: Windows 10 versi 2004 atau yang terbaru. Server domain yang sepenuhnya di-patch yang menjalankan Windows Server 2016 atau 2019. Versi terbaru Microsoft Entra Koneksi. Mengaktifkan rincian masuk Windows 10 menggunakan kunci keamanan FIDO2 memerlukan pengaktifan fungsi penyedia info masuk di Windows 10. Pilih salah satu metode berikut: Mengaktifkan penyedia kredensial dengan Microsoft Intune Mengaktifkan penyedia info masuk dengan paket provisi Mengaktifkan penyedia info masuk dengan Kebijakan Grup Ikuti langkah-langkah dalam artikel Mengaktifkan masuk kunci keamanan tanpa kata sandi ke sumber daya lokal (pratinjau). Penting Langkah-langkah ini juga harus diselesaikan untuk setiap perangkat gabungan hibrid Microsoft Entra untuk menggunakan kunci keamanan FIDO2 untuk masuk Windows 10. Ketika Anda menyebarkan kunci keamanan, Anda dapat secara opsional membatasi penggunaan kunci FIDO2 hanya untuk produsen tertentu yang telah disetujui oleh organisasi Anda. Membatasi kunci memerlukan Authenticator Attestation GUID (AAGUID). Terdapat dua cara untuk mendapatkan AAGUID Anda. Jika kunci keamanan dibatasi, dan pengguna mencoba mendaftarkan kunci keamanan FIDO2, mereka menerima kesalahan berikut: Jika AAGUID dibatasi setelah pengguna mendaftarkan kunci keamanan, mereka melihat pesan berikut: *Kunci FIDO2 diblokir oleh Kebijakan Pembatasan Kunci Ikuti langkah dalam artikel, Mengaktifkan masuk kunci keamanan tanpa kata sandi untuk mengaktifkan kunci keamanan FIDO2 sebagai metode autentikasi tanpa kata sandi di organisasi Anda. Berikut ini adalah sampel kasus pengujian untuk autentikasi tanpa kata sandi dengan kunci keamanan. Untuk mengelola metode autentikasi tanpa kata sandi pengguna Anda di pusat admin Microsoft Entra, pilih akun pengguna Anda, lalu pilih Metode autentikasi. Anda juga dapat mengelola metode autentikasi tanpa kata sandi menggunakan API metode autentikasi di Microsoft Graph. Contohnya: Anda dapat mengambil detail Kunci Keamanan FIDO2 pengguna dan menghapusnya jika pengguna kehilangan kunci. Anda dapat mengambil detail pendaftaran aplikasi Authenticator pengguna dan menghapusnya jika pengguna kehilangan ponsel. Kelola kebijakan metode autentikasi Anda untuk kunci keamanan dan aplikasi Authenticator. Untuk informasi selengkapnya tentang metode autentikasi apa yang dapat dikelola di Microsoft Graph, lihat Gambaran umum API metode autentikasi Microsoft Entra. Tip Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai. Meskipun autentikasi tanpa sandi adalah fitur ringan dengan dampak minimal pada pengguna akhir, mungkin perlu untuk melakukan roll back. Menggulung balik mengharuskan administrator untuk masuk ke pusat admin Microsoft Entra, memilih metode autentikasi kuat yang diinginkan, dan mengubah opsi aktifkan ke Tidak. Proses ini menonaktifkan fungsi tanpa sandi untuk semua pengguna. Pengguna yang telah mendaftarkan perangkat keamanan FIDO2 diminta untuk menggunakan perangkat keamanan saat masuk berikutnya, lalu melihat kesalahan berikut: MICROSOFT Entra ID memiliki laporan yang memberikan wawasan teknis dan bisnis. Pastikan pemilik aplikasi teknis dan bisnis Anda mengambil alih kepemilikan dan menggunakan laporan ini berdasarkan kebutuhan organisasi Anda. Tabel berikut ini menyediakan beberapa contoh skenario pelaporan umum: ID Microsoft Entra menambahkan entri ke log audit saat: Admin membuat perubahan di bagian metode Autentikasi. Pengguna membuat segala jenis perubahan pada kredensial mereka dalam ID Microsoft Entra. Pengguna mengaktifkan atau menonaktifkan akun mereka pada kunci keamanan atau mengatur ulang faktor kedua untuk kunci keamanan pada komputer Windows 10 mereka. Lihat peristiwa ID: 4670 dan 5382. ID Microsoft Entra menyimpan sebagian besar data audit selama 30 hari dan membuat data tersedia dengan menggunakan pusat admin atau API Microsoft Entra untuk Anda unduh ke dalam sistem analisis Anda. Jika Anda memerlukan penyimpanan, ekspor, dan konsumsi log yang lebih lama dalam alat SIEM seperti Microsoft Azure Sentinel, Splunk, atau Sumo Logic. Kami menyarankan retensi yang lebih lama untuk audit, analisis tren, dan kebutuhan bisnis lainnya sebagaimana berlaku Ada dua tab di dasbor aktivitas metode Autentikasi - Pendaftaran dan Penggunaan. Tab pendaftaran menunjukkan jumlah pengguna yang mampu melakukan autentikasi tanpa kata sandi serta metode autentikasi lainnya. Tab ini menampilkan dua grafik: Pengguna terdaftar dengan metode autentikasi. Pendaftaran terbaru dengan metode autentikasi. Tab penggunaan menunjukkan rincian masuk melalui metode autentikasi. Untuk informasi selengkapnya, lihat melacak metode dan penggunaan autentikasi terdaftar di seluruh organisasi Microsoft Entra. Gunakan laporan aktivitas rincian masuk untuk melacak metode autentikasi yang digunakan untuk masuk ke berbagai aplikasi. Pilih baris pengguna, lalu pilih tab Detail Autentikasi untuk melihat metode autentikasi mana yang digunakan untuk aktivitas masuk mana.Merencanakan proyek
Merencanakan uji coba
Merencanakan komunikasi
Rencana registrasi pengguna
Merencanakan dan menyebarkan Microsoft Authenticator
Pertimbangan teknis
Menyebarkan kredensial masuk ponsel dengan aplikasi Authenticator
Menguji aplikasi Authenticator
Skenario
Hasil yang diharapkan
Pengguna dapat mendaftarkan aplikasi Authenticator.
Pengguna dapat mendaftarkan aplikasi dari https://aka.ms/mysecurityinfo.
Pengguna dapat mengaktifkan masuk dengan ponsel
Kredensial masuk melalui ponsel dikonfigurasi untuk akun kerja.
Pengguna dapat mengakses aplikasi dengan kredensial masuk ponsel.
Pengguna melewati alur masuk dengan ponsel dan dapat mengoperasikan aplikasi.
Menguji kembali pendaftaran kredensial masuk ponsel dengan mematikan kredensial masuk aplikasi Authenticator tanpa kata sandi. Lakukan ini dalam layar Metode autentikasi di pusat admin Microsoft Entra
Pengguna yang sebelumnya diaktifkan tidak dapat menggunakan kredensial masuk tanpa kata sandi dari aplikasi Authenticator.
Menghapus kredensial masuk ponsel dari aplikasi Authenticator
Akun kerja tidak lagi tersedia di aplikasi Authenticator.
Memecahkan masalah masuk dengan ponsel
Skenario
Solusi
Pengguna tidak dapat melakukan registrasi gabungan.
Pastikan pendaftaran gabungan diaktifkan.
Pengguna tidak dapat mengaktifkan aplikasi authenticator masuk dengan telepon.
Pastikan pengguna berada dalam lingkup untuk penerapan.
Pengguna TIDAK dalam cakupan untuk autentikasi tanpa sandi, tetapi disajikan dengan opsi masuk tanpa sandi, yang tidak dapat mereka selesaikan.
Proses ini terjadi ketika pengguna telah mengaktifkan masuk dengan ponsel di aplikasi sebelum kebijakan dibuat. Untuk mengaktifkan masuk, tambahkan pengguna ke grup pengguna yang diaktifkan untuk masuk tanpa kata sandi. Untuk memblokir masuk: minta pengguna menghapus info masuk mereka dari aplikasi itu.
Merencanakan dan menyebarkan kunci keamanan yang sesuai dengan FIDO2
Merencanakan siklus hidup kunci keamanan
Pertimbangan teknis
Mengaktifkan dukungan Windows 10
Mengaktifkan integrasi lokal
Kebijakan pembatasan kunci
Menerapkan masuk kunci keamanan FIDO2
Menguji kunci keamanan
Masuk FIDO tanpa kata sandi ke perangkat Windows 10 yang bergabung dengan Microsoft Entra
Skenario (Build Windows)
Hasil yang diharapkan
Pengguna dapat mendaftarkan perangkat FIDO2 (1809)
Pengguna dapat mendaftarkan perangkat FIDO2 di Pengaturan > Akun > opsi masuk > Kunci Keamanan
Pengguna dapat melakukan reset perangkat FIDO2 (1809)
Pengguna dapat melakukan reset perangkat FIDO2 menggunakan perangkat lunak produsen
Pengguna dapat masuk dengan perangkat FIDO2 (1809)
Pengguna dapat memilih Kunci Keamanan dari jendela masuk, dan berhasil masuk.
Pengguna dapat mendaftarkan perangkat FIDO2 (1903)
Pengguna dapat mendaftarkan perangkat FIDO2 di Pengaturan > Akun > opsi masuk > Kunci Keamanan
Pengguna dapat melakukan reset perangkat FIDO2 (1903)
Pengguna dapat melakukan reset perangkat FIDO2 di Pengaturan > Akun > opsi masuk > Kunci Keamanan
Pengguna dapat masuk dengan perangkat FIDO2 (1903)
Pengguna dapat memilih Kunci Keamanan dari jendela masuk, dan berhasil masuk.
Masuk FIDO tanpa kata sandi ke aplikasi web Microsoft Entra
Skenario
Hasil yang diharapkan
Pengguna dapat mendaftarkan perangkat FIDO2 di aka.ms/mysecurityinfo menggunakan Microsoft Edge
Pendaftaran harus berhasil
Pengguna dapat mendaftarkan perangkat FIDO2 di aka.ms/mysecurityinfo menggunakan Firefox
Pendaftaran harus berhasil
Pengguna dapat masuk ke OneDrive online menggunakan perangkat FIDO2 menggunakan Microsoft Edge
Masuk akan berhasil
Pengguna dapat masuk ke OneDrive online menggunakan perangkat FIDO2 menggunakan Firefox
Masuk akan berhasil
Uji gulung balik pendaftaran perangkat FIDO2 dengan menonaktifkan Kunci Keamanan FIDO2 dalam jendela metode Autentikasi di pusat admin Microsoft Entra
Pengguna akan:
Memecahkan masalah masuk kunci keamanan
Skenario
Solusi
Pengguna tidak dapat melakukan registrasi gabungan.
Pastikan pendaftaran gabungan diaktifkan.
Pengguna tidak dapat menambahkan kunci keamanan di pengaturan keamanan mereka.
Pastikan kunci keamanan diaktifkan.
Pengguna tidak dapat menambahkan kunci keamanan di opsi masuk Windows 10.
Pastikan kunci keamanan untuk masuk ke Windows diaktifkan
Pesan kesalahan: Kami mendeteksi bahwa browser atau OS ini tidak mendukung kunci keamanan FIDO2.
Perangkat keamanan FIDO2 tanpa sandi hanya dapat didaftarkan di browser yang didukung (Microsoft Edge, Firefox versi 67) pada Windows 10 versi 1809 atau lebih tinggi.
Pesan kesalahan: Kebijakan perusahaan mengharuskan Anda menggunakan metode berbeda untuk masuk.
Pastikan kunci keamanan diaktifkan di penyewa.
Pengguna tidak dapat mengelola kunci keamanan saya di Windows 10 versi 1809
Versi 1809 mengharuskan Anda menggunakan perangkat lunak manajemen kunci keamanan yang disediakan oleh vendor kunci FIDO2. Hubungi vendor untuk mendapatkan dukungan.
Sepertinya kunci keamanan FIDO2 saya rusak — bagaimana saya bisa mengujinya.
Buka https://webauthntest.azurewebsites.net/, masukkan info masuk untuk akun penguji, gunakan kunci keamanan yang dicurigai, pilih tombol + di kanan atas layar, pilih buat, dan lakukan proses pembuatan. Jika skenario ini gagal, perangkat Anda mungkin rusak.
Mengelola autentikasi tanpa kata sandi
Microsoft Graph APIs
Pemulihan
Pelaporan dan Pemantauan
Mengelola risiko
Meningkatkan produktivitas
Tata kelola dan kepatuhan
lainnya
Jenis laporan
Metode autentikasi- pengguna terdaftar untuk pendaftaran keamanan gabungan
Metode autentikasi – pengguna terdaftar untuk pemberitahuan aplikasi
Masuk: meninjau siapa yang mengakses penyewa dan cara pengaksesan
Potensi tindakan
Pengguna target belum terdaftar
Mendorong adopsi aplikasi Authenticator atau kunci keamanan
Mencabut akses atau menerapkan kebijakan keamanan tambahan untuk admin
Melacak penggunaan dan wawasan
Laporan aktivitas rincian masuk
Langkah berikutnya