Menjelajahi metode autentikasi ID Microsoft Entra

Selesai

Bayangkan Anda seorang insinyur keamanan di Contoso, perusahaan teknologi perawatan kesehatan berukuran sedang. Selama setahun terakhir, tim Anda menanggapi tiga insiden terpisah yang melibatkan kredensial pengguna yang disusupi - masing-masing ditelusuri kembali ke serangan phishing atau kampanye pengisian kredensial. Manajer Anda meminta Anda untuk mengevaluasi strategi autentikasi Contoso saat ini dan merekomendasikan jalur menuju menghilangkan pelanggaran terkait kata sandi. Untuk melakukannya secara efektif, Anda perlu memahami spektrum lengkap metode autentikasi yang tersedia di ID Microsoft Entra dan bagaimana perbandingannya dalam hal keamanan dan pengalaman pengguna.

Lanskap metode autentikasi

MICROSOFT Entra ID mendukung berbagai metode autentikasi, dari pendekatan berbasis kata sandi warisan hingga alternatif tanpa kata sandi modern. Metode ini termasuk dalam kategori berdasarkan apa yang disajikan pengguna untuk membuktikan identitas mereka:

  • Sesuatu yang Anda ketahui: Kata sandi dan PIN
  • Sesuatu yang Anda miliki: Perangkat terdaftar, kunci keamanan, atau aplikasi pengautentikasi
  • Sesuatu yang Anda adalah: Biometrik, seperti sidik jari atau pengenalan wajah

Autentikasi berbasis kata sandi — di mana pengguna menyediakan nama pengguna dan kata sandi — tetap menjadi metode yang paling banyak disebarkan, tetapi juga yang paling rentan. Kata sandi dapat di-phish, ditebak, atau dicuri melalui pelanggaran data. Untuk organisasi seperti Contoso, kata sandi saja mewakili risiko yang tidak dapat diterima.

Metode tanpa kata sandi modern menghilangkan kata sandi sepenuhnya. Alih-alih mengetik kata sandi, pengguna mengautentikasi menggunakan kombinasi kepemilikan perangkat dan biometrik atau PIN. Metode seperti kunci keamanan FIDO2, Windows Hello for Business, dan passkey secara bawaan tahan terhadap phishing karena tidak ada rahasia yang dapat dibagikan yang ditransmisikan selama masuk. Masuk tanpa kata sandi Microsoft Authenticator adalah peningkatan yang kuat atas kata sandi, tetapi memerlukan kebijakan Akses Bersyarat yang memberlakukan perangkat terkelola untuk mencapai tingkat ketahanan pengelabuan yang sama.

Diagram memperlihatkan spektrum dari autentikasi khusus kata sandi di sebelah kiri, melalui kata sandi ditambah MFA di tengah, hingga metode tanpa kata sandi sepenuhnya di sebelah kanan, dengan kekuatan keamanan meningkat dari kiri ke kanan.

Autentikasi multifaktor sebagai jembatan

Untuk organisasi yang tidak dapat segera pindah ke tanpa kata sandi, autentikasi multifaktor (MFA) menyediakan lapisan keamanan menengah yang penting. MFA mengharuskan pengguna untuk memverifikasi identitas mereka menggunakan dua faktor atau lebih dari kategori yang berbeda - misalnya, sesuatu yang mereka ketahui (kata sandi) dikombinasikan dengan sesuatu yang mereka miliki (telepon terdaftar).

MICROSOFT Entra ID mendukung beberapa metode MFA:

Metode Tipe Tingkat keamanan
Microsoft Authenticator pemberitahuan push Berbasis aplikasi High
Kode TOTP Microsoft Authenticator Berbasis aplikasi High
Token perangkat keras TOTP OATH Perangkat keras High
Kode akses satu kali SMS Nomor Telepon Rendah-sedang
Verifikasi panggilan suara Nomor Telepon Rendah-sedang

Nota

Kunci keamanan FIDO2 dan kode akses di Microsoft Authenticator adalah metode tanpa kata sandi dan tahan phishing — mereka menggantikan kata sandi sepenuhnya daripada bertindak sebagai faktor kedua di belakangnya. Mereka muncul dalam hierarki keamanan di bagian berikutnya.

Penting

Verifikasi SMS dan panggilan suara dianggap sebagai metode MFA warisan. Mereka rentan terhadap serangan pertukaran SIM. Microsoft merekomendasikan untuk memigrasikan pengguna dari metode ini ke alternatif berbasis aplikasi atau berbasis perangkat keras.

Unit berikutnya pada autentikasi multifaktor mengeksplorasi cara mengonfigurasi dan menerapkan metode ini di seluruh populasi pengguna Anda.

Kekuatan autentikasi dan hierarki keamanan

Tidak semua metode MFA menawarkan tingkat perlindungan yang sama. MICROSOFT Entra ID memperkenalkan konsep kekuatan autentikasi, yang memungkinkan Anda menentukan metode MFA minimum yang dapat diterima yang diperlukan untuk mengakses sumber daya tertentu melalui kebijakan Akses Bersyarat.

Hierarki keamanan, dari yang paling tidak hingga paling aman, adalah:

  • Hanya kata sandi (tidak ada MFA)
  • Kata sandi + SMS atau panggilan suara
  • Kata sandi + aplikasi Microsoft Authenticator
  • Masuk tanpa kata sandi (Windows Hello untuk Bisnis, kunci keamanan FIDO2, kode akses di Microsoft Authenticator, autentikasi berbasis sertifikat)

Untuk sumber daya sensitif — seperti portal administratif atau sistem keuangan — kebijakan kekuatan autentikasi memungkinkan Anda memerlukan MFA tahan phishing. Kekuatan tahan phishing bawaan MICROSOFT Entra ID mencakup empat keluarga metode: Windows Hello untuk Bisnis, kunci keamanan FIDO2, kode akses di Microsoft Authenticator, dan autentikasi berbasis sertifikat (CBA). Perbedaan ini sangat penting saat merancang kebijakan akses untuk akun istimewa Contoso.

Petunjuk / Saran

Kebijakan kekuatan autentikasi diterapkan per aplikasi. Anda dapat memerlukan MFA tahan phishing untuk sistem Anda yang paling sensitif sambil memungkinkan MFA standar untuk aplikasi berisiko lebih rendah — menyeimbangkan keamanan dengan pengalaman pengguna. Granularitas per sumber daya ini adalah ekspresi teknis prinsip "verifikasi secara eksplisit" dalam zero trust: setiap permintaan akses dievaluasi terhadap kekuatan autentikasi yang diperlukan untuk sumber daya tertentu, bukan pengaturan menyeluruh organisasi.

Arsitektur pengautentikasian Microsoft Entra ID

Saat pengguna masuk, permintaan mengalir melalui platform identitas Microsoft, mesin autentikasi cloud-native di belakang ID Microsoft Entra. Platform mengevaluasi kredensial pengguna, menerapkan kebijakan Akses Kondisional, dan mengeluarkan token setelah autentikasi berhasil.

Diagram memperlihatkan alur autentikasi ID Microsoft Entra. Perangkat pengguna di sebelah kiri mengirimkan permintaan masuk ke platform identitas Microsoft di tengah, yang menerapkan kebijakan Akses Bersyarat sebelum mengeluarkan token ke aplikasi target di sebelah kanan.

Untuk perangkat yang bergabung ke MICROSOFT Entra ID, Token Refresh Utama (PRT) dikeluarkan setelah proses masuk pertama berhasil. PRT memungkinkan akses menyeluruh (SSO) di seluruh aplikasi dan layanan tanpa memerlukan autentikasi ulang — keuntungan yang bermakna dalam pengalaman pengguna yang melengkapi peningkatan keamanan dari metode autentikasi yang lebih kuat.

Memahami arsitektur ini membantu Anda mengantisipasi bagaimana perubahan pada kebijakan autentikasi memengaruhi pengguna dan aplikasi di seluruh organisasi. Yang penting, kebijakan autentikasi yang sama yang mengatur akses ke Microsoft 365 dan manajemen Azure juga berlaku untuk layanan yang didukung AI seperti Azure AI Foundry dan Microsoft Copilot untuk Microsoft 365 — menjadikan autentikasi yang kuat sebagai garis pertahanan pertama untuk investasi AI Contoso juga. Dengan fondasi ini, Anda siap untuk menyelami konfigurasi autentikasi multifaktor di unit berikutnya.