Menerapkan autentikasi tanpa kata sandi di ID Microsoft Entra
MFA secara signifikan mengurangi risiko pelanggaran di Contoso, tetapi masuk berbasis kata sandi masih meninggalkan phishing sebagai jalur serangan yang mungkin. Langkah selanjutnya adalah memindahkan pengguna ke autentikasi tanpa kata sandi, di mana masuk didasarkan pada kepemilikan perangkat tepercaya dan biometrik atau PIN lokal daripada rahasia yang dapat digunakan kembali.
Dalam istilah praktis, tanpa kata sandi meningkatkan keamanan dan pengalaman pengguna. Pengguna menyelesaikan proses masuk lebih cepat, tim help desk melihat lebih sedikit permintaan pengaturan ulang kata sandi, dan tim keamanan mengurangi paparan serangan pencurian dan pemutaran ulang kredensial.
Mencocokkan metode tanpa kata sandi dengan persona pengguna
MICROSOFT Entra ID mendukung beberapa metode tanpa kata sandi. Strategi penyebaran terbaik adalah menetapkan metode dengan persona alih-alih memberlakukan satu metode untuk semua orang.
| Karakter | Metode yang direkomendasikan | Alternatif |
|---|---|---|
| Administrator dan pengguna yang diatur | Kunci keamanan FIDO2 | Windows Hello untuk Bisnis |
| Karyawan kantor pada perangkat Windows perusahaan | Windows Hello untuk Bisnis | Kode akses di Microsoft Authenticator |
| Pengguna seluler dan lintas platform | Kode akses di Microsoft Authenticator | Kode akses yang disinkronkan |
| Pekerja garis depan atau perangkat bersama | Kunci keamanan FIDO2 | Kode akses di Microsoft Authenticator |
| Pengguna BYOD | Kode akses yang disinkronkan atau kode akses Authenticator | Kunci keamanan FIDO2 |
Di Contoso, peran istimewa yang mengelola sistem sensitif menerima kunci keamanan FIDO2, sementara sebagian besar pekerja pengetahuan menggunakan Windows Hello untuk Bisnis pada laptop terkelola dan kode akses Authenticator di ponsel.
Menyebarkan Windows Hello untuk Bisnis untuk perangkat Windows terkelola
Windows Hello untuk Bisnis (WHfB) membuat kredensial kriptografi yang dilindungi oleh perangkat keras dan dibuka kuncinya secara lokal dengan PIN atau gerakan biometrik. Karena tidak ada kata sandi yang dikirim selama masuk, ketahanan phishing meningkat secara signifikan.
WHfB adalah paling sesuai untuk perangkat Windows yang terhubung ke Microsoft Entra atau terhubung secara hibrid dan dikelola oleh Intune atau Group Policy. Untuk kompatibilitas dan pengalaman terbaik, validasi versi Windows dan ketersediaan TPM yang didukung sebelum peluncuran luas.
Gunakan pendekatan pengaktifan bertahap.
- Aktifkan kebijakan Windows Hello untuk Bisnis untuk grup pilot.
- Validasi pengaturan biometrik dan PIN pada perangkat keras target.
- Perluas ke semua pengguna Windows perusahaan.
- Lacak tren keberhasilan masuk dan dukungan pengguna.
Mengaktifkan kode akses di Microsoft Authenticator untuk pengguna seluler dan lintas platform
Untuk pengguna yang bekerja di seluruh platform, Passkey di Microsoft Authenticator menyediakan kredensial tahan phishing portabel. Kredensial didukung oleh perangkat keras pada perangkat seluler dan dibuka dengan biometrik atau PIN lokal.
Di pusat admin Microsoft Entra, konfigurasikan kebijakan metode autentikasi Passkey (FIDO2) dan targetkan grup pengguna yang tepat. Pengguna mendaftar dari halaman Info keamanan mereka.
Petunjuk / Saran
Gunakan Kode Akses Sementara (TAP) untuk memulai pendaftaran tanpa kata sandi bagi karyawan baru dan skenario pemulihan.
Mengeluarkan kunci keamanan FIDO2 untuk skenario jaminan tinggi
Kunci keamanan FIDO2 sangat ideal untuk administrator istimewa, pengguna yang diatur, dan lingkungan stasiun kerja bersama. Mereka memberikan ketahanan phishing yang kuat dan tidak terikat dengan satu platform perangkat.
Saat melakukan konfigurasi FIDO2 dalam kebijakan:
- Fokuskan cakupan pada populasi yang berisiko paling tinggi terlebih dahulu.
- Batasi untuk kunci yang disetujui atau terverifikasi jika memungkinkan.
- Validasi pilihan pengadaan terhadap panduan kompatibilitas dan pengesahan Microsoft.
Untuk Contoso, ini adalah metode default untuk administrator dan tim yang berfokus pada kepatuhan yang mengakses data dan permukaan manajemen yang sangat sensitif.
Merencanakan kode akses yang disinkronkan di mana kenyamanan adalah prioritas
Kode akses yang disinkronkan (skenario dukungan pratinjau dapat bervariasi) dapat meningkatkan adopsi untuk pengguna dengan beberapa perangkat pribadi. Mereka memperdagangkan beberapa karakteristik kontrol perusahaan untuk kenyamanan dan dukungan ekosistem yang luas.
Gunakan kode akses yang disinkronkan untuk populasi pengguna umum berisiko lebih rendah di mana kegunaan adalah driver adopsi utama. Terus gunakan kredensial terikat perangkat keras (WHfB atau FIDO2) untuk pengguna istimewa.
Memperluas strategi tanpa kata sandi ke aplikasi dan beban kerja layanan
Sebagian besar aplikasi modern yang menggunakan ID Microsoft Entra dengan OAuth 2.0/OpenID Connect dapat menggunakan masuk tanpa kata sandi tanpa perubahan kode aplikasi. Validasi perjalanan pengguna untuk setiap platform klien untuk mengonfirmasi perilaku.
Untuk identitas non-manusia dan layanan backend:
- Lebih suka identitas terkelola untuk beban kerja yang dihosting Azure.
- Gunakan autentikasi berbasis sertifikat daripada rahasia klien berumur panjang saat identitas terkelola tidak tersedia.
- Terapkan kontrol dan pemantauan identitas beban kerja pada prinsipal layanan dengan hak istimewa tinggi.
Lakukan peluncuran secara bertahap dan ukur adopsi
Peluncuran bertahap membantu Contoso mengurangi gangguan sekaligus meningkatkan hasil keamanan.
- Pilot: IT dan pengadopsi awal keamanan.
- Peran istimewa: Administrator dan pengguna berdampak tinggi.
- Tim bisnis-kritis: Staf layanan kesehatan dan operasi.
- Tenaga kerja umum: Pemberdayaan luas dengan kampanye pendaftaran.
- Pengoptimalan: Kurangi ketergantungan kata sandi jika memungkinkan.
Pantau kemajuan dengan serangkaian sinyal yang kecil dan konsisten:
- Persentase masuk yang diselesaikan dengan metode tanpa kata sandi.
- Tingkat penyelesaian pendaftaran menurut grup pengguna.
- Tren kegagalan sign-in menurut metode.
- Volume tiket help desk terkait dengan autentikasi.
Di Contoso, metrik ini memandu penyetelan kebijakan, komunikasi pengguna, dan kesiapan dukungan sehingga tanpa kata sandi tetap aman dan praktis. Dengan metode tanpa kata sandi yang dipetakan ke persona dan disebarkan secara bertahap, Contoso diposisikan untuk mengurangi risiko phishing sekaligus memberi pengguna akses yang lebih cepat dan lebih rendah gesekan.