Menambahkan Akses Bersyarat ke alur pengguna di Azure Active Directory B2C

Sebelum memulai, gunakan pemilih Pilih jenis kebijakan untuk memilih jenis kebijakan yang Anda siapkan. Azure Active Directory B2C menawarkan dua metode untuk menentukan cara pengguna berinteraksi dengan aplikasi Anda: melalui alur pengguna yang telah ditentukan sebelumnya atau melalui kebijakan kustom yang sepenuhnya dapat dikonfigurasi. Langkah yang diperlukan dalam artikel ini berbeda untuk setiap metode.

Akses Bersyarat dapat ditambahkan ke alur pengguna Azure Active Directory B2C (Azure AD B2C) atau kebijakan kustom untuk mengelola proses masuk riskan ke aplikasi Anda. Akses Bersyarat Azure Active Directory (AAD) adalah alat yang digunakan oleh Azure AD B2C untuk menyatukan sinyal, membuat keputusan, dan menegakkan kebijakan organisasi. Conditional access flow Mengotomatiskan penilaian risiko dengan ketentuan kebijakan berarti proses masuk yang berisiko diidentifikasi segera dan kemudian diperbaiki atau diblokir.

Gambaran umum layanan

Azure AD B2C mengevaluasi setiap peristiwa masuk dan memastikan bahwa semua persyaratan kebijakan terpenuhi sebelum memberikan akses pengguna. Selama fase Evaluasi ini, layanan Akses Bersyarat mengevaluasi sinyal yang dikumpulkan oleh deteksi risiko Perlindungan Identitas selama peristiwa masuk. Hasil dari proses evaluasi ini adalah serangkaian klaim yang menunjukkan apakah rincian masuk harus diberikan atau diblokir. Kebijakan Microsoft Azure AD B2C menggunakan klaim ini untuk mengambil tindakan dalam alur pengguna. Contohnya adalah memblokir akses atau menantang pengguna dengan perbaikan khusus seperti autentikasi multifaktor (MFA). "Blokir akses" mengambil alih semua pengaturan lainnya.

Contoh berikut menunjukkan profil teknis Akses Bersyarat yang digunakan untuk mengevaluasi ancaman rincian masuk.

<TechnicalProfile Id="ConditionalAccessEvaluation">
  <DisplayName>Conditional Access Provider</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
  <Metadata>
    <Item Key="OperationType">Evaluation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Untuk memastikan bahwa sinyal Perlindungan Identitas dievaluasi dengan benar, Anda sebaiknya menghubungi profil teknis ConditionalAccessEvaluation untuk semua pengguna, termasuk akun lokal dan akun sosial. Jika tidak, Perlindungan Identitas akan menunjukkan tingkat risiko yang salah yang terkait dengan pengguna.

Pada fase Remediasi yang mengikuti, pengguna ditantang dengan MFA. Setelah selesai, Azure AD B2C menginformasikan Perlindungan Identitas bahwa ancaman masuk yang diidentifikasi telah diperbaiki dan dengan metode yang mana. Dalam contoh ini, Azure Active Directory B2C memberi sinyal bahwa pengguna telah berhasil menyelesaikan tantangan autentikasi multifaktor. Remediasi juga dapat terjadi melalui saluran lain. Contohnya, saat sandi akun direset, baik oleh administrator maupun oleh pengguna. Anda dapat memeriksa Kondisi risiko pengguna pada laporan pengguna berisiko.

Penting

Agar perbaikan risiko dalam perjalanan berhasil, pastikan profil teknis Remediasi dipanggil setelah profil teknis Evaluasi dijalankan. Jika Evaluasi dijalankan tanpa Remediasi, status risiko akan Beresiko. Saat rekomendasi profil teknis Evaluasi mengembalikan Block, panggilan ke profil teknis Evaluasi tidak diperlukan. Kondisi risiko diatur menjadi Berisiko. Contoh berikut menunjukkan profil teknis Akses Bersyarat yang digunakan untuk memperbaiki ancaman yang diidentifikasi:

<TechnicalProfile Id="ConditionalAccessRemediation">
  <DisplayName>Conditional Access Remediation</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
  <Metadata>
    <Item Key="OperationType">Remediation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Komponen solusi

Berikut adalah komponen yang mengaktifkan Akses Bersyarat di Azure AD B2C:

  • Alur pengguna atau kebijakan kustom yang memandu pengguna melalui proses masuk dan mendaftar.
  • Kebijakan Akses Bersyarat yang menyatukan sinyal untuk membuat keputusan dan menegakkan kebijakan organisasi. Saat pengguna masuk ke aplikasi Anda melalui kebijakan Azure AD B2C, kebijakan Akses Bersyarat menggunakan sinyal Azure AD Identity Protection untuk mengidentifikasi masuk proses masuk riskan dan menyajikan tindakan perbaikan yang sesuai.
  • Aplikasi terdaftar yang mengarahkan pengguna ke alur pengguna Azure AD B2C atau kebijakan kustom yang sesuai.
  • TOR Browser untuk menyimulasikan proses masuk riskan.

Batasan dan pertimbangan layanan

Saat menggunakan Akses Bersyarat Azure AD, pertimbangkan hal berikut:

  • Perlindungan Identitas tersedia untuk identitas lokal dan sosial, seperti Google atau Facebook. Untuk identitas sosial, Anda perlu mengaktifkan Akses Bersyarat secara manual. Deteksi dibatasi karena info masuk akun sosial dikelola oleh penyedia identitas eksternal.
  • Pada penyewa Microsoft Azure AD B2C, hanya subset kebijakan Akses Bersyarat Microsoft Azure AD yang tersedia.

Prasyarat

Tingkat harga

Azure AD B2C Premium P2 diperlukan untuk membuat kebijakan proses masuk riskan. Penyewa Premium P1 dapat membuat kebijakan yang didasarkan pada kebijakan lokasi, aplikasi, berbasis pengguna, atau berbasis grup. Untuk mengetahui informasi selengkapnya, lihat Mengubah tingkat harga Azure AD B2C Anda

Mempersiapkan penyewa Azure AD B2C Anda

Untuk menambahkan kebijakan Akses Bersyarat, nonaktifkan default keamanan:

  1. Masuk ke portal Azure.

  2. Pastikan Anda menggunakan direktori yang berisi penyewa AAD B2C Anda. Pilih ikon Direktori + langganan di bilah alat portal.

  3. Pada Setelan portal | Direktori + langganan, temukan direktori Azure AD B2C Anda di daftar Nama direktori, lalu pilih Beralih.

  4. Di bawah Layanan Azure, pilih Azure Active Directory. Atau gunakan kotak pencarian untuk menemukan dan memilih Azure Active Directory.

  5. Pilih Properti, lalu pilih Kelola default Keamanan.

    Disable the security defaults

  6. Di bawah Aktifkan default Keamanan, pilih Tidak.

    Set the Enable security defaults toggle to No

Menambahkan kebijakan Akses Bersyarat

Kebijakan Akses Bersyarat adalah pernyataan tugas dan kontrol akses jika-maka. Kebijakan Akses Bersyarat menyatukan sinyal untuk membuat keputusan dan menegakkan kebijakan organisasi.

Tip

Pada langkah ini Anda mengonfigurasi kebijakan akses bersyarat. Kami sarankan untuk menggunakan salah satu templat berikut: Templat 1: Akses Bersyarat berbasis risiko masuk, Templat 2: Akses Bersyarat berbasis risiko pengguna, atau Templat 3: Memblokir lokasi menggunakan Akses Bersyarat. Anda dapat mengonfigurasi kebijakan akses bersyarat melalui portal Microsoft Azure, atau MS Graph API.

Operator logis antara tugas adalah Dan. Operator di setiap tugas adalah Atau.

Conditional access assignments Untuk menambahkan kebijakan Akses Bersyarat:

  1. Di portal Microsoft Azure, cari dan pilih Azure Active Directory B2C.

  2. Di bawah Keamanan, pilih Akses Bersyarat. Halaman Kebijakan Akses Bersyarat terbuka.

  3. Pilih + Kebijakan baru.

  4. Masukkan nama untuk kebijakan tersebut, seperti Blokir proses masuk riskan.

  5. Di bawah Tugas, pilih Pengguna dan grup, lalu pilih salah satu konfigurasi yang didukung berikut ini:

    Sertakan Lisensi Catatan
    Semua pengguna P1, P2 Kebijakan ini akan berdampak semua pengguna Anda. Untuk memastikan Anda tidak mengunci diri, kecualikan akun administratif Anda dengan memilih Kecualikan, memilih Peran direktori, lalu memilih Administrator Global dalam daftar. Anda juga dapat memilih Pengguna dan Grup, lalu memilih akun Anda di daftar Pilih pengguna yang dikecualikan.
  6. Pilih Aplikasi atau tindakan cloud, lalu Pilih aplikasi. Telusuri aplikasi pihak yang mengandalkan.

  7. Pilih Kondisi, lalu pilih dari kondisi berikut. Misalnya, pilih Risiko masuk dan tingkat risiko Tinggi, Sedang, dan Rendah.

    Kondisi Lisensi Catatan
    Risiko pengguna P2 Risiko pengguna menunjukkan kemungkinkan bahwa identitas atau akun tertentu disusupi.
    Risiko masuk P2 Risiko masuk menunjukkan kemungkinan bahwa permintaan autentikasi tertentu tidak diizinkan oleh pemilik identitas.
    Platform perangkat Tidak didukung Ditandai dengan sistem operasi yang berjalan pada perangkat. Untuk mengetahui informasi selengkapnya, lihat Platform perangkat.
    Lokasi P1, P2 Lokasi bernama dapat mencakup informasi jaringan IPv4 publik, negara atau wilayah, atau area tidak diketahui yang tidak dipetakan ke negara atau wilayah tertentu. Untuk mengetahui informasi selengkapnya, lihat Lokasi.
  8. Di bawah Kontrol akses, pilih Beri. Lalu, pilih apakah akan memblokir atau memberi akses:

    Opsi Lisensi Catatan
    Memblokir akses P1, P2 Mencegah akses berdasarkan syarat yang ditentukan dalam kebijakan akses bersyarat ini.
    Memberi akses dengan Memerlukan autentikasi multifaktor P1, P2 Berdasarkan kondisi yang ditentukan dalam kebijakan akses bersyarat ini, pengguna harus melalui autentikasi multifaktor Azure Active Directory B2C.
  9. Di bawah Aktifkan kebijakan, pilih salah satu hal berikut:

    Opsi Lisensi Catatan
    Hanya laporan P1, P2 Hanya laporan memungkinkan administrator mengevaluasi dampak kebijakan Akses Bersyarat sebelum mengaktifkannya di lingkungan mereka. Sebaiknya Anda memeriksa kebijakan dengan status ini, dan menentukan dampaknya bagi pengguna akhir tanpa memerlukan autentikasi multifaktor atau memblokir pengguna. Untuk mengetahui informasi selengkapnya, lihat Meninjau hasil Akses Bersyarat dalam laporan audit
    Aktif P1, P2 Kebijakan akses dievaluasi dan tidak diberlakukan.
    Nonaktif P1, P2 Kebijakan akses tidak diaktifkan dan tidak berlaku pada pengguna.
  10. Aktifkan kebijakan Akses Bersyarat pengujian Anda dengan memilih Buat.

Templat 1: Akses Bersyarat berbasis risiko masuk

Sebagian besar pengguna memiliki perilaku normal yang dapat dilacak, jika mereka tidak berperilaku normal, memungkinkan mereka masuk begitu saja kemungkinan akan menimbulkan risiko. Anda mungkin ingin memblokir pengguna tersebut atau mungkin hanya meminta mereka untuk melakukan autentikasi multifaktor untuk membuktikan bahwa mereka benar-benar seperti yang mereka katakan. Risiko proses masuk menunjukkan ada kemungkinan bahwa permintaan autentikasi tertentu tidak diizinkan oleh pemilik identitas. Penyewa Microsoft Azure AD B2C dengan lisensi P2 dapat membuat kebijakan Akses Bersyarat yang menggabungkan deteksi risiko masuk Perlindungan Identitas Microsoft Azure AD.

Perhatikan batasan pada deteksi Perlindungan Identitas untuk B2C. Jika risiko terdeteksi, pengguna dapat melakukan autentikasi multifaktor untuk memulihkan diri dan menutup peristiwa masuk yang berisiko untuk mencegah gangguan yang tidak perlu bagi administrator.

Mengonfigurasi Akses Bersyarat melalui portal Microsoft Azure atau Microsoft Graph API untuk mengaktifkan kebijakan Akses Bersyarat berbasis risiko masuk memerlukan MFA saat risiko masuk sedang atau tinggi.

  1. Di Sertakan, pilih Semua pengguna.
  2. Pada Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun urgen.
  3. Pilih Selesai.
  4. Pada Tindakan atau aplikasi cloud>Sertakan, pilih Semua aplikasi cloud.
  5. Pada Persyaratan>Risiko proses masuk, atur Konfigurasikan ke Ya. Pada Pilih tingkat risiko proses masuk yang akan diterapkan ke kebijakan ini
    1. Pilih Tinggi dan Sedang.
    2. Pilih Selesai.
  6. Pada Kontrol akses>Pemberian Izin, pilih Berikan akses, Wajibkan autentikasi multifaktor, lalu pilih Pilih.
  7. Konfirmasikan pengaturan Anda lalu atur Aktifkan kebijakan ke Aktif.
  8. Pilih Buat untuk membuat guna mengaktifkan kebijakan Anda.

Mengaktifkan templat 1 dengan API Akses Bersyarat (opsional)

Membuat kebijakan Akses Bersyarat berbasis risiko masuk menggunakan MS Graph API. Untuk informasi lebih lanjut, lihat API Akses Bersyarat. Templat berikut dapat digunakan untuk membuat kebijakan Akses Bersyarat dengan nama tampilan "Template 1: Require MFA for medium+ sign-in risk" pada mode khusus laporan.

{
    "displayName": "Template 1: Require MFA for medium+ sign-in risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "signInRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "mfa"
        ]
    }
}

Templat 2: Akses Bersyarat berbasis risiko pengguna

Perlindungan Identitas dapat menghitung apa yang dianggap normal untuk perilaku pengguna dan menggunakannya sebagai dasar keputusan untuk risiko mereka. Risiko pengguna adalah perhitungan probabilitas bahwa suatu identitas telah disusupi. Penyewa B2C dengan lisensi P2 dapat membuat kebijakan Akses Bersyarat yang menggabungkan risiko pengguna. Ketika pengguna terdeteksi sebagai berisiko, Anda dapat mengharuskan pengguna mengubah sandi dengan aman untuk memperbaiki risiko dan mendapatkan akses ke akun pengguna. Kami sangat menyarankan untuk mengatur kebijakan risiko pengguna yang mengharuskan perubahan sandi aman agar pengguna dapat memperbaiki mandiri.

Pelajari lebih lanjut risiko pengguna dalam Perlindungan Identitas, dengan mempertimbangkan batasan pada deteksi Perlindungan Identitas untuk B2C.

Konfigurasikan Akses Bersyarat melalui portal Microsoft Azure atau Microsoft Graph API untuk mengaktifkan kebijakan Akses Bersyarat berbasis risiko pengguna yang memerlukan autentikasi multifaktor (MFA) dan perubahan kata sandi saat risiko pengguna sedang ATAU tinggi.

Untuk mengonfigurasi akses bersyarat berbasis pengguna:

  1. Masuk ke portal Azure.
  2. Telusuri Azure AD B2C>Keamanan>Akses Bersyarat.
  3. Pilih Kebijakan baru.
  4. Beri nama pada kebijakan Anda. Kami menyarankan agar organisasi membuat standar yang bermakna untuk nama kebijakan mereka.
  5. Pada Penugasan, pilih Pengguna dan grup.
    1. Di Sertakan, pilih Semua pengguna.
    2. Pada Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun urgen.
    3. Pilih Selesai.
  6. Di Aplikasi atau tindakan cloud>Sertakan, pilih Semua aplikasi cloud.
  7. Di Kondisi>Risiko pengguna, atur Konfigurasikan ke Ya. Di Konfigurasi tingkat risiko pengguna agar kebijakan diberlakukan
    1. Pilih Tinggi dan Sedang.
    2. Pilih Selesai.
  8. Di Kontrol akses>Pemberian Izin, pilih Berikan akses, Perlu perubahan sandi, dan pilih Pilih. Memerlukan autentikasi multifaktor juga akan diperlukan secara default.
  9. Konfirmasikan pengaturan Anda lalu atur Aktifkan kebijakan ke Aktif.
  10. Pilih Buat untuk membuat guna mengaktifkan kebijakan Anda.

Mengaktifkan templat 2 dengan API Akses Bersyarat (opsional)

Untuk membuat kebijakan Akses Bersyarat berbasis risiko pengguna dengan API Akses Bersyarat, lihat dokumentasi untuk API Akses Bersyarat.

Templat berikut dapat digunakan untuk membuat kebijakan Akses Bersyarat dengan nama tampilan "Template 2: Require secure password change for medium+ user risk" pada mode khusus laporan.

{
    "displayName": "Template 2: Require secure password change for medium+ user risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "userRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "AND",
        "builtInControls": [
            "mfa",
            "passwordChange"
        ]
    }
}

Templat 3: Memblokir lokasi menggunakan Akses Bersyarat

Dengan syarat lokasi di Akses Bersyarat, Anda dapat mengontrol akses ke aplikasi cloud berdasarkan lokasi jaringan pengguna. Informasi lebih lanjut mengenai ketentuan lokasi pada Akses Bersyarat dapat ditemukan pada artikel, [Menggunakan ketentuan lokasi pada kebijakan Akses Bersyarat](../active-directory/conditional-access/location-condition.md

Mengonfigurasi Akses Bersyarat melalui portal Microsoft Azure atau Microsoft Graph API untuk mengaktifkan kebijakan Akses Bersyarat yang memblokir akses ke lokasi tertentu. Untuk informasi lebih lanjut mengenai ketentuan lokasi pada Akses Bersyarat dapat ditemukan pada artikel, Menggunakan ketentuan lokasi pada kebijakan Akses Bersyarat

Tentukan lokasi

  1. Masuk ke portal Microsoft Azure.
  2. Telusuri ke Microsoft Azure AD B2C>Keamanan>Akses Bersyarat>Lokasi Bernama.
  3. Pilih Lokasi negara atau Lokasi jangkauan IP
  4. Beri nama lokasi Anda.
  5. Berikan rentang IP atau pilih Negara/Wilayah untuk lokasi yang Anda tentukan. Jika Memilih Negara/Wilayah, Anda dapat memilih untuk menyertakan area yang tidak dikenal secara opsional.
  6. Pilih Simpan.

Untuk mengaktifkan dengan kebijakan akses bersyarat:

  1. Masuk ke portal Azure.
  2. Telusuri Azure AD B2C>Keamanan>Akses Bersyarat.
  3. Pilih Kebijakan baru.
  4. Beri nama pada kebijakan Anda. Kami menyarankan agar organisasi membuat standar yang bermakna untuk nama kebijakan mereka.
  5. Pada Penugasan, pilih Pengguna dan grup.
    1. Di Sertakan, pilih Semua pengguna.
    2. Pada Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun urgen.
    3. Pilih Selesai.
  6. Pada Tindakan atau aplikasi cloud>Sertakan, pilih Semua aplikasi cloud.
  7. Di Ketentuan>Lokasi
    1. Atur Konfigurasikan ke Ya.
    2. Di Sertakan, pilih Lokasi yang dipilih
    3. Pilih lokasi bernama yang Anda buat.
    4. Klik Pilih
  8. Di bagian Kontrol akses pilih Blokir Akses, dan pilih Pilih.
  9. Konfirmasikan pengaturan Anda lalu atur Aktifkan kebijakan ke Aktif.
  10. Pilih Buat untuk membuat guna mengaktifkan kebijakan Anda.

Mengaktifkan templat 3 dengan API Akses Bersyarat (opsional)

Untuk membuat kebijakan Akses Bersyarat berbasis lokasi dengan API Akses Bersyarat, lihat dokumentasi untuk API Akses Bersyarat. Untuk mengatur Lokasi Bernama, lihat dokumentasi untuk Lokasi Bernama.

Templat berikut dapat digunakan untuk membuat kebijakan Akses Bersyarat dengan nama tampilan "Template 3: Block unallowed locations" pada mode khusus laporan.

{
    "displayName": "Template 3: Block unallowed locations",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        },
        "locations": {
            "includeLocations": [
                "b5c47916-b835-4c77-bd91-807ec08bf2a3"
          ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "block"
        ]
    }
}

Menambahkan Akses Bersyarat ke alur pengguna

Setelah Anda menambahkan kebijakan Akses Bersyarat Microsoft Azure AD, aktifkan Akses Bersyarat pada alur pengguna atau kebijakan kustom Anda. Saat mengaktifkan Akses Bersyarat, Anda tidak perlu menentukan nama kebijakan. Beberapa kebijakan Akses Bersyarat mungkin berlaku untuk pengguna individual kapan saja. Dalam hal ini, kebijakan kontrol akses yang paling ketat lebih diutamakan. Contohnya, jika salah satu kebijakan memerlukan MFA sementara kebijakan lainnya memblokir akses, pengguna akan diblokir.

Aktifkan autentikasi multifaktor (opsional)

Ketika menambahkan Akses Bersyarat ke alur pengguna, pertimbangkan untuk menggunakan Autentikasi multifaktor (MFA) . Pengguna dapat menggunakan kode satu kali melalui SMS atau suara, kata sandi satu kali melalui email, atau kode satu kali kata sandi (TOTP) berbasis waktu melalui aplikasi pengautentikasi untuk autentikasi multifaktor. Pengaturan MFA dikonfigurasi secara terpisah dari pengaturan Akses Bersyarat. Anda dapat memilih dari opsi MFA berikut:

  • Nonaktif - MFA tidak pernah diberlakukan selama masuk, dan pengguna tidak diminta untuk mendaftar di MFA selama mendaftar atau masuk.
  • Selalu aktif - MFA selalu diperlukan, terlepas dari pengaturan Akses Bersyarat Anda. Selama pendaftaran, pengguna diminta untuk mendaftar di MFA. Selama proses masuk, jika pengguna belum terdaftar di MFA, pengguna akan diminta untuk mendaftar.
  • Bersyarat - Selama pendaftaran dan proses masuk, pengguna diminta untuk mendaftar di MFA (baik pengguna baru maupun pengguna yang sudah ada yang belum terdaftar di MFA). Selama proses masuk, MFA hanya diberlakukan saat evaluasi kebijakan Akses Bersyarat yang aktif memerlukannya:
    • Jika hasilnya adalah tantangan MFA tanpa risiko, MFA diberlakukan. Jika pengguna belum terdaftar di MFA, pengguna diminta untuk mendaftar.
    • Jika hasilnya adalah tantangan MFA karena risiko dan pengguna tidak terdaftar di MFA, rincian masuk diblokir.

    Catatan

    Dengan ketersediaan umum Akses Bersyarat pada Microsoft Azure AD B2C, pengguna kini diminta untuk mendaftar di metode MFA selama pendaftaran. Setiap alur pengguna pendaftaran yang Anda buat sebelum ketersediaan umum tidak akan menunjukkan perilaku baru ini, namun Anda dapat menyertakan perilaku tersebut dengan membuat alur pengguna baru.

Untuk mengaktifkan Akses Bersyarat untuk alur pengguna, pastikan versi mendukung Akses Bersyarat. Versi alur pengguna ini diberi label Direkomendasikan.

  1. Masuk ke portal Azure.
  2. Pastikan Anda menggunakan direktori yang berisi penyewa AAD B2C Anda. Pilih ikon Direktori + langganan di bilah alat portal.
  3. Pada Setelan portal | Direktori + langganan, temukan direktori Azure AD B2C Anda di daftar Nama direktori, lalu pilih Beralih.
  4. Di bawah Layanan Azure, pilih Azure AD B2C. Atau gunakan kotak pencarian untuk menemukan dan memilih Azure AD B2C.
  5. Di bawah Kebijakan, pilih Alur pengguna. Kemudian, pilih alur pengguna.
  6. Pilih Properti dan pastikan alur pengguna mendukung Akses Bersyarat dengan mencari pengaturan berlabel Akses Bersyarat. Configure MFA and Conditional Access in Properties
  7. Pada bagian Autentikasi multifaktor, pilih Jenis metode yang diinginkan, kemudian pada Pemberlakuan MFA, pilih Bersyarat.
  8. Pada bagian Akses bersyarat, pilih kotak centang Berlakukan kebijakan akses bersyarat.
  9. Pilih Simpan.

Menambahkan Akses Bersyarat ke kebijakan Anda

  1. Dapatkan contoh kebijakan akses bersyarat di GitHub.
  2. Di setiap file, ganti string yourtenant dengan nama penyewa Azure AD B2C Anda. Misalnya, jika nama penyewa B2C Anda contosob2c, semua instans yourtenant.onmicrosoft.com menjadi contosob2c.onmicrosoft.com.
  3. Unggah file kebijakan.

Mengonfigurasi klaim selain nomor telepon yang digunakan untuk MFA

Pada kebijakan Akses Bersyarat di atas, metode transformasi klaim DoesClaimExist memeriksa apakah klaim berisi nilai, contohnya jika klaim strongAuthenticationPhoneNumber berisi nomor telepon. Transformasi klaim tidak terbatas pada klaim strongAuthenticationPhoneNumber. Tergantung pada skenarionya, Anda dapat menggunakan klaim lainnya. Pada cuplikan XML berikut, klaim strongAuthenticationEmailAddress dicentang sebagai gantinya. Klaim yang Anda pilih harus memiliki nilai yang valid, jika tidak klaim IsMfaRegistered akan diatur ke False. Saat diatur ke False, evaluasi kebijakan Akses Bersyarat mengembalikan jenis perizinan Block, mencegah pengguna menyelesaikan alur pengguna.

 <ClaimsTransformation Id="IsMfaRegisteredCT" TransformationMethod="DoesClaimExist">
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="strongAuthenticationEmailAddress" TransformationClaimType="inputClaim" />
  </InputClaims>
  <OutputClaims>
    <OutputClaim ClaimTypeReferenceId="IsMfaRegistered" TransformationClaimType="outputClaim" />
  </OutputClaims>
 </ClaimsTransformation>

Menguji kebijakan kustom Anda

  1. Pilih kebijakan B2C_1A_signup_signin_with_ca atau B2C_1A_signup_signin_with_ca_whatif untuk membuka halaman gambaran umumnya. Lalu, pilih Jalankan alur pengguna. Di bawah Aplikasi, pilih webapp1. URL Balasan akan menampilkan https://jwt.ms.
  2. Salin URL di bawah Jalankan titik akhir alur pengguna.
  3. Untuk menyimulasikan proses masuk riskan, buka Tor Browser dan gunakan URL yang Anda salin di langkah sebelumnya untuk masuk ke aplikasi terdaftar.
  4. Masukkan informasi yang diminta di halaman masuk, lalu coba masuk. Token ditampilkan kepada https://jwt.ms dan akan ditampilkan kepada Anda. Dalam token yang didekode jwt.ms, Anda akan melihat bahwa rincian masuk diblokir.

Menguji alur pengguna Anda

  1. Pilih alur pengguna yang Anda buat untuk membuka halaman gambaran umumnya, lalu pilih Jalankan alur pengguna. Di bawah Aplikasi, pilih webapp1. URL Balasan akan menampilkan https://jwt.ms.
  2. Salin URL di bawah Jalankan titik akhir alur pengguna.
  3. Untuk menyimulasikan proses masuk riskan, buka Tor Browser dan gunakan URL yang Anda salin di langkah sebelumnya untuk masuk ke aplikasi terdaftar.
  4. Masukkan informasi yang diminta di halaman masuk, lalu coba masuk. Token ditampilkan kepada https://jwt.ms dan akan ditampilkan kepada Anda. Dalam token yang didekode jwt.ms, Anda akan melihat bahwa rincian masuk diblokir.

Meninjau hasil Akses Bersyarat dalam laporan audit

Untuk meninjau hasil peristiwa Akses Bersyarat:

  1. Masuk ke portal Azure.
  2. Pastikan Anda menggunakan direktori yang berisi penyewa AAD B2C Anda. Pilih ikon Direktori + langganan di bilah alat portal.
  3. Pada Setelan portal | Direktori + langganan, temukan direktori Azure AD B2C Anda di daftar Nama direktori, lalu pilih Beralih.
  4. Di bawah Layanan Azure, pilih Azure AD B2C. Atau gunakan kotak pencarian untuk menemukan dan memilih Azure AD B2C.
  5. Di bawah Aktivitas, pilih Log audit.
  6. Filter log audit dengan mengatur Kategori ke B2C dan mengatur Jenis Sumber Daya Aktivitas ke IdentityProtection. Lalu, pilih Terapkan.
  7. Tinjau aktivitas audit hingga tujuh hari terakhir. Jenis aktivitas berikut disertakan:
    • Mengevaluasi kebijakan akses bersyarat: Entri log audit ini menunjukkan bahwa evaluasi Akses Bersyarat dilakukan selama autentikasi.
    • Memulihkan pengguna: Entri ini menunjukkan bahwa pemberian izin atau persyaratan kebijakan Akses Bersyarat dipenuhi oleh pengguna akhir, dan aktivitas ini dilaporkan ke mesin risiko untuk mengurangi (mengurangi risiko) pengguna.
  8. Pilih entri log Mengevaluasi kebijakan akses bersyarat dalam daftar untuk membuka halaman Detail Aktivitas: Log audit, yang menunjukkan pengidentifikasi log audit, bersama dengan informasi ini di bagian Detail Tambahan:
    • ConditionalAccessResult: Pemberian izin yang diperlukan oleh evaluasi kebijakan bersyarat.
    • AppliedPolicies: Daftar semua kebijakan Akses Bersyarat saat syarat terpenuhi dan kebijakan AKTIF.
    • ReportingPolicies: Daftar kebijakan Akses Bersyarat yang ditetapkan ke mode khusus laporan dan saat syarat terpenuhi.

Langkah berikutnya

Menyesuaikan antarmuka pengguna dalam alur pengguna Azure AD B2C