Metode autentikasi di Microsoft Entra ID - aplikasi Microsoft Authenticator
Aplikasi Microsoft Authenticator menyediakan tingkat keamanan lain ke akun kerja atau sekolah Microsoft Entra atau akun Microsoft Anda dan tersedia untuk Android dan iOS. Dengan aplikasi Microsoft Authenticator, pengguna dapat mengautentikasi dengan cara tanpa kata sandi selama masuk, atau opsi verifikasi lain selama pengaturan ulang kata sandi mandiri (SSPR) atau peristiwa autentikasi multifaktor.
Anda sekarang dapat menerapkan kode akses untuk autentikasi pengguna. Pengguna kemudian dapat menerima pemberitahuan melalui aplikasi seluler mereka untuk menyetujui atau menolak aplikasi Authenticator untuk menghasilkan kode verifikasi OATH. Kode ini kemudian dapat dimasukkan dalam antarmuka masuk. Jika Anda mengaktifkan kode pemberitahuan dan verifikasi, pengguna yang mendaftarkan aplikasi Authenticator dapat menggunakan salah satu metode untuk memverifikasi identitas mereka menggunakan kode akses.
Catatan
Dalam persiapan dukungan passkey di Microsoft Authenticator, pengguna mungkin melihat Authenticator sebagai penyedia kode akses di perangkat iOS dan Android. Untuk informasi selengkapnya, lihat Rincian masuk Passkey (pratinjau).
Untuk menggunakan aplikasi Authenticator pada permintaan kredensial masuk, lihat Mengaktifkan masuk tanpa sandi dengan Microsoft Authenticator daripada mengombinasikan nama pengguna dan sandi.
Catatan
- Pengguna tidak memiliki opsi untuk mendaftarkan aplikasi ponsel mereka saat mereka mengaktifkan SSPR. Sebagai gantinya, pengguna dapat mendaftarkan aplikasi ponsel mereka di https://aka.ms/mfasetup atau sebagai bagian dari pendaftaran info keamanan gabungan di https://aka.ms/setupsecurityinfo.
- Aplikasi Authenticator mungkin tidak didukung pada versi beta iOS dan Android. Selain itu, mulai 20 Oktober 2023 aplikasi Authenticator di Android tidak lagi mendukung verison yang lebih lama dari Portal Perusahaan Android. Pengguna Android dengan versi Portal Perusahaan di bawah 2111 (5.0.5333.0) tidak dapat mendaftarkan ulang atau mendaftarkan instans baru Authenticator sampai mereka memperbarui aplikasi Portal Perusahaan mereka ke versi yang lebih baru.
Rincian masuk passkey (pratinjau)
Authenticator adalah solusi kode akses gratis yang memungkinkan pengguna melakukan autentikasi tahan phishing tanpa kata sandi dari ponsel mereka sendiri. Beberapa manfaat utama untuk menggunakan kode akses di aplikasi Authenticator:
- Kode akses dapat dengan mudah disebarkan dalam skala besar. Kemudian kode akses tersedia di ponsel pengguna untuk skenario manajemen perangkat seluler (MDM) dan bawa perangkat Anda sendiri (BYOD).
- Kode akses di Authenticator tidak dikenakan biaya lagi dan bepergian dengan pengguna ke mana pun mereka pergi.
- Kode akses di Authenticator terikat perangkat yang memastikan kunci sandi tidak meninggalkan perangkat tempat kode akses dibuat.
- Pengguna tetap mendapatkan informasi terbaru tentang inovasi kode akses terbaru berdasarkan standar WebAuthn terbuka.
- Perusahaan dapat melapisi kemampuan lain di atas alur autentikasi seperti kepatuhan FIPS 140.
Kode akses terikat perangkat
Kode akses di aplikasi Authenticator terikat perangkat untuk memastikan bahwa mereka tidak pernah meninggalkan perangkat tempat mereka dibuat. Pada perangkat iOS, Authenticator menggunakan Enklave Aman untuk membuat kode akses. Di Android, kami membuat kode akses di Secure Element pada perangkat yang mendukungnya, atau kembali ke Trusted Execution Environment (TEE).
Cara kerja pengesahan passkey dengan Authenticator
Untuk saat ini, kode akses di Authenticator tidak diujarkan. Dukungan pengesahan untuk kode akses di Authenticator direncanakan untuk rilis mendatang.
Mencadangkan dan memulihkan kode akses di Authenticator
Kode akses di Authenticator tidak dicadangkan dan tidak dapat dipulihkan pada perangkat baru. Untuk membuat kode akses pada perangkat baru, gunakan kode akses pada perangkat yang lebih lama, atau gunakan metode autentikasi lain untuk membuat ulang kode akses.
Masuk tanpa sandi
Alih-alih melihat permintaan kata sandi setelah memasukkan nama pengguna, pengguna yang mengaktifkan masuk melalui telepon dari aplikasi Authenticator melihat pesan untuk memasukkan nomor di aplikasi mereka. Ketika nomor yang benar dipilih, proses masuk selesai.
Metode autentikasi ini memberikan tingkat keamanan yang tinggi, dan menghapus kebutuhan pengguna untuk memberikan sandi saat masuk.
Untuk mulai masuk tanpa kata sandi, lihat Mengaktifkan masuk tanpa kata sandi dengan aplikasi Microsoft Authenticator.
Pemberitahuan melalui aplikasi ponsel
Aplikasi Authenticator dapat membantu mencegah akses tidak sah ke akun dan menghentikan transaksi penipuan dengan mendorong pemberitahuan ke ponsel pintar atau tablet Anda. Pengguna melihat pemberitahuan, dan jika itu sah, pilih Verifikasi. Jika tidak, mereka dapat memilih Tolak.
Catatan
Mulai Agustus 2023, rincian masuk anomali tidak menghasilkan pemberitahuan, mirip dengan cara masuk dari lokasi yang tidak dikenal tidak menghasilkan pemberitahuan. Untuk menyetujui masuk anomali, pengguna dapat membuka Microsoft Authenticator, atau Authenticator Lite di aplikasi pendamping yang relevan seperti Outlook. Kemudian mereka dapat menarik ke bawah untuk me-refresh atau mengetuk Refresh, dan menyetujui permintaan.
Di Tiongkok, metode Pemberitahuan melalui aplikasi seluler di perangkat Android tidak berfungsi karena karena layanan Google play (termasuk pemberitahuan push) diblokir di wilayah tersebut. Namun, pemberitahuan iOS berfungsi. Untuk perangkat Android, metode autentikasi alternatif harus tersedia untuk pengguna tersebut.
Kode verifikasi dari aplikasi ponsel
Aplikasi Authenticator dapat digunakan sebagai token perangkat lunak untuk menghasilkan kode verifikasi OATH. Setelah memasukkan nama pengguna dan sandi, Anda memasukkan kode yang disediakan oleh aplikasi Authenticator ke antarmuka masuk. Kode verifikasi menyediakan bentuk autentikasi kedua.
Catatan
Kode verifikasi OATH yang dihasilkan oleh Authenticator tidak didukung untuk autentikasi berbasis sertifikat.
Pengguna dapat memiliki kombinasi hingga lima token perangkat keras OATH atau aplikasi pengautentikasi, seperti aplikasi Authenticator, yang dikonfigurasi untuk digunakan kapan saja.
MEMATUHI FIPS 140 untuk autentikasi Microsoft Entra
Sesuai dengan pedoman yang diuraikan dalam NIST SP 800-63B, pengautentikasi yang digunakan oleh lembaga pemerintah AS diharuskan untuk menggunakan kriptografi yang divalidasi FIPS 140. Pedoman ini membantu lembaga pemerintah AS memenuhi persyaratan Executive Order (EO) 14028. Selain itu, pedoman ini membantu industri lain yang diatur seperti organisasi perawatan kesehatan yang bekerja dengan Resep Elektronik untuk Zat Terkontrol (EPCS) memenuhi persyaratan peraturan mereka.
FIPS 140 adalah standar pemerintah AS yang mendefinisikan persyaratan keamanan minimum untuk modul kriptografi dalam produk dan sistem teknologi informasi. Program Validasi Modul Kriptografi (CMVP) mempertahankan pengujian terhadap standar FIPS 140.
Microsoft Authenticator untuk iOS
Dimulai dengan versi 6.6.8, Microsoft Authenticator untuk iOS menggunakan modul Apple CoreCrypto asli untuk kriptografi tervalidasi FIPS di perangkat yang mematuhi Apple iOS FIPS 140. Semua autentikasi Microsoft Entra menggunakan kode akses terikat perangkat tahan phishing, mendorong autentikasi multifaktor (MFA), masuk telepon tanpa kata sandi (PSI), dan kode sandi satu kali berbasis waktu (TOTP) menggunakan kriptografi FIPS.
Untuk informasi selengkapnya tentang modul kriptografi tervalidasi FIPS 140 yang digunakan dan perangkat iOS yang sesuai, lihat Sertifikasi keamanan Apple iOS.
Catatan
Dalam pembaruan baru dari versi sebelumnya dari artikel ini: Microsoft Authenticator belum mematuhi FIPS 140 di Android. Microsoft Authenticator di Android saat ini sedang menunggu sertifikasi kepatuhan FIPS untuk mendukung pelanggan kami yang mungkin memerlukan kriptografi yang divalidasi FIPS.
Menentukan jenis pendaftaran Microsoft Authenticator di Info keamanan
Pengguna dapat mengakses info Keamanan Saya (lihat URL di bagian berikutnya) atau dengan memilih Info keamanan dari MyAccount untuk mengelola dan menambahkan lebih banyak pendaftaran Microsoft Authenticator. Ikon tertentu digunakan untuk membedakan apakah pendaftaran Microsoft Authenticator adalah masuk telepon tanpa kata sandi atau MFA.
| Jenis pendaftaran Authenticator | Ikon |
|---|---|
| Microsoft Authenticator: Masuk dengan telepon tanpa kata sandi |  |
| Microsoft Authenticator: (Pemberitahuan/Kode) |  |
Tautan MySecurityInfo
| Cloud | MySecurityInfo URL |
|---|---|
| Komersial Azure (termasuk GCC) | https://aka.ms/MySecurityInfo |
| Azure untuk Pemerintah AS (termasuk GCC High dan DoD) | https://aka.ms/MySecurityInfo-us |
Pembaruan untuk Authenticator
Microsoft terus memperbarui Authenticator untuk mempertahankan tingkat keamanan yang tinggi. Untuk memastikan bahwa pengguna Anda mendapatkan pengalaman terbaik, kami sarankan mereka terus memperbarui Aplikasi Authenticator mereka. Dalam kasus pembaruan keamanan penting, versi aplikasi yang tidak terbaru mungkin berhenti berfungsi dan dapat memblokir pengguna menyelesaikan autentikasi mereka. Jika pengguna menggunakan versi aplikasi yang tidak didukung, mereka akan diminta untuk meningkatkan ke versi terbaru sebelum dapat melanjutkan autentikasi.
Microsoft juga akan secara berkala menghentikan versi Aplikasi Authenticator yang lebih lama untuk mempertahankan bilah keamanan tinggi untuk organisasi Anda. Jika perangkat pengguna tidak mendukung versi modern Aplikasi Microsoft Authenticator, mereka tidak dapat masuk dengan aplikasi. Sebaiknya minta pengguna ini menggunakan kode verifikasi OATH di Aplikasi Microsoft Authenticator untuk menyelesaikan autentikasi dua faktor.
Langkah berikutnya
Untuk mulai menggunakan kode akses, lihat Mengaktifkan kode akses di masuk Microsoft Authenticator (pratinjau).
Untuk informasi selengkapnya tentang masuk tanpa kata sandi, lihat Mengaktifkan masuk tanpa kata sandi dengan Microsoft Authenticator.
Pelajari lebih lanjut tentang mengonfigurasi metode autentikasi menggunakan Microsoft Graph REST API.