Mengamankan sumber daya cloud dengan Multi-Factor Authentication Microsoft Azure AD dan Layanan Federasi Direktori Aktif

Jika organisasi Anda digabungkan dengan Azure Active Directory, gunakan Multi-Factor Authentication Microsoft Azure AD atau Layanan Federasi Direktori Aktif (AD FS) untuk mengamankan sumber daya yang diakses oleh Microsoft Azure AD. Gunakan prosedur berikut untuk mengamankan sumber daya Azure Active Directory baik dengan Multi-Factor Authentication Microsoft Azure AD atau Layanan Federasi Direktori Aktif.

Catatan

Untuk mengamankan sumber daya Azure Active Directory, sebaiknya wajibkan MFA melalui kebijakan Akses Bersyarat, atur pengaturan domain SupportsMfa ke $True dan keluarkan klaim multipleauthn saat pengguna berhasil melakukan verifikasi dua langkah.

Mengamankan sumber daya Microsoft Azure AD menggunakan Layanan Federasi Direktori Aktif

Untuk mengamankan sumber daya cloud Anda, siapkan aturan klaim sehingga Layanan Federasi Direktori Aktif mengeluarkan klaim multipleauthn ketika pengguna berhasil melakukan verifikasi dua langkah. Klaim ini diteruskan ke Microsoft Azure AD. Ikuti prosedur ini untuk menelusuri langkah-langkahnya:

  1. Buka Manajemen Layanan Federasi Direktori Aktif.

  2. Di sebelah kiri, pilih Mengandalkan Kepercayaan Pihak.

  3. Klik kanan pada Platform Identitas Microsoft Office 365 dan pilih Edit Aturan Klaim.

    Konsol ADFS - Mengandalkan Kepercayaan Pihak

  4. Pada Aturan Transformasi Penerbitan, klik Tambahkan Aturan.

    Mengedit Aturan Transformasi Penerbitan

  5. Pada Wizard Tambahkan Aturan Klaim Transformasi, pilih Lewati atau Filter Klaim Masuk dari daftar tarik turun dan klik Berikutnya.

    Cuplikan layar memperlihatkan Wizard Tambahkan Aturan Klaim Transformasi tempat Anda memilih templat aturan Klaim.

  6. Beri nama aturan Anda.

  7. Pilih Referensi Metode Autentikasi sebagai jenis klaim Masuk.

  8. Pilih Lewati semua nilai klaim. Cuplikan layar memperlihatkan Wizard Tambahkan Aturan Klaim Transformasi tempat Anda memilih Lewati semua nilai klaim.

  9. Klik Selesai. Tutup konsol Manajemen Layanan Federasi Direktori Aktif.

IP tepercaya untuk pengguna gabungan

IP tepercaya memungkinkan administrator untuk meloloskan verifikasi dua langkah untuk alamat IP tertentu, atau untuk pengguna gabungan yang memiliki permintaan yang berasal dari dalam intranet mereka sendiri. Bagian berikut ini menjelaskan cara mengkonfigurasi IP Tepercaya Multi-Factor Authentication Microsoft Azure AD dengan pengguna gabungan dan lolos verifikasi dua langkah saat permintaan berasal dari intranet pengguna gabungan. Hal ini dicapai dengan mengkonfigurasi Layanan Federasi Direktori Aktif untuk melewati atau memfilter templat klaim masuk dengan jenis klaim Inside Corporate Network.

Contoh ini menggunakan Microsoft 365 untuk Mengandalkan Kepercayaan Pihak kami.

Mengkonfigurasi aturan klaim Layanan Federasi Direktori Aktif

Hal pertama yang perlu kita lakukan adalah mengkonfigurasi klaim Layanan Federasi Direktori Aktif. Buat dua aturan klaim, satu untuk jenis klaim Inside Corporate Network dan satu lagi untuk menjaga pengguna kami tetap masuk.

  1. Buka Manajemen Layanan Federasi Direktori Aktif.
  2. Di sebelah kiri, pilih Mengandalkan Kepercayaan Pihak.
  3. Klik kanan pada Platform Identitas Microsoft Office 365 dan pilih Edit Aturan Klaim… Konsol ADFS - Edit Aturan Klaim
  4. Pada Aturan Transformasi Penerbitan, klik Tambahkan Aturan.  Menambahkan Aturan Klaim
  5. Pada Wizard Tambahkan Aturan Klaim Transformasi, pilih Lewati atau Filter Klaim Masuk dari daftar tarik turun dan klik Berikutnya. Cuplikan layar memperlihatkan Wizard Tambahkan Aturan Klaim Transformasi tempat Anda memilih Lewati atau Filter Klaim yang Masuk.
  6. Dalam kotak di samping nama aturan Klaim, beri nama aturan Anda. Misalnya: InsideCorpNet.
  7. Dari menu tarik turun, di samping jenis klaim Masuk, pilih Inside Corporate Network. Menambahkan klaim Inside Corporate Network
  8. Klik Selesai.
  9. Pada Aturan Transformasi Penerbitan, klik Tambahkan Aturan.
  10. Pada Wizard Tambahkan Aturan Klaim Transformasi, pilih Kirim Klaim Menggunakan Aturan Kustom dari menu tarik turun dan klik Berikutnya.
  11. Dalam kotak di bawah nama aturan Klaim: masukkan Biarkan Pengguna Tetap Masuk.
  12. Dalam kotak Aturan kustom, masukkan:
        c:[Type == "http://schemas.microsoft.com/2014/03/psso"]
            => issue(claim = c);
    ![Create custom claim to keep users signed in](./media/howto-mfa-adfs/trustedip5.png)
  1. Klik Selesai.
  2. Klik Terapkan.
  3. Klik Ok.
  4. Tutup Manajemen Layanan Federasi Direktori Aktif.

Mengkonfigurasi IP Tepercaya Multi-Factor Authentication Microsoft Azure AD dengan Pengguna Gabungan

Sekarang setelah klaim diberlakukan, kita dapat mengkonfigurasi IP tepercaya.

  1. Masuk ke portal Microsoft Azure.

  2. Pilih Azure Active Directory > Keamanan > Akses Bersyarat > lokasi bernama.

  3. Dari bilah Akses Bersyarat - Lokasi bernama, pilih Konfigurasi IP tepercaya MFA

    Lokasi bernama Akses Bersyarat Microsoft Azure AD Mengonfigurasi IP tepercaya MFA

  4. Pada halaman Pengaturan Layanan, di IP tepercaya, pilih Lewati autentikasi multifaktor untuk permintaan dari pengguna gabungnan pada intranet saya.

  5. Klik Simpan.

Itu saja! Pada titik ini, pengguna gabungan Microsoft 365 hanya perlu menggunakan MFA ketika klaim berasal dari luar intranet perusahaan.