Terapkan autentikasi multifaktor Microsoft Entra dengan aplikasi warisan menggunakan kata sandi aplikasi

Beberapa aplikasi non-browser yang lebih lama seperti Office 2010 atau versi lebih lama dan Apple Mail sebelum iOS 11 tidak memahami jeda atau jeda dalam proses autentikasi. Pengguna autentikasi multifaktor Microsoft Entra (autentikasi multifaktor Microsoft Entra) yang mencoba masuk ke salah satu aplikasi non-browser yang lebih lama ini, tidak dapat berhasil mengautentikasi. Untuk menggunakan aplikasi ini dengan cara yang aman dengan autentikasi multifaktor Microsoft Entra yang diberlakukan untuk akun pengguna, Anda dapat menggunakan kata sandi aplikasi. Kata sandi aplikasi ini menggantikan kata sandi tradisional Anda untuk memungkinkan aplikasi melewati autentikasi multifaktor dan bekerja dengan benar.

Autentikasi modern didukung untuk klien Microsoft Office 2013 dan yang lebih baru. Klien Office 2013, termasuk Outlook, mendukung protokol autentikasi modern dan dapat bekerja dengan verifikasi dua langkah. Setelah autentikasi multifaktor Microsoft Entra diberlakukan, kata sandi aplikasi tidak diperlukan untuk klien.

Artikel ini memperlihatkan kepada Anda cara menggunakan kata sandi aplikasi untuk aplikasi warisan yang tidak mendukung perintah autentikasi multifaktor.

Catatan

Kata sandi aplikasi tidak berfungsi untuk akun yang diperlukan untuk menggunakan autentikasi modern.

Ringkasan dan pertimbangan

Saat akun pengguna diberlakukan untuk autentikasi multifaktor Microsoft Entra, permintaan masuk reguler terganggu oleh permintaan verifikasi tambahan. Beberapa aplikasi lama tidak memahami jeda ini dalam proses masuk, sehingga autentikasi gagal. Untuk menjaga keamanan akun pengguna dan membiarkan autentikasi multifaktor Microsoft Entra diberlakukan, kata sandi aplikasi dapat digunakan alih-alih nama pengguna dan kata sandi reguler pengguna. Saat kata sandi aplikasi yang digunakan saat masuk, tidak ada permintaan verifikasi tambahan, sehingga autentikasi berhasil.

Kata sandi aplikasi dibuat secara otomatis, tidak ditentukan oleh pengguna. Kata sandi yang dihasilkan secara otomatis ini mempersulit penyerang untuk menebak, jadi lebih aman. Pengguna tidak perlu melacak kata sandi atau memasukkannya setiap kali karena kata sandi aplikasi hanya dimasukkan sekali per aplikasi.

Saat Anda menggunakan kata sandi aplikasi, pertimbangan berikut ini berlaku:

• Ada batas 40 kata sandi aplikasi per pengguna.
• Aplikasi yang menyimpan kata sandi dan menggunakannya dalam skenario lokal dapat gagal karena kata sandi aplikasi tidak diketahui di luar akun kantor atau sekolah. Contoh skenario ini adalah email Exchange yang berada lokal, tetapi email yang diarsipkan ada di cloud. Dalam skenario ini, kata sandi yang sama tidak berfungsi.
• Setelah autentikasi multifaktor Microsoft Entra diberlakukan pada akun pengguna, kata sandi aplikasi dapat digunakan dengan sebagian besar klien non-browser seperti Outlook dan Microsoft Skype for Business. Namun, tindakan administratif tidak dapat dilakukan dengan menggunakan kata sandi aplikasi melalui aplikasi non-browser, seperti Windows PowerShell. Tindakan tidak dapat dilakukan bahkan ketika pengguna memiliki akun administratif.
  • Untuk menjalankan skrip PowerShell, buat akun layanan dengan kata sandi yang kuat dan jangan memaksakan akun untuk verifikasi dua langkah.
• Jika Anda menduga bahwa akun pengguna disusupi dan mencabut / mengatur ulang kata sandi akun, kata sandi aplikasi juga harus diperbarui. Kata sandi aplikasi tidak dicabut secara otomatis saat kata sandi akun pengguna dicabut / direset. Pengguna harus menghapus kata sandi aplikasi yang ada dan membuat kata sandi baru.
  • Untuk mengetahui informasi selengkapnya, lihat Membuat dan menghapus kata sandi aplikasi dari halaman Verifikasi keamanan tambahan.

Peringatan

Kata sandi aplikasi tidak berfungsi di lingkungan hibrid di mana klien berkomunikasi dengan titik akhir penemuan otomatis lokal dan cloud. Kata sandi domain diperlukan untuk mengautentikasi lokal. Kata sandi aplikasi diperlukan untuk mengautentikasi dengan cloud.

Nama kata sandi aplikasi

Nama kata sandi aplikasi harus mencerminkan perangkat tempat mereka digunakan. Jika Anda memiliki laptop yang memiliki aplikasi non-browser seperti Outlook, Word, dan Excel, buat satu kata sandi aplikasi bernama Laptop untuk aplikasi ini. Buat kata sandi aplikasi lain bernama Desktop untuk aplikasi yang sama yang berjalan di komputer desktop Anda.

Disarankan untuk membuat satu kata sandi aplikasi per perangkat, daripada satu kata sandi aplikasi per aplikasi.

Kata sandi aplikasi akses menyeluruh atau terfederasi

MICROSOFT Entra ID mendukung federasi, atau akses menyeluruh (SSO), dengan Active Directory lokal Domain Services (AD DS). Jika organisasi Anda digabungkan dengan ID Microsoft Entra dan Anda menggunakan autentikasi multifaktor Microsoft Entra, pertimbangan kata sandi aplikasi berikut berlaku:

Catatan

Poin berikut hanya berlaku untuk pelanggan federasi (SSO).

• Kata sandi aplikasi diverifikasi oleh ID Microsoft Entra, dan oleh karena itu, lewati federasi. Federasi hanya digunakan secara aktif saat menyiapkan kata sandi aplikasi.
• Penyedia Identitas (IdP) tidak dihubungi untuk pengguna federasi (SSO), tidak seperti aliran pasif. Kata sandi aplikasi disimpan di akun kantor atau sekolah. Jika pengguna meninggalkan perusahaan, informasi pengguna mengalir ke akun kantor atau sekolah dengan menggunakan DirSync secara real time. Penonaktifan/penghapusan akun dapat memakan waktu hingga tiga jam untuk disinkronkan, yang dapat menunda penonaktifan/penghapusan kata sandi aplikasi di ID Microsoft Entra.
• Pengaturan Access Control klien lokal tidak dipatuhi oleh fitur kata sandi aplikasi.
• Tidak ada kemampuan pengelogan atau pengauditan autentikasi lokal yang tersedia dengan fitur kata sandi aplikasi.

Beberapa arsitektur tingkat lanjut memerlukan kombinasi kredensial untuk autentikasi multifaktor dengan klien. Kredensial ini dapat mencakup nama pengguna dan kata sandi akun kantor atau sekolah, dan kata sandi aplikasi. Persyaratan tergantung pada bagaimana autentikasi dilakukan. Untuk klien yang mengautentikasi terhadap infrastruktur lokal, nama pengguna dan kata sandi akun kantor atau sekolah diperlukan. Untuk klien yang mengautentikasi terhadap ID Microsoft Entra, diperlukan kata sandi aplikasi.

Misalnya, Anda memiliki arsitektur berikut:

• Instans Direktori Aktif lokal Anda digabungkan dengan ID Microsoft Entra.
• Anda menggunakan Exchange online.
• Anda menggunakan Skype for Business lokal.
• Anda menggunakan autentikasi multifaktor Microsoft Entra.

Dalam skenario ini, Anda menggunakan info masuk berikut:

• Untuk masuk ke Skype for Business, gunakan nama pengguna dan kata sandi akun kantor atau sekolah Anda.
• Untuk mengakses buku alamat dari klien Outlook yang tersambung ke Exchange online, gunakan kata sandi aplikasi.

Mengizinkan pengguna membuat kata sandi aplikasi

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Secara default, pengguna tidak dapat membuat kata sandi aplikasi. Fitur kata sandi aplikasi harus diaktifkan sebelum pengguna dapat menggunakannya. Untuk memberikan pengguna kemampuan membuat sandi aplikasi, admin perlu melengkapi langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.

2. Telusuri ke lokasi Bernama Akses>Bersyar.

3. Klik "Konfigurasikan IP tepercaya MFA" pada bilah di bagian atas jendela Akses Bersyarat | Lokasi Bernama.

4. Pada halaman Autentikasi multifaktor, pilih opsi Izinkan pengguna membuat kata sandi aplikasi untuk masuk ke aplikasi non-browser.

   

Catatan

Saat Anda menonaktifkan kemampuan pengguna untuk membuat kata sandi aplikasi, kata sandi aplikasi yang ada terus berfungsi. Namun, pengguna tidak dapat mengelola atau menghapus kata sandi aplikasi yang ada setelah Anda menonaktifkan kemampuan ini.

Saat Anda menonaktifkan kemampuan untuk membuat kata sandi aplikasi, disarankan juga untuk membuat kebijakan Akses Bersyarat untuk menonaktifkan penggunaan autentikasi lama. Pendekatan ini mencegah kata sandi aplikasi yang ada berfungsi, dan memaksa penggunaan metode autentikasi modern.

Membuat kata sandi aplikasi

Saat pengguna menyelesaikan pendaftaran awal mereka untuk autentikasi multifaktor Microsoft Entra, ada opsi untuk membuat kata sandi aplikasi di akhir proses pendaftaran.

Pengguna juga dapat membuat kata sandi aplikasi setelah pendaftaran. Untuk informasi selengkapnya dan langkah-langkah terperinci untuk pengguna Anda, lihat sumber daya berikut ini:

• Membuat sandi aplikasi dari halaman info Keamanan

Langkah berikutnya

• Untuk informasi selengkapnya tentang cara mengizinkan pengguna mendaftar dengan cepat untuk autentikasi multifaktor Microsoft Entra, lihat Gambaran umum pendaftaran informasi keamanan gabungan.
• Untuk informasi selengkapnya tentang status pengguna yang diaktifkan dan diberlakukan untuk autentikasi multifaktor Microsoft Entra, lihat Mengaktifkan autentikasi multifaktor Microsoft Entra per pengguna untuk mengamankan peristiwa masuk