Akses Bersyarat: Mewajibkan MFA untuk semua pengguna

Seperti yang dikatakan Alex Weinert, Director of Identity Security di Microsoft, dalam posting blognya yang berjudul Your Pa$$word doesn't matter:

Kata sandi Anda memang tidak terlalu penting, tetapi MFA penting! Berdasarkan studi kami, akun Anda memiliki peluang tidak terusupi 99,9% jika menggunakan MFA.

Panduan dalam artikel ini akan membantu organisasi Anda membuat kebijakan MFA yang seimbang untuk lingkungan Anda.

Pengecualian pengguna

Kebijakan Akses Bersyarat adalah alat yang canggih, sebaiknya Anda mengecualikan akun berikut dari kebijakan Anda:

  • Akses darurat atau akun pemecah kaca untuk mencegah penguncian akun di seluruh penyewa. Dalam skenario yang tidak mungkin semua administrator dikunci dari penyewa Anda, akun administratif akses darurat Anda dapat digunakan untuk masuk ke penyewa dan mengambil langkah-langkah untuk memulihkan akses.
  • Akun layanan dan prinsipal layanan, seperti Akun Sinkronisasi Azure AD Connect. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun biasanya digunakan oleh layanan ujung belakang yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem demi tujuan administratif. Akun layanan seperti ini harus dikecualikan karena MFA tidak dapat diselesaikan secara terprogram. Panggilan yang dilakukan oleh perwakilan layanan tidak diblokir oleh Akses Bersyarat.
    • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola. Sebagai solusi sementara, Anda dapat mengecualikan akun tertentu ini dari kebijakan dasar.

Pengecualian aplikasi

Organisasi mungkin memiliki banyak aplikasi cloud yang sedang digunakan. Tidak semua aplikasi tersebut mungkin memerlukan pengamanan yang sama. Misalnya, aplikasi penggajian dan kehadiran mungkin memerlukan MFA tetapi kafetaria mungkin tidak. Administrator dapat memilih untuk mengecualikan aplikasi tertentu dari kebijakan mereka.

Membuat kebijakan Akses Bersyarat

Langkah berikut ini akan membantu membuat kebijakan Akses Bersyarat untuk mewajibkan Semua pengguna melakukan autentikasi multifaktor.

  1. Masuk ke portal Microsoft Azure sebagai administrator global, administrator keamanan, atau administrator Akses Bersyarat.
  2. Telusuri ke Azure Active Directory > Keamanan > Akses Bersyarat.
  3. Pilih Kebijakan baru.
  4. Beri nama pada kebijakan Anda. Kami menyarankan agar organisasi membuat standar yang bermakna untuk nama kebijakan mereka.
  5. Pada Tugas, pilih Pengguna dan grup
    1. Pada Sertakan, pilih Semua pengguna
    2. Pada Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun urgen.
    3. Pilih Selesai.
  6. Pada Tindakan atau aplikasi cloud > Sertakan, pilih Semua aplikasi cloud.
    1. Pada Kecualikan, pilih aplikasi apa pun yang tidak mewajibkan autentikasi multifaktor.
  7. Pada Persyaratan > Aplikasi klien (Pratinjau) , pada Pilih aplikasi klien tempat kebijakan ini akan diterapkan, biarkan semua opsi dalam pengaturan default dan pilih Selesai.
  8. Pada Kontrol akses > Pemberian Izin, pilih Berikan akses, Wajibkan autentikasi multifaktor, lalu pilih Pilih.
  9. Konfirmasikan pengaturan Anda lalu atur Aktifkan kebijakan ke Aktif.
  10. Pilih Buat untuk membuat guna mengaktifkan kebijakan Anda.

Lokasi bernama

Organisasi dapat memilih menggabungkan lokasi jaringan yang diketahui yang dikenal sebagai Lokasi bernama untuk kebijakan Akses Bersyarat mereka. Lokasi bernama ini mungkin termasuk jaringan IPv4 tepercaya seperti lokasi untuk lokasi kantor utama. Untuk informasi selengkapnya terkait mengonfigurasi lokasi bernama, lihat artikel Apa persyaratan lokasi di Akses Bersyarat Azure Active Directory?

Dalam contoh kebijakan di atas, organisasi dapat memilih untuk tidak mewajibkan autentikasi multifaktor jika aplikasi cloud diakses dari jaringan perusahaan mereka. Dalam hal ini, mereka dapat menambahkan konfigurasi berikut ke kebijakan:

  1. Pada Penugasan, pilih Persyaratan > Lokasi.
    1. Konfigurasikan Ya.
    2. Sertakan lokasi apa pun.
    3. Kecualikan Semua lokasi tepercaya.
    4. Pilih Selesai.
  2. Pilih Selesai.
  3. Simpan perubahan kebijakan Anda.

Langkah berikutnya

Kebijakan umum Akses Bersyarat

Menentukan dampak menggunakan mode khusus laporan Akses Bersyarat

Menyimulasikan perilaku masuk menggunakan alat What If di Akses Bersyarat