Akses Bersyarat: Mewajibkan MFA untuk semua pengguna

Seperti yang dikatakan Alex Weinert, Director of Identity Security di Microsoft, dalam posting blognya yang berjudul Your Pa$$word doesn't matter:

Kata sandi Anda memang tidak terlalu penting, tetapi MFA penting! Berdasarkan studi kami, akun Anda memiliki peluang tidak terusupi 99,9% jika menggunakan MFA.

Panduan dalam artikel ini akan membantu organisasi Anda membuat kebijakan MFA untuk lingkungan Anda.

Pengecualian pengguna

Kebijakan Akses Bersyarat adalah alat yang canggih, sebaiknya Anda mengecualikan akun berikut dari kebijakan Anda:

• Akses darurat atau akun pemecah kaca untuk mencegah penguncian akun di seluruh penyewa. Dalam skenario yang tidak mungkin semua administrator dikunci dari penyewa Anda, akun administratif akses darurat Anda dapat digunakan untuk masuk ke penyewa dan mengambil langkah-langkah untuk memulihkan akses.
  • Informasi selengkapnya dapat ditemukan di artikel Mengelola akun akses darurat di Microsoft Azure AD.
• Akun layanan dan prinsipal layanan, seperti Akun Sinkronisasi Azure AD Connect. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Akun layanan seperti ini harus dikecualikan karena MFA tidak dapat diselesaikan secara terprogram. Panggilan yang dibuat oleh perwakilan layanan tidak diblokir oleh Akses Bersyarat.
  • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola. Sebagai solusi sementara, Anda dapat mengecualikan akun tertentu ini dari kebijakan dasar.

Pengecualian aplikasi

Organisasi mungkin memiliki banyak aplikasi cloud yang sedang digunakan. Tidak semua aplikasi tersebut mungkin memerlukan pengamanan yang sama. Misalnya, aplikasi penggajian dan kehadiran mungkin memerlukan MFA tetapi kafetaria mungkin tidak. Administrator dapat memilih untuk mengecualikan aplikasi tertentu dari kebijakan mereka.

Aktivasi langganan

Organisasi yang menggunakan fitur Aktivasi Langganan untuk memungkinkan pengguna "naik" dari satu versi Windows ke versi lainnya, mungkin ingin mengecualikan API Layanan Store Universal dan Aplikasi Web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f dari kebijakan MFA semua aplikasi cloud semua pengguna.

Penyebaran templat

Organisasi dapat memilih untuk menerapkan kebijakan ini menggunakan langkah-langkah yang diuraikan di bawah ini atau menggunakan Template Akses Bersyarat (Pratinjau).

Membuat kebijakan Akses Bersyarat

Langkah-langkah berikut akan membantu membuat kebijakan Akses Bersyarat untuk mewajibkan semua pengguna melakukan autentikasi multifaktor.

1. Masuk ke portal Azure sebagai administrator global, administrator keamanan, atau admin Akses Bersyarat.
2. Telusuri ke Azure Active Directory>Keamanan>Akses Bersyarat.
3. Pilih Kebijakan baru.
4. Beri nama pada kebijakan Anda. Kami menyarankan agar organisasi membuat standar yang bermakna untuk nama kebijakan mereka.
5. Pada Tugas, pilih Pengguna dan grup
   1. Pada Sertakan, pilih Semua pengguna
   2. Pada Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun urgen.
   3. Pilih Selesai.
6. Di bawah Aplikasi cloud atau tindakanSertakan, pilih Semua aplikasi cloud.
   1. Di bawah Kecualikan, pilih aplikasi apa pun yang tidak memerlukan autentikasi multifaktor.
7. Pada Kontrol akses>Pemberian Izin, pilih Berikan akses, Wajibkan autentikasi multifaktor, lalu pilih Pilih.
8. Konfirmasikan pengaturan Anda lalu atur Aktifkan kebijakan ke Hanya Laporan.
9. Pilih Buat untuk membuat guna mengaktifkan kebijakan Anda.

Setelah mengonfirmasi pengaturan Anda menggunakan mode hanya laporan,administrator dapat memindahkan pengalihAktifkan kebijakan dari Hanya laporan ke Aktif.

Lokasi bernama

Organisasi dapat memilih menggabungkan lokasi jaringan yang diketahui yang dikenal sebagai Lokasi bernama untuk kebijakan Akses Bersyarat mereka. Lokasi bernama ini mungkin termasuk jaringan IPv4 tepercaya seperti lokasi untuk lokasi kantor utama. Untuk informasi selengkapnya terkait mengonfigurasi lokasi bernama, lihat artikel Apa persyaratan lokasi di Akses Bersyarat Azure Active Directory?

Dalam contoh kebijakan di atas, organisasi dapat memilih untuk tidak mewajibkan autentikasi multifaktor jika aplikasi cloud diakses dari jaringan perusahaan mereka. Dalam hal ini, mereka dapat menambahkan konfigurasi berikut ke kebijakan:

1. Pada Penugasan, pilih Persyaratan>Lokasi.
   1. Konfigurasikan Ya.
   2. Sertakan lokasi apa pun.
   3. Kecualikan Semua lokasi tepercaya.
   4. Pilih Selesai.
2. Pilih Selesai.
3. Simpan perubahan kebijakan Anda.

Langkah berikutnya

Kebijakan umum Akses Bersyarat

Mensimulasikan perilaku masuk menggunakan alat Akses Bersyarat What If