- Microsoft mempromosikan metode autentikasi tanpa kata sandi dan tahan terhadap phishing untuk mengurangi risiko pencurian kredensial dan meningkatkan pengalaman login.
- Aplikasi Microsoft Authenticator memungkinkan Anda untuk masuk ke akun Microsoft Entra dan Microsoft 365 menggunakan login telepon, notifikasi, nomor verifikasi, dan biometrik tanpa perlu mengetik kata sandi.
- Administrator harus mengaktifkan Authenticator dan metode otentikasi tanpa kata sandi lainnya dari metode otentikasi dan kebijakan akses bersyarat di Microsoft Entra ID, dengan mengoordinasikan tim keamanan, dukungan, dan komunikasi.
- Model tanpa kata sandi memiliki beberapa keterbatasan dan masalah yang diketahui, tetapi jika direncanakan dengan baik, model ini memungkinkan sebagian besar pengguna untuk berhenti menggunakan kata sandi dalam kehidupan sehari-hari mereka dengan keamanan yang lebih besar.
La Autentikasi tanpa kata sandi untuk akun Microsoft Ini bukan lagi hal futuristik atau eksklusif untuk lingkungan yang sangat canggih. Saat ini, siapa pun dapat masuk ke Microsoft 365, Entra ID (sebelumnya Azure AD), atau akun Microsoft pribadi mereka menggunakan ponsel, biometrik, atau kunci keamanan, tanpa perlu mengetikkan kata sandi. Selain lebih nyaman, ini merupakan langkah penting untuk mengurangi pencurian kredensial dan serangan phishing.
Dalam artikel ini kita akan membahas secara rinci, Cara kerja login tanpa kata sandi dengan Microsoft Authenticator dan PasskeysKita akan membahas apa yang dibutuhkan organisasi Anda untuk mengimplementasikannya, bagaimana cara mengaktifkannya sebagai administrator di Microsoft Entra ID, apa yang dapat dilakukan pengguna akhir, dan batasan atau masalah yang diketahui. Kita juga akan melihat mengapa Microsoft begitu bersikeras untuk meninggalkan kata sandi tradisional dan bagaimana semua ini sesuai dengan strategi keamanan Zero Trust.
Mengapa Microsoft ingin menghilangkan kata sandi?
Kata sandi telah menjadi vektor serangan utama di lingkungan perusahaan dan pribadiData tersebut digunakan kembali, bocor dalam pelanggaran data, ditebak, dicuri melalui phishing atau malware, dan pada kesempatan sekecil apa pun, penyerang mendapatkan akses penuh ke akun email, dokumen, dan aplikasi penting.
Model keamanan klasik berdasarkan pada "nama pengguna + kata sandi" ditambah faktor dasar kedua (misalnya, SMS) lebih baik daripada hanya menggunakan kata sandi, tetapi masih memiliki beberapa kelemahan: pesan teks dapat dicegat, pengguna masih menjadi korban situs web phishing, dan pencurian kredensial skala besar terus berlanjut.
Untuk mengurangi semua risiko ini, Microsoft merekomendasikan untuk beralih ke Metode otentikasi tanpa kata sandi yang tahan terhadap pemalsuan.Metode ini bergantung pada kredensial yang terhubung ke perangkat fisik (ponsel, laptop, kunci, dll.) dan memerlukan sesuatu yang Anda miliki (perangkat) dan sesuatu yang Anda ketahui atau merupakan diri Anda (PIN, sidik jari, wajah), sehingga memenuhi MFA secara terintegrasi, tanpa memaksa pengguna untuk mengingat apa pun.
Selain itu, proses login menggunakan kata sandi atau kredensial FIDO2 jauh lebih cepat. Menurut data internal Microsoft, Autentikasi kata sandi dapat memakan waktu sekitar 24 detik.Sedangkan kunci akses standar divalidasi dalam waktu sekitar 8 detik, dan bahkan kurang dari itu (sekitar 3 detik) jika itu adalah kata sandi yang disinkronkan di pengelola seperti Google Password Manager atau iCloud Keychain.
Kombinasi ini Lebih aman dan lebih sedikit gesekan Bagi pengguna akhir, inilah alasan mengapa Microsoft sangat gencar mempromosikan platform tanpa kata sandi di Microsoft Sign In ID dan di seluruh ekosistem Microsoft 365 dan Windows.
Opsi autentikasi tanpa kata sandi di Microsoft Sign In ID
Microsoft Entra ID menawarkan beberapa cara untuk Masuk tanpa memasukkan kata sandiDirancang untuk perangkat pribadi dan perusahaan, serta untuk berbagai jenis pengguna dan skenario. Kategori utama yang saat ini disertakan adalah:
Pertama-tama, ada kata sandi (FIDO2 / kata sandi)Ini adalah kredensial berdasarkan standar FIDO2 yang disimpan pada perangkat (misalnya, kunci keamanan atau kata sandi platform). Kredensial ini dapat berupa kunci yang disinkronkan melalui pengelola kata sandi seperti Google Password Manager atau iCloud, atau kunci berbasis perangkat keras fisik seperti YubiKey dan perangkat serupa.
Kedua, Microsoft menyertakan Windows Hello untuk bisnisTeknologi ini menciptakan kredensial yang terhubung ke komputer Windows, yang dilindungi oleh PIN atau biometrik (sidik jari atau pengenalan wajah). Ini adalah dasar untuk login tanpa kata sandi ke desktop Windows ketika perangkat terhubung ke ID Login Microsoft atau dikelola dengan benar.
Pilihan lainnya adalah Kunci login Microsoft. Masuk ke Windows. (dalam versi pendahuluan) dan kredensial platform untuk macOS (juga dalam pratinjau). Keduanya memungkinkan sistem operasi untuk mengelola kredensial tanpa kata sandi yang terintegrasi langsung dengan Entra ID, menyederhanakan login yang aman di lingkungan modern.
Dalam dunia perangkat seluler, berikut ini beberapa hal yang menonjol: kunci akses di aplikasi Microsoft AuthenticatorDi sinilah fitur login telepon tanpa kata sandi berperan: pengguna menyetujui notifikasi di aplikasi, memasukkan nomor yang ditampilkan di layar, dan mengkonfirmasi dengan PIN atau biometrik perangkat, tanpa perlu mengetik kata sandi akun.
Terakhir, Microsoft terus memberikan dukungan. kartu pintar dan otentikasi berbasis sertifikatyang dapat dianggap sebagai kredensial tanpa kata sandi di banyak lingkungan bisnis dan juga mampu menahan upaya phishing dengan baik jika diimplementasikan dengan benar.
Cara kerja Microsoft Authenticator untuk masuk tanpa kata sandi
Aplikasi Microsoft Authenticator Ini adalah komponen kunci dari strategi tanpa kata sandi Microsoft. Tersedia untuk iOS dan Android, aplikasi ini mendukung otentikasi multi-faktor klasik (MFA dengan notifikasi push atau kode) dan login melalui telepon tanpa kata sandi.
Di balik Authenticator terdapat sebuah otentikasi berbasis kunciPada dasarnya, kredensial dibuat untuk pengguna dan dihubungkan ke perangkat tertentu. Untuk menggunakan kredensial tersebut, perangkat memerlukan faktor otentikasi lokal seperti PIN, sidik jari, atau pengenalan wajah. Windows Hello for Business menggunakan teknologi yang sangat mirip, tetapi berfokus pada komputer Windows itu sendiri.
Alur penggunaan tipikal dari login telepon Sangat sederhana. Di layar masuk Microsoft 365 atau aplikasi apa pun yang terintegrasi dengan Entra ID, pengguna hanya perlu memasukkan nama pengguna mereka (email kantor atau sekolah). Kemudian, alih-alih mengetik kata sandi mereka, mereka memilih opsi untuk menyetujui permintaan di aplikasi Authenticator.
Pada saat itu sebuah nomor pada layar loginPerangkat seluler menampilkan notifikasi Authenticator yang meminta konfirmasi akses. Pengguna harus memilih akun yang benar dan memasukkan nomor yang ditampilkan di situs web ke dalam aplikasi. Verifikasi silang ini mencegah seseorang secara tidak sengaja menyetujui notifikasi yang bukan miliknya.
Setelah nomor dimasukkan, perangkat akan bertanya PIN atau biometrik untuk memverifikasi bahwa orang yang menyetujui memang pemilik perangkat seluler tersebut. Barulah kemudian proses masuk selesai dan akses ke akun diberikan tanpa perlu memasukkan kata sandi.
Detail penting adalah itu Beberapa akun Microsoft Sign-In ID dapat dikonfigurasi. Di aplikasi Authenticator yang sama, aktifkan login telepon tanpa kata sandi di semua akun, dengan syarat perangkat terdaftar di tenant yang bersangkutan. Namun, akun tamu tidak didukung untuk model multi-akun pada perangkat yang sama.
Persyaratan untuk menggunakan login telepon tanpa kata sandi
Sebelum Anda terburu-buru mengaktifkan login tanpa kata sandi untuk semua orang, Anda perlu memastikan bahwa beberapa kondisi telah terpenuhi. persyaratan teknis dan organisasi minimumMicrosoft menyarankan untuk meninjau poin-poin ini guna menghindari masalah di masa mendatang.
Di satu sisi, sangat disarankan untuk memiliki Microsoft Menerapkan Otentikasi Multi-Faktor (MFA) Dikonfigurasikan di dalam organisasi, ini memungkinkan penggunaan notifikasi push sebagai metode verifikasi. Notifikasi ini membantu memblokir akses tidak sah dan transaksi curang, dan aplikasi Authenticator juga secara otomatis menghasilkan kode untuk menyediakan metode cadangan jika perangkat kehilangan koneksi.
Selain itu, diwajibkan bahwa Perangkat tempat Authenticator akan digunakan harus terdaftar di setiap tenant Entra ID. di mana Anda ingin mengaktifkan login melalui telepon. Misalnya, jika seseorang bekerja dengan akun seperti balas@contoso.com dan balas@wingtiptoys.com, nomor telepon seluler harus terdaftar di kedua penyewa (Contoso dan Wingtip Toys) untuk memungkinkan akses tanpa kata sandi dengan semua identitas tersebut.
Untuk bagian administrasi, sebaiknya aktifkan panggilan terlebih dahulu. pengalaman pendaftaran gabungan di Microsoft Sign In ID. Pengalaman ini menyatukan pendaftaran metode keamanan (MFA, pengaturan ulang kata sandi, dll.) dan menyederhanakan proses pengenalan Authenticator sebagai metode tanpa kata sandi.
Dari perspektif perizinan, fakta sederhana dari Daftar dan masuk menggunakan metode tanpa kata sandi. Tidak memerlukan lisensi khusus. Meskipun demikian, Microsoft merekomendasikan untuk memiliki setidaknya lisensi Microsoft Entra ID P1 agar dapat memanfaatkan sepenuhnya fitur-fiturnya: akses bersyarat untuk memberlakukan kredensial tahan phishing, laporan penggunaan metode autentikasi, dan lain sebagainya.
Terakhir, sangat penting untuk mengidentifikasi tim kerja yang akan terlibat dalam proyek tersebutManajemen identitas dan akses, arsitektur keamanan, operasi keamanan, tim audit, dukungan teknis, dan komunikasi pengguna akhir. Jika kelompok-kelompok ini tidak selaras, implementasi mungkin tidak lengkap atau menimbulkan terlalu banyak insiden.
Cara mengaktifkan Microsoft Authenticator tanpa kata sandi sebagai administrator
Dari konsol manajemen Microsoft Entra ID, administrator memiliki kemampuan untuk tentukan metode otentikasi mana yang diizinkan untuk organisasi. Di sinilah Microsoft Authenticator diaktifkan untuk MFA tradisional dan mode tanpa kata sandi.
Titik awalnya adalah mengakses Pusat admin Microsoft Masuk dengan akun yang setidaknya memiliki peran Administrator Kebijakan Otentikasi. Setelah masuk, buka bagian ID Login dan dari sana ke Metode dan Kebijakan Otentikasi, tempat aturan penggunaan untuk setiap metode dikelola.
Dalam konfigurasi metode, Anda dapat Aktifkan Microsoft Authenticator dan memutuskan apakah akan mengizinkan penyisipan MFA klasik (notifikasi push untuk konfirmasi kata sandi) dan/atau login telepon tanpa kata sandi. Setiap grup pengguna dapat dikonfigurasi untuk menggunakan salah satu mode atau membatasinya sesuai dengan kebutuhan keamanan.
Secara default, grup biasanya dikonfigurasi untuk menggunakan "dengan cara apa pun" dengan AuthenticatorIni berarti anggota Anda dapat masuk baik dengan menyetujui notifikasi push standar atau dengan menggunakan login telepon tanpa kata sandi, jika mereka telah berhasil mendaftarkannya di aplikasi Anda.
Pertanyaan yang sangat umum di kalangan administrator adalah apakah hal itu mungkin dilakukan. benar-benar memaksa penggunaan tanpa kata sandiHal ini mencegah pengguna untuk melakukan autentikasi ulang dengan kata sandi mereka bahkan setelah mengkonfigurasi semuanya. Kenyataannya adalah, meskipun Anda dapat sangat mempromosikan model tanpa kata sandi melalui kebijakan akses bersyarat dan pembatasan pada metode yang diizinkan, Microsoft masih mempertahankan opsi untuk menggunakan kata sandi dalam skenario tertentu, seperti untuk pemulihan atau kompatibilitas dengan aplikasi lama tertentu.
Meskipun demikian, menggunakan kombinasi kebijakan tentang metode otentikasi dan akses bersyaratHal ini dapat mengarah pada skenario di mana pengguna baru, setelah mendaftar di Authenticator dan menyelesaikan login pertama mereka, hampir selalu menggunakan telepon atau metode tanpa kata sandi lainnya, sehingga penggunaan kata sandi hanya terbatas pada keadaan luar biasa.
Pendaftaran pengguna di aplikasi Authenticator
Setelah Microsoft Authenticator diaktifkan sebagai metode di organisasi, saatnya untuk menangani hal berikut: pendaftaran pengguna akhiryang dapat dilakukan dengan dua cara utama: melalui pendaftaran terpandu dari halaman Informasi Keamanan atau dengan menggunakan kartu akses sementara yang diberikan oleh administrator.
Dalam pendaftaran terpandu standar, pengguna mengakses halaman tersebut melalui browser. Informasi keamanan akun AndaMasuk dengan kredensial Anda saat ini dan pilih opsi Tambah Metode. Dari sana, pilih "Aplikasi Authenticator" dan ikuti petunjuk untuk menginstalnya di perangkat Anda dan menautkan akun Anda menggunakan kode QR atau prosedur serupa.
Setelah proses itu selesai, Authenticator terdaftar setidaknya sebagai Metode MFADi bagian Informasi Keamanan Akun, akan muncul metode jenis Microsoft Authenticator, yang mungkin berupa "tanpa kata sandi" atau "masukkan MFA" tergantung pada apa yang diizinkan dan terdaftar.
Jika organisasi menginginkan pengguna bahkan tidak perlu menggunakan kata sandi di awal, organisasi tersebut dapat memilih opsi berikut: Pendaftaran langsung dengan kartu akses sementara.Dalam hal ini, administrator pertama-tama membuat izin akses sementara (TAP) untuk pengguna, yang berfungsi sebagai kredensial sementara yang aman untuk pengaturan awal.
Dengan kartu akses sementara ini, pengguna menginstal Microsoft Authenticator di perangkat seluler mereka, membuka aplikasi, memilih Tambah akun, memilih akun kantor atau sekolah, dan melakukan autentikasi menggunakan tombol ketuk alih-alih kata sandi. Kemudian, mereka menyelesaikan langkah-langkah yang ditunjukkan oleh aplikasi untuk mengaktifkan masuk telepon tanpa kata sandi.
Di lingkungan tempat layanan mandiri pengaturan ulang kata sandiTAP juga dapat digunakan agar pengguna dapat mendaftarkan Authenticator sebagai metode login tanpa perlu mengetahui atau menggunakan kata sandi tradisional, sehingga memperkuat pendekatan tanpa kata sandi sepenuhnya sejak hari pertama.
Aktifkan login telepon di aplikasi Authenticator.
Mendaftarkan aplikasi saja tidak cukup: pengguna harus Aktifkan login telepon tanpa kata sandi secara eksplisit. untuk setiap akun yang ingin Anda gunakan dengan cara tersebut. Langkah ini seringkali tidak disadari, tetapi sangat penting.
Untuk mengaktifkannya, pengguna membuka aplikasi Microsoft Authenticator di perangkat seluler mereka dan memilih akun profesional atau pendidikan yang terdaftar sebelumnyaDi antara opsi yang tersedia, Anda akan melihat sesuatu yang mirip dengan "Konfigurasikan permintaan login tanpa kata sandi" atau "Aktifkan login melalui telepon."
Dengan menekan opsi tersebut, aplikasi akan memulai proses pengaturan singkat yang mungkin memerlukan Konfirmasi identitas pengguna Proses ini melibatkan masuk melalui peramban, menyetujui pemberitahuan, atau memvalidasi beberapa informasi tambahan. Setelah menyelesaikan langkah-langkah ini, akun akan ditandai sebagai memenuhi syarat untuk masuk melalui telepon tanpa kata sandi.
Mulai saat itu, ketika pengguna mencoba masuk ke Microsoft 365, Entra ID, atau aplikasi terintegrasi lainnya, setelah memasukkan nama pengguna mereka, mereka akan dapat memilih opsi untuk "Setujui permintaan di aplikasi Authenticator saya"Situs web akan menampilkan sebuah angka, dan aplikasi akan meminta pengguna untuk memilih angka tersebut dan mengkonfirmasinya dengan PIN atau biometrik.
Setelah pengguna mulai masuk dengan cara ini, sistem biasanya Pertahankan metode ini sebagai metode yang lebih disukai.Selalu menampilkan opsi untuk menyetujui permintaan melalui telepon, meskipun masih ada kemungkinan untuk memilih metode alternatif lain jika diperlukan.
Bagi organisasi yang ingin secara aktif memandu penggunanya, dokumentasi internal dapat disediakan yang menunjukkan bahwa, setelah mendaftar Authenticator, mereka harus mengakses aplikasi dan aktifkan login telepon secara eksplisitagar menjadi jelas apa yang harus mereka lakukan dan jumlah insiden dukungan dapat dikurangi.
Pengalaman login tanpa kata sandi untuk pengguna.
Setelah semua elemen dikonfigurasi (tenant diaktifkan, Authenticator terdaftar, dan login telepon diaktifkan), pengalaman pengguna berubah secara signifikan. Alih-alih mengandalkan kata sandi, pengguna hampir selalu menggunakan nomor telepon mereka. perangkat seluler dan biometrik.
Pada percobaan pertama yang umum, orang tersebut menuliskan nama pengguna di panel login Dari Microsoft 365 atau aplikasi yang bersangkutan, ketuk Berikutnya. Jika tidak muncul secara default, Anda dapat mengetuk Cara lain untuk masuk untuk memilih opsi Menyetujui permintaan di aplikasi Authenticator saya.
Layar akan menampilkan angka acakHampir bersamaan, perangkat seluler pengguna akan menerima notifikasi dari Authenticator yang memperingatkan mereka tentang upaya login. Setelah membuka notifikasi, aplikasi akan meminta pengguna untuk memilih nomor yang benar yang ditampilkan di PC atau browser mereka, sehingga membantu mencegah persetujuan yang tidak benar atau curang.
Pada langkah terakhir, sistem akan meminta pengguna untuk Buka kunci perangkat Anda dengan PIN, sidik jari, atau wajah Anda.Kombinasi antara sesuatu yang Anda miliki (ponsel) dan sesuatu yang Anda miliki atau ketahui (PIN atau biometrik) menjadikan otentikasi ini sebagai MFA yang kuat, tanpa bergantung pada kode yang dikirim melalui SMS atau email, yang lebih rentan.
Setelah beberapa kali mencoba masuk menggunakan metode ini, sebagian besar pengguna akhirnya Lupa kata sandi Anda setiap harikarena alur kerja Authenticator menjadi cara alami mereka untuk masuk ke Office, Teams, OneDrive, atau aplikasi lain yang terhubung dengan organisasi.
Jika metode lain diperlukan karena alasan tertentu (misalnya, karena ponsel hilang atau kehabisan baterai), selalu ada pilihan untuk menggunakan faktor otentikasi lainnya Jika administrator telah mengizinkannya: kata sandi, kunci keamanan FIDO2, Windows Hello, kartu pintar, atau mekanisme lain yang telah dikonfigurasi.
Manajemen, kontrol, dan tim yang terlibat dalam proyek tanpa kata sandi.
Cara paling disarankan untuk mengelola Microsoft Authenticator dan berbagai metode otentikasi adalah dengan menggunakan Kebijakan Metode Otentikasi Microsoft untuk LoginDari situ, administrator dapat mengaktifkan atau menonaktifkan Authenticator, serta menyertakan atau mengecualikan pengguna dan grup tertentu.
Dalam arahan tersebut, parameter dapat didefinisikan untuk memberikan lebih banyak informasi. konteks dalam permintaan loginSebagai contoh, menambahkan perkiraan lokasi atau nama aplikasi yang meminta akses, sehingga pengguna memiliki informasi lebih lanjut sebelum mengetuk Setujui atau Tolak di perangkat seluler mereka.
Dari sudut pandang organisasi, sangat penting bahwa tim tersebut Manajemen Identitas dan Akses (IAM) Konfigurasi sehari-hari ditangani oleh tim Arsitektur Keamanan, sementara tim Arsitektur Keamanan merancang strategi tanpa kata sandi dalam kerangka keamanan keseluruhan. Operasi Keamanan, pada bagiannya, memantau peristiwa autentikasi, menyelidiki potensi ancaman, dan menerapkan langkah-langkah korektif ketika anomali terdeteksi.
Tim Keamanan dan Audit bertanggung jawab atas Memverifikasi kepatuhan terhadap peraturan internal dan eksternal.Hal ini mencakup peninjauan rutin terhadap proses otentikasi, penilaian risiko, dan pengajuan perbaikan. Semua ini dilengkapi dengan kerja tim dukungan teknis, yang membantu pengguna akhir dalam langkah awal mereka dengan otentikasi tanpa kata sandi dan menyelesaikan masalah spesifik.
Akhirnya, area komunikasi pengguna akhir Hal ini memainkan peran mendasar. Perubahan sepenting meninggalkan kata sandi memerlukan pesan yang jelas: apa yang akan berubah, apa yang harus dilakukan pengguna, mengapa hal itu lebih aman, dan apa yang harus dilakukan jika mereka kehilangan ponsel atau mengganti perangkat.
Secara paralel, integrasi aplikasi dengan Microsoft Entra ID merupakan aspek penting lainnya. Semakin banyak aplikasi (SaaS, LOB, yang dipublikasikan secara lokal, dll.) yang terintegrasi dengan Entra ID, semakin banyak yang dapat dicapai. manfaatkan otentikasi tanpa kata sandi dan terapkan akses bersyarat untuk mewajibkan metode anti-phishing secara seragam.
Masalah dan keterbatasan yang diketahui dari autentikasi tanpa kata sandi
Meskipun model tanpa kata sandi sangat andal, Microsoft mendokumentasikan beberapa hal. Masalah dan batasan yang diketahui Hal ini perlu diingat untuk menghindari kejutan selama implementasi atau dukungan.
Salah satu kasus yang paling sering terjadi adalah ketika seorang pengguna Anda tidak melihat opsi untuk masuk melalui telepon tanpa kata sandi. Pada layar otentikasi, meskipun Authenticator sudah dikonfigurasi. Terkadang ini terjadi karena ada verifikasi yang tertunda di Authenticator; jika pengguna mencoba masuk lagi sementara permintaan tersebut belum dijawab, sistem mungkin hanya menampilkan opsi untuk memasukkan kata sandi.
Solusi dalam skenario tersebut sederhana: pengguna harus Buka aplikasi Microsoft Authenticator. Buka perangkat seluler Anda dan tanggapi (setujui atau tolak) notifikasi yang tertunda. Setelah permintaan ini dilepaskan, opsi "ponsel tanpa kata sandi" akan muncul kembali secara normal pada upaya login berikutnya.
Keterbatasan penting lainnya adalah bahwa yang lama arahan AuthenticatorAppSignInPolicy Kebijakan ini sudah usang dan tidak lagi didukung untuk mengontrol Authenticator. Untuk mengizinkan notifikasi push atau login telepon tanpa kata sandi, Anda harus selalu menggunakan kebijakan Metode Otentikasi, yang dikelola dan diperbarui oleh Microsoft.
Dalam lingkungan dengan akun terfederasi atau hibrida (misalnya, dengan Active Directory Federation Services, AD FS), ketika pengguna mengaktifkan kredensial tanpa kata sandi, proses login Microsoft akan dimulai. Berhenti menggunakan parameter login_hintIni berarti bahwa alur tersebut tidak lagi secara otomatis memaksa pengguna ke titik login terpadu seperti sebelumnya.
Perilaku ini biasanya mencegah pengguna dari Penyewa hibrida akan dialihkan ke AD FS untuk memvalidasi kredensial mereka.Hal ini karena otentikasi langsung dengan metode tanpa kata sandi yang didukung oleh Entra ID lebih disukai. Namun, opsi manual untuk memilih "Gunakan kata sandi sebagai gantinya" biasanya masih tersedia jika konfigurasi mengizinkannya.
Dalam kasus pengguna yang dikelola oleh penyedia identitas lokal Namun, bahkan dengan MFA diaktifkan, pengguna ini mungkin hanya dapat membuat dan menggunakan satu kredensial login telepon tanpa kata sandi. Jika mereka mencoba memperbarui terlalu banyak instalasi Authenticator (misalnya, lebih dari lima perangkat berbeda) menggunakan kredensial tanpa kata sandi yang sama, kesalahan dapat terjadi saat mencoba mendaftarkan instance baru.
Seperti halnya proyek keamanan lainnya, keterbatasan ini tidak menghalangi penerapan model tanpa kata sandi, tetapi memang mengharuskan... Rencanakan arsitektur identitas dengan baik.khususnya di organisasi hibrida yang sangat besar atau organisasi dengan kebutuhan federasi dan otentikasi lokal khusus.
Pada akhirnya, autentikasi tanpa kata sandi di Microsoft Entra ID, terutama dengan Microsoft Authenticator dan passkey, memungkinkan organisasi untuk secara drastis mengurangi risiko yang terkait dengan kata sandi yang lemah atau dicuri, sekaligus membuat proses login lebih cepat dan nyaman bagi pengguna. Dengan menggabungkan kebijakan autentikasi yang efektif, akses bersyarat, dan komunikasi internal yang baik, kata sandi menjadi kurang penting, dan akses seluler, biometrik, serta kunci keamanan menjadi landasan identitas yang lebih aman dan tidak mudah dipalsukan.
Penulis yang bersemangat tentang dunia byte dan teknologi secara umum. Saya suka berbagi ilmu melalui tulisan, dan itulah yang akan saya lakukan di blog ini, menunjukkan kepada Anda semua hal paling menarik tentang gadget, perangkat lunak, perangkat keras, tren teknologi, dan banyak lagi. Tujuan saya adalah membantu Anda menavigasi dunia digital dengan cara yang sederhana dan menghibur.