Pilih metode autentikasi yang tepat untuk solusi identitas hibrid Microsoft Entra Anda
Memilih metode autentikasi yang benar adalah kekhawatiran pertama bagi organisasi yang ingin memindahkan aplikasi mereka ke cloud. Jangan menganggap enteng keputusan ini, karena alasan berikut:
Ini adalah keputusan pertama untuk organisasi yang ingin pindah ke cloud.
Metode autentikasi adalah komponen penting dari keberadaan organisasi di cloud. Ini mengontrol akses ke semua data dan sumber daya cloud.
Ini adalah dasar dari semua fitur keamanan dan pengalaman pengguna tingkat lanjut lainnya di ID Microsoft Entra.
Identitas adalah sarana kontrol baru keamanan TI, jadi autentikasi adalah penjaga akses organisasi ke dunia cloud baru. Organisasi membutuhkan bidang kontrol identitas yang memperkuat keamanan mereka dan menjaga aplikasi cloud mereka tetap aman dari penyusup.
Catatan
Mengubah metode autentikasi Anda membutuhkan perencanaan, pengujian, dan kemungkinan waktu henti. Peluncuran bertahap adalah cara yang bagus untuk menguji migrasi pengguna dari federasi ke autentikasi cloud.
Di luar cakupan
Organisasi yang tidak memiliki jejak direktori lokal yang sudah ada bukanlah fokus artikel ini. Biasanya, bisnis tersebut hanya membuat identitas di cloud, yang tidak memerlukan solusi identitas hibrid. Identitas khusus cloud hanya ada di cloud dan tidak terkait dengan identitas lokal yang sesuai.
Metode autentikasi
Ketika solusi identitas hibrid Microsoft Entra adalah sarana kontrol baru Anda, autentikasi adalah fondasi akses cloud. Memilih metode autentikasi yang benar adalah keputusan pertama yang penting dalam menyiapkan solusi identitas hibrid Microsoft Entra. Metode autentikasi yang Anda pilih, dikonfigurasi dengan menggunakan Microsoft Entra Connect, yang juga menyediakan pengguna di cloud.
Untuk memilih metode autentikasi, Anda perlu mempertimbangkan waktu, infrastruktur yang ada, kompleksitas, dan biaya penerapan pilihan Anda. Faktor-faktor ini berbeda untuk setiap organisasi dan mungkin berubah dari waktu ke waktu.
MICROSOFT Entra ID mendukung metode autentikasi berikut untuk solusi identitas hibrid.
Autentikasi awan
Saat Anda memilih metode autentikasi ini, MICROSOFT Entra ID menangani proses masuk pengguna. Ditambah dengan masuk tunggal (SSO), pengguna dapat masuk ke aplikasi cloud tanpa harus menyediakan kembali kredensial mereka. Dengan autentikasi cloud, Anda dapat memilih dari dua opsi:
Sinkronisasi kata sandi hash Microsoft Entra. Cara paling sederhana untuk mengaktifkan autentikasi untuk objek direktori lokal di ID Microsoft Entra. Pengguna dapat menggunakan nama pengguna dan kata sandi yang sama dengan yang mereka gunakan di tempat tanpa harus menyebarkan infrastruktur lain. Beberapa fitur premium ID Microsoft Entra, seperti Microsoft Entra ID Protection dan Microsoft Entra Domain Services, memerlukan sinkronisasi hash kata sandi, apa pun metode autentikasi yang Anda pilih.
Catatan
Kata sandi tidak pernah disimpan dalam teks yang jelas atau dienkripsi dengan algoritma yang dapat dibalik di ID Microsoft Entra. Untuk informasi selengkapnya tentang proses sinkronisasi hash kata sandi yang sebenarnya, lihat Implementasi sinkronisasi hash kata sandi dengan Microsoft Entra Connect Sync.
Microsoft Entra pass-through authentication. Menyediakan validasi kata sandi sederhana untuk layanan autentikasi Microsoft Entra dengan menggunakan agen perangkat lunak yang berjalan di satu atau beberapa server lokal. Server memvalidasi pengguna secara langsung dengan Active Directory lokal Anda, yang memastikan bahwa validasi kata sandi tidak terjadi di cloud.
Perusahaan dengan persyaratan keamanan untuk segera memberlakukan status akun pengguna lokal, kebijakan kata sandi, dan jam masuk mungkin menggunakan metode autentikasi ini. Untuk informasi lebih lanjut tentang proses autentikasi pass-through yang sesungguhnya, lihat Masuk pengguna dengan autentikasi pass-through Microsoft Entra.
Autentikasi terfederasi
Saat Anda memilih metode autentikasi ini, MICROSOFT Entra ID menyerahkan proses autentikasi ke sistem autentikasi tepercaya terpisah, seperti Active Directory lokal Federation Services (AD FS), untuk memvalidasi kata sandi pengguna.
Sistem autentikasi dapat menyediakan persyaratan autentikasi tingkat lanjut lainnya, misalnya, autentikasi multifaktor pihak ketiga.
Bagian berikut ini membantu Anda memutuskan metode autentikasi mana yang tepat untuk Anda dengan menggunakan pohon keputusan. Ini membantu Anda menentukan apakah akan menyebarkan autentikasi cloud atau federasi untuk solusi identitas hibrid Microsoft Entra Anda.
Hierarki keputusan
Detail tentang pertanyaan keputusan:
- ID Microsoft Entra dapat menangani masuk untuk pengguna tanpa mengandalkan komponen lokal untuk memverifikasi kata sandi.
- ID Microsoft Entra dapat menyerahkan proses masuk pengguna ke penyedia autentikasi tepercaya seperti Layanan Federasi Direktori Aktif Microsoft.
- Jika Anda perlu menerapkan kebijakan keamanan Active Directory tingkat pengguna seperti akun kedaluwarsa, akun yang dinonaktifkan, kata sandi kedaluwarsa, akun yang dikunci, dan jam masuk pada setiap masuk pengguna, ID Microsoft Entra memerlukan beberapa komponen di tempat.
- Fitur masuk yang tidak didukung secara asli oleh MICROSOFT Entra ID:
- Masuk menggunakan solusi autentikasi pihak ketiga.
- Solusi autentikasi multi-situs di lokasi.
- Microsoft Entra ID Protection memerlukan Sinkronisasi Hash Kata Sandi terlepas dari metode masuk mana yang Anda pilih, untuk memberikan laporan pengguna dengan kredensial bocor. Organisasi dapat beralih ke Sinkronisasi Hash Kata Sandi jika metode masuk utama mereka gagal dan telah dikonfigurasi sebelum peristiwa kegagalan.
Catatan
Microsoft Entra ID Protection memerlukan lisensi Microsoft Entra ID P2 .
Pertimbangan terperinci
Autentikasi awan: Sinkronisasi hash kata sandi
Usaha. Sinkronisasi hash kata sandi memerlukan upaya paling sedikit mengenai penyebaran, pemeliharaan, dan infrastruktur. Tingkat upaya ini biasanya berlaku untuk organisasi yang hanya memerlukan pengguna mereka untuk masuk ke Microsoft 365, aplikasi SaaS, dan sumber daya berbasis ID Microsoft Entra lainnya. Saat diaktifkan, sinkronisasi hash kata sandi adalah bagian dari proses Sinkronisasi Microsoft Entra Connect dan berjalan setiap dua menit.
Pengalaman pengguna. Untuk meningkatkan pengalaman masuk pengguna, gunakan perangkat yang bergabung dengan Microsoft Entra atau perangkat gabungan hibrid Microsoft Entra. Jika Anda tidak dapat menggabungkan perangkat Windows ke MICROSOFT Entra ID, sebaiknya sebarkan SSO tanpa hambatan dengan sinkronisasi hash kata sandi. SSO yang mulus menghilangkan perintah yang tidak perlu saat pengguna masuk.
Skenario tingkat lanjut. Jika organisasi menginginkan, Anda dapat menggunakan wawasan dari identitas dengan laporan Microsoft Entra ID Protection dan Microsoft Entra ID P2. Contohnya adalah laporan kredensial yang bocor. Windows Hello untuk Bisnis memiliki persyaratan khusus saat Anda menggunakan sinkronisasi hash kata sandi. Microsoft Entra Domain Services memerlukan sinkronisasi hash kata sandi untuk memprovisikan pengguna dengan kredensial perusahaan mereka di domain terkelola.
Organisasi yang memerlukan autentikasi multifaktor dengan sinkronisasi hash kata sandi harus menggunakan autentikasi multifaktor Microsoft Entra atau kontrol kustom Akses Bersyarat. Organisasi tersebut tidak dapat menggunakan metode autentikasi multifaktor pihak ketiga atau lokal yang bergantung pada federasi.
Catatan
Akses Bersyarat Microsoft Entra memerlukan lisensi Microsoft Entra ID P1 .
Keberlanjutan bisnis. Menggunakan sinkronisasi hash kata sandi dengan autentikasi cloud sangat andal dan tersedia sebagai layanan cloud yang dapat diskalakan ke semua pusat data Microsoft. Untuk memastikan pencocokan hash kata sandi tidak terganggu dalam jangka waktu yang lama, terapkan server Microsoft Entra Connect kedua dalam mode penahapan dengan konfigurasi siaga.
Pertimbangan. Saat ini, sinkronisasi hash kata sandi tidak segera memberlakukan perubahan dalam status akun lokal. Dalam situasi ini, pengguna memiliki akses ke aplikasi cloud hingga status akun pengguna disinkronkan ke ID Microsoft Entra. Organisasi mungkin ingin mengatasi pembatasan ini dengan menjalankan siklus sinkronisasi baru setelah administrator melakukan pembaruan massal ke status akun pengguna lokal. Contohnya adalah menonaktifkan akun.
Catatan
Status kedaluwarsa kata sandi dan akun terkunci saat ini tidak disinkronkan ke ID Microsoft Entra dengan Microsoft Entra Connect. Saat Anda mengubah kata sandi pengguna dan mengatur pengguna harus mengubah kata sandi pada bendera masuk berikutnya, hash kata sandi tidak akan disinkronkan ke ID Microsoft Entra dengan Microsoft Entra Connect hingga pengguna mengubah kata sandi mereka.
Lihat menerapkan sinkronisasi hash kata sandi untuk langkah-langkah penyebaran.
Autentikasi cloud: Autentikasi Pass-through
Usaha. Untuk autentikasi pass-through, Anda memerlukan satu atau beberapa (sebaiknya tiga) agen ringan yang dipasang pada server yang ada. Agen-agen ini harus memiliki akses ke Active Directory Domain Services lokal Anda, termasuk pengendali domain AD lokal Anda. Mereka membutuhkan akses keluar ke Internet dan akses ke pengendali domain Anda. Karena alasan ini, penerapan agen di jaringan perimeter tidak didukung.
Autentikasi Pass-through memerlukan akses jaringan yang tidak dibatasi ke pengendali domain. Semua lalu lintas jaringan dienkripsi dan terbatas pada permintaan autentikasi. Untuk informasi selengkapnya tentang proses ini, lihat analisis mendalam tentang keamanan pada autentikasi lewat langsung.
Pengalaman pengguna. Untuk meningkatkan pengalaman masuk pengguna, gunakan perangkat yang bergabung dengan Microsoft Entra atau perangkat gabungan hibrid Microsoft Entra. Jika Anda tidak dapat menggabungkan perangkat Windows ke MICROSOFT Entra ID, sebaiknya sebarkan SSO tanpa hambatan dengan sinkronisasi hash kata sandi. SSO yang mulus menghilangkan perintah yang tidak perlu saat pengguna masuk.
Skenario tingkat lanjut. Autentikasi Pass-through memberlakukan kebijakan akun lokal pada saat masuk. Misalnya, akses ditolak ketika status akun pengguna lokal dinonaktifkan, dikunci, atau kata sandi mereka kedaluwarsa atau upaya masuk berada di luar jam ketika pengguna diizinkan untuk masuk.
Organisasi yang memerlukan autentikasi multifaktor dengan autentikasi pass-through harus menggunakan autentikasi multifaktor Microsoft Entra atau kontrol kustom Akses Bersyarat. Organisasi-organisasi tersebut tidak dapat menggunakan metode autentikasi multifaktor pihak ketiga atau lokal yang bergantung pada federasi. Fitur lanjutan mengharuskan sinkronisasi hash kata sandi diterapkan apakah Anda memilih autentikasi pass-through atau tidak. Contohnya adalah deteksi kredensial yang bocor dari Microsoft Entra ID Protection.
Keberlanjutan bisnis. Kami merekomendasikan Anda untuk menyebarkan dua agen autentikasi pass-through tambahan. Ekstra ini selain agen pertama di server Microsoft Entra Connect. Penyebaran lainnya ini memastikan ketersediaan permintaan autentikasi yang tinggi. Ketika Anda memiliki tiga agen yang dikerahkan, satu agen masih dapat gagal ketika agen lain turun untuk pemeliharaan.
Ada manfaat lain dalam menerapkan sinkronisasi hash sandi selain autentikasi pass-through. Ini bertindak sebagai metode autentikasi cadangan ketika metode autentikasi utama tidak lagi tersedia.
Pertimbangan. Anda dapat menggunakan sinkronisasi hash kata sandi sebagai metode autentikasi cadangan untuk autentikasi langsung, ketika agen tidak dapat memvalidasi kredensial pengguna karena kegagalan signifikan di lokasi on-premise. Alih kendali ke sinkronisasi hash kata sandi tidak terjadi secara otomatis, dan Anda harus menggunakan Microsoft Entra Connect untuk mengubah metode masuk secara manual.
Untuk pertimbangan lain tentang Autentikasi Pass-through, termasuk dukungan ID Alternatif, lihat tanya jawab umum.
Lihat menerapkan autentikasi pass-through untuk langkah-langkah penyebaran.
Autentikasi terfederasi
Usaha. Sistem autentikasi terfederasi bergantung pada sistem tepercaya eksternal untuk mengautentikasi pengguna. Beberapa perusahaan ingin menggunakan kembali investasi sistem federasi yang ada dengan solusi identitas hibrid Microsoft Entra mereka. Pemeliharaan dan manajemen sistem federasi berada di luar kendali ID Microsoft Entra. Organisasi bertanggung jawab menggunakan sistem terfederasi untuk memastikan penerapan sistem dilakukan dengan aman dan dapat menangani beban autentikasi.
Pengalaman pengguna. Pengalaman pengguna autentikasi terfederasi tergantung pada implementasi fitur, topologi, dan konfigurasi farm federasi. Beberapa organisasi membutuhkan fleksibilitas ini untuk beradaptasi dan mengonfigurasi akses ke farm federasi agar sesuai dengan persyaratan keamanan mereka. Misalnya, Anda dapat mengonfigurasi pengguna dan perangkat yang terhubung secara internal untuk mengautentikasi pengguna secara otomatis, tanpa meminta kredensial dari mereka. Konfigurasi ini berfungsi karena mereka sudah masuk ke perangkat mereka. Jika perlu, beberapa fitur keamanan lanjutan mempersulit proses masuk pengguna.
Skenario tingkat lanjut. Solusi autentikasi gabungan diperlukan ketika pelanggan memiliki persyaratan autentikasi yang tidak didukung oleh ID Microsoft Entra secara asli. Lihat informasi terperinci untuk membantu Anda memilih opsi masuk yang tepat. Pertimbangkan persyaratan umum berikut:
- Penyedia multifaktor pihak ketiga yang memerlukan penyedia identitas federasi.
- Autentikasi dengan menggunakan solusi autentikasi pihak ketiga. Lihat daftar kompatibilitas federasi Microsoft Entra.
- Masuk yang memerlukan sAMAccountName, misalnya DOMAIN\username, bukan Nama Utama Pengguna (UPN), misalnya, user@domain.com.
Keberlanjutan bisnis. Sistem federasi biasanya memerlukan array server yang seimbang beban, yang dikenal sebagai farm. Farm ini dikonfigurasi dalam jaringan internal dan topologi jaringan perimeter untuk memastikan ketersediaan tinggi permintaan autentikasi.
Menyebarkan sinkronisasi hash kata sandi bersama dengan autentikasi terfederasi sebagai metode autentikasi cadangan ketika metode autentikasi utama tidak lagi tersedia. Contohnya adalah ketika server lokal tidak tersedia. Beberapa organisasi perusahaan besar memerlukan solusi federasi untuk mendukung beberapa titik masuk Internet yang dikonfigurasi dengan geo-DNS untuk permintaan autentikasi latensi rendah.
Pertimbangan. Sistem federasi biasanya membutuhkan investasi yang lebih signifikan dalam infrastruktur lokal. Sebagian besar organisasi memilih opsi ini jika mereka sudah memiliki investasi federasi lokal. Dan jika itu adalah persyaratan bisnis untuk menggunakan penyedia identitas tunggal. Federasi lebih kompleks untuk mengoperasikan dan memecahkan masalah dibandingkan dengan solusi autentikasi cloud.
Untuk domain yang tidak dapat dirutekan yang tidak dapat diverifikasi di ID Microsoft Entra, Anda memerlukan konfigurasi tambahan untuk mengaktifkan masuk menggunakan ID pengguna. Persyaratan ini dikenal sebagai dukungan ID masuk alternatif. Lihat Mengonfigurasi ID Masuk Alternatif untuk batasan dan persyaratan. Jika Anda memilih untuk menggunakan penyedia autentikasi multifaktor pihak ketiga dengan federasi, pastikan penyedia mendukung WS-Trust untuk mengizinkan perangkat bergabung dengan ID Microsoft Entra.
Lihat Menyebarkan Server Federasi untuk langkah-langkah penyebaran.
Catatan
Saat menyebarkan solusi identitas hibrid Microsoft Entra, Anda harus menerapkan salah satu topologi Microsoft Entra Connect yang didukung. Pelajari selengkapnya tentang konfigurasi yang didukung dan tidak didukung di Topologi untuk Microsoft Entra Connect.
Diagram arsitektur
Diagram berikut menguraikan komponen arsitektur tingkat tinggi yang diperlukan untuk setiap metode autentikasi yang dapat Anda gunakan dengan solusi identitas hibrid Microsoft Entra Anda. Mereka memberikan ikhtisar untuk membantu Anda membandingkan perbedaan antara solusi.
Kesederhanaan solusi sinkronisasi hash kata sandi:
Persyaratan agen untuk autentikasi pass-through, dengan menggunakan dua agen sebagai redundansi:
Komponen yang diperlukan untuk federasi di perimeter dan jaringan internal organisasi Anda:
Membandingkan metode
| Pertimbangan | Sinkronisasi hash kata sandi | Autentikasi Pass-through | Federasi dengan AD FS |
|---|---|---|---|
| Di mana autentikasi terjadi? | Di cloud | Di cloud, setelah pertukaran verifikasi kata sandi yang aman dengan agen autentikasi lokal | di tempat |
| Apa saja persyaratan server lokal di luar sistem provisi: Microsoft Entra Connect? | Tidak | Satu server untuk setiap agen autentikasi tambahan | Dua atau beberapa server AD FS Dua atau beberapa server WAP dalam jaringan perimeter/DMZ |
| Apa persyaratan untuk Internet lokal dan jaringan di luar sistem provisi? | Tidak | Akses Internet keluar dari server yang menjalankan agen autentikasi |
Akses Internet masuk ke server WAP di perimeter Akses jaringan masuk ke server AD FS dari server WAP di perimeter Penyeimbangan beban jaringan |
| Apakah ada persyaratan sertifikat TLS/SSL? | Tidak | Tidak | Ya |
| Apakah ada solusi pemantauan kesehatan? | Tidak diperlukan | Status agen yang disediakan oleh pusat admin Microsoft Entra | Microsoft Entra Connect Health |
| Apakah pengguna mendapatkan fitur single sign-on ke sumber daya cloud dari perangkat yang terhubung dengan domain dalam jaringan perusahaan? | Ya dengan perangkat yang bergabung dengan Microsoft Entra, perangkat yang bergabung secara hibrida dengan Microsoft Entra, plug-in SSO Microsoft Enterprise untuk perangkat Apple, atau Seamless SSO | Ya dengan perangkat Microsoft Entra yang bergabung, perangkat gabungan hibrid Microsoft Entra, plug-in SSO Microsoft Enterprise untuk perangkat Apple, atau SSO Tanpa Hambatan | Ya |
| Apa jenis masuk yang didukung? | UserPrincipalName + kata sandi Autentikasi Terintegrasi Windows dengan menggunakan SSO Mulus ID masuk alternatif Perangkat yang terhubung dengan Microsoft Entra Perangkat gabungan hibrid Microsoft Entra Autentikasi sertifikat dan kartu pintar |
UserPrincipalName + kata sandi Autentikasi Terintegrasi Windows dengan menggunakan SSO Mulus ID masuk alternatif Perangkat yang terhubung dengan Microsoft Entra Perangkat gabungan hibrid Microsoft Entra Autentikasi sertifikat dan kartu pintar |
UserPrincipalName + kata sandi sAMAccountName + kata sandi Autentikasi Windows Terintegrasi Autentikasi sertifikat dan kartu pintar ID masuk alternatif |
| Apakah Windows Hello untuk Bisnis didukung? |
Model kepercayaan kunci Kepercayaan terhadap Cloud Hibrida |
Model kepercayaan kunci Kepercayaan Awan Hibrida Keduanya memerlukan tingkat fungsional Domain Windows Server 2016 |
Model kepercayaan kunci Kepercayaan pada Cloud Hybrid Model kepercayaan sertifikat |
| Apa saja opsi autentikasi multifaktor? |
Autentikasi multifaktor Microsoft Entra Kontrol Kustom dengan Akses Bersyarat* |
Autentikasi multifaktor Microsoft Entra Kontrol Kustom dengan Akses Bersyarat* |
Autentikasi multifaktor dengan Microsoft Entra MFA Pihak Ketiga Kontrol Kustom dengan Akses Bersyarat* |
| Apa status akun pengguna yang didukung? | Akun yang dinonaktifkan (penundaan hingga 30 menit) |
Akun yang dinonaktifkan Akun terkunci Akun kedaluwarsa Kata sandi kedaluwarsa Jam masuk |
Akun yang dinonaktifkan Akun dikunci sementara Akun kedaluwarsa Kata sandi kedaluwarsa Jam masuk |
| Apa saja opsi Akses Bersyarat? | Microsoft Entra Conditional Access, dengan Microsoft Entra ID P1 atau P2 | Microsoft Entra Conditional Access, dengan Microsoft Entra ID P1 atau P2 | Akses Kondisional Microsoft Entra, dengan Microsoft Entra ID P1 atau P2 |
| Apakah pemblokiran protokol warisan didukung? | Ya | Ya | Ya |
| Bisakah Anda menyesuaikan logo, gambar, dan deskripsi pada halaman masuk? | Ya, dengan Microsoft Entra ID P1 atau P2 | Ya, dengan Microsoft Entra ID P1 atau P2 | Ya |
| Skenario tingkat lanjut apa yang didukung? |
Penguncian kata sandi cerdas Laporan kredensial bocor, dengan Microsoft Entra ID P2 |
Penguncian kata sandi cerdas | Sistem autentikasi latensi rendah multisitus Penguncian extranet AD FS Integrasi dengan sistem identitas pihak ketiga |
Catatan
Kontrol kustom di Microsoft Entra Conditional Access saat ini tidak mendukung pendaftaran perangkat.
Rekomendasi
Sistem identitas Anda memastikan akses pengguna ke aplikasi yang Anda migrasikan dan sediakan di cloud. Gunakan atau aktifkan sinkronisasi hash kata sandi dengan metode autentikasi mana pun yang Anda pilih, karena alasan berikut:
Ketersediaan tinggi dan pemulihan bencana. Autentikasi Pass-through dan federasi mengandalkan infrastruktur lokal. Untuk autentikasi pass-through, cakupan lokal mencakup perangkat keras server dan jaringan yang dibutuhkan oleh agen Autentikasi Pass-through. Untuk federasi, keberadaan fisik di lokasi bahkan lebih besar. Ini membutuhkan server di jaringan sekitar Anda untuk memproksi permintaan autentikasi dan server federasi internal.
Untuk menghindari titik kegagalan tunggal, sebarkan server cadangan. Kemudian permintaan autentikasi akan selalu dilayani jika ada komponen yang gagal. Baik autentikasi pass-through dan federasi juga mengandalkan pengontrol domain untuk menanggapi permintaan autentikasi, yang bisa pula mengalami kegagalan. Banyak dari komponen ini membutuhkan perawatan agar tetap sehat. Pemadaman lebih mungkin terjadi jika pemeliharaan tidak direncanakan dan diterapkan dengan benar.
Penanganan pemadaman di tempat. Konsekuensi dari pemadaman lokal karena serangan cyber atau bencana bisa substansial, mulai dari kerusakan merek reputasi hingga organisasi yang lumpuh tidak dapat menangani serangan itu. Baru-baru ini, banyak organisasi menjadi korban serangan malware, termasuk ransomware yang ditargetkan, yang menyebabkan server lokal mereka tidak berfungsi. Saat membantu pelanggan menangani jenis serangan ini, Microsoft melihat dua kategori organisasi:
Organisasi yang sebelumnya juga mengaktifkan sinkronisasi hash kata sandi selain autentikasi federasi atau pass-through mengubah metode autentikasi utama mereka dan kemudian menggunakan sinkronisasi hash kata sandi. Mereka kembali online dalam hitungan jam. Dengan menggunakan akses ke email melalui Microsoft 365, mereka bekerja untuk mengatasi masalah dan mengakses beban kerja berbasis cloud lainnya.
Organisasi yang sebelumnya tidak mengaktifkan sinkronisasi hash kata sandi harus menggunakan sistem email konsumen eksternal yang tidak tepercaya untuk komunikasi guna mengatasi masalah. Dalam kasus tersebut, mereka membutuhkan waktu berminggu-minggu untuk memulihkan infrastruktur identitas lokal mereka, sebelum pengguna dapat masuk ke aplikasi berbasis cloud lagi.
Perlindungan ID. Salah satu cara terbaik untuk melindungi pengguna di cloud adalah Microsoft Entra ID Protection dengan Microsoft Entra ID P2. Microsoft terus-menerus memindai Internet untuk mencari pengguna dan daftar kata sandi yang dijual oleh pelaku jahat dan tersedia di web gelap. ID Microsoft Entra dapat menggunakan informasi ini untuk memverifikasi apakah salah satu nama pengguna dan kata sandi di organisasi Anda disusupi. Oleh karena itu, sangat penting untuk mengaktifkan sinkronisasi hash kata sandi apa pun metode autentikasi yang Anda gunakan, apakah itu autentikasi terfederasi atau pass-through. Kredensial yang bocor disajikan sebagai laporan. Gunakan informasi ini untuk memblokir atau memaksa pengguna untuk mengubah kata sandi mereka ketika mereka mencoba masuk dengan kata sandi yang bocor.
Kesimpulan
Artikel ini menguraikan berbagai opsi autentikasi yang dapat dikonfigurasi dan disebarkan organisasi untuk mendukung akses ke aplikasi cloud. Untuk memenuhi berbagai persyaratan bisnis, keamanan, dan teknis, organisasi dapat memilih antara sinkronisasi hash kata sandi, Autentikasi Pass-through, dan federasi.
Pertimbangkan setiap metode autentikasi. Apakah upaya untuk menyebarkan solusi, dan pengalaman pengguna tentang proses masuk memenuhi persyaratan bisnis Anda? Evaluasi apakah organisasi Anda memerlukan skenario lanjutan dan fitur kelangsungan bisnis dari setiap metode autentikasi. Terakhir, evaluasi pertimbangan setiap metode autentikasi. Apakah salah satu dari metode terebut mencegah Anda dari menerapkan pilihan Anda?
Langkah berikutnya
Di dunia saat ini, ancaman hadir 24 jam sehari dan berasal dari mana-mana. Terapkan metode autentikasi yang benar, dan itu akan mengurangi risiko keamanan Anda dan melindungi identitas Anda.
Mulai menggunakan ID Microsoft Entra dan sebarkan solusi autentikasi yang tepat untuk organisasi Anda.
Jika Anda berpikir untuk melakukan migrasi dari federasi ke autentikasi cloud, pelajari selengkapnya tentang mengubah metode masuk. Untuk membantu Anda merencanakan dan menerapkan migrasi, gunakan rencana penyebaran proyek ini, atau pertimbangkan untuk menggunakan fitur Peluncuran Bertahap baru untuk memigrasikan pengguna federasi menggunakan autentikasi cloud dalam pendekatan bertahap.