Mengaktifkan kode akses di Authenticator

Artikel ini mencantumkan langkah-langkah untuk mengaktifkan dan menerapkan penggunaan kode akses di Authenticator untuk ID Microsoft Entra. Pertama, Anda memperbarui kebijakan Metode autentikasi untuk memungkinkan pengguna mendaftar dan masuk dengan kode akses di Authenticator. Kemudian Anda dapat menggunakan kebijakan kekuatan autentikasi Akses Bersyarat untuk memberlakukan masuk kode akses saat pengguna mengakses sumber daya sensitif.

Persyaratan

• Microsoft Entra autentikasi multifaktor (MFA).
• Android 14 dan yang lebih baru atau iOS 17 dan yang lebih baru.
• Koneksi internet aktif pada perangkat apa pun yang merupakan bagian dari proses pendaftaran/autentikasi kode akses. Konektivitas ke dua titik akhir ini harus diizinkan di organisasi Anda untuk mengaktifkan pendaftaran dan autentikasi lintas perangkat:
  • https://cable.ua5v.com
  • https://cable.auth.com
• Untuk pendaftaran/autentikasi lintas perangkat, kedua perangkat harus mengaktifkan Bluetooth.

Untuk mempelajari selengkapnya tentang tempat Anda dapat menggunakan kode akses di Authenticator untuk masuk, lihat Dukungan untuk autentikasi FIDO2 dengan ID Microsoft Entra.

Mengaktifkan kode akses di Authenticator di pusat admin

Administrator Kebijakan Autentikasi perlu menyetujui untuk mengizinkan Authenticator dalam pengaturan Passkey (FIDO2) dari kebijakan metode Autentikasi. Mereka perlu secara eksplisit mengizinkan GUID Pengesahan Authenticator (AAGUID) untuk Authenticator untuk memungkinkan pengguna mendaftarkan kode akses di aplikasi Authenticator. Tidak ada pengaturan untuk mengaktifkan passkey di bagian aplikasi Microsoft Authenticator pada kebijakan Metode autentikasi.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.

2. Telusuri kebijakan >

3. Di bawah metode Passkey (FIDO2), pilih Semua pengguna atau Tambahkan grup untuk memilih grup tertentu. Hanya grup keamanan yang didukung.

4. Pada tab Konfigurasi :

   • Atur Izinkan layanan mandiri disiapkan ke Ya. Jika diatur ke Tidak ada, pengguna tidak dapat mendaftarkan kode akses dengan menggunakan info keamanan , bahkan jika kode akses (FIDO2) diaktifkan oleh kebijakan Metode autentikasi.

   • Atur Terapkan pengesahan ke Ya.

     Ketika pengesahan diaktifkan dalam kebijakan kode akses (FIDO), MICROSOFT Entra ID mencoba memverifikasi legitimasi kode akses yang dibuat. Saat pengguna mendaftarkan kode akses di Authenticator, pengesahan memverifikasi bahwa aplikasi Authenticator yang sah membuat kode akses dengan menggunakan layanan Apple dan Google. Berikut adalah detail selengkapnya:

     • iOS : Pengesahan Authenticator menggunakan layanan Pengesahan Aplikasi iOS untuk memastikan legitimasi aplikasi Authenticator sebelum mendaftarkan kode akses.

       Catatan

       Dukungan untuk mendaftarkan kode akses di Authenticator saat pengesahan diberlakukan saat ini diluncurkan ke pengguna aplikasi iOS Authenticator. Dukungan untuk mendaftarkan kode akses yang diujarkan di Authenticator di perangkat Android tersedia untuk semua pengguna di versi terbaru aplikasi.

     • Android:

       • Untuk pengesahan Play Integrity, pengesahan Authenticator menggunakan PLAY Integrity API untuk memastikan legitimasi aplikasi Authenticator sebelum mendaftarkan kode akses.
       • Untuk pengesahan Kunci, pengesahan Authenticator menggunakan pengesahan kunci oleh Android untuk memverifikasi bahwa kode akses yang didaftarkan didukung perangkat keras.

     Catatan

     Untuk iOS dan Android, pengesahan Authenticator bergantung pada layanan Apple dan Google untuk memverifikasi keaslian aplikasi Authenticator. Penggunaan layanan berat dapat membuat pendaftaran kode akses gagal, dan pengguna mungkin perlu mencoba lagi. Jika layanan Apple dan Google tidak berfungsi, pengesahan Authenticator memblokir pendaftaran yang memerlukan pengesahan hingga layanan dipulihkan. Untuk memantau status layanan Integritas Google Play, lihat Dasbor Status Google Play. Untuk memantau status layanan Pengesahan Aplikasi iOS, lihat Status Sistem.

   • Pembatasan utama menetapkan kegunaan kode akses tertentu untuk pendaftaran dan autentikasi. Atur Terapkan pembatasan kunci ke Ya untuk mengizinkan atau memblokir hanya kode akses tertentu, yang diidentifikasi oleh AAGUID mereka.

     Pengaturan ini harus Ya, dan Anda perlu menambahkan AAGUID Authenticator untuk memungkinkan pengguna mendaftarkan kode akses di Authenticator, baik dengan masuk ke aplikasi Authenticator atau dengan menambahkan Passkey di Microsoft Authenticator dari info Keamanan .

     Info keamanan mengharuskan pengaturan ini diatur ke Ya sehingga pengguna dapat memilih Passkey di Authenticator dan melalui alur pendaftaran kode akses Authenticator khusus. Jika Anda memilih Tidak ada, pengguna mungkin masih dapat menambahkan kode akses di Authenticator dengan memilih kunci Keamanan atau metode kode akses, tergantung pada sistem operasi dan browser mereka. Namun, kami tidak mengharapkan banyak pengguna menemukan dan menggunakan metode tersebut.

     Jika organisasi Anda saat ini tidak memberlakukan pembatasan kunci dan sudah memiliki penggunaan kode akses aktif, kumpulkan AAGUID kode akses yang digunakan. Sertakan AAGUID passkey tersebut dengan Authenticator AAGUIDs.

     Anda dapat menggunakan skrip PowerShell untuk menemukan AAGUID yang digunakan di penyewa Anda. Untuk informasi selengkapnya, lihat Temukan AAGUID.

     Jika Anda mengubah pembatasan kunci dan menghapus AAGUID yang sebelumnya Anda izinkan, pengguna yang sebelumnya mendaftarkan metode yang diizinkan tidak dapat lagi menggunakannya untuk masuk.

   • Atur Batasi kunci tertentu ke Izinkan.

   • Pilih Microsoft Authenticator untuk menambahkan AAGUID aplikasi Authenticator secara otomatis ke daftar batasan kunci. Anda juga dapat menambahkan AAGUID berikut secara manual untuk memungkinkan pengguna mendaftarkan kode akses di Authenticator dengan masuk ke aplikasi Authenticator atau dengan melalui alur terpandu pada info keamanan :

     • Authenticator untuk Android: de1e552d-db1d-4423-a619-566b625cdc84
     • Authenticator untukiOS : 90a3ccdf-635c-4729-a248-9b709135078f

     Catatan

     Jika Anda menonaktifkan pembatasan kunci, pastikan Anda menghapus kotak centang Microsoft Authenticator sehingga pengguna tidak diminta untuk menyiapkan kode akses di aplikasi Authenticator pada info keamanan .

   

5. Setelah Anda menyelesaikan konfigurasi, pilih Simpan.

   Jika Anda melihat kesalahan saat mencoba menyimpan, ganti beberapa grup dengan satu grup dalam satu operasi, lalu pilih Simpan lagi.

Mengaktifkan kunci sandi di Authenticator menggunakan Graph Explorer

Selain menggunakan pusat admin Microsoft Entra, Anda juga dapat mengaktifkan kode akses di Authenticator dengan menggunakan Graph Explorer. Jika Anda diberi setidaknya peran Administrator Kebijakan Autentikasi, Anda dapat memperbarui kebijakan metode autentikasi untuk mengizinkan AAGUID untuk Authenticator.

Untuk mengonfigurasi kebijakan dengan menggunakan Graph Explorer:

1. Masuk ke Graph Explorer dan setujui izin Policy.Read.All dan Policy.ReadWrite.AuthenticationMethod .

2. Ambil kebijakan metode Autentikasi:

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Untuk menonaktifkan penegakan pengesahan dan menerapkan pembatasan kunci untuk hanya mengizinkan AAGUID untuk Authenticator, lakukan operasi PATCH dengan menggunakan isi permintaan berikut:

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": true,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "90a3ccdf-635c-4729-a248-9b709135078f",
               "de1e552d-db1d-4423-a619-566b625cdc84"
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Pastikan bahwa kebijakan kode akses (FIDO2) diperbarui dengan benar.

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Temukan AAGUID

Gunakan skrip Microsoft Graph PowerShell GetRegisteredPasskeyAAGUIDsForAllUsers.ps1 untuk enumerasi AAGUID dari semua kunci sandi terdaftar di tenant.

Simpan isi skrip ini ke file yang disebut GetRegisteredPasskeyAAGUIDsForAllUsers.ps1.

# Disconnect from Microsoft Graph
Disconnect-MgGraph

# Connect to Microsoft Graph with required scopes
Connect-MgGraph -Scope 'User.Read,UserAuthenticationMethod.Read,UserAuthenticationMethod.Read.All'

# Define the output file [If the script is run more than once, delete the file to avoid appending to it.]
$file = ".\AAGUIDs.txt"

# Initialize the file with a header
Set-Content -Path $file -Value '---'

# Retrieve all users
$UserArray = Get-MgBetaUser -All

# Iterate through each user
foreach ($user in $UserArray) {
    # Retrieve Passkey authentication methods for the user
    $fidos = Get-MgBetaUserAuthenticationFido2Method -UserId $user.Id

    if ($fidos -eq $null) {
        # Log and write to file if no Passkey methods are found
        Write-Host "User object ID $($user.Id) has no Passkey"
        Add-Content -Path $file -Value "User object ID $($user.Id) has no Passkey"
    } else {
        # Iterate through each Passkey method
        foreach ($fido in $fidos) {
            # Log and write to file the Passkey details
            Write-Host "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
            Add-Content -Path $file -Value "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
        }
    }

    # Log and write a separator to file
    Write-Host "==="
    Add-Content -Path $file -Value "==="
}

Membatasi penggunaan Bluetooth ke kode akses di Authenticator

Beberapa organisasi membatasi penggunaan Bluetooth, yang mencakup penggunaan kode akses. Dalam kasus seperti itu, organisasi dapat mengizinkan kode akses dengan mengizinkan pemasangan Bluetooth secara eksklusif dengan pengautentikasi FIDO2 berkemampuan passkey. Untuk informasi selengkapnya tentang cara mengonfigurasi penggunaan Bluetooth hanya untuk kode akses, lihat Kode akses di lingkungan yang dibatasi Bluetooth.

Menghapus kunci sandi

Jika pengguna menghapus kode akses di Authenticator, kode akses juga dihapus dari metode masuk pengguna. Administrator Kebijakan Autentikasi juga dapat mengikuti langkah-langkah ini untuk menghapus kode akses dari metode autentikasi pengguna, tetapi tidak akan menghapus kode akses dari Authenticator.

1. Masuk ke pusat admin Microsoft Entra , dan cari pengguna yang kode aksesnya harus dihapus.

2. Pilih metode Autentikasi , klik kanan kunci keamanan FIDO2, dan pilih Hapus.

   Kecuali pengguna memulai penghapusan kode akses itu sendiri di Authenticator, mereka juga perlu menghapus kode akses di Authenticator di perangkat mereka.

Menerapkan rincian masuk dengan kode akses di Authenticator

Untuk membuat pengguna masuk dengan kode akses saat mereka mengakses sumber daya sensitif, gunakan kekuatan autentikasi tahan phishing bawaan, atau buat kekuatan autentikasi kustom dengan mengikuti langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Akses Bersyarat.

2. Telusuri ke kekuatan Autentikasi metode>>.

3. Pilih Kekuatan autentikasi baru.

4. Berikan nama deskriptif untuk kekuatan autentikasi baru Anda.

5. Secara opsional, berikan deskripsi.

6. Pilih Passkeys (FIDO2), lalu pilih Opsi Tingkat Lanjut.

7. Pilih kekuatan MFA tahan phishing atau tambahkan AAGUID untuk kode akses di Authenticator:

   • Authenticator untuk Android: de1e552d-db1d-4423-a619-566b625cdc84
   • Authenticator untuk iOS: 90a3ccdf-635c-4729-a248-9b709135078f

8. Pilih Berikutnya, dan tinjau konfigurasi kebijakan.

Konten terkait

• Dukungan untuk kode akses di Windows