NayaraNayara
Microsoft 365 ยท 6 menit baca

Cara Setup MFA (Multi-Factor Authentication) di Microsoft 365

Lebih dari 99% percobaan pembajakan akun bisa digagalkan dengan MFA. Simak langkah aktivasi MFA di Microsoft 365, metode verifikasi yang tersedia, dan kesalahan umum yang sering membuatnya terasa merepotkan.

Cara Setup MFA (Multi-Factor Authentication) di Microsoft 365

Lebih dari 99% percobaan pembajakan akun dapat digagalkan hanya dengan satu langkah keamanan: Multi-Factor Authentication (MFA). Meski begitu, MFA sering disebut sekilas di berbagai panduan Microsoft 365 tanpa penjelasan langkah demi langkah โ€” banyak admin tahu MFA itu penting, tapi bingung harus mulai dari mana dan opsi mana yang paling tepat untuk timnya.

Artikel ini adalah panduan praktis mengaktifkan dan mengelola MFA di Microsoft 365, mulai dari konsep dasarnya, metode verifikasi yang tersedia, langkah aktivasi, hingga kesalahan umum yang membuat MFA terasa merepotkan padahal seharusnya tidak. Panduan ini melengkapi pembahasan keamanan yang lebih luas di artikel Exchange Online dan SPF, DKIM, DMARC.

Apa Itu MFA dan Kenapa Wajib Diaktifkan?

MFA mengharuskan pengguna membuktikan identitasnya dengan dua faktor atau lebih saat login: sesuatu yang mereka ketahui (kata sandi) dan sesuatu yang mereka miliki (ponsel, aplikasi authenticator, atau kunci keamanan fisik). Artinya, meskipun kata sandi seseorang bocor lewat phishing atau data breach situs lain, penyerang tetap tidak bisa masuk ke akun Microsoft 365 tanpa faktor kedua tersebut.

Kata sandi saja terbukti tidak cukup. Kebiasaan memakai kata sandi yang sama di banyak layanan, kata sandi yang mudah ditebak, atau kebocoran data pihak ketiga membuat jutaan kombinasi email-password beredar di internet gelap setiap tahun. MFA adalah lapisan pertahanan yang mengubah kebocoran kata sandi dari bencana total menjadi insiden yang gagal dieksploitasi.

Metode Verifikasi MFA yang Tersedia di Microsoft 365

Microsoft Authenticator (Paling Direkomendasikan)

Aplikasi gratis di ponsel yang mengirim notifikasi push saat ada percobaan login โ€” pengguna cukup mengetuk "Setujui" atau memasukkan kode angka yang muncul di layar. Metode ini paling nyaman karena tidak memerlukan sinyal SMS dan lebih tahan terhadap teknik penyadapan OTP.

SMS atau Panggilan Telepon

Kode verifikasi dikirim lewat SMS atau panggilan suara ke nomor terdaftar. Metode ini paling mudah dipahami pengguna awam, tetapi rentan terhadap serangan SIM swap dan membutuhkan sinyal seluler yang stabil.

Kunci Keamanan Fisik (FIDO2)

Perangkat USB atau NFC seperti YubiKey yang harus dicolokkan atau didekatkan ke perangkat saat login. Ini adalah metode paling aman karena tidak bergantung pada jaringan seluler maupun aplikasi, cocok untuk akun admin dengan akses tinggi.

Aplikasi Authenticator Pihak Ketiga

Aplikasi seperti Google Authenticator yang menghasilkan kode OTP berbasis waktu (TOTP) juga didukung sebagai alternatif bagi organisasi yang sudah memakai ekosistem tersebut.

Langkah Mengaktifkan MFA di Microsoft 365

Untuk Organisasi Kecil: Security Defaults

Cara tercepat mengaktifkan MFA untuk seluruh pengguna adalah lewat Security Defaults di Microsoft Entra ID (dulu Azure Active Directory).

  1. Masuk ke Microsoft 365 Admin Center menggunakan akun admin global.
  2. Buka menu Setelan → Setelan Organisasi → Keamanan, atau langsung ke portal Microsoft Entra ID.
  3. Cari opsi Security Defaults dan aktifkan.
  4. Setelah aktif, seluruh pengguna akan diminta mendaftarkan metode MFA (biasanya Microsoft Authenticator) pada login berikutnya.

Security Defaults adalah pilihan paling praktis untuk organisasi kecil tanpa tim IT khusus karena tidak memerlukan konfigurasi rumit dan langsung berlaku untuk semua pengguna serta admin.

Untuk Organisasi Menengah-Besar: Conditional Access

Organisasi dengan paket Microsoft 365 Business Premium atau Enterprise (E3/E5) memiliki akses ke Conditional Access โ€” kebijakan yang lebih fleksibel dibanding Security Defaults. Dengan Conditional Access, MFA bisa diwajibkan hanya pada kondisi tertentu, misalnya login dari lokasi atau perangkat yang tidak dikenal, sementara login dari jaringan kantor yang sudah dipercaya bisa dikecualikan agar tidak mengganggu produktivitas harian.

  1. Buka Microsoft Entra ID → Keamanan → Conditional Access.
  2. Buat kebijakan baru, tentukan target pengguna (semua pengguna, atau grup tertentu).
  3. Tentukan kondisi pemicu (misalnya lokasi berisiko atau perangkat tidak terkelola).
  4. Tetapkan kontrol akses berupa "Wajibkan MFA".
  5. Uji kebijakan dalam mode Report-only terlebih dahulu sebelum benar-benar mengaktifkannya, agar tidak ada pengguna yang tiba-tiba terkunci dari akunnya.

Kesalahan Umum yang Membuat MFA Terasa Merepotkan

  • Hanya mengaktifkan MFA untuk sebagian pengguna, biasanya menyisakan akun admin atau akun bersama tanpa proteksi โ€” padahal akun-akun inilah yang paling bernilai bagi penyerang.
  • Tidak mendaftarkan metode cadangan. Bila ponsel utama hilang atau rusak dan tidak ada metode kedua terdaftar, pengguna bisa terkunci total dari akunnya sendiri.
  • Memakai SMS sebagai satu-satunya opsi tanpa menawarkan Authenticator, padahal SMS lebih rentan terhadap serangan SIM swap dibanding aplikasi authenticator.
  • Tidak menonaktifkan protokol autentikasi lama (legacy authentication) seperti POP3 atau IMAP basic auth, yang bisa menjadi celah bagi penyerang untuk melewati MFA sepenuhnya.
  • Tidak melatih pengguna mengenali "MFA fatigue attack" โ€” teknik penyerang mengirim banyak notifikasi push berturut-turut berharap korban asal menekan "Setujui" karena lelah atau bingung. Pengguna perlu diajari untuk selalu menekan "Tolak" bila tidak sedang mencoba login.

Checklist Implementasi MFA yang Aman

  1. Aktifkan MFA untuk seluruh pengguna, tanpa pengecualian โ€” termasuk (terutama) akun admin.
  2. Prioritaskan Microsoft Authenticator sebagai metode utama, SMS sebagai cadangan saja.
  3. Wajibkan setiap pengguna mendaftarkan minimal dua metode verifikasi.
  4. Nonaktifkan protokol autentikasi lama yang tidak mendukung MFA.
  5. Lakukan sosialisasi singkat ke seluruh tim tentang cara kerja MFA dan bahaya MFA fatigue attack.
  6. Untuk organisasi dengan Business Premium/Enterprise, pertimbangkan Conditional Access agar kebijakan lebih presisi tanpa mengorbankan kenyamanan kerja harian.

Menerapkan MFA sebaiknya menjadi bagian dari checklist keamanan sejak hari pertama tenant Microsoft 365 aktif โ€” termasuk saat proses migrasi email dari sistem lama, karena momen migrasi adalah waktu paling tepat untuk sekaligus merapikan kebiasaan keamanan tim.

Butuh Bantuan Mengaktifkan MFA di Organisasi Anda?

Nayara Cloud membantu konfigurasi MFA, Conditional Access, dan kebijakan keamanan Microsoft 365 lainnya sesuai ukuran dan kebutuhan tim Anda. Pembayaran Rupiah, transfer bank & QRIS, konsultasi gratis sebelum membeli.

Konsultasi & Pesan Sekarang

FAQ Setup MFA Microsoft 365

Apakah MFA membuat proses login jadi jauh lebih lambat?

Tidak signifikan. Dengan Microsoft Authenticator, verifikasi hanya perlu mengetuk notifikasi push yang memakan waktu kurang dari 5 detik. Conditional Access bahkan bisa dikonfigurasi agar MFA hanya diminta pada situasi berisiko, sehingga login dari perangkat dan lokasi yang sudah dipercaya tetap lancar.

Apakah Security Defaults dan Conditional Access bisa dipakai bersamaan?

Tidak. Keduanya saling eksklusif โ€” mengaktifkan Conditional Access akan menonaktifkan Security Defaults secara otomatis. Organisasi biasanya memulai dari Security Defaults, lalu beralih ke Conditional Access saat kebutuhan kebijakan semakin spesifik.

Bagaimana jika karyawan kehilangan ponsel yang terdaftar untuk MFA?

Admin dapat mereset metode autentikasi pengguna tersebut lewat Microsoft 365 Admin Center, kemudian pengguna mendaftarkan ulang MFA dengan perangkat baru. Inilah pentingnya selalu mendaftarkan metode cadangan sejak awal.

Apakah MFA wajib untuk paket Microsoft 365 apa pun, termasuk Business Basic?

Ya. Security Defaults tersedia gratis di semua paket Microsoft 365, termasuk Business Basic, sehingga tidak ada alasan menunda pengaktifan MFA karena keterbatasan paket.

Apa itu MFA fatigue attack dan bagaimana mencegahnya?

Ini adalah teknik penyerang yang sudah mencuri kata sandi korban lalu mengirim banyak permintaan push MFA berturut-turut, berharap korban menekan "Setujui" karena bingung atau terganggu. Pencegahannya adalah edukasi pengguna untuk selalu menolak notifikasi yang tidak mereka minta sendiri, dan mengaktifkan fitur pencocokan angka (number matching) di Microsoft Authenticator.

Pelajari Selengkapnya

Artikel ini akan lebih kuat jika dibaca bersama topik berikut:

Butuh Microsoft 365 Resmi untuk Bisnis Anda?

Nayara Cloud membantu aktivasi lisensi resmi, pembayaran Rupiah, dan dukungan teknis lokal yang responsif.

Lihat Paket Nayara Cloud

Komentar

Belum ada komentar yang disetujui.

Tinggalkan Komentar