Jak funguje síla ověřování podmíněného přístupu pro externí uživatele
Zásady metod ověřování jsou užitečné zejména pro omezení externího přístupu k citlivým aplikacím ve vaší organizaci, protože pro externí uživatele můžete vynutit konkrétní metody ověřování, jako jsou metody odolné proti útokům phishing.
Když použijete zásady podmíněného přístupu pro ověřování u externích uživatelů Microsoft Entra, zásady spolupracují s nastavením důvěryhodnosti vícefaktorového ověřování v nastavení přístupu mezi tenanty a určují, kde a jak externí uživatel musí MFA provádět. Uživatel Microsoft Entra se ověřuje ve svém domovském tenantovi Microsoft Entra. Když pak přistupují k vašemu prostředku, použije ID Microsoft Entra zásadu a zkontroluje, jestli jste povolili vztah důvěryhodnosti vícefaktorového ověřování. Všimněte si, že povolení důvěryhodnosti MFA je volitelné pro spolupráci B2B, ale vyžaduje se pro přímé připojení B2B.
Ve scénářích externích uživatelů se metody ověřování, které mohou splňovat sílu ověřování, lišit v závislosti na tom, jestli uživatel provádí vícefaktorové ověřování ve svém domovském tenantovi nebo tenantovi prostředků. Následující tabulka uvádí povolené metody v každém tenantovi. Pokud se tenant prostředku rozhodl důvěřovat deklaracím identity z externích organizací Microsoft Entra, budou tenantem prostředků pro vícefaktorové ověřování přijaty pouze tyto deklarace identity uvedené v níže uvedeném sloupci "Domácí tenant". Pokud tenant prostředku zakázal vztah důvěryhodnosti vícefaktorového ověřování, musí externí uživatel dokončit vícefaktorové ověřování v tenantovi prostředku pomocí jedné z metod uvedených ve sloupci Tenant prostředků.
| Metoda ověřování | Domovský tenant | Tenant prostředků |
|---|---|---|
| Textová zpráva jako druhý faktor | ✅ | ✅ |
| Hlasový hovor | ✅ | ✅ |
| Nabízené oznámení Microsoft Authenticatoru | ✅ | ✅ |
| Přihlášení k telefonu v Microsoft Authenticatoru | ✅ | |
| Softwarový token OATH | ✅ | ✅ |
| Hardwarový token OATH | ✅ | |
| Klíč zabezpečení FIDO2 | ✅ | |
| Windows Hello pro firmy | ✅ | |
| Ověřování pomocí certifikátů | ✅ |
Další informace o nastavení síly ověřování pro externí uživatele najdete v tématu Podmíněný přístup: Vyžadování síly ověřování pro externí uživatele.
Uživatelské prostředí pro externí uživatele
Zásady podmíněného přístupu silného ověřování spolupracují s nastavením důvěryhodnosti vícefaktorového ověřování v nastavení přístupu mezi tenanty. Nejprve se uživatel Microsoft Entra ověří pomocí vlastního účtu ve svém domovském tenantovi. Když se tento uživatel pokusí o přístup k vašemu prostředku, Microsoft Entra ID použije zásady podmíněného přístupu síly ověřování a zkontroluje, jestli jste povolili vztah důvěryhodnosti vícefaktorového ověřování.
- Pokud je povolený vztah důvěryhodnosti vícefaktorového ověřování, Microsoft Entra ID zkontroluje relaci ověřování uživatele na deklaraci identity, která indikuje, že vícefaktorové ověřování bylo splněno v domovském tenantovi uživatele. V předchozí tabulce najdete metody ověřování, které jsou přijatelné pro vícefaktorové ověřování po dokončení v domovském tenantovi externího uživatele. Pokud relace obsahuje deklaraci identity, která indikuje, že zásady vícefaktorového ověřování jsou už splněné v domovském tenantovi uživatele a metody splňují požadavky na sílu ověřování, má uživatel povolený přístup. V opačném případě id Microsoft Entra zobrazí uživateli výzvu k dokončení vícefaktorového ověřování v domovském tenantovi pomocí přijatelné metody ověřování.
- Pokud je vztah důvěryhodnosti vícefaktorového ověřování zakázaný, zobrazí Microsoft Entra ID uživatele výzvou k dokončení vícefaktorového ověřování v tenantovi prostředků pomocí přijatelné metody ověřování. Viz předchozí tabulka metod ověřování, které jsou přijatelné pro vícefaktorové ověřování externím uživatelem.