Sdílet prostřednictvím


Vyžadování síly vícefaktorového ověřování pro externí uživatele

Síla ověřování je řízení podmíněného přístupu, které umožňuje definovat konkrétní kombinaci vícefaktorových metod ověřování (MFA), které musí externí uživatel dokončit pro přístup k vašim prostředkům. Tento ovládací prvek je užitečný zejména pro omezení externího přístupu k citlivým aplikacím ve vaší organizaci. Můžete například vytvořit zásady podmíněného přístupu, v zásadách vyžadovat sílu ověřování odolnou proti útokům phishing a přiřadit ji hostům a externím uživatelům.

Microsoft Entra ID poskytuje tři předdefinované síly ověřování:

  • Síla vícefaktorového ověřování (méně omezující) doporučená v tomto článku
  • Síla vícefaktorového ověřování bez hesla
  • Síla MFA odolná proti útokům phishing (nejvíce omezující)

Můžete použít některou z předdefinovaných silných stránek nebo vytvořit vlastní sílu ověřování na základě metod ověřování, které chcete vyžadovat.

Ve scénářích externích uživatelů se metody ověřování vícefaktorového ověřování, které tenant prostředků může přijmout, liší v závislosti na tom, jestli uživatel provádí vícefaktorové ověřování ve svém domovském tenantovi nebo v tenantovi prostředku. Podrobnosti najdete v tématu Síla ověřování pro externí uživatele.

Poznámka:

V současné době můžete použít zásady síly ověřování pouze pro externí uživatele, kteří se ověřují pomocí MICROSOFT Entra ID. Pro jednorázové heslo e-mailu, SAML/WS-Fed a uživatele federace Google použijte řízení udělení MFA k vyžadování vícefaktorového ověřování.

Konfigurace nastavení přístupu mezi tenanty pro vztah důvěryhodnosti vícefaktorového ověřování

Zásady síly ověřování spolupracují s nastavením důvěryhodnosti vícefaktorového ověřování v nastavení přístupu mezi tenanty a určují, kde a jak musí externí uživatel provádět vícefaktorové ověřování. Uživatel Microsoft Entra se nejprve ověří pomocí vlastního účtu ve svém domovském tenantovi. Když se tento uživatel pokusí o přístup k vašemu prostředku, použije Microsoft Entra ID zásady podmíněného přístupu síly ověřování a zkontroluje, jestli jste povolili vztah důvěryhodnosti vícefaktorového ověřování.

  • Pokud je povolený vztah důvěryhodnosti vícefaktorového ověřování, Microsoft Entra ID zkontroluje relaci ověřování uživatele a zjistí, že v domovském tenantovi uživatele bylo splněno vícefaktorové ověřování.
  • Pokud je vztah důvěryhodnosti vícefaktorového ověřování zakázaný, tenant prostředku zobrazí uživateli výzvu k dokončení vícefaktorového ověřování v tenantovi prostředku pomocí přijatelné metody ověřování.

Metody ověřování, které můžou externí uživatelé použít k splnění požadavků vícefaktorového ověřování, se liší v závislosti na tom, jestli uživatel provádí vícefaktorové ověřování ve svém domovském tenantovi nebo tenantovi prostředků. Podívejte se na tabulku v síle ověřování podmíněného přístupu.

Důležité

Před vytvořením zásad podmíněného přístupu zkontrolujte nastavení přístupu mezi tenanty a ujistěte se, že jsou nastavení důvěryhodnosti příchozího vícefaktorového ověřování nakonfigurovaná tak, jak má.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

  • Nouzový přístup nebo prolomení účtů, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři jsou všichni správci uzamčeni, váš účet pro správu tísňového volání se dá použít k přihlášení a provedení kroků pro obnovení přístupu.
  • Účty služeb a instanční objekty, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
    • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami.

Vytvořte zásady podmíněného přístupu

Pomocí následujícího postupu vytvořte zásady podmíněného přístupu, které na externí uživatele aplikují sílu ověřování.

Upozorňující

Pokud používáte metody externího ověřování, tyto metody jsou momentálně nekompatibilní s silou ověřování a měli byste použít řízení udělení vícefaktorového ověřování .

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k zásadám podmíněného přístupu ochrany>>.
  3. Vyberte Možnost Nová zásada.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout zvolte Vybrat uživatele a skupiny a pak vyberte Host nebo externí uživatele.
      1. Vyberte typy hostů nebo externích uživatelů , na které chcete zásadu použít.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
  6. V části Cílové prostředky>(dříve cloudové aplikace) vyberte v části Zahrnout nebo Vyloučit všechny aplikace, které chcete zahrnout nebo vyloučit z požadavků na sílu ověřování.
  7. V části Řízení>přístupu udělte možnost Udělit přístup.
    1. Vyberte Možnost Vyžadovat sílu ověřování a pak ze seznamu vyberte příslušnou integrovanou nebo vlastní sílu ověřování.
    2. Zvolte Zvolit.
  8. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
  9. Pokud chcete zásadu povolit, vyberte Vytvořit .

Po potvrzení nastavení pomocí režimu jen pro sestavy může správce přepnout přepínač Povolit zásadu pouze ze sestavy na Zapnuto.