So funktioniert Authentifizierungsstärke für Bedingten Zugriff für externe Benutzer
Die Richtlinie für Authentifizierungsmethoden ist besonders nützlich, um den externen Zugriff auf vertrauliche Apps in Ihrer Organisation einzuschränken, da Sie bestimmte Authentifizierungsmethoden wie Phishing-sichere Methoden für externe Benutzer erzwingen können.
Wenn Sie eine Richtlinie für Authentifizierungsstärke für bedingten Zugriff auf externe Microsoft Entra-Benutzer anwenden, funktioniert die Richtlinie in Kombination mit den MFA-Vertrauenseinstellungen in Ihren Einstellungen für den mandantenübergreifenden Zugriff, um zu bestimmen, wo und wie der externe Benutzer MFA ausführen muss. Ein Microsoft Entra Benutzer authentifiziert sich in seinem Microsoft Entra-Basismandanten. Wenn er dann auf Ihre Ressource zugreift, wendet Microsoft Entra ID die Richtlinie an und überprüft, ob Sie die MFA-Vertrauensstellung aktiviert haben. Beachten Sie, dass die Aktivierung der MFA-Vertrauensstellung für die B2B-Zusammenarbeit optional ist, aber für die direkte B2B-Verbindungerforderlich ist.
In Szenarien mit externen Benutzern variieren die Authentifizierungsmethoden, die der Authentifizierungsstärke genügen können, abhängig davon, ob der Benutzer MFA in seinem Basismandanten oder im Ressourcenmandanten durchführt. In der folgenden Tabelle sind die zulässigen Methoden in jedem Mandanten angegeben. Wenn ein Ressourcenmandant sich entschieden hat, Ansprüchen aus externen Microsoft Entra-Organisationen zu vertrauen, werden vom Ressourcenmandanten nur diejenigen Ansprüche für MFA akzeptiert, die unten in der Spalte „Basismandant“ aufgeführt sind. Wenn der Ressourcenmandant die MFA-Vertrauensstellung deaktiviert hat, muss der externe Benutzer die MFA im Ressourcenmandanten mithilfe einer der Methoden ausführen, die in der Spalte „Ressourcenmandant“ aufgeführt sind.
| Authentifizierungsmethode | Basismandant | Ressourcenmandant |
|---|---|---|
| SMS als zweiter Faktor | ✅ | ✅ |
| Anruf | ✅ | ✅ |
| Microsoft Authenticator-Pushbenachrichtigung | ✅ | ✅ |
| Telefonische Microsoft Authenticator-Anmeldung | ✅ | |
| OATH-Softwaretoken | ✅ | ✅ |
| OATH-Hardwaretoken | ✅ | |
| FIDO2-Sicherheitsschlüssel | ✅ | |
| Windows Hello for Business | ✅ | |
| Zertifikatbasierte Authentifizierung | ✅ |
Weitere Informationen zum Festlegen von Authentifizierungsstärken für externe Benutzer finden Sie unter Bedingter Zugriff: Erzwingen einer Authentifizierungsstärke für externe Benutzer.
Benutzeroberfläche für externe Benutzer
Eine Richtlinie für Authentifizierungsstärke für bedingten Zugriff funktioniert in Kombination mit MFA-Vertrauenseinstellungen in Ihren Einstellungen für den mandantenübergreifenden Zugriff. Zunächst authentifiziert sich ein Microsoft Entra-Benutzer mit seinem eigenen Konto bei seinem Basismandanten. Wenn dieser Benutzer anschließend versucht, auf Ihre Ressource zuzugreifen, wendet Microsoft Entra ID die Richtlinie zur Authentifizierungsstärke für den bedingten Zugriff an und überprüft, ob Sie die MFA-Vertrauensstellung aktiviert haben.
- Wenn die MFA-Vertrauensstellung aktiviert ist, überprüft Microsoft Entra ID die Authentifizierungssitzung des Benutzers auf einen Anspruch, der angibt, dass die MFA im Basismandanten des Benutzers ausgeführt wurde. Entnehmen Sie die Authentifizierungsmethoden, die für MFA zulässig sind, wenn sie im Basismandanten eines externen Benutzers abgeschlossen wurden, der vorstehenden Tabelle. Wenn die Sitzung einen Anspruch enthält, der angibt, dass die MFA-Richtlinien bereits im Basismandanten des Benutzers erfüllt sind, und die Methoden die Anforderungen an die Authentifizierungsstärke erfüllen, wird dem Benutzer der Zugriff erlaubt. Andernfalls wird der Benutzer durch Microsoft Entra ID aufgefordert, im Basismandanten eine MFA mit einer akzeptierten Authentifizierungsmethode durchzuführen.
- Wenn die MFA-Vertrauensstellung deaktiviert ist, fordert Microsoft Entra ID den Benutzer über eine Abfrage auf, die MFA im Ressourcenmandanten mit einer zulässigen Authentifizierungsmethode durchzuführen. Authentifizierungsmethoden, die für die MFA durch einen externen Benutzer zulässig sind, finden Sie in der vorherigen Tabelle.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für