Freigeben über

Tutorial: Erzwingen der Multi-Faktor-Authentifizierung für B2B-Gastbenutzer

Gilt für: Grüner Kreis mit einem weißen Häkchensymbol. Arbeitnehmer-Mandanten Weißer Kreis mit einem grauen X-Symbol. Externe Mandanten (weitere Informationen)

Wenn Sie mit externen B2B-Gastbenutzern zusammenarbeiten, schützen Sie Ihre Apps mit mehrstufigen Authentifizierungsrichtlinien. Externe Benutzer benötigen mehr als nur einen Benutzernamen und ein Kennwort, um auf Ihre Ressourcen zuzugreifen. In Microsoft Entra ID ist dies mit einer Richtlinie für bedingten Zugriff möglich, die MFA für den Zugriff erfordert. Sie können MFA-Richtlinien auf Mandanten-, App- oder einzelner Gastbenutzerebene erzwingen, genau wie für Mitglieder Ihrer eigenen Organisation. Der Ressourcenmandant ist für die mehrstufige Microsoft Entra-Authentifizierung für Benutzer verantwortlich, auch wenn die Organisation des Gastbenutzers über mehrstufige Authentifizierungsfunktionen verfügt.

Beispiel:

Diagramm, das einen Gastbenutzer zeigt, der sich bei den Apps eines Unternehmens anmeldet.

  1. Ein Administrator oder Mitarbeiter von Unternehmen A lädt einen Gastbenutzer ein, eine Cloud oder lokale Anwendung zu verwenden, die so konfiguriert ist, dass sie MFA für den Zugriff erfordert.
  2. Der Gastbenutzer meldet sich mit seinem Geschäfts-, Schul- oder Unikonto bzw. mit seiner Identität bei einem sozialen Netzwerk an.
  3. Der Benutzer wird aufgefordert, eine MFA auszuführen.
  4. Der Benutzer richtet die MFA bei Unternehmen A ein und wählt deren MFA-Option aus. Dem Benutzer wird der Zugriff auf die Anwendung gewährt.

Hinweis

Die Microsoft Entra Multi-Faktor-Authentifizierung wird auf dem Ressourcenmandanten durchgeführt, um die Vorhersagbarkeit sicherzustellen. Wenn sich der Gastbenutzer anmeldet, wird im Hintergrund die Anmeldeseite des Ressourcenmandanten angezeigt, und im Vordergrund werden die Anmeldeseite für den eigenen Basismandanten und das Unternehmenslogo angezeigt.

In diesem Tutorial wird Folgendes vermittelt:

  • Testen Sie die Anmeldeumgebung, bevor Sie MFA einrichten.
  • Erstellen einer Richtlinie für bedingten Zugriff, die MFA für den Zugriff auf eine Cloud-App in Ihrer Umgebung verlangt. In diesem Lernprogramm verwenden wir die Azure Resource Manager-App, um den Prozess zu veranschaulichen.
  • Verwenden des What If-Tools zum Simulieren der MFA-Anmeldung.
  • Testen der Richtlinie für bedingten Zugriff.
  • Löschen des Testbenutzers und der Richtlinie.

Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein kostenloses Konto , um zu beginnen.

Voraussetzungen

Für die Durchführung des Szenarios im Rahmen dieses Tutorials benötigen Sie Folgendes:

  • Zugriff auf die Microsoft Entra ID P1- oder P2-Edition, die Richtlinienfunktionen für bedingten Zugriff enthält. Um MFA zu erzwingen, erstellen Sie eine Microsoft Entra-Richtlinie für bedingten Zugriff. MFA-Richtlinien werden immer in Ihrer Organisation erzwungen, auch wenn der Partner nicht über MFA-Funktionen verfügt.
  • Ein gültiges externes E-Mail-Konto , das Sie Ihrem Mandantenverzeichnis als Gastbenutzer hinzufügen und zum Anmelden verwenden können. Wenn Sie nicht wissen, wie Sie ein Gastkonto erstellen, führen Sie die Schritte unter Hinzufügen eines B2B-Gastbenutzers im Microsoft Entra Admin Center aus.

Erstellen eines Testgastbenutzers in Microsoft Entra ID

  1. Melden Sie sich mindestens als Benutzeradministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Benutzer.

  3. Wählen Sie "Neuer Benutzer" und dann "Externen Benutzer einladen" aus.

    Screenshot der Stelle, an der die neue Gastbenutzeroption ausgewählt werden soll.

  4. Geben Sie auf der Registerkarte "Grundlagen" unter "Identität" die E-Mail-Adresse des externen Benutzers ein. Optional können Sie einen Anzeigenamen und eine Willkommensnachricht einschließen.

    Screenshot der Stelle, an der die Gast-E-Mail eingegeben werden soll.

  5. Sie können optional dem Benutzer unter den „Eigenschaften“- und „Zuweisungen“-Tabs weitere Details hinzufügen.

  6. Wählen Sie "Überprüfen+ Einladen" aus, um die Einladung automatisch an den Gastbenutzer zu senden. Es wird eine Nachricht eines erfolgreich eingeladenen Benutzers angezeigt.

  7. Nachdem Sie die Einladung gesendet haben, wird das Benutzerkonto als Gast zum Verzeichnis hinzugefügt.

Testen der Anmeldung vor dem MFA-Setup

  1. Melden Sie sich mit Ihrem Testbenutzernamen und Kennwort beim Microsoft Entra Admin Center an.
  2. Greifen Sie nur mit Ihren Anmeldeinformationen auf das Microsoft Entra Admin Center zu. Es ist keine andere Authentifizierung erforderlich.
  3. Melden Sie sich beim Microsoft Entra Admin Center ab.

Erstellen einer Richtlinie für bedingten Zugriff mit erforderlicher MFA

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.

  2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.

  3. Wählen Sie "Neue Richtlinie" aus.

  4. Benennen Sie Ihre Richtlinie, z. B. MFA für den B2B-Portalzugriff erforderlich. Erstellen Sie einen aussagekräftigen Standard für Benennungsrichtlinien.

  5. Wählen Sie unter AufgabenBenutzer oder Workloadidentitäten aus.

    1. Wählen Sie unter "Einschließen" die Option "Benutzer und Gruppen auswählen" und dann " Gast" oder "Externe Benutzer" aus. Sie können die Richtlinie verschiedenen externen Benutzertypen, integrierten Verzeichnisrollen oder Benutzern und Gruppen zuweisen.

    Screenshot, der die Auswahl aller Gastbenutzer zeigt.

  6. Unter Zielressourcen>Ressourcen (früher Cloud-Apps)>einschließen>Ressourcen auswählen, wählen Sie Azure Resource Manager aus, und dann die Ressource auswählen.

    Screenshot der Seite

  7. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff erteilen, dann Multi-Faktor-Authentifizierung erfordern und anschließend Auswählen aus.

    Screenshot der Option zum Anfordern der mehrstufigen Authentifizierung.

  8. Wählen Sie unter Richtlinie aktivieren die Option An aus.

  9. Wählen Sie "Erstellen" aus.

Simuliertes Anmelden mit der What If-Option

Das Conditional Access What If-Tool hilft Ihnen, die Auswirkungen von Richtlinien für bedingten Zugriff in Ihrer Umgebung zu verstehen. Anstatt Ihre Richtlinien manuell mit mehreren Anmeldungen zu testen, können Sie dieses Tool verwenden, um die Anmeldung eines Benutzers zu simulieren. Die Simulation prognostiziert, wie sich diese Anmeldung auf Ihre Richtlinien auswirkt und einen Bericht generiert. Weitere Informationen finden Sie unter Verwenden des What If-Tools, um Richtlinien für bedingten Zugriff zu verstehen.

Testen der Richtlinie für bedingten Zugriff

  1. Verwenden Sie Ihren Testbenutzernamen und Das Kennwort, um sich beim Microsoft Entra Admin Center anzumelden.

  2. Sie sollten eine Anforderung für weitere Authentifizierungsmethoden sehen. Es kann einige Zeit dauern, bis die Richtlinie wirksam wird.

    Screenshot der Meldung

    Hinweis

    Sie können auch mandantenübergreifende Zugriffseinstellungen konfigurieren, um der MFA vom Microsoft Entra-Homemandanten zu vertrauen. Dadurch können externe Microsoft Entra-Benutzer*innen die Multi-Faktor-Authentifizierung verwenden, die in ihrem eigenen Mandanten registriert ist, anstatt sich beim Ressourcen-Mandanten zu registrieren.

  3. Melden Sie sich ab.

Bereinigen von Ressourcen

Löschen Sie den Testbenutzer und die Testrichtlinie für bedingten Zugriff, wenn sie nicht mehr benötigt werden.

  1. Melden Sie sich mindestens als Benutzeradministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Benutzer.

  3. Wählen Sie den Testbenutzer und dann " Benutzer löschen" aus.

  4. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.

  5. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.

  6. Wählen Sie in der Liste "Richtlinienname " das Kontextmenü (...) für Ihre Testrichtlinie aus, und wählen Sie dann "Löschen" aus, und bestätigen Sie, indem Sie "Ja" auswählen.

Nächste Schritte

In diesem Tutorial haben Sie eine Richtlinie für bedingten Zugriff erstellt, die voraussetzt, dass Gastbenutzer zum Anmelden bei einer Ihrer Cloud-Apps MFA verwenden. Weitere Informationen zum Hinzufügen von Gastbenutzern für die Zusammenarbeit finden Sie unter Hinzufügen von Microsoft Entra B2B-Zusammenarbeitsbenutzern im Microsoft Entra Admin Center.