Megosztás a következőn keresztül:


Hitelesítés és feltételes hozzáférés külső azonosítóhoz

A következőkre vonatkozik:Zöld kör fehér pipa jellel. Munkaerő-bérlők Fehér kör szürke X szimbólummal. Külső bérlők (további információ)

Tipp.

Ez a cikk a B2B-együttműködésre és a B2B közvetlen csatlakozásra vonatkozik a munkaerő-bérlőkben. A külső bérlőkkel kapcsolatos információkért lásd: Biztonság és irányítás a Microsoft Entra Külső ID.

Amikor egy külső felhasználó hozzáfér a szervezet erőforrásaihoz, a hitelesítési folyamatot az együttműködési módszer (B2B együttműködés vagy közvetlen B2B-kapcsolat), a felhasználó identitásszolgáltatója (külső Microsoft Entra-bérlő, közösségi identitásszolgáltató stb.), a feltételes hozzáférési szabályzatok és a felhasználó otthoni bérlőjében és az erőforrásokat üzemeltető bérlőben konfigurált bérlői hozzáférési beállítások határozzák meg.

Ez a cikk a szervezet erőforrásaihoz hozzáférő külső felhasználók hitelesítési folyamatát ismerteti. A szervezetek több feltételes hozzáférési szabályzatot is kikényszeríthetik külső felhasználóik számára, amelyek bérlői, alkalmazás- vagy egyéni felhasználói szinten ugyanúgy érvényesíthetők, mint a teljes munkaidős alkalmazottak és a szervezet tagjai számára.

Hitelesítési folyamat külső Microsoft Entra-felhasználók számára

Az alábbi ábra azt a hitelesítési folyamatot mutatja be, amikor egy Microsoft Entra-szervezet erőforrásokat oszt meg más Microsoft Entra-szervezetek felhasználóival. Ez az ábra bemutatja, hogyan működnek a bérlők közötti hozzáférési beállítások a feltételes hozzáférési szabályzatokkal, például a többtényezős hitelesítéssel annak megállapításához, hogy a felhasználó hozzáfér-e az erőforrásokhoz. Ez a folyamat a B2B-együttműködésre és a közvetlen B2B-csatlakozásra is vonatkozik, kivéve a 6. lépésben leírtakat.

A bérlők közötti hitelesítési folyamatot bemutató ábra.

Lépés Leírás
1 A Fabrikam (a felhasználó otthoni bérlője) egy felhasználója kezdeményezi a bejelentkezést egy erőforrásba a Contoso-ban (az erőforrás-bérlőben).
2 A bejelentkezés során a Microsoft Entra biztonsági jogkivonat-szolgáltatás (STS) kiértékeli a Contoso feltételes hozzáférési szabályzatait. Azt is ellenőrzi, hogy a Fabrikam-felhasználó jogosult-e a hozzáférésre a bérlők közötti hozzáférési beállítások (a Fabrikam kimenő beállításainak és a Contoso bejövő beállításainak) kiértékelésével.
3 A Microsoft Entra ID ellenőrzi a Contoso bejövő megbízhatósági beállításait, és ellenőrzi, hogy a Contoso megbízik-e a Fabrikam MFA- és eszközjogcímeiben (eszközmegfelelőség, Microsoft Entra hibrid csatlakoztatott állapot). Ha nem, ugorjon a 6. lépésre.
4 Ha a Contoso megbízik a Fabrikam MFA- és eszközjogcímeiben, a Microsoft Entra-azonosító ellenőrzi a felhasználó hitelesítési munkamenetét annak jelzésére, hogy a felhasználó befejezte az MFA-t. Ha a Contoso megbízik a Fabrikam eszközadataiban, a Microsoft Entra-azonosító egy jogcímet keres a hitelesítési munkamenetben, amely az eszköz állapotát jelzi (megfelelő vagy a Microsoft Entra hibrid csatlakoztatása).
5 Ha az MFA szükséges, de nem fejeződött be, vagy ha nincs megadva eszközigény, a Microsoft Entra-azonosító szükség szerint MFA-t és eszközproblémákat ad ki a felhasználó otthoni bérlőjében. Ha az MFA és az eszközkövetelmények teljesülnek a Fabrikamban, a felhasználó hozzáférhet az erőforráshoz a Contoso-ban. Ha az ellenőrzések nem teljesülnek, a hozzáférés le van tiltva.
6 Ha nincs konfigurálva megbízhatósági beállítás, és MFA-ra van szükség, a B2B együttműködési felhasználók MFA-t kérnek. Meg kell felelniük az erőforrás-bérlő MFA-jának. A közvetlen B2B-felhasználók hozzáférése le van tiltva. Ha az eszközmegfelelőség szükséges, de nem értékelhető ki, a hozzáférés a B2B-együttműködés és a B2B közvetlen kapcsolódási felhasználók számára is le van tiltva.

További információkért tekintse meg a külső felhasználók feltételes hozzáférése című szakaszt.

Hitelesítési folyamat nem Azure AD külső felhasználók számára

Ha egy Microsoft Entra-szervezet erőforrásokat oszt meg külső felhasználókkal a Microsoft Entra-azonosítótól eltérő identitásszolgáltatóval, a hitelesítési folyamat attól függ, hogy a felhasználó hitelesítést végzett-e egy identitásszolgáltatóval vagy egyszeri pin-kód hitelesítésével. Az erőforrás-bérlő mindkét esetben azonosítja a használni kívánt hitelesítési módszert, majd átirányítja a felhasználót az identitásszolgáltatóhoz, vagy kiad egy egyszeri pin-kódot.

1. példa: Hitelesítési folyamat és jogkivonat nem Azure AD külső felhasználóhoz

Az alábbi ábra bemutatja a hitelesítési folyamatot, amikor egy külső felhasználó bejelentkezik egy nem Azure AD-identitásszolgáltató fiókjával, például a Google-ból, a Facebookról vagy egy összevont SAML/WS-Fed identitásszolgáltatótól.

Külső címtárból származó B2B-vendégfelhasználók hitelesítési folyamatát bemutató ábra.

Lépés Leírás
1 A B2B vendégfelhasználó hozzáférést kér egy erőforráshoz. Az erőforrás átirányítja a felhasználót az erőforrás-bérlőhöz, egy megbízható identitásszolgáltatóhoz.
2 Az erőforrás-bérlő külsőként azonosítja a felhasználót, és átirányítja a felhasználót a B2B vendégfelhasználó azonosítójára. A felhasználó elsődleges hitelesítést végez az identitásszolgáltatóban.
3 Az engedélyezési szabályzatok kiértékelése a B2B vendégfelhasználó identitásszolgáltatójában történik. Ha a felhasználó megfelel ezeknek a szabályzatoknak, a B2B vendégfelhasználó identitásszolgáltatója jogkivonatot ad ki a felhasználónak. A rendszer visszairányítja a felhasználót az erőforrás-bérlőbe a jogkivonattal. Az erőforrás-bérlő ellenőrzi a jogkivonatot, majd kiértékeli a felhasználót a feltételes hozzáférési szabályzatai alapján. Az erőforrás-bérlő például megkövetelheti a felhasználótól a Microsoft Entra többtényezős hitelesítését.
4 A rendszer kiértékeli a bérlők közötti bejövő hozzáférési beállításokat és a feltételes hozzáférési szabályzatokat. Ha minden szabályzat teljesül, az erőforrás-bérlő kiadja a saját jogkivonatát, és átirányítja a felhasználót az erőforrásához.

2. példa: Hitelesítési folyamat és jogkivonat egyszeri pin-kód felhasználóhoz

Az alábbi ábra azt a folyamatot szemlélteti, amikor az egyszeri pin-kód hitelesítése engedélyezve van, és a külső felhasználó hitelesítése nem történik meg más módon, például Microsoft Entra-azonosító, Microsoft-fiók (MSA) vagy közösségi identitásszolgáltató.

A B2B-vendégfelhasználók egyszeri pin-kóddal történő hitelesítési folyamatát bemutató ábra.

Lépés Leírás
1 A felhasználó hozzáférést kér egy másik bérlőben lévő erőforráshoz. Az erőforrás átirányítja a felhasználót az erőforrás-bérlőhöz, egy megbízható identitásszolgáltatóhoz.
2 Az erőforrás-bérlő külső e-mail-felhasználóként (OTP) azonosítja a felhasználót, és e-mailt küld a felhasználónak az OTP-vel.
3 A felhasználó lekéri az OTP-t, és elküldi a kódot. Az erőforrás-bérlő kiértékeli a felhasználót a feltételes hozzáférési szabályzatai alapján.
4 Ha az összes feltételes hozzáférési szabályzat teljesül, az erőforrás-bérlő kiad egy jogkivonatot, és átirányítja a felhasználót az erőforrásához.

Feltételes hozzáférés külső felhasználók számára

A szervezetek a feltételes hozzáférési szabályzatokat a külső B2B együttműködésre és a B2B közvetlen kapcsolódására ugyanúgy kényszeríthetik, mint a teljes munkaidős alkalmazottak és a szervezet tagjai számára. A bérlők közötti hozzáférési beállítások bevezetésével megbízhat a külső Microsoft Entra-szervezetektől származó MFA- és eszközjogcímekben is. Ez a szakasz a feltételes hozzáférés szervezeten kívüli felhasználókra történő alkalmazásának fontos szempontjait ismerteti.

Feljegyzés

A feltételes hozzáféréssel rendelkező egyéni vezérlők nem támogatottak a bérlők közötti megbízhatósági kapcsolatok esetében.

Feltételes hozzáférési szabályzatok hozzárendelése külső felhasználótípusokhoz

A feltételes hozzáférési szabályzatok konfigurálásakor részletesen szabályozhatja, hogy milyen típusú külső felhasználókra szeretné alkalmazni a szabályzatot. A külső felhasználók a hitelesítés módja (belső vagy külső) és a szervezettel (vendég vagy tag) való kapcsolatuk alapján vannak kategorizálva.

  • B2B együttműködési vendégfelhasználók – A gyakran vendégnek tekintett felhasználók többsége ebbe a kategóriába tartozik. Ez a B2B együttműködési felhasználó rendelkezik egy külső Microsoft Entra-szervezetben vagy külső identitásszolgáltatóban (például közösségi identitásban) lévő fiókkal, és vendégszintű engedélyekkel rendelkezik a szervezetében. A Microsoft Entra könyvtárban létrehozott felhasználói objektumhoz tartozik a Vendég UserType tulajdonsága. Ebbe a kategóriába tartoznak azok a B2B együttműködési felhasználók, akiket meghívtak, és akik önkiszolgáló regisztrációt használtak.
  • B2B együttműködési tagfelhasználók – Ez a B2B együttműködési felhasználó rendelkezik fiókkal egy külső Microsoft Entra-szervezetben vagy egy külső identitásszolgáltatóban (például közösségi identitásban), és tagszintű hozzáféréssel rendelkezik a szervezet erőforrásaihoz. Ez a forgatókönyv gyakori a több bérlőből álló szervezetekben, ahol a felhasználók a nagyobb szervezet részét képezik, és tagszintű hozzáférésre van szükségük a szervezet más bérlőinek erőforrásaihoz. A Microsoft Entra könyvtárban létrehozott felhasználói objektum rendelkezik a Tag UserType elemével.
  • B2B közvetlen kapcsolódási felhasználók – Olyan külső felhasználók, akik közvetlen B2B-kapcsolaton keresztül férhetnek hozzá az erőforrásokhoz, ami egy kölcsönös, kétirányú kapcsolat egy másik Microsoft Entra-szervezettel, amely lehetővé teszi az egyszeri bejelentkezést bizonyos Microsoft-alkalmazásokhoz (jelenleg Microsoft Teams Kapcsolat megosztott csatornákhoz). A közvetlen B2B-kapcsolattal rendelkező felhasználók nem rendelkeznek jelenléttel a Microsoft Entra-szervezetben, hanem az alkalmazáson belül kezelik őket (például a Teams megosztott csatorna tulajdonosa).
  • Helyi vendégfelhasználók – A helyi vendégfelhasználók a címtárban kezelt hitelesítő adatokkal rendelkeznek. Mielőtt a Microsoft Entra B2B együttműködés elérhető lett volna, gyakori volt a forgalmazókkal, szállítókkal, szállítókkal és másokkal való együttműködés azáltal, hogy belső hitelesítő adatokat állít be számukra, és vendégként jelöli ki őket a UserType felhasználói objektum vendégként való beállításával.
  • Szolgáltatói felhasználók – A szervezet felhőszolgáltatójaként szolgáló szervezetek (a Microsoft Graph partnerspecifikus konfigurációjában az isServiceProvider tulajdonság igaz).
  • Egyéb külső felhasználók – Azokra a felhasználókra vonatkozik, akik nem tartoznak ezekbe a kategóriákba, de nem tekinthetők a szervezet belső tagjainak, ami azt jelenti, hogy nem hitelesítik magukat belsőleg a Microsoft Entra-azonosítón keresztül, és az erőforrásBan létrehozott Microsoft Entra-címtárban létrehozott felhasználói objektum nem rendelkezik tag userType-jával.

Feljegyzés

A "Minden vendég- és külső felhasználó" kijelölés helyébe a "Vendég és külső felhasználók" és annak altípusai léptek. Azoknál az ügyfeleknél, akik korábban feltételes hozzáférési szabályzattal rendelkeztek, és a "Minden vendég és külső felhasználó" van kiválasztva, most a "Vendég és külső felhasználók" felirat jelenik meg, valamint az összes altípus ki van választva. Ez a változás az UX-ben nem befolyásolja a szabályzat feltételes hozzáférési háttérrendszer általi kiértékelésének módját. Az új kijelölés biztosítja az ügyfelek számára a szükséges részletességet a vendég- és külső felhasználók meghatározott típusainak kiválasztásához, hogy a feltételes hozzáférési szabályzat létrehozásakor belefoglalják vagy kizárják őket a felhasználói hatókörből.

További információ a feltételes hozzáférés felhasználói hozzárendeléseiről.

Külső azonosító feltételes hozzáférési házirendjeinek összehasonlítása

Az alábbi táblázat részletes összehasonlítást nyújt a biztonsági szabályzatról és a megfelelőségi lehetőségekről a Microsoft Entra Külső ID. A biztonsági szabályzatot és a megfelelőséget a gazdagép/meghívó szervezet kezeli a feltételes hozzáférési szabályzatok alapján.

Szabályzat B2B együttműködési felhasználók B2B közvetlen kapcsolódási felhasználók
Vezérlők engedélyezése – Hozzáférés letiltása Támogatott Támogatott
Vezérlők engedélyezése – Többtényezős hitelesítés megkövetelése Támogatott Támogatott, a bejövő megbízhatósági beállítások konfigurálásához mFA-jogcímeket kell elfogadni a külső szervezettől
Vezérlők megadása – Megfelelő eszköz megkövetelése A támogatáshoz konfigurálnia kell a bejövő megbízhatósági beállításokat , hogy a külső szervezet megfelelő eszközjogcímeket fogadjon el. A támogatáshoz konfigurálnia kell a bejövő megbízhatósági beállításokat , hogy a külső szervezet megfelelő eszközjogcímeket fogadjon el.
Engedélyezési vezérlők – A Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése Támogatott, megköveteli a bejövő megbízhatósági beállítások konfigurálását a Microsoft Entra hibrid csatlakoztatott eszközjogcímek külső szervezettől való elfogadásához Támogatott, megköveteli a bejövő megbízhatósági beállítások konfigurálását a Microsoft Entra hibrid csatlakoztatott eszközjogcímek külső szervezettől való elfogadásához
Engedélyezési vezérlők – Jóváhagyott ügyfélalkalmazás megkövetelése Nem támogatott Nem támogatott
Engedélyezési vezérlők – Alkalmazásvédelmi szabályzat megkövetelése Nem támogatott Nem támogatott
Vezérlők megadása – Jelszómódosítás megkövetelése Nem támogatott Nem támogatott
Engedélyezési vezérlők – Használati feltételek Támogatott Nem támogatott
Munkamenet-vezérlők – Alkalmazás által kényszerített korlátozások használata Támogatott Nem támogatott
Munkamenet-vezérlők – Feltételes hozzáférésű alkalmazásvezérlő használata Támogatott Nem támogatott
Munkamenet-vezérlők – Bejelentkezési gyakoriság Támogatott Nem támogatott
Munkamenet-vezérlők – Állandó böngésző munkamenet Támogatott Nem támogatott

MFA külső Microsoft Entra-felhasználók számára

A Bérlők közötti Microsoft Entra-forgatókönyvekben az erőforrás-szervezet olyan feltételes hozzáférési szabályzatokat hozhat létre, amelyek MFA-t vagy eszközmegfelelőségi feltételeket követelnek meg az összes vendég- és külső felhasználó számára. Általában egy erőforráshoz hozzáférő B2B együttműködési felhasználónak kell beállítania a Microsoft Entra többtényezős hitelesítését az erőforrás-bérlővel. A Microsoft Entra ID azonban mostantól lehetővé teszi más Microsoft Entra-bérlők MFA-jogcímeinek megbízhatóságát. Az MFA-megbízhatóság egy másik bérlővel való engedélyezése leegyszerűsíti a B2B együttműködési felhasználók bejelentkezési folyamatát, és lehetővé teszi a hozzáférést a B2B közvetlen kapcsolódási felhasználói számára.

Ha a bejövő megbízhatósági beállításokat úgy konfigurálta, hogy fogadjanak MFA-jogcímeket egy B2B-együttműködésből vagy a B2B közvetlen kapcsolódási felhasználó otthoni bérlőjéből, a Microsoft Entra-azonosító ellenőrzi a felhasználó hitelesítési munkamenetét. Ha a munkamenet olyan jogcímet tartalmaz, amely azt jelzi, hogy az MFA-szabályzatok már teljesültek a felhasználó otthoni bérlőjében, a felhasználó zökkenőmentes bejelentkezést kap a megosztott erőforrásra.

Ha az MFA-megbízhatóság nincs engedélyezve, a felhasználói élmény a B2B együttműködési felhasználók és a B2B közvetlen kapcsolódási felhasználók esetében eltérő:

  • B2B együttműködési felhasználók: Ha az erőforrás-szervezet nem engedélyezi az MFA-megbízhatóságot a felhasználó otthoni bérlőjével, a felhasználó MFA-kihívással jelenik meg az erőforrás-szervezettől. (A folyamat megegyezik a MFA-folyamat nem Azure AD külső felhasználók számára.)

  • B2B közvetlen kapcsolódási felhasználók: Ha az erőforrás-szervezet nem engedélyezi az MFA-megbízhatóságot a felhasználó otthoni bérlőjével, a felhasználó nem fér hozzá az erőforrásokhoz. Ha engedélyezni szeretné, hogy a B2B közvetlen kapcsolatot létesítsen egy külső szervezettel, és a feltételes hozzáférési szabályzatok MFA-t igényelnek, konfigurálnia kell a bejövő megbízhatósági beállításokat az MFA-jogcímek szervezettől való elfogadásához.

További információ az MFA bejövő megbízhatósági beállításainak konfigurálásáról.

MFA nem Azure AD külső felhasználók számára

Nem Azure AD külső felhasználók esetén az erőforrás-bérlő mindig felelős az MFA-ért. Az alábbi példa egy tipikus MFA-folyamatot mutat be. Ez a forgatókönyv bármilyen identitáshoz használható, beleértve a Microsoft-fiókot (MSA) vagy a közösségi azonosítót. Ez a folyamat a Microsoft Entra külső felhasználóira is vonatkozik, ha nem konfigurálja a megbízhatósági beállításokat az otthoni Microsoft Entra-szervezettel.

  1. Egy Fabrikam nevű vállalat rendszergazdája vagy információs dolgozója meghív egy másik Contoso nevű vállalat felhasználóját a Fabrikam alkalmazásának használatára.

  2. A Fabrikam alkalmazása úgy van konfigurálva, hogy hozzáférés esetén a Microsoft Entra többtényezős hitelesítést igényeljen.

  3. Amikor a Contoso B2B együttműködési felhasználója megpróbál hozzáférni a Fabrikam alkalmazásához, a rendszer felkéri őket a Microsoft Entra többtényezős hitelesítési feladatának elvégzésére.

  4. A vendégfelhasználó ezután beállíthatja a Microsoft Entra többtényezős hitelesítését a Fabrikam használatával, és kiválaszthatja a beállításokat.

A Fabrikamnak elegendő prémium szintű Microsoft Entra ID-licenccel kell rendelkeznie, amelyek támogatják a Microsoft Entra többtényezős hitelesítést. A Contoso felhasználója ezt a fabrikam-licencet használja. A B2B-licenceléssel kapcsolatos információkért tekintse meg a Microsoft Entra Külső ID számlázási modelljét.

Feljegyzés

Az MFA az erőforrás-bérlőnél fejeződik be a kiszámíthatóság biztosítása érdekében. Amikor a vendégfelhasználó bejelentkezik, a háttérben megjelenik az erőforrás-bérlő bejelentkezési lapja, valamint a saját otthoni bérlő bejelentkezési lapja és a cég emblémája az előtérben.

Microsoft Entra többtényezős hitelesítés alaphelyzetbe állítása (ellenőrzés) a B2B együttműködési felhasználók számára

A következő PowerShell-parancsmagok állnak rendelkezésre az MFA-regisztráció ellenőrzéséhez vagy a B2B együttműködési felhasználóktól való lekéréséhez .

Feljegyzés

Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.

Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.

  1. Csatlakozás a Microsoft Entra-azonosítóhoz:

    $cred = Get-Credential
    Connect-MsolService -Credential $cred
    
  2. Az összes felhasználó lekérése ellenőrző módszerekkel:

    Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
    

    Példa:

    Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
    
  3. Állítsa alaphelyzetbe a Microsoft Entra többtényezős hitelesítési metódust egy adott felhasználó esetében, hogy a felhasználónak ismét be kell állítania a hitelesítési módszereket, például:

    Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName gsamoogle_gmail.com#EXT#@ WoodGroveAzureAD.onmicrosoft.com
    

Hitelesítés erősségére vonatkozó szabályzatok külső felhasználók számára

A hitelesítés erőssége egy feltételes hozzáférés-vezérlés, amely lehetővé teszi a többtényezős hitelesítési módszerek meghatározott kombinációjának meghatározását, amelyeket egy külső felhasználónak be kell fejeznie az erőforrások eléréséhez. Ez a vezérlő különösen hasznos a szervezet bizalmas alkalmazásainak külső elérésének korlátozásához, mivel bizonyos hitelesítési módszereket, például adathalászatnak ellenálló módszereket kényszeríthet ki külső felhasználók számára.

Emellett a hitelesítési erősséget is alkalmazhatja a különböző típusú vendég- vagy külső felhasználókra , amelyekkel együttműködik vagy csatlakozik. Ez azt jelenti, hogy kikényszerítheti a B2B-együttműködésre, a közvetlen B2B-csatlakozásra és más külső hozzáférési forgatókönyvekre jellemző hitelesítési erősségű követelményeket.

A Microsoft Entra ID három beépített hitelesítési erősséget biztosít:

  • Többtényezős hitelesítés erőssége
  • Jelszó nélküli MFA erőssége
  • Adathalászatnak ellenálló MFA erőssége

Ezen beépített erősségek egyikét használhatja, vagy létrehozhat egy egyéni hitelesítési erősség-szabályzatot a kívánt hitelesítési módszerek alapján.

Feljegyzés

Jelenleg csak a Microsoft Entra-azonosítóval hitelesítést végző külső felhasználókra alkalmazhat hitelesítési erősségű szabályzatokat. Az egyszeri pin-kód, az SAML/WS-Fed és a Google összevonási felhasználói számára az MFA engedélyezési vezérlő használatával követelheti meg az MFA-t.

Ha külső Microsoft Entra-felhasználókra alkalmaz hitelesítési erősségű szabályzatot, a szabályzat az MFA megbízhatósági beállításaival együtt működik a bérlők közötti hozzáférési beállításokban annak meghatározásához, hogy a külső felhasználónak hol és hogyan kell elvégeznie az MFA-t. A Microsoft Entra-felhasználók először saját fiókjukkal hitelesítik magukat az otthoni Microsoft Entra-bérlőjükben. Ezután amikor ez a felhasználó megpróbálja elérni az erőforrást, a Microsoft Entra-azonosító a hitelesítési erősségű feltételes hozzáférési szabályzatot alkalmazza, és ellenőrzi, hogy engedélyezte-e az MFA megbízhatóságát.

Külső felhasználói forgatókönyvekben a hitelesítési erősség teljesítéséhez elfogadható hitelesítési módszerek eltérőek attól függően, hogy a felhasználó az otthoni bérlőjében vagy az erőforrás-bérlőben végzi-e az MFA-t. Az alábbi táblázat az egyes bérlők elfogadható metódusait jelzi. Ha egy erőforrás-bérlő külső Microsoft Entra-szervezetektől származó jogcímek megbízhatóságát választja, az erőforrás-bérlő csak az "Otthoni bérlő" oszlopban felsorolt jogcímeket fogadja el az MFA teljesítéséhez. Ha az erőforrás-bérlő letiltotta az MFA-megbízhatóságot, a külső felhasználónak az erőforrás-bérlőben az "Erőforrás-bérlő" oszlopban felsorolt módszerek egyikével kell elvégeznie az MFA-t.

1. táblázat. Hitelesítési erősségű MFA-módszerek külső felhasználók számára
Hitelesítési módszer Otthoni bérlő Erőforrás-bérlő
SMS mint második tényező
Hanghívás
Microsoft Authenticator leküldéses értesítés
Microsoft Authenticator telefonos bejelentkezés
OATH szoftverjogkivonat
OATH hardveres jogkivonat
FIDO2 biztonsági kulcs
Vállalati Windows Hello
Tanúsítványalapú hitelesítés

Ha olyan feltételes hozzáférési szabályzatot szeretne konfigurálni, amely a külső felhasználókra vagy vendégekre alkalmazza a hitelesítés erősségére vonatkozó követelményeket, olvassa el a Feltételes hozzáférés: Hitelesítés erősségének megkövetelése külső felhasználók számára című témakört.

Felhasználói élmény külső Microsoft Entra-felhasználók számára

A hitelesítés erősségére vonatkozó szabályzatok együttműködnek az MFA megbízhatósági beállításaival a bérlők közötti hozzáférési beállításokban annak meghatározásához, hogy a külső felhasználónak hol és hogyan kell elvégeznie az MFA-t.

Először egy Microsoft Entra-felhasználó saját fiókjával hitelesít az otthoni bérlőjében. Ezután amikor ez a felhasználó megpróbálja elérni az erőforrást, a Microsoft Entra-azonosító a hitelesítési erősségű feltételes hozzáférési szabályzatot alkalmazza, és ellenőrzi, hogy engedélyezte-e az MFA megbízhatóságát.

  • Ha az MFA-megbízhatóság engedélyezve van, a Microsoft Entra-azonosító ellenőrzi a felhasználó hitelesítési munkamenetét egy olyan jogcímen, amely azt jelzi, hogy az MFA teljesült a felhasználó otthoni bérlőjében. (Lásd: 1 . táblázat az MFA-teljesítéshez elfogadható hitelesítési módszerekhez, ha egy külső felhasználó otthoni bérlőjében fejeződött be.) Ha a munkamenet olyan jogcímet tartalmaz, amely azt jelzi, hogy az MFA-házirendek már teljesültek a felhasználó otthoni bérlőjében, és a metódusok megfelelnek a hitelesítés erősségére vonatkozó követelményeknek, a felhasználó számára engedélyezett a hozzáférés. Ellenkező esetben a Microsoft Entra-azonosító kihívást jelent a felhasználó számára az MFA otthoni bérlőben való elvégzésére elfogadható hitelesítési módszer használatával. Az MFA metódust engedélyezni kell az otthoni bérlőben, és a felhasználónak regisztrálnia kell rá.
  • Ha az MFA-megbízhatóság le van tiltva, a Microsoft Entra-azonosító kihívást jelent a felhasználó számára, hogy elfogadható hitelesítési módszerrel végezze el az MFA-t az erőforrás-bérlőben. (Lásd: 1 . táblázat olyan hitelesítési módszerekhez, amelyek elfogadhatók egy külső felhasználó MFA-jának teljesítéséhez.)

Ha a felhasználó nem tudja befejezni az MFA-t, vagy ha egy feltételes hozzáférési szabályzat (például egy megfelelő eszközszabályzat) megakadályozza a regisztrációt, a hozzáférés le lesz tiltva.

Eszközmegfelelőség és a Microsoft Entra hibrid csatlakoztatott eszközszabályzatai

A szervezetek feltételes hozzáférési szabályzatokkal követelhetik meg, hogy a felhasználók eszközeit a Microsoft Intune felügyelje. Az ilyen szabályzatok blokkolhatják a külső felhasználók hozzáférését, mert egy külső felhasználó nem tudja regisztrálni a nem felügyelt eszközét az erőforrás-szervezetnél. Az eszközöket csak a felhasználó otthoni bérlője kezelheti.

Az eszközmegbízhatósági beállítások használatával azonban feloldhatja a külső felhasználók letiltását, miközben továbbra is felügyelt eszközöket igényel. A bérlők közötti hozzáférési beállításokban megadhatja, hogy megbízik-e egy külső felhasználó otthoni bérlőjétől származó jogcímekben, hogy a felhasználó eszköze megfelel-e az eszközmegfelelőségi szabályzatának, vagy a Microsoft Entra hibrid csatlakoztatva van-e. Az eszközmegbízhatósági beállításokat az összes Microsoft Entra-szervezethez vagy egyéni szervezethez beállíthatja.

Ha engedélyezve vannak az eszközmegbízhatósági beállítások, a Microsoft Entra-azonosító ellenőrzi a felhasználó hitelesítési munkamenetét egy eszközjogcím esetében. Ha a munkamenet olyan eszközigénylést tartalmaz, amely azt jelzi, hogy a házirendek már teljesültek a felhasználó otthoni bérlőjében, a külső felhasználó zökkenőmentes bejelentkezést kap a megosztott erőforrásra.

Fontos

  • Ha nem hajlandó megbízni az eszközmegfelelőséggel vagy a Microsoft Entra hibrid csatlakozású állapotával kapcsolatos jogcímek között egy külső felhasználó otthoni bérlőjével kapcsolatban, nem javasoljuk olyan feltételes hozzáférési szabályzatok alkalmazását, amelyek megkövetelik a külső felhasználóktól a felügyelt eszközök használatát.

Eszközszűrők

Feltételes hozzáférési szabályzatok külső felhasználók számára történő létrehozásakor kiértékelhet egy szabályzatot egy regisztrált eszköz eszközattribútumai alapján a Microsoft Entra ID-ban. Az eszközfeltételek szűrőjének használatával meghatározott eszközöket célozhat meg a támogatott operátorok és tulajdonságok, valamint a feltételes hozzáférési szabályzatok egyéb rendelkezésre álló hozzárendelési feltételeinek használatával.

Az eszközszűrők a bérlők közötti hozzáférési beállításokkal együtt használhatók, hogy szabályzatokat alapozzanak más szervezetek által felügyelt eszközökön. Tegyük fel például, hogy egy adott eszközattribútum alapján szeretné letiltani az eszközöket egy külső Microsoft Entra-bérlőből. Az eszközattribútum-alapú szabályzat beállításához hajtsa végre az alábbi lépéseket:

  • Konfigurálja a bérlők közötti hozzáférési beállításokat, hogy megbízzanak az adott szervezet eszközjogcímeiben.
  • Rendelje hozzá a szűréshez használni kívánt eszközattribútumot az egyik támogatott eszközbővítmény-attribútumhoz.
  • Hozzon létre egy feltételes hozzáférési szabályzatot egy eszközszűrővel, amely letiltja az adott attribútumot tartalmazó eszközökhöz való hozzáférést.

További információ a feltételes hozzáféréssel rendelkező eszközök szűréséről.

Mobilalkalmazás-kezelési szabályzatok

Nem javasoljuk, hogy alkalmazásvédelmi szabályzatot követelje meg a külső felhasználók számára. A feltételes hozzáférés engedélyezési vezérlőinek, például a jóváhagyott ügyfélalkalmazások megkövetelése és az alkalmazásvédelmi szabályzatok megkövetelése megköveteli, hogy az eszköz regisztrálva legyen az erőforrás-bérlőben. Ezek a vezérlők csak iOS- és Android-eszközökre alkalmazhatók. Mivel a felhasználó eszközét csak az otthoni bérlő felügyelheti, ezek a vezérlők nem alkalmazhatók külső vendégfelhasználókra.

Helyalapú feltételes hozzáférés

Az IP-tartományokon alapuló helyalapú szabályzat kényszeríthető, ha a meghívó szervezet létrehozhat egy megbízható IP-címtartományt, amely meghatározza a partnerszervezeteket.

A szabályzatok földrajzi helyek alapján is kikényszeríthetők.

Kockázatalapú feltételes hozzáférés

A bejelentkezési kockázati szabályzat akkor lesz érvényesítve, ha a külső vendégfelhasználó megfelel a támogatás-vezérlésnek. Egy szervezet például megkövetelheti a Microsoft Entra többtényezős hitelesítését közepes vagy magas bejelentkezési kockázat esetén. Ha azonban egy felhasználó korábban még nem regisztrált a Microsoft Entra többtényezős hitelesítésére az erőforrás-bérlőben, a felhasználó le lesz tiltva. Ezzel megakadályozható, hogy a rosszindulatú felhasználók regisztrálják saját Microsoft Entra többtényezős hitelesítési hitelesítő adataikat abban az esetben, ha feltörik a megbízható felhasználó jelszavát.

A felhasználókockázati szabályzat azonban nem oldható fel az erőforrás-bérlőben. Ha például jelszómódosításra van szükség a magas kockázatú külső vendégfelhasználók számára, a rendszer letiltja őket, mert az erőforráskönyvtárban nem állíthatók vissza jelszavak.

Feltételes hozzáférésű ügyfélalkalmazások feltétele

Az ügyfélalkalmazások feltételei ugyanúgy viselkednek a B2B-vendégfelhasználók esetében, mint bármely más típusú felhasználó esetében. Megakadályozhatja például, hogy a vendégfelhasználók örökölt hitelesítési protokollokat használjanak.

Feltételes hozzáférési munkamenet-vezérlők

A munkamenet-vezérlők ugyanúgy viselkednek a B2B-vendégfelhasználók esetében, mint bármely más típusú felhasználó esetében.

Microsoft Entra ID-védelem és felhasználói kockázati szabályzatok

Microsoft Entra ID-védelem észleli a Microsoft Entra-felhasználók hitelesítő adatait, és megjelöli azokat a felhasználói fiókokat, amelyek "veszélyben" lehetnek. Erőforrás-bérlőként felhasználói kockázati szabályzatokat alkalmazhat külső felhasználókra a kockázatos bejelentkezések blokkolásához. Külső felhasználó esetén a rendszer a felhasználói kockázatot a saját címtárában értékeli ki. A felhasználók valós idejű bejelentkezési kockázatának kiértékelése az erőforráskönyvtárban történik, amikor megpróbálják elérni az erőforrást. Mivel azonban egy külső felhasználó identitása létezik a saját címtárában, a következők a korlátozások:

  • Ha egy külső felhasználó aktiválja az ID Protection felhasználói kockázati szabályzatát a jelszó-visszaállítás kényszerítéséhez, a rendszer letiltja őket, mert nem tudják alaphelyzetbe állítani a jelszavukat az erőforrás-szervezetben.
  • Az erőforrás-szervezet kockázatos felhasználói jelentése nem tükrözi a külső felhasználókat, mert a kockázatfelmérés a külső felhasználó kezdőlapján történik.
  • Az erőforrás-szervezet rendszergazdái nem tudnak kizárni vagy szervizelni egy kockázatos külső felhasználót, mert nem férnek hozzá a B2B-felhasználó kezdőlapjához.

Megakadályozhatja, hogy a kockázatalapú szabályzatok hatással vannak a külső felhasználókra, ha létrehoz egy csoportot a Microsoft Entra-azonosítóban, amely a szervezet összes külső felhasználóját tartalmazza. Ezután vegye fel ezt a csoportot a felhasználói kockázat és a bejelentkezési kockázatalapú feltételes hozzáférési szabályzatok kizárásaként.

További információ: Microsoft Entra ID-védelem és B2B-felhasználók.

Következő lépések

További információért tekintse át az alábbi cikkeket: