Külső hitelesítési módszer kezelése a Microsoft Entra-azonosítóban (előzetes verzió)

Cikk
09/28/2024

A külső hitelesítési módszer (EAM) lehetővé teszi, hogy a felhasználók egy külső szolgáltatót válasszanak, amely megfelel a többtényezős hitelesítés (MFA) követelményeinek, amikor bejelentkeznek a Microsoft Entra-azonosítóba. Az EAM megfelelhet a feltételes hozzáférési szabályzatok MFA-követelményeinek, Microsoft Entra ID-védelem kockázatalapú feltételes hozzáférési szabályzatoknak, a Privileged Identity Management (PIM) aktiválásának, valamint ha az alkalmazásnak MFA-ra van szüksége.

Az EAM-k abban különböznek az összevonástól, hogy a felhasználói identitás a Microsoft Entra ID-ban származik és kezelhető. Összevonás esetén az identitás kezelése a külső identitásszolgáltatóban történik. Az EAM-ekhez legalább Egy Microsoft Entra ID P1 licenc szükséges.

A külső metódushitelesítés működésének ábrája.

Az EAM konfigurálásához szükséges metaadatok

EAM létrehozásához a következő információkra van szüksége a külső hitelesítésszolgáltatótól:

Az alkalmazásazonosító általában a szolgáltatótól származó több-bérlős alkalmazás, amelyet az integráció részeként használnak. Ehhez az alkalmazáshoz rendszergazdai hozzájárulást kell adnia a bérlőjében.
Az ügyfél-azonosító a szolgáltatótól származó azonosító, amelyet a hitelesítési integráció részeként használnak a hitelesítést kérő Microsoft Entra-azonosító azonosítására.
A felderítési URL-cím a külső hitelesítésszolgáltató OpenID Connect (OIDC) felderítési végpontja.

Jegyzet

Lásd: Új külső hitelesítésszolgáltató konfigurálása a Microsoft Entra-azonosítóval az alkalmazásregisztráció beállításához.

EAM kezelése a Microsoft Entra Felügyeleti központban

Az EAM-eket a Microsoft Entra ID Authentication metódusszabályzata kezeli, csakúgy, mint a beépített metódusok.

EAM létrehozása a Felügyeleti központban

Mielőtt létrehoz egy EAM-et a felügyeleti központban, győződjön meg arról, hogy rendelkezik a metaadatokkal az EAM konfigurálásához.

Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább emelt szintű szerepkör-rendszergazdaként.
Keresse meg a védelmi>hitelesítési módszereket>: Külső metódus hozzáadása (előzetes verzió).

Adjon hozzá metódustulajdonságokat a szolgáltató konfigurációs adatai alapján. Például:
- Név: Adatum
- Ügyfélazonosító: 00001111-aaaa-2222-bbbb-3333cccc4444
- Felderítési végpont: https://adatum.com/.well-known/openid-configuration
- Alkalmazásazonosító: 11112222-bbbb-3333-cccc-4444dddddd5555
Fontos

A megjelenítendő név az a név, amelyet a felhasználó a metódusválasztóban jelenít meg. A metódus létrehozása után nem módosítható. A megjelenített neveknek egyedinek kell lenniük.

Legalább a kiemelt szerepkör-rendszergazdai szerepkörre van szüksége ahhoz, hogy rendszergazdai hozzájárulást adjon a szolgáltató alkalmazásához. Ha nem rendelkezik a hozzájárulás megadásához szükséges szerepkörével, akkor is mentheti a hitelesítési módszert, de csak a hozzájárulás megadásáig engedélyezheti.

Miután megadta az értékeket a szolgáltatótól, nyomja le a gombot, hogy rendszergazdai hozzájárulást kérjen az alkalmazáshoz, hogy a felhasználó megfelelően tudja olvasni a hitelesítéshez szükséges adatokat. A rendszer arra kéri, hogy jelentkezzen be rendszergazdai engedélyekkel rendelkező fiókkal, és adja meg a szolgáltató alkalmazásának a szükséges engedélyeket.

Bejelentkezés után kattintson az Elfogadás gombra a rendszergazdai hozzájárulás megadásához:

A hozzájárulás megadása előtt megtekintheti a szolgáltatói alkalmazás által kért engedélyeket. Miután megadta a rendszergazdai hozzájárulást, és a módosítás replikálódik, a lap frissül, hogy megjelenjen a rendszergazdai hozzájárulás megadása.

Ha az alkalmazás rendelkezik engedélyekkel, a mentés előtt engedélyezheti a metódust is. Ellenkező esetben a metódust letiltott állapotban kell mentenie, és engedélyeznie kell az alkalmazás hozzájárulásának megadása után.

Ha a metódus engedélyezve van, a hatókörben lévő összes felhasználó kiválaszthatja az MFA-kérések metódusát. Ha a szolgáltatótól származó alkalmazás nem rendelkezik jóváhagyással, akkor a metódussal való bejelentkezés meghiúsul.

Ha az alkalmazást törölték, vagy már nem rendelkezik engedéllyel, a felhasználók hibaüzenetet látnak, és a bejelentkezés meghiúsul. A metódus nem használható.

EAM konfigurálása a Felügyeleti központban

Ha a Microsoft Entra felügyeleti központban szeretné kezelni az EAM-eket, nyissa meg a hitelesítési módszerek házirendet. Válassza ki a metódus nevét a konfigurációs beállítások megnyitásához. Kiválaszthatja, hogy mely felhasználók legyenek belefoglalva és kizárva ebből a módszerből.

Képernyőkép az EAM adott felhasználókra vonatkozó használatának hatóköréről.

EAM törlése a Felügyeleti központban

Ha már nem szeretné, hogy a felhasználók használhassák az EAM-t, a következőkre van lehetősége:

A metóduskonfiguráció mentéséhez állítsa be az Engedélyezés kikapcsolva beállítást
Kattintson a Törlés gombra a metódus eltávolításához

Az EAM törlésének képernyőképe.

EAM kezelése a Microsoft Graph használatával

Ahhoz, hogy a Hitelesítési módszerek házirendet a Microsoft Graph használatával kezelje, szüksége van az engedélyre Policy.ReadWrite.AuthenticationMethod . További információ: Update authenticationMethodsPolicy.

Felhasználói élmény

Az EAM-hez engedélyezett felhasználók akkor használhatják, amikor bejelentkeznek, és többtényezős hitelesítésre van szükség.

Jegyzet

Aktívan dolgozunk a rendszer által előnyben részesített MFA támogatásán az EAM-ekkel.

Ha a felhasználó más módon is bejelentkezhet, és a rendszer által előnyben részesített MFA engedélyezve van, ezek a többi metódus alapértelmezés szerint jelennek meg. A felhasználó dönthet úgy, hogy egy másik módszert használ, majd kiválasztja az EAM-et. Ha például a felhasználónál engedélyezve van az Authenticator más módszerként, a rendszer számegyeztetést kér.

Képernyőkép az EAM kiválasztásáról, ha a rendszer által előnyben részesített MFA engedélyezve van.

Ha a felhasználónak nincs más engedélyezett metódusa, egyszerűen kiválaszthatja az EAM-t. A rendszer átirányítja őket a külső hitelesítésszolgáltatóhoz a hitelesítés befejezéséhez.

Képernyőkép az EAM-sel való bejelentkezésről.

Hitelesítési módszer regisztrálása EAM-ekhez

Az előzetes verzióban az EAM-csoport összes felhasználója MFA-kompatibilisnek minősül, és használhatja a külső hitelesítési módszert az MFA teljesítéséhez. Azok a felhasználók, amelyek MFA-kompatibilisek, mert belefoglalási célként szerepelnek az EAM-ben, nem szerepelnek a hitelesítési módszer regisztrációjára vonatkozó jelentésekben.

Jegyzet

Aktívan dolgozunk azon, hogy regisztrációs képességet adjunk az EAM-ekhez. A regisztráció hozzáadása után a korábban EAM-t használó felhasználóknak regisztrálniuk kell az EAM-t az Entra-azonosítóval, mielőtt a rendszer arra kéri őket, hogy használják az MFA-t.

Egyéni EAM- és feltételes hozzáférés-vezérlők használata párhuzamosan

Az EAM-ek és az egyéni vezérlők párhuzamosan is működhetnek. A Microsoft két feltételes hozzáférési szabályzat konfigurálását javasolja a rendszergazdáknak:

Egy szabályzat az egyéni vezérlő kikényszerítéséhez
Egy másik szabályzat az MFA-támogatással

Adjon meg egy tesztcsoportot az egyes szabályzatokhoz, de mindkettőt nem. Ha egy felhasználó mindkét szabályzatban szerepel, vagy bármely olyan szabályzatban, amely mindkét feltétellel rendelkezik, a felhasználónak meg kell felelnie az MFA-nak a bejelentkezés során. Emellett meg kell felelniük az egyéni vezérlőnek, ami miatt másodszor is átirányítják őket a külső szolgáltatóhoz.

Következő lépések

A hitelesítési módszerek kezeléséről további információt a Microsoft Entra ID hitelesítési módszereinek kezelése című témakörben talál.

Az EAM-szolgáltatóra vonatkozó referencia: Microsoft Entra multifactor authentication external method provider reference (Előzetes verzió).

Megosztás a következőn keresztül: