Megosztás a következőn keresztül:

Külső többtényezős hitelesítési módszer kezelése a Microsoft Entra-azonosítóban

A külső többtényezős hitelesítés (MFA), korábbi nevén külső hitelesítési módszerek lehetővé teszik, hogy a felhasználók egy külső szolgáltatót válasszanak, amely megfelel az MFA követelményeinek, amikor munkahelyi vagy iskolai fiókkal jelentkeznek be. A Microsoft Entra ID továbbra is teljes körű szabályzatértékelési és hozzáférési döntéseket kezel identitáskezelési síkként.

A külső MFA konfigurálásához szükséges metaadatok

A külső MFA konfigurálásához a következő információkra van szüksége a külső hitelesítésszolgáltatótól:

  • Az alkalmazásazonosító általában a szolgáltatótól származó több-bérlős alkalmazás, amelyet az integráció részeként használnak. Ehhez az alkalmazáshoz rendszergazdai hozzájárulást kell adnia a szervezeténél.

  • Az ügyfél-azonosító a szolgáltatótól származó azonosító, amelyet a hitelesítési integráció részeként használnak a hitelesítést kérő Microsoft Entra-azonosító azonosítására.

  • A felderítési URL-cím a külső hitelesítésszolgáltató OpenID Connect (OIDC) felderítési végpontja.

    További információ az alkalmazásregisztráció beállításáról: Új külső hitelesítésszolgáltató konfigurálása a Microsoft Entra-azonosítóval.

    Fontos

    Győződjön meg arról, hogy a kulcsazonosító (Key ID) tulajdonság base64 kódolású az id_token JSON Web Token (JWT) fejlécében és a szolgáltató jwks_uri-jából lekért JSON Web Key Setben (JWKS). Ez a kódolási igazítás elengedhetetlen a jogkivonat-aláírások zökkenőmentes érvényesítéséhez a hitelesítési folyamatok során. A nem megfelelő megoldás problémákat okozhat a kulcsegyeztetéssel vagy az aláírás-ellenőrzéssel kapcsolatban.

Külső MFA kezelése a Microsoft Entra Felügyeleti központban

A külső MFA-k kezelése a Microsoft Entra ID Authentication módszerek szabályzatával történik, ugyanúgy kezelhető, mint a beépített módszerekkel.

Külső MFA konfigurálása a Felügyeleti központban

Mielőtt külső MFA-t konfigurál a felügyeleti központban, győződjön meg arról, hogy rendelkezik a külső MFA konfigurálásához megadott metaadatokkal.

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.

  2. Tallózással keresse meg az Entra ID>hitelesítési metódusokat>, és adja hozzá a külső MFA-t.

    Képernyőkép egy külső MFA hozzáadásáról a Microsoft Entra felügyeleti központban.

    Adjon hozzá metódustulajdonságokat a szolgáltató konfigurációs adatai alapján. Példa:

    • Név: Adatum
    • Ügyfélazonosító: 00001111-aaaa-2222-bbbb-3333cccc4444
    • Felderítési végpont: https://adatum.com/.well-known/openid-configuration
    • Alkalmazásazonosító: 11112222-bbbb-3333-cccc-4444dddddd5555

    Fontos

    A felhasználó a megjelenítendő nevet látja a metódusválasztóban. A metódus létrehozása után nem módosíthatja a nevet. A megjelenítendő névnek egyedinek kell lennie.

    Képernyőkép a külső MFA-tulajdonságok hozzáadásáról.

    Legalább a kiemelt szerepkör-rendszergazdai szerepkörre van szüksége ahhoz, hogy rendszergazdai hozzájárulást adjon a szolgáltató alkalmazásához. Ha nem rendelkezik a hozzájárulás megadásához szükséges szerepkörével, akkor is mentheti a hitelesítési módszert, de csak a hozzájárulás megadásáig engedélyezheti.

    Miután megadta az értékeket az Ön szolgáltatójától, nyomja le a gombot, hogy rendszergazdai hozzájárulást kérjen az alkalmazás részére, hogy az olvasni tudja a felhasználótól a hitelesítéshez szükséges adatokat megfelelően. A rendszer arra kéri, hogy jelentkezzen be rendszergazdai engedélyekkel rendelkező fiókkal, és adja meg a szolgáltató alkalmazásának a szükséges engedélyeket.

    A bejelentkezés után válassza az Elfogadás lehetőséget a rendszergazdai hozzájárulás megadásához:

    Képernyőkép a rendszergazdai hozzájárulás megadásáról.

    A hozzájárulás megadása előtt megtekintheti a szolgáltatói alkalmazás által kért engedélyeket. Miután megadta a rendszergazdai hozzájárulást, és a módosítás replikálódik, a lap frissül, hogy megjelenjen a rendszergazdai hozzájárulás megadása.

    Képernyőkép a hitelesítési módszerek szabályzatáról a hozzájárulás megadása után.

Ha az alkalmazás rendelkezik engedélyekkel, a mentés előtt engedélyezheti a metódust is. Ellenkező esetben a metódust letiltott állapotban kell mentenie, és engedélyeznie kell az alkalmazás hozzájárulásának megadása után.

Ha a metódus engedélyezve van, a hatókörben lévő összes felhasználó kiválaszthatja az MFA-kérések metódusát. Ha a szolgáltatótól származó alkalmazás nem rendelkezik jóváhagyással, akkor a metódussal való bejelentkezés meghiúsul.

Ha az alkalmazást törölték, vagy már nem rendelkezik engedéllyel, a felhasználók hibaüzenetet látnak, és a bejelentkezés meghiúsul. A metódus nem használható.

Külső MFA kezelése a Felügyeleti központban

Ha a külső MFA-t a Microsoft Entra felügyeleti központban szeretné kezelni, nyissa meg a Hitelesítési módszerek házirendet. Válassza ki a metódus nevét a konfigurációs beállítások megnyitásához. Kiválaszthatja, hogy mely felhasználók legyenek belefoglalva és kizárva ebből a módszerből.

Képernyőkép a külső MFA adott felhasználókra való használatának hatóköréről.

Külső MFA törlése a Felügyeleti központban

Ha már nem szeretné, hogy a felhasználók használhassák a külső MFA-t, a következő lehetőségek közül választhat:

  • Állítsa a Engedélyezés értékét Kikapcsolva a metóduskonfiguráció mentéséhez.
  • Válassza a Törlés lehetőséget a metódus eltávolításához

Külső MFA törlésének képernyőképe.

Külső MFA kezelése a Microsoft Graph használatával

Ahhoz, hogy a Hitelesítési módszerek házirendet a Microsoft Graph használatával kezelje, szüksége van az engedélyre Policy.ReadWrite.AuthenticationMethod . További információért lásd: Update authenticationMethodsPolicy.

Felhasználó felület

A külső MFA-hoz engedélyezett felhasználók használhatják, amikor bejelentkeznek, és többtényezős hitelesítésre van szükség.

Ha a felhasználó más módon is bejelentkezhet, és a rendszer által előnyben részesített MFA engedélyezve van, ezek a többi metódus alapértelmezés szerint jelennek meg. A felhasználó dönthet úgy, hogy másik módszert használ, majd külső MFA-t választ. Ha például a felhasználónál engedélyezve van az Authenticator más módszerként, a rendszer számegyeztetést kér.

Képernyőkép a külső MFA kiválasztásáról, ha engedélyezve van a rendszer által előnyben részesített MFA.

Ha a felhasználónak nincs más engedélyezett metódusa, egyszerűen választhatja a külső MFA-t. A rendszer átirányítja őket a külső hitelesítésszolgáltatóhoz a hitelesítés befejezéséhez.

Képernyőkép a külső MFA-val való bejelentkezésről.

Hitelesítési módszer regisztrálása külső MFA-hoz

A külső MFA-hoz engedélyezett csoportok tagjai külső MFA-t használhatnak az MFA teljesítéséhez. Ezek a felhasználók nem szerepelnek a hitelesítési módszer regisztrációjáról szóló jelentésekben.

Hogyan regisztrálják a felhasználók a külső MFA-t a biztonsági adatokban?

A felhasználók az alábbi lépéseket követve regisztrálhatnak külső MFA-t a biztonsági adatokban:

  1. Jelentkezzen be a biztonsági adatokba.
  2. Válassza + Bejelentkezési módszer hozzáadása.
  3. Amikor a rendszer arra kéri, hogy válasszon ki egy bejelentkezési módszert az elérhető lehetőségek listájából, válassza a Külső hitelesítés metódusok lehetőséget.
  4. Válassza a Tovább gombot a megerősítési képernyőn.
  5. Végezze el a második tényezővel kapcsolatos kihívást a külső szolgáltatóval. Ha sikeres, a felhasználók megtekinthetik a külső MFA-t a bejelentkezési metódusaikban.

Hogyan regisztrálják a felhasználók a külső MFA-t a regisztrációs varázslóval?

Amikor egy felhasználó bejelentkezik, a regisztrációs varázsló segít regisztrálni a külső MFA-metódusokat, amelyek használatára engedélyezve van. Ha más hitelesítési módszerekhez is engedélyezve vannak, előfordulhat, hogy a folytatáshoz másik módszert szeretnék beállítani, válasszák ki a >. A külső MFA-szolgáltatójukkal kell hitelesíteniük magukat, hogy regisztrálhassák a külső MFA-t a Microsoft Entra-azonosítóban.

Ha a hitelesítés sikeres, egy üzenet megerősíti, hogy a regisztráció befejeződött, és a külső MFA regisztrálva van. A rendszer átirányítja a felhasználót arra az erőforrásra, amelyhez hozzá szeretne férni. 

Ha a hitelesítés sikertelen, a rendszer visszairányítja a felhasználót a regisztrációs varázslóba, és a regisztrációs oldalon hibaüzenet jelenik meg. A felhasználó újra próbálkozhat, vagy másik módot is választhat a bejelentkezésre, ha más metódusokhoz engedélyezve van. 

Hogyan regisztrálnak a rendszergazdák külső MFA-t egy felhasználónak

A rendszergazdák regisztrálhatnak egy felhasználót egy külső MFA-hoz. Ha egy felhasználót regisztrálnak egy külső MFA-hoz, a felhasználónak nem kell regisztrálnia a külső MFA-t a biztonsági adatokban vagy a regisztrációs varázsló használatával.

A rendszergazdák a felhasználó nevében is törölhetik a regisztrációt. Törölhetik a regisztrációt, hogy segítsenek a felhasználóknak helyreállítási forgatókönyvekben, mert a következő jelük új regisztrációt aktivál. Törölhetik a külső MFA-regisztrációt a Microsoft Entra felügyeleti központban vagy a Microsoft Graphban. A rendszergazdák létrehozhatnak egy PowerShell-szkriptet, amely egyszerre több felhasználó regisztrációs állapotát frissíti.

A Microsoft Entra Adminisztrációs központban:

  1. Válassza a Felhasználók>Minden felhasználó lehetőséget.
  2. Válassza ki azt a felhasználót, akinek regisztrálnia kell a külső MFA-hoz.
  3. A Felhasználó menüben válassza a Hitelesítési módszerek lehetőséget, majd a + Hitelesítési módszer hozzáadása lehetőséget.
  4. Válassza a külső hitelesítési módszert.
  5. Válasszon ki egy vagy több külső MFA-metódust, és válassza a Mentés lehetőséget.
  6. Megjelenik egy sikeres üzenet, és a korábban kiválasztott metódusok megjelennek a használható hitelesítési módszerek között.

Ajánlott eljárások a külső MFA és a feltételes hozzáférés használatához

A külső MFA és a feltételes hozzáférés használatakor figyelembe kell venni néhány fontos tényezőt.

Külső MFA- és feltételes hozzáférésű egyéni vezérlők használata párhuzamosan

A külső MFA és az egyéni vezérlők párhuzamosan is működhetnek. A Microsoft két feltételes hozzáférési szabályzat konfigurálását javasolja a rendszergazdáknak:

  • Egy szabályzat a testreszabott vezérlő kikényszerítéséhez
  • Egy másik szabályzat, amelyhez MFA-támogatás szükséges

Adjon meg egy tesztcsoportot az egyes szabályzatokhoz, de mindkettőt nem. Ha egy felhasználó mindkét szabályzatban szerepel, vagy bármely olyan szabályzatban, amely mindkét feltétellel rendelkezik, a felhasználónak meg kell felelnie az MFA-nak a bejelentkezés során. Emellett meg kell felelniük az egyéni vezérlőnek, ami miatt másodszor is átirányítják őket a külső szolgáltatóhoz.

Külső MFA használata bejelentkezési gyakorisági szabályzatokkal a feltételes hozzáférésben

Kutatásaink megerősítették az MFA-kérések felhasználói szándékkal való igazításának fontosságát. Külső MFA esetén a rendszer átirányítja a felhasználókat az MFA-szolgáltatójukhoz a feltételes hozzáférési bejelentkezési gyakorisági szabályzatokkal konfigurált MFA frissességi követelmények alapján. A túlzottan gyakori újrahitelesítés nem ajánlott, mivel negatív hatással lehet a felhasználói élményre, csökkentheti a termelékenységet, és növelheti az adathalászat kockázatát azáltal, hogy konfigurálja a felhasználókat, hogy ellenőrzés nélkül adjanak meg hitelesítő adatokat. Javasoljuk, hogy kövesse az újrahitelesítési útmutatót a bejelentkezési gyakorisági szabályzatok konfigurálásakor.

GYIK

Kérdés: Miért nem működik a külső MFA a Windows 10-ben az eszköz beállítása során?

Válasz: Ha windows 10-et futtató eszközt állít be egy csak külső MFA-identitással, előfordulhat, hogy a házon kívül (OOB) beállítási felület meghiúsul, és megakadályozza a bejelentkezés folytatását.

Ez a viselkedés azért fordul elő, mert a Windows 10 natív módon nem támogatja a külső MFA-t az OOBE (Házon kívül élmény) során.
A Microsoft már nem támogatja a Windows 10-et (https://www.microsoft.com/windows/end-of-support?msockid=26a3312b6b246f501ec624846a4f6e11), és nem tervezi a külső MFA-támogatás kiterjesztését .

Ha külső MFA-t szeretne használni a bejelentkezéshez, frissítsen a Windows 11-re.

Következő lépések

A hitelesítési módszerek kezeléséről további információt a Microsoft Entra ID hitelesítési módszereinek kezelése című témakörben talál.

Külső MFA-szolgáltatói referencia: Microsoft Entra multifactor authentication external method provider reference.

  • Last updated on