Share via

Esercitazione: Applicare l'autenticazione a più fattori per gli utenti guest B2B

  • Articolo

Si applica a: Cerchio verde con un simbolo di segno di spunta bianco. Tenant esterni della forza lavoro Cerchio bianco con un simbolo X grigio. (altre informazioni)

Quando si collabora con utenti guest B2B esterni, è consigliabile proteggere le app con criteri di autenticazione a più fattori. Gli utenti esterni devono quindi avere più di un nome utente e una password per accedere alle risorse. In Microsoft Entra ID è possibile raggiungere questo obiettivo con un criterio di accesso condizionale che richiede l'autenticazione a più fattori per l'accesso. I criteri di autenticazione a più fattori possono essere applicati a livello di tenant, app o utente guest singolo, allo stesso modo in cui sono abilitati per i membri della propria organizzazione. Il tenant delle risorse è sempre responsabile dell'autenticazione a più fattori di Microsoft Entra per gli utenti, anche se l'organizzazione dell'utente guest dispone di funzionalità di autenticazione a più fattori.

Esempio:

Diagramma che mostra un utente guest che accede alle app di una società.

  1. Un amministratore o un dipendente della Società A invita un utente guest a usare un'applicazione cloud o locale configurata per richiedere l'autenticazione MFA per l'accesso.
  2. L'utente guest accede con la propria identità aziendale, dell'istituto di istruzione o di social networking.
  3. All'utente viene richiesto di completare una richiesta di autenticazione MFA.
  4. L'utente configura l'autenticazione MFA con la Società A e ne sceglie l'opzione MFA. All'utente viene consentito l'accesso all'applicazione.

Nota

L'autenticazione a più fattori Di Microsoft Entra viene eseguita nella tenancy delle risorse per garantire la prevedibilità. Quando l'utente guest accede, viene visualizzata la pagina di accesso del tenant della risorsa in background e la pagina di accesso del tenant principale e il logo aziendale in primo piano.

Questa esercitazione illustra come:

  • Testare l'esperienza di accesso prima della configurazione di MFA.
  • Creare criteri di accesso condizionale che richiedano MFA per l'accesso a un'app cloud nell'ambiente. In questa esercitazione si userà l'app per le API di Gestione dei servizi di Windows Azure per illustrare il processo.
  • Usare lo strumento What If per simulare l'accesso MFA.
  • Testare i criteri di accesso condizionale.
  • Eliminare l'utente e i criteri di test.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Prerequisiti

Per completare lo scenario in questa esercitazione, sono necessari gli elementi seguenti:

  • Accesso a Microsoft Entra ID P1 o P2 Edition, che include funzionalità dei criteri di accesso condizionale. Per applicare l'autenticazione a più fattori, è necessario creare un criterio di accesso condizionale di Microsoft Entra. I criteri di autenticazione a più fattori vengono sempre applicati all'organizzazione, indipendentemente dal fatto che il partner disponga di funzionalità MFA.
  • Un account di posta elettronica esterno valido che è possibile aggiungere alla directory del tenant come utente guest e usarlo per accedere. Se non si sa come creare un account guest, vedere Aggiungere un utente guest B2B nell'interfaccia di amministrazione di Microsoft Entra.

Creare un utente guest di test in Microsoft Entra ID

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Selezionare Nuovo utente e quindi Invita utente esterno.

    Screenshot che mostra dove selezionare la nuova opzione utente guest.

  4. In Identità nella scheda Informazioni di base immettere l'indirizzo di posta elettronica dell'utente esterno. Facoltativamente, includere un nome visualizzato e un messaggio di benvenuto.

    Screenshot che mostra dove immettere il messaggio di posta elettronica guest.

  5. Facoltativamente, è possibile aggiungere altri dettagli all'utente nelle schede Proprietà e assegnazioni .

  6. Selezionare Rivedi e invita per inviare automaticamente l'invito all'utente guest. Viene visualizzato il messaggio L'utente è stato invitato.

  7. Dopo aver inviato l'invito, l'account utente viene automaticamente aggiunto alla directory come guest.

Testare l'esperienza di accesso prima della configurazione di MFA

  1. Usare il nome utente e la password di test per accedere all'interfaccia di amministrazione di Microsoft Entra.
  2. Dovrebbe essere possibile accedere all'interfaccia di amministrazione di Microsoft Entra usando solo le credenziali di accesso. Non sono necessarie altre autenticazioni.
  3. Disconnettersi.

Creare criteri di accesso condizionale che richiedano MFA

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

  2. Passare al Centro sicurezza di Identity>Protection.>

  3. In Protezione selezionare Accesso condizionale.

  4. Nella barra degli strumenti nella parte superiore della pagina Accesso condizionale selezionare Crea nuovi criteri.

  5. Nella pagina Nuovo digitare Richiedi MFA per l'accesso al portale B2B nella casella di testo Nome.

  6. Nella sezione Assegnazioni scegliere il collegamento in Utenti e gruppi.

  7. Nella pagina Utenti e gruppi scegliere Seleziona utenti e gruppi e quindi scegliere Utenti guest o utenti esterni. È possibile assegnare i criteri a diversi tipi di utente esterni, ruoli della directory predefiniti o utenti e gruppi.

    Screenshot che mostra la selezione di tutti gli utenti guest.

  8. Nella sezione Assegnazioni scegliere il collegamento in App o azioni cloud.

  9. Scegliere Seleziona app e quindi scegliere il collegamento in Seleziona.

    Screenshot che mostra la pagina App cloud e l'opzione Seleziona.

  10. Nella pagina Seleziona scegliere API gestione dei servizi di Windows Azure e quindi scegliere Seleziona.

  11. Nella sezione Controlli di accesso della pagina Nuovo scegliere il collegamento in Concedi.

  12. Nella pagina Concedi scegliere Concedi accesso, selezionare la casella di controllo Richiedi autenticazione a più fattori e quindi scegliere Seleziona.

    Screenshot che mostra l'opzione per richiedere l'autenticazione a più fattori.

  13. In Abilita criterio selezionare .

    Screenshot che mostra l'opzione Abilita criteri impostata su Sì.

  14. Seleziona Crea.

Usare l'opzione What If per simulare l'accesso

  1. Nell'accesso condizionale | Pagina Criteri , selezionare What If.

    Screenshot che evidenzia dove selezionare l'opzione What if nella pagina Accesso condizionale - Criteri.

  2. Selezionare il collegamento in Utente.

  3. Nella casella di ricerca digitare il nome dell'utente guest di test. Scegliere l'utente nei risultati della ricerca e quindi scegliere Seleziona.

    Screenshot che mostra un utente guest selezionato.

  4. Selezionare il collegamento in App cloud, azioni o contenuto di autenticazione. Scegliere Seleziona app e quindi scegliere il collegamento in Seleziona.

    Screenshot che mostra l'app selezionata.

  5. Nell'elenco delle applicazioni della pagina App cloud scegliere API gestione dei servizi di Windows Azure e quindi scegliere Seleziona.

  6. Scegliere What If e verificare che il nuovo criterio venga visualizzato in Risultati valutazione nella scheda Criteri che verranno applicati .

    Screenshot che mostra i risultati della valutazione What If.

Testare i criteri di accesso condizionale

  1. Usare il nome utente e la password di test per accedere all'interfaccia di amministrazione di Microsoft Entra.

  2. Verrà visualizzata una richiesta per altri metodi di autenticazione. L'applicazione del criterio può richiedere del tempo.

    Screenshot che mostra il messaggio Altre informazioni necessarie.

    Nota

    È anche possibile configurare le impostazioni di accesso tra tenant per considerare attendibile l'autenticazione a più fattori dal tenant home di Microsoft Entra. In questo modo gli utenti esterni di Microsoft Entra possono usare l'autenticazione a più fattori registrata nel proprio tenant anziché registrarsi nel tenant delle risorse.

  3. Disconnettersi.

Pulire le risorse

Quando non sono più necessari, eliminare l'utente e i criteri di accesso condizionale di test.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.
  2. Passare a Identità>Utenti>Tutti gli utenti.
  3. Selezionare l'utente di test e quindi selezionare Elimina utente.
  4. Passare al Centro sicurezza di Identity>Protection.>
  5. In Protezione selezionare Accesso condizionale.
  6. Nell'elenco Nome criteri selezionare il menu di scelta rapida (...) per i criteri di test e quindi scegliere Elimina. Seleziona per confermare.

Passaggi successivi

In questa esercitazione è stato creato un criterio di accesso condizionale che richiede agli utenti guest di usare MFA durante l'accesso a una delle app cloud. Per altre informazioni sull'aggiunta di utenti guest per la collaborazione, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra B2B nel portale di Azure.