Condividi tramite

Esercitazione: Applicare l'autenticazione a più fattori per gli utenti guest B2B

  • Articolo

Si applica a: Cerchio verde con segno di spunta bianco. Tenant delle risorse Cerchio bianco con il simbolo X grigio. Tenant esterni (altre informazioni)

Quando si collabora con utenti guest B2B esterni, è consigliabile proteggere le app con criteri di autenticazione a più fattori. Per gli utenti esterni non sono sufficienti un nome utente e una password per accedere alle risorse. In Microsoft Entra ID è possibile usare a tale scopo criteri di accesso condizionale che richiedono l'autenticazione a più fattori per l'accesso. I criteri MFA possono essere applicati a livello di tenant, di app o di singolo utente, così come vengono abilitati per i membri dell'organizzazione. Il tenant delle risorse è sempre responsabile dell'autenticazione a più fattori di Microsoft Entra per gli utenti, anche se l'organizzazione dell'utente guest ha abilitato l'autenticazione a più fattori.

Esempio:

Diagramma che mostra un utente guest che accede alle app di un'azienda.

  1. Un amministratore o un dipendente della Società A invita un utente guest a usare un'applicazione cloud o locale configurata per richiedere l'autenticazione MFA per l'accesso.
  2. L'utente guest accede con la propria identità aziendale, dell'istituto di istruzione o di social networking.
  3. All'utente viene richiesto di completare una richiesta di autenticazione MFA.
  4. L'utente configura l'autenticazione MFA con la Società A e ne sceglie l'opzione MFA. All'utente viene consentito l'accesso all'applicazione.

Nota

L'autenticazione a più fattori di Microsoft Entra viene eseguita nella tenancy della risorsa per garantire la prevedibilità. Quando l'utente guest si connette, visualizza la pagina di accesso del tenant della risorsa sullo sfondo e la pagina di accesso del tenant principale e il logo aziendale in primo piano.

Questa esercitazione illustra come:

  • Testare l'esperienza di accesso prima della configurazione di MFA.
  • Creare criteri di accesso condizionale che richiedano MFA per l'accesso a un'app cloud nell'ambiente. In questa esercitazione si userà l'app API Gestione dei servizi di Windows Azure per illustrare il processo.
  • Usare lo strumento What If per simulare l'accesso MFA.
  • Testare i criteri di accesso condizionale.
  • Eliminare l'utente e i criteri di test.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Prerequisiti

Per completare lo scenario in questa esercitazione, sono necessari gli elementi seguenti:

  • Accesso all'edizione P1 o P2 di Microsoft Entra ID, che include le funzionalità dei criteri di accesso condizionale. Per applicare l'autenticazione a più fattori, è necessario creare criteri di accesso condizionale di Microsoft Entra. I criteri di autenticazione a più fattori vengono sempre applicati nell'organizzazione, indipendentemente dal fatto che il partner abbia abilitato tale funzionalità.
  • Un account di posta elettronica esterno valido che è possibile aggiungere alla directory del tenant come utente guest e usarlo per accedere. Se non si sa come creare un account guest, vedere Aggiungere un utente guest B2B nell'interfaccia di amministrazione di Microsoft Entra.

Creare un utente guest di test in Microsoft Entra ID

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Selezionare Nuovo utente e quindi Invita utente esterno.

    Screenshot che mostra dove selezionare l'opzione Nuovo utente guest.

  4. In Identità nella schedaDati principali, immettere l'indirizzo di posta elettronica dell'utente esterno. Facoltativamente, includere un nome visualizzato e un messaggio di benvenuto.

    Screenshot che mostra dove immettere l'indirizzo di posta elettronica del guest.

  5. Facoltativamente, è possibile aggiungere altri dettagli dell'utente nelle schede Proprietà e Attività.

  6. Selezionare Rivedi e invita per inviare automaticamente l'invito all'utente guest. Viene visualizzato il messaggio L'utente è stato invitato.

  7. Dopo aver inviato l'invito, l'account utente viene automaticamente aggiunto alla directory come guest.

Testare l'esperienza di accesso prima della configurazione di MFA

  1. Usare il nome utente e la password di test per accedere all'interfaccia di amministrazione di Microsoft Entra.
  2. Dovrebbe essere possibile accedere all'interfaccia di amministrazione di Microsoft Entra usando solo le credenziali di accesso. Non sono necessarie altre autenticazioni.
  3. Disconnettersi.

Creare criteri di accesso condizionale che richiedano MFA

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

  2. Passare a Protezione>Accesso condizionale>Criteri.

  3. Selezionare Nuovi criteri.

  4. Assegnare un nome al criterio, ad esempio Richiedi MFA per l'accesso al portale B2B. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.

    1. In Includi scegliere Seleziona utenti e gruppi e quindi selezionare Utenti guest o esterni. È possibile assegnare il criterio a diversi tipi di utenti esterni, ruoli predefiniti della directory o utenti e gruppi.

    Screenshot che mostra la selezione di tutti gli utenti guest.

  6. In Risorse>di destinazione (in precedenza app cloud)>Includi>risorse selezionare le risorse, scegliere API gestione dei servizi di Windows Azure e selezionare Seleziona.

    Screenshot che mostra la pagina App cloud e l'opzione Seleziona.

  7. In Controlli di accesso>Concedi, selezionare Concedi accesso, Richiedi autenticazione a più fattori e selezionare Seleziona.

    Screenshot che mostra l'opzione per richiedere l'autenticazione a più fattori.

  8. In Abilita criterio selezionare .

  9. Seleziona Crea.

Usare l'opzione What If per simulare l'accesso

  1. Nella pagina Accesso condizionale | Criteri selezionare What If.

    Screenshot che evidenzia dove selezionare l'opzione What if nella pagina Accesso condizionale - Criteri.

  2. Selezionare il collegamento in Utente.

  3. Nella casella di ricerca, digitare il nome dell'utente guest di test. Scegliere l'utente nei risultati della ricerca e quindi scegliere Seleziona.

    Screenshot che mostra un utente guest selezionato.

  4. Selezionare il collegamento in App cloud, azioni o contesto di autenticazione. Scegliere Seleziona risorse e quindi scegliere il collegamento in Seleziona.

    Screenshot che mostra l'app selezionata.

  5. Nell'elenco delle applicazioni della pagina App cloud, scegliere API Gestione dei servizi di Windows Azure e quindi scegliere Seleziona.

  6. Scegliere What If e verificare che il nuovo criterio sia visualizzato in Risultati valutazione nella scheda Criteri applicabili.

    Screenshot che mostra i risultati della valutazione What If.

Testare i criteri di accesso condizionale

  1. Usare il nome utente e la password di test per accedere all'interfaccia di amministrazione di Microsoft Entra.

  2. Verrà visualizzata una richiesta per gli altri metodi di autenticazione. Potrebbe essere richiesto del tempo prima che il criterio diventi effettivo.

    Screenshot che mostra il messaggio per richiedere altre informazioni.

    Nota

    È anche possibile configurare le impostazioni di accesso tra tenant per considerare attendibile l'autenticazione a più fattori dal tenant principale di Microsoft Entra. Ciò consente agli utenti esterni di Microsoft Entra di usare l'autenticazione a più fattori registrata nel proprio tenant anziché registrarsi nel tenant della risorsa.

  3. Disconnettersi.

Pulire le risorse

Quando non sono più necessari, eliminare l'utente e i criteri di accesso condizionale di test.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Selezionare l'utente di test e quindi selezionare Elimina utente.

  4. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

  5. Passare a Protezione>Accesso condizionale>Criteri.

  6. Nell'elenco Nome criteri selezionare il menu di scelta rapida (...) per i criteri di test e quindi scegliere Elimina. Seleziona per confermare.

Passaggio successivo

In questa esercitazione sono stati creati criteri di accesso condizionale che richiedono agli utenti guest di usare l'autenticazione a più fattori per l'accesso a una delle app cloud. Per altre informazioni sull'aggiunta di utenti guest per la collaborazione, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra nell'interfaccia di amministrazione di Microsoft Entra.