Condividi tramite

Esercitazione: Applicare l'autenticazione a più fattori per gli utenti ospiti B2B

Si applica a: cerchio verde con un simbolo di segno di spunta bianco. Tenant della forza lavoro Cerchio bianco con un simbolo X grigio. Tenant esterni (altre informazioni)

Quando si collabora con utenti guest B2B esterni, proteggere le app con criteri di autenticazione a più fattori. Gli utenti esterni necessitano di più di un nome utente e di una password per accedere alle risorse. In Microsoft Entra ID è possibile usare a tale scopo criteri di accesso condizionale che richiedono l'autenticazione a più fattori per l'accesso. È possibile applicare criteri di autenticazione a più fattori a livello di tenant, app o utente guest singolo, proprio come per i membri della propria organizzazione. Il locatario delle risorse è responsabile dell'autenticazione a più fattori di Microsoft Entra per gli utenti, anche se l'organizzazione dell'utente ospite dispone di funzionalità di autenticazione a più fattori.

Esempio:

Diagramma che mostra un utente guest che accede alle app di una società.

  1. Un amministratore o un dipendente della Società A invita un utente guest a usare un'applicazione cloud o locale configurata per richiedere l'autenticazione MFA per l'accesso.
  2. L'utente ospite accede con la propria identità aziendale, scolastica o sociale.
  3. All'utente viene richiesto di completare una richiesta di autenticazione MFA.
  4. L'utente configura l'autenticazione MFA con la Società A e ne sceglie l'opzione MFA. All'utente viene consentito l'accesso all'applicazione.

Nota

L'autenticazione multifattore di Microsoft Entra viene eseguita nella gestione delle risorse per garantire la prevedibilità. Quando l'utente ospite accede, vede la pagina di accesso del tenant delle risorse visualizzata in background e, in primo piano, la propria pagina di accesso del tenant principale e il logo della propria azienda.

Questa esercitazione illustra come:

  • Testare l'esperienza di accesso prima di configurare MFA.
  • Creare criteri di accesso condizionale che richiedano MFA per l'accesso a un'app cloud nell'ambiente. In questa esercitazione si userà l'app Azure Resource Manager per illustrare il processo.
  • Usare lo strumento What If per simulare l'accesso MFA.
  • Testare la politica di accesso condizionale.
  • Eliminare l'utente e i criteri di test.

Se non si ha una sottoscrizione di Azure, creare un account gratuito per iniziare.

Prerequisiti

Per completare lo scenario in questa esercitazione, sono necessari gli elementi seguenti:

  • Accesso a Microsoft Entra ID P1 o P2 Edition, che include funzionalità dei criteri di accesso condizionale. Per applicare l'autenticazione a più fattori, creare un criterio di accesso condizionale di Microsoft Entra. I criteri di autenticazione a più fattori vengono sempre applicati all'organizzazione, anche se il partner non dispone di funzionalità MFA.
  • Un account di posta elettronica esterno valido che è possibile aggiungere alla directory del tenant come utente guest e usare per accedere. Se non si sa come creare un account guest, seguire la procedura descritta in Aggiungere un utente guest B2B nell'interfaccia di amministrazione di Microsoft Entra.

Creare un utente guest di test in Microsoft Entra ID

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore utente.

  2. Passare a Entra ID>Utenti.

  3. Selezionare Nuovo utente e quindi Invita utente esterno.

    Screenshot del punto in cui selezionare l'opzione per il nuovo utente ospite.

  4. In Identità nella scheda Informazioni di base immettere l'indirizzo di posta elettronica dell'utente esterno. Facoltativamente, è possibile includere un nome visualizzato e un messaggio di benvenuto.

    Screenshot della posizione in cui immettere l'email dell'ospite.

  5. Facoltativamente, è possibile aggiungere altri dettagli all'utente nelle schede Proprietà e assegnazioni .

  6. Selezionare Rivedi e invita per inviare automaticamente l'invito all'utente guest. Viene visualizzato un messaggio utente invitato correttamente .

  7. Dopo aver inviato l'invito, l'account utente viene aggiunto alla directory come guest.

Testare l'esperienza di accesso prima della configurazione di MFA

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra usando il nome utente e la password di test.
  2. Accedere all'interfaccia di amministrazione di Microsoft Entra usando solo le credenziali di accesso. Non sono necessarie altre autenticazioni.
  3. Disconnettersi dall'interfaccia di amministrazione di Microsoft Entra.

Creare criteri di accesso condizionale che richiedano MFA

  1. Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .

  2. Passare a Entra ID>Criteri di accesso condizionato>Policies.

  3. Selezionare Nuovo criterio.

  4. Assegna un nome al criterio, come ad esempio Richiedi MFA per l'accesso al portale B2B. Creare uno standard significativo per i criteri di denominazione.

  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.

    1. In Includi scegliere Seleziona utenti e gruppi e quindi selezionare Utenti guest o esterni. È possibile assegnare i criteri a diversi tipi di utente esterni, ruoli della directory predefiniti o utenti e gruppi.

    Screenshot che mostra la selezione di tutti gli utenti guest.

  6. In Risorse di destinazione>(in precedenza app cloud)>Includi>Seleziona risorse, scegliere Azure Resource Manager e quindi selezionare la risorsa.

    Screenshot che mostra la pagina App cloud e l'opzione Seleziona.

  7. Sotto Controlli di accesso>, Concedi, selezionare Concedi accesso, Richiedi autenticazione a più fattori e clicca su Seleziona.

    Screenshot che mostra l'opzione per richiedere l'autenticazione a più fattori.

  8. In Abilita criterio selezionare .

  9. Selezionare Crea.

Usare l'opzione What If per simulare l'accesso

Lo strumento 'What If' dei criteri di accesso condizionale consente di comprendere gli effetti dei criteri di accesso condizionale nell'ambiente in uso. Anziché testare manualmente i criteri con più accessi, è possibile usare questo strumento per simulare l'accesso di un utente. La simulazione prevede come questo accesso influenzerà le tue politiche e genera un report. Per altre informazioni, vedere Usare lo strumento What If per comprendere i criteri di accesso condizionale.

Testare la politica di accesso condizionale

  1. Usare il nome utente e la password di test per accedere all'interfaccia di amministrazione di Microsoft Entra.

  2. Verrà visualizzata una richiesta per gli altri metodi di autenticazione. Potrebbe essere richiesto del tempo prima che il criterio diventi effettivo.

    Screenshot del messaggio

    Nota

    È anche possibile configurare le impostazioni di accesso tra tenant per considerare attendibile l'autenticazione a più fattori dal tenant home di Microsoft Entra. Ciò consente agli utenti esterni di Microsoft Entra di usare l'autenticazione a più fattori registrata nel proprio tenant anziché registrarsi nel tenant della risorsa.

  3. Disconnettersi.

Pulire le risorse

Quando non sono più necessari, eliminare l'utente e i criteri di accesso condizionale di test.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore utente.

  2. Passare a Entra ID>Utenti.

  3. Selezionare l'utente di test e quindi selezionare Elimina utente.

  4. Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .

  5. Passare a Entra ID>Criteri di accesso condizionato>Policies.

  6. Nell'elenco Nome criteri selezionare il menu di scelta rapida (...) per i criteri di test, quindi selezionare Elimina e confermare selezionando .

Passaggi successivi

In questa esercitazione hai creato una policy di accesso condizionale che richiede agli utenti guest di usare la verifica in due passaggi per accedere a una delle applicazioni cloud. Per altre informazioni sull'aggiunta di utenti guest per la collaborazione, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra nell'interfaccia di amministrazione di Microsoft Entra.