Funzionamento dell'attendibilità dell'autenticazione dell'accesso condizionale per gli utenti esterni
I criteri metodi di autenticazione sono particolarmente utili per limitare l'accesso esterno alle app sensibili nell'organizzazione, perché è possibile applicare metodi di autenticazione specifici, ad esempio metodi resistenti al phishing, per gli utenti esterni.
Quando si applicano criteri di accesso condizionale di livello di autenticazione agli utenti esterni di Microsoft Entra, i criteri funzionano insieme alle impostazioni di attendibilità MFA nelle impostazioni di accesso tra tenant per determinare dove e come l'utente esterno deve eseguire l'autenticazione a più fattori. Un utente di Microsoft Entra esegue l'autenticazione nel tenant Microsoft Entra di casa. Quindi, quando accedono alla risorsa, Microsoft Entra ID applica i criteri e verifica se è stata abilitata l'attendibilità MFA. Si noti che l'abilitazione dell'attendibilità MFA è facoltativa per la collaborazione B2B, ma è necessaria per la connessione diretta B2B.
Negli scenari utente esterni, i metodi di autenticazione che possono soddisfare il livello di autenticazione variano a seconda che l'utente stia completando l'autenticazione a più fattori nel tenant principale o nel tenant della risorsa. La tabella seguente indica i metodi consentiti in ogni tenant. Se un tenant di risorse ha scelto di considerare attendibili le attestazioni provenienti da organizzazioni esterne di Microsoft Entra, solo le attestazioni elencate nella colonna "Tenant principale" di seguito verranno accettate dal tenant della risorsa per L'autenticazione a più fattori. Se il tenant delle risorse ha disabilitato l'attendibilità MFA, l'utente esterno deve completare l'autenticazione a più fattori nel tenant delle risorse usando uno dei metodi elencati nella colonna "Tenant delle risorse".
| Metodo di autenticazione | Tenant principale | Tenant delle risorse |
|---|---|---|
| Messaggio di testo come secondo fattore | ✅ | ✅ |
| Chiamata vocale | ✅ | ✅ |
| Notifica push di Microsoft Authenticator | ✅ | ✅ |
| Accesso tramite telefono di Microsoft Authenticator | ✅ | |
| Token software OATH | ✅ | ✅ |
| Token hardware OATH | ✅ | |
| Chiave di sicurezza FIDO2 | ✅ | |
| Windows Hello for Business | ✅ | |
| Autenticazione basata su certificati | ✅ |
Per altre informazioni su come impostare i punti di forza di autenticazione per gli utenti esterni, vedere Accesso condizionale: Richiedere un livello di autenticazione per gli utenti esterni.
Esperienza utente per utenti esterni
I criteri di accesso condizionale di livello di autenticazione funzionano insieme alle impostazioni di attendibilità MFA nelle impostazioni di accesso tra tenant. Un utente di Microsoft Entra esegue prima l'autenticazione con il proprio account nel tenant principale. Quindi, quando l'utente tenta di accedere alla risorsa, Microsoft Entra ID applica i criteri di accesso condizionale del livello di autenticazione e verifica se è stata abilitata l'attendibilità MFA.
- Se l'attendibilità MFA è abilitata, Microsoft Entra ID controlla la sessione di autenticazione dell'utente per un'attestazione che indica che l'autenticazione a più fattori è stata soddisfatta nel tenant principale dell'utente. Vedere la tabella precedente per i metodi di autenticazione accettabili per l'autenticazione a più fattori quando viene completata nel tenant principale di un utente esterno. Se la sessione contiene un'attestazione che indica che i criteri MFA sono già soddisfatti nel tenant principale dell'utente e i metodi soddisfano i requisiti di attendibilità dell'autenticazione, l'utente è autorizzato ad accedere. In caso contrario, Microsoft Entra ID presenta all'utente una sfida per completare l'autenticazione a più fattori nel tenant principale usando un metodo di autenticazione accettabile.
- Se l'attendibilità MFA è disabilitata, Microsoft Entra ID presenta all'utente una prova per completare l'autenticazione a più fattori nel tenant della risorsa usando un metodo di autenticazione accettabile. Vedere la tabella precedente per i metodi di autenticazione accettabili per l'autenticazione a più fattori da parte di un utente esterno.
Passaggi successivi
- Livello di autenticazione dell'accesso condizionale
- Funzionamento del livello di autenticazione
- Punti di forza di autenticazione dell'accesso condizionale predefiniti
- Vantaggi dell'autenticazione dell'accesso condizionale personalizzato
- Risolvere i problemi relativi ai punti di forza dell'autenticazione