Руководство. Принудительное применение многофакторной проверки подлинности для гостевых пользователей B2B

Область применения: клиенты рабочей силы внешние клиенты (дополнительные сведения)

При совместной работе с внешними гостевыми пользователями B2B рекомендуется защитить приложения с помощью политик многофакторной проверки подлинности. Затем внешним пользователям требуется больше, чем имя пользователя и пароль для доступа к ресурсам. В идентификаторе Microsoft Entra можно выполнить эту задачу с помощью политики условного доступа, требующей MFA для доступа. Политики MFA могут применяться на уровне клиента, приложения или отдельного гостевого пользователя, так же, как они включены для членов вашей организации. Клиент ресурсов всегда отвечает за многофакторную проверку подлинности Microsoft Entra для пользователей, даже если у гостевой организации есть возможности многофакторной проверки подлинности.

Пример:

1. Администратор или сотрудник компании A приглашает гостевого пользователя использовать облачное или локальное приложение, настроенное на прохождение Многофакторной идентификации для получения доступа.
2. Гостевой пользователь входит в систему, используя собственный рабочий, учебный идентификатор или идентификатор в социальной сети.
3. Пользователю предлагается пройти Многофакторную идентификацию.
4. Ему нужно согласовать параметры прохождения MFA с компанией A и выбрать приемлемый вариант. После этого пользователь получит доступ к приложению.

Примечание.

Многофакторная проверка подлинности Microsoft Entra выполняется в клиенте ресурсов, чтобы обеспечить прогнозируемость. Когда гостевой пользователь входит в систему, он видит страницу входа клиента ресурса, отображаемую в фоновом режиме, собственную страницу входа в систему домашнего клиента и логотип компании на переднем плане.

При работе с этим руководством вы сделаете следующее:

• Перед настройкой MFA проверьте работу входа в систему.
• Создайте политику условного доступа, которая требует прохождения MFA для доступа к облачному приложению в вашей среде. В этом руководстве мы будем использовать приложение API управления службами Windows Azure для иллюстрации процесса.
• Используйте инструмент What If для имитации входа через MFA.
• Проверите политику условного доступа.
• Очистите тестового пользователя и политику.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

Необходимые компоненты

Для выполнения сценария в этом руководстве вам понадобится следующее.

• Доступ к выпуску Microsoft Entra ID P1 или P2, который включает возможности политики условного доступа. Чтобы применить MFA, необходимо создать политику условного доступа Microsoft Entra. Политики MFA всегда применяются в вашей организации независимо от того, имеет ли партнер возможности MFA.
• Допустимая внешняя учетная запись электронной почты, которую вы можете добавить в свой каталог клиента в качестве гостевого пользователя и использовать для входа. Если вы не знаете, как создать гостевую учетную запись, см. статью "Добавление гостевого пользователя B2B" в Центре администрирования Microsoft Entra.

Создание тестового гостевого пользователя в идентификаторе Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.

2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

3. Выберите Новый пользователь, а затем — Пригласить внешнего пользователя.

   

4. В разделе "Удостоверение " на вкладке "Основные сведения" введите адрес электронной почты внешнего пользователя. При необходимости включите отображаемое имя и приветственное сообщение.

   

5. При необходимости можно добавить дополнительные сведения пользователю на вкладках "Свойства и назначения".

6. Выберите "Рецензирование и приглашение ", чтобы автоматически отправить приглашение гостевого пользователя. Появится сообщение Пользователь успешно приглашен.

7. После отправки приглашения учетная запись пользователя автоматически добавляется в каталог как гость.

Проверка входа в систему перед настройкой MFA

1. Используйте имя тестового пользователя и пароль для входа в Центр администрирования Microsoft Entra.
2. Вы должны иметь доступ к Центру администрирования Microsoft Entra, используя только учетные данные для входа. Никакой другой проверки подлинности не требуется.
3. Выйти.

Создание политики условного доступа, которая требует MFA

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.

2. Перейдите к политикам условного доступа>защиты>.

3. Выберите Новая политика.

4. Присвойте политике имя, например требовать MFA для доступа к порталу B2B. Мы рекомендуем организациям присваивать политикам понятные имена.

5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.

   1. В разделе "Включить" выберите " Выбрать пользователей и группы", а затем выберите "Гостевой" или "Внешние пользователи". Политику можно назначить различным внешним типам пользователей, встроенным ролям каталога или пользователям и группам.

   

6. В разделе "Целевые ресурсы>" (ранее облачные приложения)>Включить>ресурсы выберите ресурсы, выберите API управления службами Windows Azure и нажмите кнопку "Выбрать".

   

7. В разделе Управление доступом>Предоставление разрешения выберите Предоставить доступ, Запрос на многофакторную проверку подлинности, а затем нажмите Выбрать.

   

8. В разделе Включить политику нажмите кнопку Вкл.

9. Нажмите кнопку создания.

Использование параметра What If для имитации входа

1. На странице Условный доступ | политики выберите What If.

   

2. Щелкните ссылку в разделе Пользователь.

3. В поле поиска введите имя тестового гостевого пользователя. Выберите пользователя в результатах поиска и нажмите Выбрать.

   

4. Выберите ссылку в разделе Cloud apps, actions, or authentication content (Облачные приложения, действия или содержимое для проверки подлинности). Выберите ресурсы и выберите ссылку в разделе "Выбрать".

   

5. На странице облачных приложений в списке приложений выберите API управления службами Windows Azure и нажмите кнопку "Выбрать".

6. Нажмите кнопку What If и убедитесь, что новая политика отображается в разделе Результат вычисления на вкладке Политики, которые будут применяться.

   

Проверка политики условного доступа

1. Используйте имя тестового пользователя и пароль для входа в Центр администрирования Microsoft Entra.

2. Вы увидите запрос на дополнительные методы проверки подлинности. Это может занять некоторое время, чтобы политика вступают в силу.

   

   Примечание.

   Вы также можете настроить параметры доступа между клиентами для доверия MFA из домашнего клиента Microsoft Entra. Это позволяет внешним пользователям Microsoft Entra использовать MFA, зарегистрированную в собственном клиенте, а не регистрировать в клиенте ресурсов.

3. Выйти.

Очистка ресурсов

Если тестовый пользователь и тестовая политика условного доступа больше не нужны, удалите их.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.

2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

3. Выберите тестового пользователя, а затем — команду Удалить пользователя.

4. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.

5. Перейдите к политикам условного доступа>защиты>.

6. В списке имен политики выберите контекстное меню (…) для тестовой политики, а затем — Удалить. Выберите Да для подтверждения.

Следующий шаг

В этом руководстве вы создали политику условного доступа, которая требует, чтобы гостевые пользователи использовали MFA при входе в одно из облачных приложений. Дополнительные сведения о добавлении гостевых пользователей для совместной работы см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B" в Центре администрирования Microsoft Entra.