Delen via

Zelfstudie: Meervoudige verificatie afdwingen voor B2B-gastgebruikers

  • Artikel

Van toepassing op:Groene cirkel met een wit vinkje.Externe tenantsWitte cirkel met een grijs X-symbool.van werknemers (meer informatie)

Wanneer u samenwerkt met externe B2B-gastgebruikers, is het een goed idee om uw apps te beveiligen met meervoudig verificatiebeleid. Externe gebruikers hebben dan meer nodig dan alleen een gebruikersnaam en wachtwoord voor toegang tot uw resources. In Microsoft Entra ID kunt u dit doel bereiken met een beleid voor voorwaardelijke toegang waarvoor MFA is vereist voor toegang. MFA-beleid kan worden afgedwongen op tenant-, app- of afzonderlijke gastgebruikersniveau, op dezelfde manier als voor leden van uw eigen organisatie. De resourcetenant is altijd verantwoordelijk voor meervoudige verificatie van Microsoft Entra voor gebruikers, zelfs als de organisatie van de gastgebruiker multifactor-verificatiemogelijkheden heeft.

Voorbeeld:

Diagram met een gastgebruiker die zich aanmeldt bij de apps van een bedrijf.

  1. Een beheerder of medewerker van bedrijf A nodigt een gastgebruiker uit om een cloud- of on-premises toepassing te gebruiken die zodanig is geconfigureerd dat MFA nodig is voor toegang.
  2. De gastgebruiker meldt zich aan met de identiteit van zijn eigen werk, school of organisatie.
  3. De gebruiker wordt gevraagd om een MFA-controle in te vullen.
  4. De gebruiker configureert de MFA voor bedrijf A en kiest hun MFA-optie. De gebruiker krijgt toegang tot de toepassing.

Notitie

Microsoft Entra meervoudige verificatie wordt uitgevoerd bij resourcetenancy om voorspelbaarheid te garanderen. Wanneer de gastgebruiker zich aanmeldt, ziet deze de aanmeldingspagina van de tenant van de bron op de achtergrond en de eigen aanmeldingspagina van de home tenant en het bedrijfslogo op de voorgrond.

In deze zelfstudie leert u het volgende:

  • De aanmeldingservaring testen vóór de MFA-configuratie.
  • Een voorwaardelijk toegangsbeleid maken waarbij MFA is vereist voor toegang tot een cloud-app in uw omgeving. In deze zelfstudie gebruiken we de Windows Azure Service Management API-app om het proces te illustreren.
  • Het What If-hulpprogramma gebruiken om de aanmelding bij MFA te simuleren.
  • Uw beleid voor voorwaardelijke toegang testen.
  • Testgebruiker en beleid opschonen.

Als u nog geen abonnement op Azure hebt, maakt u een gratis account aan voordat u begint.

Vereisten

Voor het voltooien van het scenario in deze zelfstudie hebt u het volgende nodig:

  • Toegang tot Microsoft Entra ID P1 of P2, waaronder mogelijkheden voor beleid voor voorwaardelijke toegang. Als u MFA wilt afdwingen, moet u een Microsoft Entra-beleid voor voorwaardelijke toegang maken. MFA-beleid wordt altijd afgedwongen in uw organisatie, ongeacht of de partner MFA-mogelijkheden heeft.
  • Een geldig extern e-mailaccount dat u aan uw tenant-directory als gastgebruiker kunt toevoegen en voor aanmelding kunt gebruiken. Als u niet weet hoe u een gastaccount maakt, raadpleegt u Een B2B-gastgebruiker toevoegen in het Microsoft Entra-beheercentrum.

Een testgastgebruiker maken in Microsoft Entra ID

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruiker Beheer istrator.

  2. Blader naar Identiteit>Gebruikers>Alle gebruikers.

  3. Selecteer Nieuwe gebruiker en selecteer externe gebruiker uitnodigen.

    Schermopname die laat zien waar u de optie nieuwe gastgebruiker kunt selecteren.

  4. Voer onder Identiteit op het tabblad Basis het e-mailadres van de externe gebruiker in. Voeg eventueel een weergavenaam en welkomstbericht toe.

    Schermopname die laat zien waar de gast-e-mail moet worden ingevoerd.

  5. U kunt desgewenst meer details toevoegen aan de gebruiker op de tabbladen Eigenschappen en Toewijzingen .

  6. Selecteer Beoordelen en uitnodigen om de uitnodiging automatisch naar de gastgebruiker te verzenden. Het bericht Gebruiker is uitgenodigd verschijnt.

  7. Nadat u de uitnodiging hebt verzonden, wordt het gebruikersaccount automatisch als gast aan de directory toegevoegd.

De aanmeldingservaring testen vóór de MFA-configuratie

  1. Gebruik de gebruikersnaam en het wachtwoord van uw test om u aan te melden bij het Microsoft Entra-beheercentrum.
  2. U moet toegang hebben tot het Microsoft Entra-beheercentrum met alleen uw aanmeldingsreferenties. Er is geen andere verificatie vereist.
  3. Afmelden.

Een voorwaardelijk toegangsbeleid maken waarbij MFA is vereist

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.

  2. Blader naar Identity>Protection>Security Center.

  3. Selecteer onder Beveiligen de optie Voorwaardelijke toegang.

  4. Selecteer op de pagina Voorwaardelijke toegang in de werkbalk bovenaan het selectievakje Nieuw beleid maken.

  5. Typ op de pagina Nieuw in het tekstvak Naam de tekst MFA afdwingen voor B2B-toegang tot de portal.

  6. Kies in de sectie Toewijzingen de koppeling onder Gebruikers en groepen.

  7. Kies op de pagina Gebruikers en groepen de optie Gebruikers en groepen selecteren en kies vervolgens Gast- of externe gebruikers. U kunt het beleid toewijzen aan verschillende typen externe gebruikers, ingebouwde directoryrollen of gebruikers en groepen.

    Schermopname van het selecteren van alle gastgebruikers.

  8. Kies in de sectie Toewijzingen de koppeling onder Cloud-apps of -acties.

  9. Kies Apps selecteren en kies vervolgens de koppeling onder Selecteren.

    Schermopname van de pagina Cloud-apps en de optie Selecteren.

  10. Kies op de pagina Selecteren de Windows Azure Service Management-API en kies vervolgens Selecteren.

  11. Kies op de pagina Nieuw in de sectie Toegangsbeheer de koppeling onder Verlenen.

  12. Kies toegang verlenen op de pagina Verlenen, schakel het selectievakje Meervoudige verificatie vereisen in en kies Selecteren.

    Schermopname van de optie voor het vereisen van meervoudige verificatie.

  13. Selecteer onder Beleid inschakelen de optie Aan.

    Schermopname van de optie Beleid inschakelen ingesteld op Aan.

  14. Selecteer Maken.

De What If-optie gebruiken om de aanmelding te simuleren

  1. Voorwaardelijke toegang | Pagina Beleid, selecteer What If.

    Schermopname waarin is gemarkeerd waar u de optie Wat als moet selecteren op de pagina Voorwaardelijke toegang - Beleid.

  2. Selecteer de koppeling onder Gebruiker.

  3. Typ in het zoekvak de naam van uw testgastgebruiker. Kies de gebruiker in de zoekresultaten en kies Selecteren.

    Schermopname van een gastgebruiker geselecteerd.

  4. Selecteer de koppeling onder Cloud-apps, acties of verificatie-inhoud. Kies Apps selecteren en kies vervolgens de koppeling onder Selecteren.

    Schermopname van de geselecteerde app.

  5. Kies op de pagina Cloud-apps in de lijst met toepassingen de Windows Azure Service Management-API en kies vervolgens Selecteren.

  6. Kies What If en controleer of uw nieuwe beleid wordt weergegeven onder Evaluatieresultaten op het tabblad Beleid dat van toepassing is.

    Schermopname van de resultaten van de What If-evaluatie.

Uw beleid voor voorwaardelijke toegang testen

  1. Gebruik de gebruikersnaam en het wachtwoord van uw test om u aan te melden bij het Microsoft Entra-beheercentrum.

  2. U ziet nu een aanvraag voor meer verificatiemethoden. Het kan enige tijd duren voordat het beleid van kracht wordt.

    Schermopname van het bericht Meer informatie vereist.

    Notitie

    U kunt ook instellingen voor toegang tussen tenants configureren om de MFA te vertrouwen vanuit de Microsoft Entra-tenant voor thuisgebruik. Hierdoor kunnen externe Microsoft Entra-gebruikers de MFA gebruiken die is geregistreerd in hun eigen tenant in plaats van zich te registreren in de resourcetenant.

  3. Afmelden.

Resources opschonen

Verwijder de testgebruiker en het testbeleid voor voorwaardelijke toegang als deze niet langer nodig zijn.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruiker Beheer istrator.
  2. Blader naar Identiteit>Gebruikers>Alle gebruikers.
  3. Selecteer de testgebruiker en selecteer vervolgens Gebruiker verwijderen.
  4. Blader naar Identity>Protection>Security Center.
  5. Selecteer onder Beveiligen de optie Voorwaardelijke toegang.
  6. Selecteer in de lijst Beleidsnaam het contextmenu (…) voor uw testbeleid, en selecteer vervolgens Verwijderen. Selecteer Ja om te bevestigen.

Volgende stappen

In deze zelfstudie hebt u een beleid voor voorwaardelijke toegang gemaakt waarvoor gastgebruikers MFA moeten gebruiken bij het aanmelden bij een van uw cloud-apps. Zie Microsoft Entra B2B-samenwerkingsgebruikers toevoegen in Azure Portal voor meer informatie over het toevoegen van gastgebruikers voor samenwerking.