Udostępnij za pośrednictwem

Dodawanie uwierzytelniania wieloskładnikowego (MFA) do aplikacji

  • Artykuł

Dotyczy:Biały okrąg z szarym symbolem X.Dzierżawcy siły roboczej — dzierżawcy zewnętrzni Zielony okrąg z białym symbolem znacznika wyboru. (dowiedz się więcej)

Uwierzytelnianie wieloskładnikowe (MFA) dodaje warstwę zabezpieczeń do aplikacji. W przypadku uwierzytelniania wieloskładnikowego klienci logujący się przy użyciu nazwy użytkownika i hasła są monitowani o jednorazowy kod dostępu jako drugą metodę weryfikacji. W tym artykule opisano sposób wymuszania uwierzytelniania wieloskładnikowego dla klientów przez utworzenie zasad dostępu warunkowego firmy Microsoft Entra i dodanie uwierzytelniania wieloskładnikowego do przepływu rejestracji i logowania użytkownika. W Tożsamość zewnętrzna Microsoft Entra dzierżawie zewnętrznej można dodać warstwę zabezpieczeń do aplikacji przeznaczonych dla klientów i firm, wymuszając uwierzytelnianie wieloskładnikowe (MFA). W przypadku uwierzytelniania wieloskładnikowego za każdym razem, gdy użytkownik loguje się, musi podać jednorazowy kod dostępu wiadomości e-mail. W tym artykule opisano sposób wymuszania uwierzytelniania wieloskładnikowego dla klientów przez utworzenie zasad dostępu warunkowego firmy Microsoft Entra i dodanie uwierzytelniania wieloskładnikowego do przepływu rejestracji i logowania użytkownika.

Ważne

Jeśli chcesz włączyć uwierzytelnianie wieloskładnikowe, ustaw metodę uwierzytelniania konta lokalnego na Adres e-mail z hasłem. Jeśli ustawisz opcję konta lokalnego na Adres e-mail z jednorazowym kodem dostępu, klienci, którzy korzystają z tej metody, nie będą mogli się zalogować, ponieważ jednorazowy kod dostępu jest już metodą logowania pierwszego składnika i nie może być używany jako drugi czynnik. Obecnie jednorazowy kod dostępu jest jedyną metodą dostępną dla uwierzytelniania wieloskładnikowego w dzierżawach zewnętrznych.

Napiwek

Wypróbuj teraz

Aby wypróbować tę funkcję, przejdź do pokazu Woodgrove Groceries i uruchom przypadek użycia "uwierzytelnianie wieloskładnikowe".

Wymagania wstępne

  • Zewnętrzna dzierżawa firmy Microsoft Entra (jeśli nie masz dzierżawy, możesz rozpocząć bezpłatną wersję próbną.
  • Przepływ rejestracji i logowania użytkownika przy użyciu metody uwierzytelniania konta lokalnego ustawiony na Adres e-mail z hasłem.
  • Aplikacja zarejestrowana w dzierżawie zewnętrznej, dodana do przepływu użytkownika rejestracji i logowania oraz zaktualizowana w celu wskazania przepływu użytkownika na potrzeby uwierzytelniania.
  • Konto z co najmniej rolą Administracja istrator zabezpieczeń w celu skonfigurowania zasad dostępu warunkowego i uwierzytelniania wieloskładnikowego.

Tworzenie zasady dostępu warunkowego

Utwórz zasady dostępu warunkowego w dzierżawie zewnętrznej, które monitują użytkowników o uwierzytelnianie wieloskładnikowe podczas tworzenia konta lub logowania się do aplikacji. (Aby uzyskać więcej informacji, zobacz Typowe zasady dostępu warunkowego: wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników).

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikonyUstawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.

  3. Przejdź do usługi Identity>Protection>Security Center.

  4. Wybierz pozycję Zasady dostępu>warunkowego, a następnie wybierz pozycję Nowe zasady.

    Zrzut ekranu przedstawiający przycisk nowych zasad.

  5. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.

  6. W obszarze Przypisania wybierz link w obszarze Użytkownicy.

    a. Na karcie Dołączanie wybierz pozycję Wszyscy użytkownicy.

    b. Na karcie Wykluczanie wybierz pozycję Użytkownicy i grupy, a następnie wybierz konta awaryjne lub konta awaryjne organizacji.

    Zrzut ekranu przedstawiający przypisywanie użytkowników do nowych zasad.

  7. Wybierz link w obszarze Aplikacje lub akcje w chmurze.

    a. Na karcie Dołączanie wybierz jedną z następujących opcji:

    • Wybierz pozycję Wszystkie aplikacje w chmurze.

    • Wybierz pozycję Wybierz aplikacje i wybierz link w obszarze Wybierz. Znajdź aplikację, wybierz ją, a następnie wybierz pozycję Wybierz.

    b. W obszarze Wyklucz wybierz wszystkie aplikacje, które nie wymagają uwierzytelniania wieloskładnikowego.

    Zrzut ekranu przedstawiający przypisywanie aplikacji do nowych zasad.

  8. W obszarze Kontrole dostępu wybierz link w obszarze Udziel. Wybierz pozycję Udziel dostępu, wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający wymaganie uwierzytelniania wieloskładnikowego.

  9. Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.

  10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Włączanie jednorazowego kodu dostępu poczty e-mail jako metody uwierzytelniania wieloskładnikowego

Włącz metodę uwierzytelniania jednorazowego kodu dostępu poczty e-mail w dzierżawie zewnętrznej dla wszystkich użytkowników.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.

  2. Przejdź do metody uwierzytelniania usługi Identity>Protection.>

  3. Na liście Metoda wybierz pozycję E-mail OTP.

    Zrzut ekranu przedstawiający opcję jednorazowego kodu dostępu wiadomości e-mail.

  4. W obszarze Włącz i cel włącz przełącznik Włącz .

  5. W obszarze Dołącz obok pozycji Cel wybierz pozycję Wszyscy użytkownicy.

    Zrzut ekranu przedstawiający włączanie jednorazowego kodu dostępu poczty e-mail.

  6. Wybierz pozycję Zapisz.

Testowanie logowania

W prywatnej przeglądarce otwórz aplikację i wybierz pozycję Zaloguj się. Powinien zostać wyświetlony monit o inną metodę uwierzytelniania.