Dodawanie uwierzytelniania wieloskładnikowego (MFA) do aplikacji
Dotyczy:Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)
Uwierzytelnianie wieloskładnikowe (MFA) dodaje warstwę zabezpieczeń do aplikacji. W przypadku uwierzytelniania wieloskładnikowego klienci logujący się przy użyciu nazwy użytkownika i hasła są monitowani o jednorazowy kod dostępu jako drugą metodę weryfikacji. W tym artykule opisano sposób wymuszania uwierzytelniania wieloskładnikowego dla klientów przez utworzenie zasad dostępu warunkowego firmy Microsoft Entra i dodanie uwierzytelniania wieloskładnikowego do przepływu rejestracji i logowania użytkownika. W Tożsamość zewnętrzna Microsoft Entra dzierżawie zewnętrznej można dodać warstwę zabezpieczeń do aplikacji przeznaczonych dla klientów i firm, wymuszając uwierzytelnianie wieloskładnikowe (MFA). W przypadku uwierzytelniania wieloskładnikowego za każdym razem, gdy użytkownik loguje się, musi podać jednorazowy kod dostępu wiadomości e-mail. W tym artykule opisano sposób wymuszania uwierzytelniania wieloskładnikowego dla klientów przez utworzenie zasad dostępu warunkowego firmy Microsoft Entra i dodanie uwierzytelniania wieloskładnikowego do przepływu rejestracji i logowania użytkownika.
Ważne
Jeśli chcesz włączyć uwierzytelnianie wieloskładnikowe, ustaw metodę uwierzytelniania konta lokalnego na Adres e-mail z hasłem. Jeśli ustawisz opcję konta lokalnego na Adres e-mail z jednorazowym kodem dostępu, klienci, którzy korzystają z tej metody, nie będą mogli się zalogować, ponieważ jednorazowy kod dostępu jest już metodą logowania pierwszego składnika i nie może być używany jako drugi czynnik. Obecnie jednorazowy kod dostępu jest jedyną metodą dostępną dla uwierzytelniania wieloskładnikowego w dzierżawach zewnętrznych.
Napiwek
Aby wypróbować tę funkcję, przejdź do pokazu Woodgrove Groceries i uruchom przypadek użycia "uwierzytelnianie wieloskładnikowe".
Wymagania wstępne
- Zewnętrzna dzierżawa firmy Microsoft Entra (jeśli nie masz dzierżawy, możesz rozpocząć bezpłatną wersję próbną.
- Przepływ rejestracji i logowania użytkownika przy użyciu metody uwierzytelniania konta lokalnego ustawiony na Adres e-mail z hasłem.
- Aplikacja zarejestrowana w dzierżawie zewnętrznej, dodana do przepływu użytkownika rejestracji i logowania oraz zaktualizowana w celu wskazania przepływu użytkownika na potrzeby uwierzytelniania.
- Konto z co najmniej rolą Administracja istrator zabezpieczeń w celu skonfigurowania zasad dostępu warunkowego i uwierzytelniania wieloskładnikowego.
Tworzenie zasady dostępu warunkowego
Utwórz zasady dostępu warunkowego w dzierżawie zewnętrznej, które monitują użytkowników o uwierzytelnianie wieloskładnikowe podczas tworzenia konta lub logowania się do aplikacji. (Aby uzyskać więcej informacji, zobacz Typowe zasady dostępu warunkowego: wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników).
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.
Jeśli masz dostęp do wielu dzierżaw, użyj ikonyUstawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
Przejdź do usługi Identity>Protection>Security Center.
Wybierz pozycję Zasady dostępu>warunkowego, a następnie wybierz pozycję Nowe zasady.
Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
W obszarze Przypisania wybierz link w obszarze Użytkownicy.
a. Na karcie Dołączanie wybierz pozycję Wszyscy użytkownicy.
b. Na karcie Wykluczanie wybierz pozycję Użytkownicy i grupy, a następnie wybierz konta awaryjne lub konta awaryjne organizacji.
Wybierz link w obszarze Aplikacje lub akcje w chmurze.
a. Na karcie Dołączanie wybierz jedną z następujących opcji:
Wybierz pozycję Wszystkie aplikacje w chmurze.
Wybierz pozycję Wybierz aplikacje i wybierz link w obszarze Wybierz. Znajdź aplikację, wybierz ją, a następnie wybierz pozycję Wybierz.
b. W obszarze Wyklucz wybierz wszystkie aplikacje, które nie wymagają uwierzytelniania wieloskładnikowego.
W obszarze Kontrole dostępu wybierz link w obszarze Udziel. Wybierz pozycję Udziel dostępu, wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.
Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.
Włączanie jednorazowego kodu dostępu poczty e-mail jako metody uwierzytelniania wieloskładnikowego
Włącz metodę uwierzytelniania jednorazowego kodu dostępu poczty e-mail w dzierżawie zewnętrznej dla wszystkich użytkowników.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.
Przejdź do metody uwierzytelniania usługi Identity>Protection.>
Na liście Metoda wybierz pozycję E-mail OTP.
W obszarze Włącz i cel włącz przełącznik Włącz .
W obszarze Dołącz obok pozycji Cel wybierz pozycję Wszyscy użytkownicy.
Wybierz pozycję Zapisz.
Testowanie logowania
W prywatnej przeglądarce otwórz aplikację i wybierz pozycję Zaloguj się. Powinien zostać wyświetlony monit o inną metodę uwierzytelniania.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla