Samouczek: wymuszanie uwierzytelniania wieloskładnikowego dla użytkowników-gości B2B

Dotyczy: Lokatorzy z organizacji Lokatorzy zewnętrzni (dowiedz się więcej)

Podczas współpracy z zewnętrznymi użytkownikami-gośćmi B2B chroń aplikacje przy użyciu zasad uwierzytelniania wieloskładnikowego. Użytkownicy zewnętrzni potrzebują więcej niż tylko nazwy użytkownika i hasła, aby uzyskać dostęp do zasobów. W usłudze Microsoft Entra ID można osiągnąć ten cel przy użyciu zasad dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego w celu uzyskania dostępu. Zasady uwierzytelniania wieloskładnikowego można wymusić na poziomie dzierżawy, aplikacji lub pojedynczego użytkownika-gościa, podobnie jak w przypadku członków własnej organizacji. Dzierżawca zasobów jest odpowiedzialny za Microsoft Entra uwierzytelnianie wieloskładnikowe dla użytkowników, nawet jeśli organizacja użytkownika-gościa posiada możliwości uwierzytelniania wieloskładnikowego.

Przykład:

1. Administrator lub pracownik w firmie A zaprasza użytkownika-gościa do użycia aplikacji w chmurze lub lokalnej, która jest konfigurowana do wymagania usługi MFA w celu uzyskania dostępu.
2. Użytkownik-gość loguje się za pomocą własnej tożsamości służbowej lub społecznościowej.
3. Użytkownik jest proszony o ukończenie wyzwania MFA.
4. Użytkownik konfiguruje usługę MFA w firmie A i wybiera jej opcję usługi MFA. Użytkownik może uzyskiwać dostęp do aplikacji.

Uwaga

Uwierzytelnianie wieloskładnikowe Microsoft Entra odbywa się w dzierżawie zasobów, aby zapewnić przewidywalność. Gdy użytkownik-gość się zaloguje, w tle zobaczy stronę logowania do dzierżawy zasobów, a na pierwszym planie stronę logowania do własnej dzierżawy głównej i logo firmy.

Ten samouczek obejmuje następujące kroki:

• Przetestuj środowisko logowania przed skonfigurowaniem uwierzytelniania wieloskładnikowego.
• Utwórz zasady dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do aplikacji w chmurze w danym środowisku. W tym samouczku użyjemy aplikacji usługi Azure Resource Manager, aby zilustrować proces.
• Symulacja logowania w usłudze MFA zostanie przeprowadzona przy użyciu narzędzia What If.
• Przetestuj zasady dostępu warunkowego.
• Wyczyść użytkownika testowego i politykę.

Jeśli nie masz subskrypcji platformy Azure, utwórz bezpłatne konto , aby rozpocząć pracę.

Wymagania wstępne

Do ukończenia scenariusza z tego samouczka są potrzebne następujące elementy:

• Dostęp do wersji Microsoft Entra ID P1 lub P2, która obejmuje możliwości zasad dostępu warunkowego. Aby wymusić uwierzytelnianie wieloskładnikowe, utwórz polisę dostępu warunkowego Microsoft Entra. Zasady uwierzytelniania wieloskładnikowego są zawsze egzekwowane w twojej organizacji, nawet jeśli partner nie ma możliwości uwierzytelniania wieloskładnikowego.
• Prawidłowe zewnętrzne konto e-mail, które można dodać do katalogu dzierżawcy jako użytkownik gość i używać do logowania się. Jeśli nie wiesz, jak utworzyć konto gościa, wykonaj kroki opisane w temacie Dodawanie użytkownika-gościa B2B w centrum administracyjnym firmy Microsoft Entra.

Tworzenie testowego użytkownika-gościa w identyfikatorze Entra firmy Microsoft

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.

2. Przejdź do Entra ID>Użytkownicy.

3. Wybierz pozycję Nowy użytkownik , a następnie zaproś użytkownika zewnętrznego.

   

4. W obszarze Tożsamość na karcie Podstawowe wprowadź adres e-mail użytkownika zewnętrznego. Opcjonalnie możesz dołączyć nazwę wyświetlaną i wiadomość powitalną.

   

5. Możesz opcjonalnie dodać dodatkowe informacje do użytkownika na kartach Właściwości i Przypisania.

6. Wybierz pozycję Przejrzyj i zaproś , aby automatycznie wysłać zaproszenie do użytkownika-gościa. Zostanie wyświetlony komunikat Pomyślnie zaproszony użytkownik .

7. Po wysłaniu zaproszenia konto użytkownika zostanie dodane do katalogu jako gość.

Testowanie środowiska logowania przed uruchomieniem instalacji usługi MFA

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra przy użyciu nazwy użytkownika testowego i hasła.
2. Uzyskaj dostęp do centrum administracyjnego firmy Microsoft Entra przy użyciu tylko poświadczeń logowania. Żadne inne uwierzytelnianie nie jest wymagane.
3. Wyloguj się z centrum administracyjnego firmy Microsoft Entra.

Tworzenie zasad dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.

2. Przejdź do Entra ID>dostępu warunkowego>Zasady.

3. Wybierz pozycję Nowe zasady.

4. Nadaj zasadom nazwę, na przykład Wymagaj uwierzytelniania wieloskładnikowego dla dostępu do portalu B2B. Utwórz zrozumiały standard zasad nazewnictwa.

5. W obszarze Przypisania wybierz opcję Użytkownicy lub identyfikatory obciążeń.

   1. W obszarze Uwzględnij wybierz pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Goście lub użytkownicy zewnętrzni. Zasady można przypisać do różnych typów użytkowników zewnętrznych, wbudowanych ról katalogu lub użytkowników i grup.

   

6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij>pozycję Wybierz zasoby, wybierz pozycję Azure Resource Manager, a następnie wybierz zasób.

   

7. W obszarze Kontrola> dostępuUdziel wybierz pozycję Udziel dostępu, Wymagaj uwierzytelniania wieloskładnikowego i wybierz pozycję Wybierz.

   

8. W obszarze Włączanie polityki wybierz Tak.

9. Wybierz pozycję Utwórz.

Symulowanie logowania przy użyciu opcji What If

Narzędzie zasady warunkowego dostępu "What If" pomaga zrozumieć skutki zasad dostępu warunkowego w Twoim środowisku. Zamiast ręcznie testować zasady za pomocą wielu logowań, możesz użyć tego narzędzia do symulowania procesu logowania użytkownika. Symulacja przewiduje, jak to logowanie będzie miało wpływ na zasady i generuje raport. Aby uzyskać więcej informacji, zobacz Używanie narzędzia What If do zrozumienia zasad dostępu warunkowego.

Testowanie zasad dostępu warunkowego

1. Użyj nazwy użytkownika testowego i hasła, aby zalogować się do centrum administracyjnego firmy Microsoft Entra.

2. Powinno zostać wyświetlone żądanie dotyczące większej liczby metod uwierzytelniania. Zastosowanie zasad może zająć trochę czasu.

   

   Uwaga

   Możesz również skonfigurować ustawienia dostępu międzydzierżawowego, aby ufać uwierzytelnianiu MFA z macierzystej dzierżawy Microsoft Entra. Dzięki temu zewnętrzni użytkownicy firmy Microsoft Entra mogą używać uwierzytelniania wieloskładnikowego zarejestrowanego we własnej dzierżawie, a nie rejestrować się w dzierżawie zasobów.

3. Wyloguj się.

Czyszczenie zasobów

Gdy użytkownik testowy nie będzie już potrzebny, usuń użytkownika testowego i przetestuj zasady dostępu warunkowego.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.

2. Przejdź do Entra ID>Użytkownicy.

3. Wybierz użytkownika testowego, a następnie wybierz pozycję Usuń użytkownika.

4. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.

5. Przejdź do Entra ID>dostępu warunkowego>Zasady.

6. Na liście Nazwa zasad wybierz menu kontekstowe (...) dla zasad testowych, a następnie wybierz pozycję Usuń i potwierdź, wybierając pozycję Tak.

Następne kroki

W tym samouczku utworzyłeś/aś zasady dostępu warunkowego, które wymagają od użytkowników gości korzystania z uwierzytelniania wieloskładnikowego podczas logowania się do jednej z twoich aplikacji w chmurze. Aby dowiedzieć się więcej na temat dodawania użytkowników-gości do współpracy, zobacz Dodawanie użytkowników współpracy firmy Microsoft Entra B2B w centrum administracyjnym firmy Microsoft Entra.