Wymaganie siły uwierzytelniania wieloskładnikowego dla użytkowników zewnętrznych

Siła uwierzytelniania to kontrola dostępu warunkowego, która umożliwia zdefiniowanie konkretnej kombinacji metod uwierzytelniania wieloskładnikowego (MFA), które użytkownik zewnętrzny musi ukończyć w celu uzyskania dostępu do zasobów. Ta kontrola jest szczególnie przydatna w przypadku ograniczania dostępu zewnętrznego do poufnych aplikacji w organizacji. Można na przykład utworzyć zasady dostępu warunkowego, wymagać siły uwierzytelniania odpornego na wyłudzanie informacji w zasadach i przypisać je do gości i użytkowników zewnętrznych.

Identyfikator Entra firmy Microsoft zapewnia trzy wbudowane siły uwierzytelniania:

• Siła uwierzytelniania wieloskładnikowego (mniej restrykcyjna) zalecana w tym artykule
• Siła uwierzytelniania wieloskładnikowego bez hasła
• Odporność na wyłudzanie informacji o sile uwierzytelniania wieloskładnikowego (najbardziej restrykcyjne)

Możesz użyć jednej z wbudowanych mocnych stron lub utworzyć niestandardową siłę uwierzytelniania na podstawie metod uwierzytelniania, których chcesz wymagać.

W scenariuszach użytkowników zewnętrznych metody uwierzytelniania wieloskładnikowego, które dzierżawa zasobów może akceptować, różnią się w zależności od tego, czy użytkownik wykonuje uwierzytelnianie wieloskładnikowe w dzierżawie głównej, czy w dzierżawie zasobów. Aby uzyskać szczegółowe informacje, zobacz Siła uwierzytelniania dla użytkowników zewnętrznych.

Uwaga

Obecnie można stosować tylko zasady siły uwierzytelniania do użytkowników zewnętrznych, którzy uwierzytelniają się za pomocą identyfikatora Entra firmy Microsoft. W przypadku jednorazowego kodu dostępu poczty e-mail, użytkowników federacyjnych SAML/WS-Fed i Google użyj kontroli udzielania uwierzytelniania wieloskładnikowego, aby wymagać uwierzytelniania wieloskładnikowego.

Konfigurowanie ustawień dostępu między dzierżawami w celu zaufania uwierzytelniania wieloskładnikowego

Zasady siły uwierzytelniania współpracują z ustawieniami zaufania usługi MFA w ustawieniach dostępu między dzierżawami, aby określić, gdzie i jak użytkownik zewnętrzny musi wykonywać uwierzytelnianie wieloskładnikowe. Użytkownik Firmy Microsoft Entra najpierw uwierzytelnia się przy użyciu własnego konta w dzierżawie macierzystej. Następnie, gdy ten użytkownik próbuje uzyskać dostęp do zasobu, identyfikator Entra firmy Microsoft stosuje zasady siły uwierzytelniania dostępu warunkowego i sprawdza, czy włączono zaufanie uwierzytelniania wieloskładnikowego.

• Jeśli zaufanie uwierzytelniania wieloskładnikowego jest włączone, identyfikator entra firmy Microsoft sprawdza sesję uwierzytelniania użytkownika dla oświadczenia wskazującego, że uwierzytelnianie wieloskładnikowe zostało spełnione w dzierżawie głównej użytkownika.
• Jeśli zaufanie uwierzytelniania wieloskładnikowego jest wyłączone, dzierżawa zasobów przedstawia użytkownikowi wyzwanie ukończenia uwierzytelniania wieloskładnikowego w dzierżawie zasobów przy użyciu akceptowalnej metody uwierzytelniania.

Metody uwierzytelniania, których użytkownicy zewnętrzni mogą używać do spełnienia wymagań uwierzytelniania wieloskładnikowego, różnią się w zależności od tego, czy użytkownik wykonuje uwierzytelnianie wieloskładnikowe w dzierżawie głównej, czy dzierżawie zasobów. Zobacz tabelę w sekcji Siła uwierzytelniania dostępu warunkowego.

Ważne

Przed utworzeniem zasad dostępu warunkowego sprawdź ustawienia dostępu między dzierżawami, aby upewnić się, że ustawienia zaufania usługi MFA dla ruchu przychodzącego są skonfigurowane zgodnie z oczekiwaniami.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta ze szkła awaryjnego, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Tworzenie zasady dostępu warunkowego

Wykonaj poniższe kroki, aby utworzyć zasady dostępu warunkowego, które stosują siłę uwierzytelniania do użytkowników zewnętrznych.

Ostrzeżenie

Jeśli używasz metod uwierzytelniania zewnętrznego, są one obecnie niekompatable z siłą uwierzytelniania i należy użyć kontrolki Wymagaj uwierzytelniania wieloskładnikowego.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do strony Ochrona>zasad dostępu>warunkowego.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Uwzględnij wybierz pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Goście lub użytkownicy zewnętrzni.
      1. Wybierz typy gości lub użytkowników zewnętrznych, do których chcesz zastosować zasady.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze) w obszarze Dołącz lub Wyklucz wybierz wszystkie aplikacje, które mają zostać uwzględnione w wymaganiach dotyczących siły uwierzytelniania lub wykluczyć je.
7. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie z listy wybierz odpowiednią wbudowaną lub niestandardową siłę uwierzytelniania.
   2. Wybierz pozycję Wybierz.
8. Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raport.
9. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu ustawień przy użyciu trybu tylko raport administrator może przenieść przełącznik Włącz zasady z opcji Tylko raport do pozycji Włączone.

Powiązana zawartość

• Szablony dostępu warunkowego
• Użyj trybu tylko raportu dla dostępu warunkowego, aby określić wyniki nowych decyzji dotyczących zasad.