Добавление многофакторной проверки подлинности (MFA) в приложение
В Внешняя идентификация Microsoft Entra внешнем клиенте можно добавить уровень безопасности для приложений, стоящих для потребителей и бизнеса, путем применения многофакторной проверки подлинности (MFA). При использовании MFA каждый раз при входе пользователя необходимо предоставить одноразовый секретный код электронной почты. В этой статье описывается, как применить MFA для клиентов, создав политику условного доступа Microsoft Entra и добавив MFA в поток пользователя регистрации и входа.
Внимание
Если вы хотите включить MFA, задайте для метода проверки подлинности локальной учетной записи значение Email с паролем. Если для локальной учетной записи задано значение Email с одноразовым секретным кодом, клиенты, использующие этот метод, не смогут войти, так как одноразовый секретный код уже является их методом единого фактора входа и не может использоваться в качестве второго фактора. В настоящее время одноразовый секретный код — единственный метод, доступный для MFA во внешних клиентах.
Совет
Чтобы попробовать эту функцию, перейдите на демонстрацию продуктов Woodgrove и запустите вариант использования Многофакторной проверки подлинности.
Необходимые компоненты
- Внешний клиент Microsoft Entra (если у вас нет клиента, вы можете запустить бесплатную пробную версию.
- Поток регистрации и входа с помощью метода проверки подлинности локальной учетной записи, заданного для электронной почты с паролем.
- Приложение, зарегистрированное во внешнем клиенте, добавленное в поток регистрации и входа, и обновлено, чтобы указать поток пользователя для проверки подлинности.
- Учетная запись с ролью "Безопасность Администратор istrator" для настройки политик условного доступа и MFA.
Создание политики условного доступа
Создайте политику условного доступа в внешнем клиенте, которая запрашивает проверку подлинности пользователей при регистрации или входе в приложение. (Дополнительные сведения см. в разделе Общая политика условного доступа: требуется MFA для всех пользователей.
Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.
Если у вас есть доступ к нескольким клиентам, используйте значок Параметры в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
Перейдите в Центр безопасности защиты>идентификации>.
Выберите политики условного доступа>и выберите "Создать политику".
Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
В разделе "Назначения" выберите ссылку в разделе "Пользователи".
a. На вкладке "Включить" выберите "Все пользователи".
b. На вкладке "Исключить " выберите "Пользователи и группы " и выберите учетные записи аварийного доступа или аварийного доступа вашей организации.
Выберите ссылку в разделе "Облачные приложения" или "Действия".
a. На вкладке "Включить" выберите один из следующих параметров:
Выберите все облачные приложения.
Выберите приложения и выберите ссылку в разделе "Выбрать". Найдите приложение, выберите его и нажмите кнопку "Выбрать".
b. В разделе Исключить выберите приложения, которые не требуют многофакторной проверки подлинности.
В разделе "Элементы управления доступом" выберите ссылку в разделе "Предоставление". Выберите "Предоставить доступ", выберите "Требовать многофакторную проверку подлинности" и нажмите кнопку "Выбрать".
Подтвердите параметры и задайте для параметра Включить политику значение Включить.
Нажмите Создать, чтобы создать и включить политику.
Включение однократного секретного кода электронной почты в качестве метода MFA
Включите метод проверки подлинности однократного секретного кода электронной почты во внешнем клиенте для всех пользователей.
Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.
Перейдите к методам проверки подлинности защиты>идентификации>.
В списке методов выберите "Электронная почта OTP".
В разделе "Включить" и "Целевой" включите переключатель "Включить".
В разделе "Включить" рядом с "Целевой" выберите "Все пользователи".
Выберите Сохранить.
Проверка входа
В частном браузере откройте приложение и выберите "Войти". Вам нужно будет указать другой метод проверки подлинности.