Share via

Добавление многофакторной проверки подлинности (MFA) в приложение

  • Статья

В Внешняя идентификация Microsoft Entra внешнем клиенте можно добавить уровень безопасности для приложений, стоящих для потребителей и бизнеса, путем применения многофакторной проверки подлинности (MFA). При использовании MFA каждый раз при входе пользователя необходимо предоставить одноразовый секретный код электронной почты. В этой статье описывается, как применить MFA для клиентов, создав политику условного доступа Microsoft Entra и добавив MFA в поток пользователя регистрации и входа.

Внимание

Если вы хотите включить MFA, задайте для метода проверки подлинности локальной учетной записи значение Email с паролем. Если для локальной учетной записи задано значение Email с одноразовым секретным кодом, клиенты, использующие этот метод, не смогут войти, так как одноразовый секретный код уже является их методом единого фактора входа и не может использоваться в качестве второго фактора. В настоящее время одноразовый секретный код — единственный метод, доступный для MFA во внешних клиентах.

Совет

Попробуйте сейчас!

Чтобы попробовать эту функцию, перейдите на демонстрацию продуктов Woodgrove и запустите вариант использования Многофакторной проверки подлинности.

Необходимые компоненты

  • Внешний клиент Microsoft Entra (если у вас нет клиента, вы можете запустить бесплатную пробную версию.
  • Поток регистрации и входа с помощью метода проверки подлинности локальной учетной записи, заданного для электронной почты с паролем.
  • Приложение, зарегистрированное во внешнем клиенте, добавленное в поток регистрации и входа, и обновлено, чтобы указать поток пользователя для проверки подлинности.
  • Учетная запись с ролью "Безопасность Администратор istrator" для настройки политик условного доступа и MFA.

Создание политики условного доступа

Создайте политику условного доступа в внешнем клиенте, которая запрашивает проверку подлинности пользователей при регистрации или входе в приложение. (Дополнительные сведения см. в разделе Общая политика условного доступа: требуется MFA для всех пользователей.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.

  2. Если у вас есть доступ к нескольким клиентам, используйте значок Параметры в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

  3. Перейдите в Центр безопасности защиты>идентификации>.

  4. Выберите политики условного доступа>и выберите "Создать политику".

    Снимок экрана: кнопка

  5. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.

  6. В разделе "Назначения" выберите ссылку в разделе "Пользователи".

    a. На вкладке "Включить" выберите "Все пользователи".

    b. На вкладке "Исключить " выберите "Пользователи и группы " и выберите учетные записи аварийного доступа или аварийного доступа вашей организации.

    Снимок экрана: назначение пользователей новой политике.

  7. Выберите ссылку в разделе "Облачные приложения" или "Действия".

    a. На вкладке "Включить" выберите один из следующих параметров:

    • Выберите все облачные приложения.

    • Выберите приложения и выберите ссылку в разделе "Выбрать". Найдите приложение, выберите его и нажмите кнопку "Выбрать".

    b. В разделе Исключить выберите приложения, которые не требуют многофакторной проверки подлинности.

    Снимок экрана: назначение приложений новой политике.

  8. В разделе "Элементы управления доступом" выберите ссылку в разделе "Предоставление". Выберите "Предоставить доступ", выберите "Требовать многофакторную проверку подлинности" и нажмите кнопку "Выбрать".

    Снимок экрана: требование MFA.

  9. Подтвердите параметры и задайте для параметра Включить политику значение Включить.

  10. Нажмите Создать, чтобы создать и включить политику.

Включение однократного секретного кода электронной почты в качестве метода MFA

Включите метод проверки подлинности однократного секретного кода электронной почты во внешнем клиенте для всех пользователей.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.

  2. Перейдите к методам проверки подлинности защиты>идентификации>.

  3. В списке методов выберите "Электронная почта OTP".

    Снимок экрана: параметр однократного секретного кода электронной почты.

  4. В разделе "Включить" и "Целевой" включите переключатель "Включить".

  5. В разделе "Включить" рядом с "Целевой" выберите "Все пользователи".

    Снимок экрана: включение однократного секретного кода электронной почты.

  6. Выберите Сохранить.

Проверка входа

В частном браузере откройте приложение и выберите "Войти". Вам нужно будет указать другой метод проверки подлинности.