Поделиться через

Добавление многофакторной проверки подлинности (MFA) в приложение

Область применения: Белый круг с серым крестиком. Тенанты рабочего места Зеленый круг с символом белой галочки. Внешние тенанты (подробнее)

Многофакторная проверка подлинности (MFA) добавляет уровень безопасности в приложения, требуя, чтобы пользователи предоставили второй метод проверки удостоверения во время регистрации или входа. Внешние клиенты поддерживают два метода проверки подлинности в качестве второго фактора:

  • Одноразовый секретный код электронной почты: после входа пользователя с помощью электронной почты и пароля он запрашивает секретный код, отправляемый в сообщение электронной почты. Чтобы разрешить использование одноразовых секретных кодов электронной почты для MFA, задайте для параметра "Электронная почта" метод проверки подлинности локальной учетной записи с паролем. Если вы выберете электронную почту с одноразовым секретным кодом, клиенты, использующие этот метод для первичного входа, не смогут использовать его для вторичной проверки MFA.
  • Проверка подлинности на основе SMS: хотя SMS не является вариантом первой факторной проверки подлинности, он доступен в качестве второго фактора для MFA. Пользователей, которые входят с помощью электронной почты и пароля, электронной почты и одноразового секретного кода или социальных удостоверений, таких как Google, Facebook или Apple, просят пройти вторую проверку с помощью SMS-сообщения. Наш SMS MFA включает автоматические проверки мошенничества. Если мы подозреваем в мошенничестве, мы попросите пользователя завершить CAPTCHA, чтобы подтвердить, что они не робот, прежде чем отправлять SMS-код для проверки. Он также обеспечивает защиту от мошенничества в области телефонии. SMS — это дополнительная функция. Ваш арендатор должен быть связан с активной, допустимой подпиской. Подробнее

В этой статье описывается, как внедрить многофакторную аутентификацию (MFA) для ваших клиентов, создав политику условного доступа Microsoft Entra и добавив многофакторную аутентификацию в поток регистрации и входа пользователей.

Совет

Попробуйте сейчас!

Чтобы попробовать эту функцию, перейдите на демо-версию магазина Woodgrove и запустите сценарий использования Многофакторной проверки подлинности.

Предварительные условия

  • Внешний клиент Microsoft Entra.
  • Пользовательский поток регистрации и входа в систему.
  • Приложение, зарегистрированное в вашей внешней организации и добавленное в поток регистрации и входа пользователей.
  • Учетная запись с по крайней мере ролью администратора безопасности для настройки политик условного доступа и MFA.
  • SMS является дополнительной функцией и требует связанной подписки. Если срок действия подписки истекает или отменяется, конечные пользователи больше не смогут проходить проверку подлинности с помощью SMS, что может заблокировать вход в систему в зависимости от политики MFA.

Создание политики условного доступа

Создайте политику условного доступа в внешнем клиенте, которая запрашивает проверку подлинности пользователей при регистрации или входе в приложение. (Дополнительные сведения см. в разделе Общая политика условного доступа: требуется MFA для всех пользователей.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве Администратора безопасности.

  2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

  3. Перейдите к Entra ID>условному доступу>Политики, а затем выберите Создать политику.

    Снимок экрана: кнопка

  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.

  5. В разделе "Назначения" выберите ссылку в разделе "Пользователи".

    a. На вкладке "Включить" выберите "Все пользователи".

    б. На вкладке «Исключить» выберите «Пользователи и группы» и выберите учетные записи аварийного доступа вашей организации. Затем выберите Выбрать.

    Снимок экрана: назначение пользователей на новую политику.

  6. Выберите ссылку в разделе "Целевые ресурсы".

    a. На вкладке "Включить" выберите один из следующих параметров:

    • Выберите все ресурсы (прежнее название — "Все облачные приложения").

    • Выберите Выбрать ресурсы и выберите ссылку под заголовком Выбрать. Найдите приложение, выберите его и нажмите кнопку "Выбрать".

    б. На вкладке "Исключить " выберите все приложения, которые не требуют многофакторной проверки подлинности.

    Снимок экрана: назначение приложений к новой политике.

  7. В разделе «Элементы управления доступом» выберите ссылку под «Предоставление». Выберите "Предоставить доступ", выберите "Требовать многофакторную проверку подлинности" и нажмите кнопку "Выбрать".

    Снимок экрана с требованием многофакторной аутентификации.

  8. Подтвердите параметры и задайте для параметра Включить политику значение Включить.

  9. Нажмите Создать, чтобы создать и включить политику.

Включение однократного секретного кода электронной почты в качестве метода MFA

Включите метод проверки подлинности однократного секретного кода электронной почты во внешнем клиенте для всех пользователей.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве Администратора безопасности.

  2. Перейдите к Entra ID>методам проверки подлинности.

  3. В списке методов выберите OTP по электронной почте.

    Снимок экрана: параметр однократного секретного кода электронной почты.

  4. В разделе "Включить" и "Целевой" включите переключатель "Включить".

  5. В разделе "Включить" рядом с "Целевой" выберите "Все пользователи".

    Снимок экрана: включение однократного секретного кода электронной почты.

  6. Выберите Сохранить.

Включение SMS в качестве метода MFA

Включите метод проверки подлинности SMS во внешнем клиенте для всех пользователей.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве Администратора безопасности.

  2. Перейдите к Entra ID>методам проверки подлинности.

  3. В списке методов выберите SMS.

    Снимок экрана: параметр SMS.

  4. В разделе "Включить" и "Целевой" включите переключатель "Включить".

  5. В разделе "Включить" рядом с "Целевой" выберите "Все пользователи".

    Снимок экрана: включение SMS.

  6. Выберите Сохранить.

Активировать телекоммуникации для регионов с опцией подключения

Начиная с января 2025 года некоторые коды стран по умолчанию будут отключены для проверки SMS. Если вы хотите разрешить трафик из деактивированных регионов, необходимо активировать их для приложения с помощью политики Microsoft Graph onPhoneMethodLoadStartevent . См. раздел "Регионы, требующие согласия на проверку SMS".

Тестирование входа

В частном браузере откройте приложение и выберите "Войти". Вам нужно будет указать другой метод проверки подлинности.