Dela via


Hantera en extern autentiseringsmetod i Microsoft Entra-ID (förhandsversion)

Med en extern autentiseringsmetod (EAM) kan användarna välja en extern provider för att uppfylla MFA-kraven (multifaktorautentisering) när de loggar in på Microsoft Entra-ID. En EAM kan uppfylla MFA-krav från principer för villkorsstyrd åtkomst, Riskbaserade principer för riskbaserad villkorlig åtkomst i Microsoft Entra ID Protection, PIM-aktivering (Privileged Identity Management) och när själva programmet kräver MFA.

EAM skiljer sig från federation eftersom användaridentiteten har sitt ursprung och hanteras i Microsoft Entra-ID. Med federation hanteras identiteten i den externa identitetsprovidern. EAM kräver minst en Microsoft Entra ID P1-licens.

Diagram över hur extern metodautentisering fungerar.

Nödvändiga metadata för att konfigurera en EAM

För att skapa en EAM behöver du följande information från din externa autentiseringsprovider:

  • Ett program-ID är vanligtvis ett program med flera klientorganisationer från din leverantör, som används som en del av integreringen. Du måste ge administratörsmedgivande för det här programmet i din klientorganisation.

  • Ett klient-ID är en identifierare från din provider som används som en del av autentiseringsintegrering för att identifiera Microsoft Entra-ID som begär autentisering.

  • En identifierings-URL är OIDC-identifieringsslutpunkten (OpenID Connect) för den externa autentiseringsprovidern.

    Not

    Se Konfigurera en ny extern autentiseringsprovider med Microsoft Entra-ID för att konfigurera appregistreringen.

Hantera en EAM i administrationscentret för Microsoft Entra

EAM hanteras med principen för Microsoft Entra-ID-autentiseringsmetoder, precis som inbyggda metoder.

Skapa en EAM i administrationscentret

Innan du skapar en EAM i administrationscentret kontrollerar du att du har metadata för att konfigurera en EAM.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Skyddsautentiseringsmetoder>>Lägg till extern metod (förhandsversion).

    Skärmbild av hur du lägger till en EAM i administrationscentret för Microsoft Entra.

    Lägg till metodegenskaper baserat på konfigurationsinformation från providern. Till exempel:

    • Namn: Adatum
    • Klient-ID: 00001111-aaaa-2222-bbbb-3333cccc4444
    • Identifieringsslutpunkt: https://adatum.com/.well-known/openid-configuration
    • App-ID: 11112222-bbbb-3333-cccc-4444ddddd555

    Viktig

    Visningsnamnet är det namn som visas för användaren i metodväljaren. Det går inte att ändra den när metoden har skapats. Visningsnamn måste vara unika.

    Skärmbild av hur du lägger till EAM-egenskaper.

    Du behöver minst rollen Privilegierad rolladministratör för att ge administratörsmedgivande för providerns program. Om du inte har den roll som krävs för att bevilja medgivande kan du fortfarande spara autentiseringsmetoden, men du kan inte aktivera den förrän medgivande har beviljats.

    När du har angett värdena från leverantören trycker du på knappen för att begära administratörsmedgivande för att beviljas programmet så att det kan läsa nödvändig information från användaren för att autentisera korrekt. Du uppmanas att logga in med ett konto med administratörsbehörigheter och bevilja providerns program de behörigheter som krävs.

    När du har loggat in klickar du på Acceptera för att bevilja administratörsmedgivande:

    Skärmbild av hur du beviljar administratörsmedgivande.

    Du kan se de behörigheter som providerprogrammet begär innan du beviljar medgivande. När du har beviljat administratörsmedgivande och ändringen har replikerats uppdateras sidan för att visa att administratörsmedgivande har beviljats.

    Skärmbild av principen för autentiseringsmetoder när medgivande har beviljats.

Om programmet har behörigheter kan du även aktivera metoden innan du sparar. Annars måste du spara metoden i ett inaktiverat tillstånd och aktivera när programmet har beviljats medgivande.

När metoden är aktiverad kan alla användare i omfånget välja metoden för MFA-frågor. Om programmet från providern inte har godkänt medgivande misslyckas all inloggning med metoden.

Om programmet tas bort eller inte längre har behörighet ser användarna ett fel och inloggningen misslyckas. Metoden kan inte användas.

Konfigurera en EAM i administrationscentret

Om du vill hantera dina EAM:er i administrationscentret för Microsoft Entra öppnar du principen Autentiseringsmetoder. Välj metodnamnet för att öppna konfigurationsalternativen. Du kan välja vilka användare som ska inkluderas och undantas från den här metoden.

Skärmbild av hur du omfångsbegränsar användningen av EAM för specifika användare.

Ta bort en EAM i administrationscentret

Om du inte längre vill att användarna ska kunna använda EAM kan du antingen:

  • Ange Aktivera till Av för att spara metodkonfigurationen
  • Klicka på Ta bort för att ta bort metoden

Skärmbild av hur du tar bort en EAM.

Hantera en EAM med hjälp av Microsoft Graph

Om du vill hantera principen Autentiseringsmetoder med hjälp av Microsoft Graph behöver du behörigheten Policy.ReadWrite.AuthenticationMethod . Mer information finns i Uppdatera autentiseringMethodsPolicy.

Användarupplevelse

Användare som är aktiverade för EAM kan använda den när de loggar in och multifaktorautentisering krävs.

Not

Vi arbetar aktivt med att stödja system föredragen MFA med EAM.

Om användaren har andra sätt att logga in och system föredragen MFA är aktiverad visas dessa andra metoder som standardordning. Användaren kan välja att använda en annan metod och sedan välja EAM. Om användaren till exempel har Authenticator aktiverat som en annan metod uppmanas de att matcha nummer.

Skärmbild av hur du väljer en EAM när system föredragen MFA är aktiverad.

Om användaren inte har några andra metoder aktiverade kan de bara välja EAM. De omdirigeras till den externa autentiseringsprovidern för att slutföra autentiseringen.

Skärmbild av hur du loggar in med en EAM.

Registrering av autentiseringsmetod för EAM:er

I förhandsversionen anses alla användare i en inkluderingsgrupp för EAM vara MFA-kompatibla och kan använda den externa autentiseringsmetoden för att uppfylla MFA. Användare som är MFA-kompatibla på grund av att de är ett inkluderingsmål för en EAM ingår inte i rapporter om registrering av autentiseringsmetoder.

Not

Vi arbetar aktivt med att lägga till registreringsfunktioner för EAM:er. När registreringen har lagts till måste användare som tidigare använde en EAM ha EAM registrerat med Entra-ID innan de uppmanas att använda det för att uppfylla MFA.

Använda anpassade kontroller för EAM och villkorlig åtkomst parallellt

EAM:er och anpassade kontroller kan fungera parallellt. Microsoft rekommenderar att administratörer konfigurerar två principer för villkorlig åtkomst:

  • En princip för att framtvinga den anpassade kontrollen
  • En annan princip med MFA-beviljandet krävs

Inkludera en testgrupp med användare för varje princip, men inte båda. Om en användare ingår i båda principerna, eller någon princip med båda villkoren, måste användaren uppfylla MFA under inloggningen. De måste också uppfylla den anpassade kontrollen, vilket gör att de omdirigeras till den externa providern en andra gång.

Nästa steg

Mer information om hur du hanterar autentiseringsmetoder finns i Hantera autentiseringsmetoder för Microsoft Entra-ID.

Referens för EAM-provider finns i Microsoft Entra-referens för multifaktorautentisering för extern metodprovider (förhandsversion).