将多重身份验证 (MFA) 添加到应用

在 Microsoft Entra 外部 ID 外部租户中，可以通过强制实施多重身份验证 (MFA) 向面向消费者和企业客户的应用程序添加一个安全层。 使用 MFA 时，每次用户登录都需要提供电子邮件一次性密码。 本文介绍如何通过创建 Microsoft Entra 条件访问策略并将 MFA 添加到注册和登录用户流来对客户强制执行 MFA。

重要

如果要启用 MFA，请将本地帐户身份验证方法设置为“电子邮件与密码”。 如果将本地帐户选项设置为“电子邮件和一次性密码”，则使用此方法的客户将无法登录，因为一次性密码已经是其第一因素登录方法，不能用作第二因素。 目前，一次性密码是外部租户中唯一可用于 MFA 的方法。

提示

要试用此功能，请转到 Woodgrove Groceries 演示并启用“多重身份验证”用例。

先决条件

• Microsoft Entra 外部租户（如果没有租户，可启动免费试用版）。
• 注册和登录用户流，其中本地帐户身份验证方法设置为“带密码的电子邮件”。
• 应用已在外部租户中注册、已添加到注册和登录用户流并更新为指向身份验证用户流。
• 一个至少具有安全管理员角色的帐户，用于配置条件访问策略和 MFA。

创建条件访问策略

在外部租户中创建条件访问策略，用于在用户注册或登录应用时提示用户进行 MFA。 （有关详细信息，请参阅通用条件访问策略：要求对所有用户执行 MFA）。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 如果你有权访问多个租户，请使用顶部菜单中的“设置”图标 ，通过“目录 + 订阅”菜单切换到你的外部租户。

3. 浏览到“标识”>“保护”>“安全中心”。

4. 选择“条件访问”>“策略”，然后选择“新建策略”。

   

5. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。

6. 在“分配”下，选择“用户”下的链接。

   a. 在“包括”选项卡上，选择“所有用户”。

   b. 在“排除”选项卡上，选择“用户和组”，并选择组织的紧急访问或不受限帐户。

   

7. 选择“云应用或操作”下的链接。

   a. 在“包括”选项卡上，选择以下选项之一：

   • 选择“所有云应用”。

   • 选择“选择应用”，然后选择“选择”下的链接。 找到你的应用，将其选中，然后选择“选择”。

   b. 在“排除”下，选择任何不要求多重身份验证的应用程序。

   

8. 在“访问控制”下，选择“授予”下的链接。 选择“授予访问权限”，选择“要求多重身份验证”，然后选择“选择”。

   

9. 确认设置，然后将“启用策略”设置为“打开”。

10. 选择“创建” ，以便创建启用策略所需的项目。

启用电子邮件一次性密码作为 MFA 方法

在外部租户中为所有用户启用电子邮件一次性密码身份验证方法。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“保护”>“身份验证方法”。

3. 在“方法”列表中，选择“电子邮件 OTP”。

   

4. 在“启用和目标”下，打开“启用”开关。

5. 在“包括”下的“目标”旁边，选择“所有用户”。

   

6. 选择“保存”。

测试登录

在专用浏览器中，打开应用程序并选择“登录”。 系统应提示你使用另一种身份验证方法。