自定义控件(预览版)

自定义控件是 Microsoft Entra ID 的预览功能。 使用自定义控件时,系统会将用户重定向到兼容服务,以满足 Microsoft Entra ID 之外的身份验证要求。 为了满足此控制要求,用户浏览器将被重定向到外部服务,执行任何需要的身份验证,然后重定向回 Microsoft Entra ID。 Microsoft Entra ID 将验证响应,如果用户已成功完成身份验证或验证,该用户将继续留在条件访问流中。

注意

正如 Nitika Gupta 在她的博客文章“公共预览版:Microsoft Entra ID 中的外部身份验证方法”中提及的:

...外部身份验证方法是自定义控件的替代方法,它们比自定义控件方法提供了多种优势。 这些设置包括:

  1. 外部身份验证方法集成,它使用行业标准并支持开放模型
  2. 外部身份验证方法的管理方式与 Entra 方法相同
  3. 各种 Entra ID 用例都支持外部身份验证方法(包括 PIM 激活)

有关详情,请参阅“在 Microsoft Entra ID 中管理外部身份验证方法(预览版)”这篇文章。

创建自定义控件

重要

在进行 Intune 设备注册以实现跨租户信任的过程中,或者在将设备联接到 Microsoft Entra ID 时,不能将自定义控件与 Microsoft Entra ID Protection 自动化配合使用来提升 Privileged Identity Manager (PIM) 中的角色,其中该自动化要求 Microsoft Entra 多重身份验证、Microsoft Entra 自助式密码重置 (SSPR)、满足多重身份验证声明要求并进行了登录频率控制。

自定义控件使用有限的一组已批准身份验证提供程序。 若要创建自定义控件,应首先联系想使用的控件的提供商。 每个非 Microsoft 提供商在注册、订阅或以其他方式加入服务以及指示想要与条件访问集成方面都有自己的进程和要求。 此时,提供商将提供采用 JSON 格式的数据块。 使用此数据可使提供商和条件访问一起服务于租户,创建新控件,并确定条件访问如何判断用户是否通过提供商成功执行了验证。

复制 JSON 数据,然后将其粘贴到相关文本框中。 不要对 JSON 做任何更改,除非用户明确理解所做的更改。 做出任何更改可能中断提供商和 Microsoft 之间的联系,并且有可能将你和你的用户锁定在帐户之外。

创建自定义控件的选项位于“条件访问” 页的“管理” 部分中。

条件访问中的自定义控件接口

单击“新建自定义控件”,打开包含控件 JSON 数据文本框的边栏选项卡。

新建自定义控件

删除自定义控件

若要删除自定义控件,必须先确定它未在任何条件访问策略中使用。 完成后:

  1. 转到“自定义控件”列表
  2. 选择 …
  3. 选择“删除” 。

编辑自定义控件

若要编辑自定义控件,必须删除当前控件,然后使用更新的信息创建新控件。

已知的限制

在进行 Intune 设备注册以实现跨租户信任的过程中,或者在将设备联接到 Microsoft Entra ID 时,不能将自定义控件与 Microsoft Entra ID Protection 自动化配合使用来提升 Privileged Identity Manager (PIM) 中的角色,其中该自动化要求 Microsoft Entra 多重身份验证、Microsoft Entra 自助式密码重置 (SSPR)、满足多重身份验证声明要求并进行了登录频率控制。