教程:对 B2B 来宾用户强制执行多重身份验证
适用于: 员工租户 外部租户(了解详细信息)
在与 B2B 来宾用户协作时,最好使用多重身份验证策略保护你的应用。 实施后,用户在访问你的资源时,不仅仅是要提供用户名和密码。 在 Microsoft Entra ID 中,可通过要求 MFA 访问验证的条件访问策略实现此目标。 可在租户、应用或个人来宾用户级别强制实施 MFA 策略,操作方式与为你自己的组织成员启用这些策略的方式相同。 资源租户始终负责用户的 Microsoft Entra 多重身份验证,即使来宾用户的组织具有多重身份验证功能也是如此。
示例:
- 公司 A 的某位管理员或员工邀请一名来宾用户使用云或本地应用程序,而此程序被配置为要求进行 MFA 访问验证。
- 该来宾用户使用其自己的工作、学校或社交标识进行登录。
- 系统要求该用户完成 MFA 验证。
- 该用户向公司 A 设置 MFA,并选择其 MFA 选项。 该用户获准访问此应用程序。
注意
Microsoft Entra 多重身份验证在资源租户上完成,以确保可预测性。 当来宾用户登录时,他们将看到资源租户登录页面在后台显示,他们自己的主租户登录页面和公司徽标在前台显示。
在本教程中,你将:
- 在 MFA 设置之前测试登录体验。
- 创建一个条件访问策略,它要求用户通过 MFA 才可访问你环境中的云应用。 在本教程中,我们将使用 Windows Azure 服务管理 API 应用来演示此过程。
- 使用 What If 工具来模拟 MFA 登录情形。
- 测试条件访问策略。
- 清理测试用户和策略。
如果还没有 Azure 订阅,可以在开始前创建一个免费帐户。
先决条件
若要完成本教程中的方案,需要:
- 访问 Microsoft Entra ID P1 或 P2 版本,其中包括条件访问策略功能。 若要强制实施 MFA,需要创建 Microsoft Entra 条件访问策略。 始终在你的组织强制实施 MFA 策略,无论合作伙伴是否具有 MFA 功能。
- 有效的外部电子邮件帐户,该帐户可作为来宾用户添加到租户目录中并可在登录时使用。 如果你不知道如何创建来宾帐户,请参阅在 Microsoft Entra 管理中心内添加 B2B 来宾用户。
在Microsoft Entra ID 中创建测试来宾用户
提示
本文中的步骤可能因开始使用的门户而略有不同。
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“所有用户”。
选择“新建用户”,然后选择“邀请外部用户”。
在“基本信息”选项卡的“标识”下,输入外部用户的电子邮件地址。 (可选)添加显示名称和欢迎消息。
(可选)可以在“属性”和“分配”选项卡下向用户添加更多详细信息。
选择“查看 + 邀请”,以自动向来宾用户发送邀请。 随即显示“已成功邀请用户”消息。
发送邀请后,该用户帐户将以来宾的形式自动添加到目录。
在 MFA 设置之前测试登录体验
- 使用测试用户名和密码登录到 Microsoft Entra 管理中心。
- 你应该仅凭登录凭据就能够访问 Microsoft Entra 管理中心。 不必进行任何其他身份验证。
- 注销。
创建需要 MFA 的条件访问策略
最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“保护”>“条件访问”>“策略”。
选择“新策略”。
为策略指定名称,例如 需要 MFA 进行 B2B 门户访问。 建议组织为其策略的名称创建有意义的标准。
在“分配”下,选择“用户或工作负载标识” 。
- 在“包括”下,选择“选择用户和组”,然后选择“来宾或外部用户”。 可以将策略分配给不同的外部用户类型、内置的目录角色或用户和组。
在“目标资源资源>”(以前是云应用)下>,选择>“选择资源”,选择“Windows Azure 服务管理 API”,然后选择“选择”。
在“访问控制”>“授予”下,依次选择“"授予访问权限”、“需要多重身份验证”和“选择”。
在“启用策略”下,选择“开” 。
选择创建。
使用 What If 选项来模拟登录情形
在“条件访问 | 策略”页上,选择“What If” 。
选择“用户”下的链接。
在搜索框中,键入测试来宾用户的名称。 在搜索结果中选择用户,然后选择“选择”。
选择“云应用、操作或身份验证内容”下的链接。 选择“选择资源”,然后选择“选择”下的链接。
在“云应用”页面的应用程序列表中,选择“Windows Azure 服务管理 API”,然后选择“选择”。
选择 What If,然后验证确保“要应用的策略”选项卡的“评估结果”下显示了新策略 。
测试条件访问策略
使用测试用户名和密码登录到 Microsoft Entra 管理中心。
应会看到有关更多身份验证方法的请求。 此策略可能一段时间后才会生效。
注意
还可以配置跨租户访问设置,以信任来自 Microsoft Entra 主租户的 MFA。 这让外部 Microsoft Entra 用户可以使用在他们自己的租户中注册的 MFA,而不是在资源租户中注册。
注销。
清理资源
不再需要测试用户和测试条件访问策略时,请将其删除。
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“所有用户”。
选择测试用户,然后选择“删除用户”。
最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“保护”>“条件访问”>“策略”。
在“策略名称”列表中,为测试策略选择上下文菜单 (…),然后选择“删除” 。 请选择“是”以确认。
下一步
在本教程中,你创建了一个条件访问策略,它要求来宾用户在登录你的某个云应用时使用 MFA。 要详细了解如何添加来宾用户进行协作,请参阅在 Microsoft Entra 管理中心内添加 Microsoft Entra B2B 协作用户。