将多重身份验证 (MFA) 添加到应用

适用于： 员工租户 外部租户（了解详细信息）

多重身份验证 (MFA) 要求用户在注册或登录期间提供第二种方法来验证其身份，从而为应用程序添加一层安全性。 外部租户支持作为第二个因素进行身份验证的两种方法：

• 电子邮件一次性密码：当用户使用其电子邮件和密码登录后，系统会提示其输入发送到其电子邮件的密码。 若要允许使用 MFA 的电子邮件一次性密码，请将本地帐户身份验证方法设置为 “使用密码发送电子邮件”。 如果选择“使用一次性密码的电子邮件”，则使用此方法进行主登录的客户将无法将其用于 MFA 辅助验证。
• 基于短信的身份验证：虽然短信不是用于第一因素身份验证的选项，但可用作 MFA 的第二因素。 使用电子邮件和密码、电子邮件和一次性密码或社交标识（如 Google 或 Facebook）登录的用户会被提示使用短信进行第二次验证。 短信 MFA 包括自动欺诈检查。 如果怀疑欺诈，我们会要求用户在发送短信代码进行验证之前完成 CAPTCHA 以确认其不是机器人。 它还提供了防范“电话诈骗”的保障措施。 短信是一项附加功能。 租户必须链接到活动的有效订阅。 了解详细信息

本文介绍如何通过创建 Microsoft Entra 条件访问策略并将 MFA 添加到注册和登录用户流来对客户强制执行 MFA。

提示

要试用此功能，请转到 Woodgrove Groceries 演示并启用“多重身份验证”用例。

先决条件

• Microsoft Entra 外部租户。
• 注册和登录用户流。
• 已在外部租户中注册、已添加到注册和登录用户流的应用。
• 一个至少具有安全管理员角色的帐户，用于配置条件访问策略和 MFA。
• 短信是一项附加功能，需要链接的订阅。 如果订阅过期或被取消，最终用户将无法再使用短信进行身份验证，这可能会阻止他们登录，具体取决于你的 MFA 策略。

创建条件访问策略

在外部租户中创建条件访问策略，用于在用户注册或登录应用时提示用户进行 MFA。 （有关详细信息，请参阅通用条件访问策略：要求对所有用户执行 MFA）。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 如果你有权访问多个租户，请使用顶部菜单中的“设置”图标 ，通过“目录 + 订阅”菜单切换到你的外部租户。

3. 浏览到“保护”>“条件访问”>“策略”，然后选择“新建策略”。

   

4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。

5. 在“分配”下，选择“用户”下的链接。

   a. 在“包括”选项卡上，选择“所有用户”。

   b. 在“排除”选项卡上，选择“用户和组”，并选择组织的紧急访问或不受限帐户。 然后选取“选择” 。

   

6. 选择“目标资源”下的链接。

   a. 在“包含”选项卡上，选择以下选项之一：

   • 选择“所有资源(以前为‘所有云应用’)”。

   • 选择“选择资源”，然后选择“选择”下的链接。 找到你的应用，将其选中，然后选择“选择”。

   b. 在“排除”选项卡上，选择不要求多重身份验证的应用程序。

   

7. 在“访问控制”下，选择“授予”下的链接。 选择“授予访问权限”，选择“要求多重身份验证”，然后选择“选择”。

   

8. 确认设置，然后将“启用策略”设置为“打开”。

9. 选择“创建” ，以便创建启用策略所需的项目。

启用电子邮件一次性密码作为 MFA 方法

在外部租户中为所有用户启用电子邮件一次性密码身份验证方法。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览至“保护”>“身份验证方法”。

3. 在“方法”列表中，选择“电子邮件 OTP”。

   

4. 在“启用和目标”下，打开“启用”开关。

5. 在“包括”下的“目标”旁边，选择“所有用户”。

   

6. 选择“保存”。

启用短信作为 MFA 方法

在外部租户中为所有用户启用短信身份验证方法。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览至“保护”>“身份验证方法”。

3. 在“方法”列表中选择“短信”。

   

4. 在“启用和目标”下，打开“启用”开关。

5. 在“包括”下的“目标”旁边，选择“所有用户”。

   

6. 选择“保存”。

测试登录

在专用浏览器中，打开应用程序并选择“登录”。 系统应提示你使用另一种身份验证方法。