在 Microsoft Entra ID 中管理外部身份验证方法(预览)

通过外部身份验证方法 (EAM),用户可以在登录到 Microsoft Entra ID 时选择一个外部提供程序来满足多重身份验证 (MFA) 要求。 EAM 可以满足条件访问策略、标识保护登录风险策略、Privileged Identity Management (PIM) 激活的 MFA 要求,还能满足应用程序本身需要 MFA 时的这些要求。

EAM 与联合身份验证的不同之处在于,用户标识是在 Microsoft Entra ID 中发起和管理的。 通过联合身份验证,标识在外部标识提供程序中管理。 EAM 需要至少一个 Microsoft Entra ID P1 许可证。

外部方法身份验证工作原理示意图。

配置 EAM 所需的元数据

若要创建 EAM,需要下列来自外部身份验证提供程序的信息:

  • 应用程序 ID 通常是提供程序中的多租户应用程序,用作集成一部分。 需要在租户中为此应用程序提供管理员同意。

  • 客户端 ID 是来自提供程序的标识符,用作身份验证集成的一部分,用于标识请求身份验证的 Microsoft Entra ID。

  • 发现 URL 是外部身份验证提供程序的 OpenID Connect (OIDC) 发现终结点。

在 Microsoft Entra 管理中心管理 EAM

EAM 使用 Microsoft Entra ID 身份验证方法策略进行管理,就像内置方法一样。

在管理中心创建 EAM

在管理中心创建 EAM 之前,请确保具有元数据来配置 EAM

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“保护”>“身份验证方法”>“添加外部方法(预览)”。

    显示如何在 Microsoft Entra 管理中心添加 EAM 的屏幕截图。

    根据提供程序的配置信息添加方法属性。 例如:

    • 名称:Adatum
    • 客户端 ID:00001111-aaaa-2222-bbbb-3333cccc4444
    • 发现终结点:https://adatum.com/.well-known/openid-configuration
    • 应用 ID:11112222-bbbb-3333-cccc-4444dddd5555

    重要

    显示名称是方法选取器中向用户显示的名称。 方法创建后,无法更改此名称。 显示名称必须是唯一的。

    显示如何添加 EAM 属性的屏幕截图。

    至少需要有特权角色管理员角色才能为提供程序的应用程序授予管理员同意。 如果没有授予同意所需的角色,仍可以保存身份验证方法,但在授予同意之前无法启用它。

    输入来自提供程序的值后,按按钮请求向应用程序授予管理员同意,以便它可以从用户读取所需的信息以正确进行身份验证。 系统会提示使用具有管理员权限的帐户登录,并向提供程序的应用程序授予所需的权限。

    登录后,单击“接受”以授予管理员同意:

    显示如何授予管理员同意的屏幕截图。

    在授予同意之前,可查看提供程序应用程序请求的权限。 授予管理员同意且更改复制后,页面将刷新显示已授予管理员同意。

    授予同意后的身份验证方法策略的屏幕截图。

如果应用程序具有权限,则还可以在保存之前启用该方法。 否则,需要将方法保存在禁用状态,并在应用程序获得同意后启用。

启用方法后,范围内的所有用户都可以为任何 MFA 提示选择该方法。 如果提供程序中的应用程序未获得同意批准,则使用该方法的任何登录都会失败。

如果应用程序被删除或不再具有权限,用户会看到错误且登录失败。 不能使用该方法。

在管理中心配置 EAM

若要在 Microsoft Entra 管理中心管理 EAM,请打开身份验证方法策略。 选择方法名称以打开配置选项。 可选择要允许和禁止哪些用户使用此方法。

显示如何限定特定用户使用 EAM 的屏幕截图。

在管理中心删除 EAM

如果不再需要用户能够使用 EAM,你可以:

  • 将“启用”设置为“关”以保存方法配置
  • 单击“删除”以删除方法

显示如何删除 EAM 的屏幕截图。

使用 Microsoft Graph 管理 EAM

若要使用 Microsoft Graph 管理身份验证方法策略,需要 Policy.ReadWrite.AuthenticationMethod 权限。 有关详细信息,请参阅更新 authenticationMethodsPolicy

用户体验

启用可使用 EAM 的用户可在登录且需要多重身份验证时使用它。

注意

我们正在积极努力支持对 EAM 使用系统首选的 MFA。

如果用户有其他登录方式,并且启用了系统首选的 MFA,则按默认顺序显示这些其他方法。 用户可以选择使用不同的方法,然后选择 EAM。 例如,如果用户启用了 Authenticator 作为另一种方法,系统会提示他们号码匹配

显示在启用了系统首选的 MFA 时如何选择 EAM 的屏幕截图。

如果用户未启用其他方法,他们只需选择 EAM 即可。 系统会将他们重定向到外部身份验证提供程序来完成身份验证。

显示如何使用 EAM 登录的屏幕截图。

并行使用 EAM 和条件访问自定义控件

EAM 和自定义控件可以并行运行。 Microsoft 建议管理员配置两个条件访问策略:

  • 一个策略强制实施自定义控件
  • 另一个策略要求 MFA 授权

对于每个策略包含一个测试用户组,而不是针对两者包含。 如果用户同时包含在这两个策略中,或者包含具有这两个条件的任何策略,则用户在登录期间必须满足 MFA。 他们还必须满足自定义控件,这使得系统会将他们再次重定向到外部提供程序。

后续步骤

若要详细了解如何管理身份验证方法,请参阅管理 Microsoft Entra ID 的身份验证方法

如需 EAM 提供程序参考,请查看 Microsoft Entra 多重身份验证外部方法提供程序参考(预览)