將多重要素驗證 (MFA) 新增至應用程式
在 Microsoft Entra 外部 ID 外部租使用者中,您可以強制執行多重要素驗證(MFA),將一層安全性新增至取用者和企業客戶面向應用程式。 使用 MFA 時,每次使用者登入時,都必須提供電子郵件一次性密碼。 本文說明如何藉由建立 Microsoft Entra 條件式存取原則,並將 MFA 新增至您的註冊和登入使用者流程,為您的客戶強制執行 MFA。
重要
如果您想要啟用 MFA,請將本機帳戶驗證方法設定為 [以密碼傳送電子郵件]。 如果您將本機帳戶選項設定為 [使用單次密碼傳送電子郵件],則使用此方法的客戶將無法登入,因為一次性密碼已經是其第一因素登入方法,因此無法做為第二個因素。 目前,單次密碼是外部租使用者中 MFA 唯一可用的方法。
必要條件
- Microsoft Entra 外部租使用者(如果您沒有租使用者,您可以開始 免費試用。
- 使用本機帳戶驗證方法設定為 [以密碼傳送電子郵件] 的註冊和登入使用者流程。
- 在您的外部租用戶中註冊的應用程式,已新增至註冊和登入使用者流程,並更新為指向使用者流程以進行驗證。
- 至少具有安全性 管理員 istrator 角色的帳戶,可設定條件式存取原則和 MFA。
建立條件式存取原則
在您的外部租使用者中建立條件式存取原則,以在用戶註冊或登入您的應用程式時提示使用者輸入 MFA。 (如需詳細資訊,請參閱 一般條件式存取原則:所有使用者都需要 MFA。
以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
如果您有多個租使用者的存取權,請使用頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至您的外部租使用者。
流覽至 Identity Protection>資訊安全中心。>
選取 [條件式存取>原則],然後選取 [新增原則]。
為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
在 [指派] 底下,選取 [使用者] 底下的連結。
a. 在 [ 包含] 索引標籤上,選取 [ 所有使用者]。
b. 在 [ 排除] 索引標籤上,選取 [使用者和群組 ],然後選擇您組織的緊急存取權或打破帳戶。
選取 [雲端應用程式] 或 [動作] 底下的連結。
a. 在 [包含] 索引標籤上,選擇下列其中一個選項:
選擇 [所有雲端應用程式]。
選擇 [選取應用程式],然後選取 [選取] 底下的連結。 尋找您的應用程式,加以選取,然後選擇 [ 選取]。
b. 在 [排除] 下,選取任何不需要多重要素驗證的應用程式。
在 [訪問控制] 底下,選取 [授與] 底下的連結。 選取 [ 授與存取權],選取 [ 需要多重要素驗證],然後選擇 [ 選取]。
確認您的設定,並將 [啟用原則] 設定為 [開啟]。
選取 [建立] 以建立並啟用您的原則。
啟用電子郵件一次性密碼作為 MFA 方法
為所有使用者啟用外部租使用者中的電子郵件單次密碼驗證方法。
以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 Identity Protection>驗證方法。>
在 [ 方法] 清單中,選取 [ 電子郵件 OTP]。
在 [啟用] 和 [目標] 下,開啟 [啟用] 切換開關。
在 [包含] 底下,選取 [目標] 旁的 [所有使用者]。
選取 [儲存]。
測試登入
在私人瀏覽器中,開啟您的應用程式,然後選取 [ 登入]。 系統應該會提示您輸入另一個驗證方法。