將多重要素驗證 （MFA） 新增至應用程式

在 Microsoft Entra 外部 ID 外部租使用者中，您可以強制執行多重要素驗證（MFA），將一層安全性新增至取用者和企業客戶面向應用程式。 使用 MFA 時，每次使用者登入時，都必須提供電子郵件一次性密碼。 本文說明如何藉由建立 Microsoft Entra 條件式存取原則，並將 MFA 新增至您的註冊和登入使用者流程，為您的客戶強制執行 MFA。

重要

如果您想要啟用 MFA，請將本機帳戶驗證方法設定為 [以密碼傳送電子郵件]。 如果您將本機帳戶選項設定為 [使用單次密碼傳送電子郵件]，則使用此方法的客戶將無法登入，因為一次性密碼已經是其第一因素登入方法，因此無法做為第二個因素。 目前，單次密碼是外部租使用者中 MFA 唯一可用的方法。

提示

若要試用這項功能，請移至 Woodgrove Groceries 示範，然後啟動「多重要素驗證」使用案例。

必要條件

• Microsoft Entra 外部租使用者（如果您沒有租使用者，您可以開始 免費試用。
• 使用本機帳戶驗證方法設定為 [以密碼傳送電子郵件] 的註冊和登入使用者流程。
• 在您的外部租用戶中註冊的應用程式，已新增至註冊和登入使用者流程，並更新為指向使用者流程以進行驗證。
• 至少具有安全性 管理員 istrator 角色的帳戶，可設定條件式存取原則和 MFA。

建立條件式存取原則

在您的外部租使用者中建立條件式存取原則，以在用戶註冊或登入您的應用程式時提示使用者輸入 MFA。 （如需詳細資訊，請參閱 一般條件式存取原則：所有使用者都需要 MFA。

1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 如果您有多個租使用者的存取權，請使用頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的外部租使用者。

3. 流覽至 Identity Protection>資訊安全中心。>

4. 選取 [條件式存取>原則]，然後選取 [新增原則]。

   

5. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

6. 在 [指派] 底下，選取 [使用者] 底下的連結。

   a. 在 [ 包含] 索引標籤上，選取 [ 所有使用者]。

   b. 在 [ 排除] 索引標籤上，選取 [使用者和群組 ]，然後選擇您組織的緊急存取權或打破帳戶。

   

7. 選取 [雲端應用程式] 或 [動作] 底下的連結。

   a. 在 [包含] 索引標籤上，選擇下列其中一個選項：

   • 選擇 [所有雲端應用程式]。

   • 選擇 [選取應用程式]，然後選取 [選取] 底下的連結。 尋找您的應用程式，加以選取，然後選擇 [ 選取]。

   b. 在 [排除] 下，選取任何不需要多重要素驗證的應用程式。

   

8. 在 [訪問控制] 底下，選取 [授與] 底下的連結。 選取 [ 授與存取權]，選取 [ 需要多重要素驗證]，然後選擇 [ 選取]。

   

9. 確認您的設定，並將 [啟用原則] 設定為 [開啟]。

10. 選取 [建立] 以建立並啟用您的原則。

啟用電子郵件一次性密碼作為 MFA 方法

為所有使用者啟用外部租使用者中的電子郵件單次密碼驗證方法。

1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 Identity Protection>驗證方法。>

3. 在 [ 方法] 清單中，選取 [ 電子郵件 OTP]。

   

4. 在 [啟用] 和 [目標] 下，開啟 [啟用] 切換開關。

5. 在 [包含] 底下，選取 [目標] 旁的 [所有使用者]。

   

6. 選取 [儲存]。

測試登入

在私人瀏覽器中，開啟您的應用程式，然後選取 [ 登入]。 系統應該會提示您輸入另一個驗證方法。