共用方式為

教學課程:強制執行 B2B 來賓使用者的多重要素驗證

  • 發行項

適用於具有白色核取記號的綠色圓圈。員工租用戶內含灰色 X 符號的白色圓圈。外部租用戶 (深入了解)

與外部 B2B 來賓使用者共同作業時,使用多重要素驗證原則來保護您的應用程式做法相當不錯。 接著,外部使用者在存取您的資源時,不僅只是需要使用者名稱和密碼。 在 Microsoft Entra ID中,您可使用需要 MFA 進行存取的條件式存取原則達成此目標。 MFA 原則可以在租用戶、應用程式或個別來賓使用者層級上施行,方式就像針對您自己組織的成員啟用這些原則一樣。 資源租用戶一律負責使用者進行r Microsoft Entra 多重要素驗證,即使來賓使用者的組織有多重要素驗證功能。

範例:

顯示來賓使用者登入公司應用程式的圖表。

  1. A 公司的系統管理員或員工邀請某位來賓使用者使用已設定為要求使用 MFA 進行存取的雲端或內部部署應用程式。
  2. 來賓使用者以自己的工作、學校或社交身分識別登入。
  3. 系統要求使用者完成 MFA 挑戰。
  4. 使用者設定與 A 公司搭配使用的 MFA,然後選擇其 MFA 選項。 系統允許使用者存取應用程式。

注意

Microsoft Entra 多重要素驗證是在資源租用期間完成,以確保可預測性。 來賓使用者登入時,將會看到在背景顯示資源租用戶登入頁面,並在前景看到自己的主租用戶登入頁面和公司標誌。

在此教學課程中,您需要:

  • 在設定 MFA 之前先測試登入體驗。
  • 建立要求使用 MFA 來存取您環境中雲端應用程式的條件式存取原則。 在此教學課程中,我們將使用「Microsoft Azure 服務管理 API」應用程式來說明程序。
  • 使用 What If 工具來模擬 MFA 登入。
  • 測試您的條件式存取原則。
  • 清除測試使用者和原則。

如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶

必要條件

若要完成本教學課程中的案例,您需要:

  • Microsoft Entra ID P1 或 P2 版的存取權,包含條件式存取原則功能。 若要強制執行 MFA,您必須建立 Microsoft Entra 條件式存取原則。 不論合作夥伴是否具備 MFA 功能,MFA 原則一律會在您的組織中施行。
  • 一個可供您新增至租用戶目錄作為來賓使用者並用來登入的有效外部電子郵件帳戶。 如果您不知道如何建立來賓帳戶,請參閱在 Microsoft Entra 系統管理中心新增 Microsoft Entra B2B 共同作業使用者 (部分機器翻譯)。

在 Microsoft Entra ID 中建立測試來賓使用者

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

  1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。

  3. 選取 [新增使用者],然後選取 [邀請外部使用者]

    顯示選取新來賓使用者選項位置的螢幕擷取畫面。

  4. 在「基本資料」索引標籤的「身分識別」底下,輸入外部使用者的電子郵件地址。 或者,納入顯示名稱和歡迎訊息。

    顯示輸入來賓電子郵件位置的螢幕擷取畫面。

  5. 或者,您可以在「屬性」和「指派」索引標籤底下,將進一步的詳細資料新增至使用者。

  6. 選取 [檢閱 + 邀請] 即可將邀請自動傳送給來賓使用者。 將會顯示「已成功邀請使用者」訊息。

  7. 傳送邀請後,使用者帳戶將作為訪客自動新增到目錄中。

在設定 MFA 之前先測試登入體驗

  1. 使用您的測試使用者名稱和密碼來登入 Microsoft Entra 系統管理中心
  2. 您應該能夠只使用登入認證來存取 Microsoft Entra 系統管理中心。 不需要其他驗證。
  3. 登出。

建立要求使用 MFA 的條件式存取原則

  1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [保護] > [條件式存取] > [原則]

  3. 選取 [新增原則]

  4. 為您的原則命名,例如 需要 MFA 才能存取 B2B 入口網站。 建議組織針對其原則的名稱建立有意義的標準。

  5. 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]

    1. 在 [包含] 下,選擇 [選取使用者和群組],然後選取 [來賓或外部使用者]。 您可以將原則指派給不同的外部使用者類型、內建目錄角色或是使用者和群組。

    選取所有來賓使用者的螢幕擷取畫面。

  6. [目標資源資源>(先前稱為雲端應用程式)>包含>選取資源] 下,選擇 [Windows Azure 服務管理 API],然後選取 [選取]。

    顯示雲端應用程式頁面和 [選取] 選項的螢幕擷取畫面。

  7. 在 [存取控制]>[授與] 底下選取 [授與存取權] 和 [需要多重要素驗證],然後選取 [選取]

    顯示需要多重要素驗證選項的螢幕擷取畫面。

  8. 在 [啟用原則] 下,選取 [開啟]

  9. 選取 建立

使用 What If 選項來模擬登入

  1. 在 [條件式存取] | [原則] 頁面上,選取 [What If]

    螢幕擷取畫面:醒目提示可在 [條件式存取 - 原則] 頁面上的何處選取 [What If] 選項。

  2. 選取 [使用者] 下的連結。

  3. 在 [搜尋] 方塊中,輸入測試來賓使用者的名稱。 在搜尋結果中選取 [使用者],然後選擇 [選取]

    顯示已選取來賓使用者的螢幕擷取畫面。

  4. 選取 雲端應用程式、動作或驗證內容下的連結。 選擇 [選取資源],然後選擇 [選取] 底下的連結。

    顯示已選取應用程式的螢幕擷取畫面。

  5. 在「雲端應用程式」頁面的應用程式清單中,選取 [Windows Azure 服務管理 API],然後選擇 [選取]

  6. 選取 [What If],然後確認您的新原則出現在 [評估結果] 底下的 [會套用的原則] 索引標籤上。

    顯示 What If 評估結果的螢幕擷取畫面。

測試條件式存取原則

  1. 使用您的測試使用者名稱和密碼來登入 Microsoft Entra 系統管理中心

  2. 您應該會看到需要更多驗證方法的要求。 原則可能需要一些時間才會生效。

    顯示「需要更多資訊」訊息的螢幕擷取畫面。

    注意

    您也可以設定跨租用戶存取設定,以信任來自 Microsoft Entra 主租用戶的 MFA。 這可讓外部 Microsoft Entra 使用者在自己的租用戶中註冊,而不是在資源租用戶中註冊的 MFA。

  3. 登出。

清除資源

當您不再需要測試使用者和測試條件式存取原則時,請將其移除。

  1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。

  3. 選取測試使用者,然後選取 [刪除使用者]

  4. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  5. 瀏覽至 [保護] > [條件式存取] > [原則]

  6. 在 [原則名稱] 清單中,選取您測試原則的操作功能表 (...),然後選取 [刪除]。 選取以確認。

後續步驟

在此教學課程中,您已建立要求來賓使用者登入其中一個雲端應用程式時使用 MFA 的條件式存取原則。 若要深入了解如何新增共同作業的來賓使用者,請參閱在 Microsoft Entra 系統管理中心新增 Microsoft Entra B2B 共同作業使用者 (部分機器翻譯)。