將多重要素驗證 (MFA) 新增至應用程式
適用於:
Workforce 租用戶 
外部租用戶 (深入了解)
多重要素驗證 (MFA) 藉由要求使用者在註冊或登入期間提供第二種方法來驗證其身分識別,為您的應用程式新增一層安全性。 外部租用戶支援兩種驗證方法作為第二個因數:
- 電子郵件一次性密碼:當使用者使用其電子郵件和密碼登入之後,系統會提示他們輸入傳送至其電子郵件的密碼。 若要允許使用 MFA 的電子郵件單次密碼,請將本機帳戶驗證方法設定為 [使用密碼傳送電子郵件]。 如果您選擇 電子郵件加一次性密碼,將此方法用於主要登入的客戶將無法將它用於 MFA 次要驗證。
- SMS 型驗證:雖然 SMS 不是第一層驗證的選項,但它可作為 MFA 的第二個因素。 使用電子郵件和密碼、電子郵件和一次性密碼或 Google 或 Facebook 等社交身分識別登入的使用者,系統會使用 SMS 提示進行第二次驗證。 我們的SMS MFA 包含自動詐騙檢查。 如果我們懷疑是詐騙,則會要求使用者完成 CAPTCHA 以確認他們不是機器人,然後再傳送簡訊碼進行驗證。 簡訊是附加功能。 必須將租用戶連結到有效的有效訂用帳戶。 深入了解
本文說明如何藉由建立 Microsoft Entra 條件式存取原則,以及將 MFA 新增至註冊和登入使用者流程,來為客戶強制執行 MFA。
必要條件
- 外部租用戶的 Microsoft Entra ID。
- 註冊和登入使用者流程。
- 在您的外部租戶中註冊並新增到註冊和登入使用者流程的應用程式。
- 至少需要一個具有安全性系統管理員角色的帳戶,以設定條件式存取原則和 MFA。
- 簡訊是附加功能,需要已連結的訂用帳戶。 如果訂用帳戶到期或取消,終端使用者將無法再使用簡訊進行驗證,這可能會視 MFA 原則而定,防止他們登入。
建立條件式存取原則
在您的外部租用戶中建立條件式存取原則,以在使用者註冊或登入您的應用程式時,提示使用者進行 MFA。 (如需詳細資訊,請參閱常見的條件式存取原則:要求所有使用者都使用 MFA)。
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
如果您有權存取多個租用戶,請使用頂端功能表中的 [設定] 圖示
,從 [目錄 + 訂用帳戶] 功能表切換至您的外部租用戶。瀏覽至 保護>條件性存取>政策,然後選擇 新增政策。
為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
在 [指派] 下方,選取 [使用者] 底下的連結。
a. 在 [包含] 索引標籤上,選取 [所有使用者]。
b. 在 [排除] 索引標籤上,選取 [使用者和群組],然後選擇您組織的緊急存取或急用帳戶。 然後選擇 [選取]。
在 目標資源下選擇連結。
a. 在 [包含] 索引標籤中,選擇下列其中一個選項:
選擇 [所有資源] (先前為 [所有雲端應用程式] 。
選擇 [選取資源],然後選取 [選取] 底下的連結。 尋找並選取應用程式,然後選擇 [選取]。
b. 在 排除 標籤中,選取任何不需要多重要素驗證的應用程式。
在 [存取控制] 下,選取 [授與] 底下的連結。 選取 [授與存取權],然後選取 [需要多重要素驗證],接著選取 [選取]。
確認您的設定,並將 [啟用原則] 設定為 [開啟]。
選取 [建立] 以建立並啟用您的原則。
啟用電子郵件一次性密碼作為 MFA 方法
在外部租用戶中,為所有使用者啟用電子郵件一次性密碼驗證方法。
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 保護>驗證方法。
在 [方法] 清單中,選取 [電子郵件 OTP]。
在 [啟用和目標] 下,開啟 [啟用] 切換。
在 [包含] 下方的 [目標] 旁,選取 [所有使用者]。
選取 [儲存]。
啟用簡訊作為 MFA 方法
為所有使用者在外部租用戶中啟用簡訊驗證方法。
以至少安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 保護>驗證方法。
在 方法 列表中,選擇 SMS。
在 [啟用和目標] 下,開啟 [啟用] 切換。
在 [包含] 下方的 [目標] 旁,選取 [所有使用者]。
選取儲存。
測試登入
在私人瀏覽器中開啟您的應用程式,然後選取 [登入]。 系統應該會提示您使用另一個驗證方法。