驗證強度對於限制對組織中敏感性應用程式的外部存取特別有用。 他們可以為外部使用者強制執行特定的身份驗證方法,例如防網路釣魚方法。
當您將條件式存取驗證強度原則套用至外部 Microsoft Entra 使用者時,原則會與跨租用戶存取設定中的多重要素驗證 (MFA) 信任設定搭配使用,以判斷外部使用者必須執行 MFA 的位置和方式。 Microsoft Entra 使用者會在 Microsoft Entra 主租用戶中驗證。 當使用者存取您的資源時,Microsoft Entra ID 會套用原則,並檢查您是否啟用 MFA 信任。
備註
啟用 MFA 信任是企業對企業 (B2B) 合作的選擇性項目,但 B2B 直接連線 需要啟用 MFA 信任。
在外部使用者案例中,可滿足驗證強度的驗證方法會有所不同,具體取決於使用者是在主租用戶還是資源租用戶中完成 MFA。 下表指出每個租戶中允許的方法。 如果資源租用戶選擇信任來自外部 Microsoft Entra 組織的宣告,則 MFA 的資源租用戶只會接受資料表的 [主租用戶] 資料行中列出的宣告。 如果資源租用戶停用 MFA 信任,外部使用者必須使用 [資源租用戶] 欄中列出的其中一種方法,在資源租用戶中完成 MFA。
| 驗證方法 | 住家租戶 | 資源租用者 |
|---|---|---|
| 以文字簡訊作為第二個要素 | ✅ | ✅ |
| 語音通話 | ✅ | ✅ |
| Microsoft Authenticator 推送通知 | ✅ | ✅ |
| Microsoft Authenticator 手機登入 | ✅ | |
| OATH 軟體權杖 | ✅ | ✅ |
| OATH 硬體令牌 | ✅ | |
| FIDO2 安全性金鑰 | ✅ | |
| Windows Hello 企業版 | ✅ | |
| 憑證式驗證 | ✅ |
如需如何設定外部使用者驗證強度的詳細資訊,請參閱 需要外部使用者的多重要素驗證強度。
外部使用者的使用者體驗
條件式存取驗證強度原則會與跨租用戶存取設定中的 MFA 信任設定 搭配使用。 首先,Microsoft Entra 使用者會在主租用戶中使用自己的帳戶進行驗證。 當使用者嘗試存取您的資源時,Microsoft Entra ID 會套用條件式存取驗證強度原則,並檢查您是否啟用 MFA 信任:
如果已啟用 MFA 信任:Microsoft Entra ID 會檢查使用者的驗證會話,以取得指出 MFA 已在使用者主租用戶中完成的宣告。 請參閱上表,以取得在外部使用者的主租用戶中完成時 MFA 可接受的驗證方法。
如果會話中包含聲明,指出使用者的主租用戶已符合 MFA 政策,且使用的方法滿足驗證強度需求,則允許使用者存取。 否則,Microsoft Entra ID 會向使用者提出挑戰,要求使用可接受的驗證方法在主租用戶(home tenant)中完成多重因素驗證 (MFA)。
如果停用 MFA 信任:Microsoft Entra ID 會要求使用者使用可接受的身份驗證方法,在資源租戶中完成 MFA 挑戰。 請參閱上表,以取得外部使用者可接受的 MFA 驗證方法。