Oktatóanyag: Többtényezős hitelesítés kényszerítése a B2B-vendégfelhasználók számára
Ha külső B2B-vendégfelhasználókkal dolgozik együtt, érdemes többtényezős hitelesítési szabályzatokkal védeni az alkalmazásokat. Ilyen esetben ugyanis a külső felhasználók az erőforrásokat nem érhetik el csupán egy felhasználónév és egy jelszó használatával. A Microsoft Entra ID-ban ezt a célt egy feltételes hozzáférési szabályzattal érheti el, amely MFA-t igényel a hozzáféréshez. Az MFA-szabályzatok a bérlői, alkalmazás- vagy egyéni vendégfelhasználói szinten is kikényszeríthetők, ugyanúgy, mint a saját szervezet tagjai számára. Az erőforrás-bérlő mindig felelős a Microsoft Entra többtényezős hitelesítéséért a felhasználók számára, még akkor is, ha a vendégfelhasználó szervezete többtényezős hitelesítési képességekkel rendelkezik.
Példa:
- Az „A” cég egyik rendszergazdája vagy alkalmazottja azt kéri egy vendégfelhasználótól, hogy használjon egy olyan felhőalapú vagy helyszíni alkalmazást, amely kötelező MFA-használatra van konfigurálva.
- A vendégfelhasználó saját munkahelyi, iskolai vagy közösségi identitásával jelentkezik be.
- A felhasználót felkéri a rendszer, hogy végezze el a többtényezős hitelesítést.
- A felhasználó beállítja az „A” céghez tartozó MFA-hitelesítést, és elvégzi magának az MFA-beállításokat. A felhasználó hozzáférhet az alkalmazáshoz.
Feljegyzés
A Microsoft Entra többtényezős hitelesítése erőforrás-bérlőn történik a kiszámíthatóság biztosítása érdekében. Amikor a vendégfelhasználó bejelentkezik, a háttérben megjelenik az erőforrás-bérlő bejelentkezési lapja, valamint a saját otthoni bérlő bejelentkezési lapja és a cég emblémája az előtérben.
Az oktatóanyag során az alábbi lépéseket fogja végrehajtani:
- A bejelentkezési folyamat tesztelése az MFA beállítása előtt.
- Hozzon létre egy feltételes hozzáférési szabályzatot, amely MFA-t igényel egy felhőalkalmazáshoz való hozzáféréshez a környezetben. Ebben az oktatóanyagban a Windows Azure Service Management API alkalmazással mutatjuk be a folyamatot.
- A What If eszköz használata az MFA-bejelentkezés szimulációjához.
- Tesztelje a feltételes hozzáférési szabályzatot.
- A tesztfelhasználó és a szabályzat törlése.
Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.
Előfeltételek
Az oktatóanyag teljesítéséhez a következőkre lesz szüksége:
- Hozzáférés a Microsoft Entra ID P1 vagy P2 kiadásához, amely a feltételes hozzáférési szabályzat képességeit tartalmazza. Az MFA kényszerítéséhez létre kell hoznia egy Microsoft Entra feltételes hozzáférési szabályzatot. Az MFA-szabályzatok mindig érvénybe lépnek a szervezetben, függetlenül attól, hogy a partner rendelkezik-e MFA-képességekkel.
- Egy érvényes külső e-mail-fiók, amelyet vendégfelhasználóként hozzá tud majd adni a bérlői címtárhoz, és amellyel be lehet majd jelentkezni. Ha nem tudja, hogyan hozhat létre vendégfiókot, olvassa el a B2B-vendégfelhasználó hozzáadása a Microsoft Entra Felügyeleti központban című témakört.
Tesztvendég felhasználó létrehozása a Microsoft Entra-azonosítóban
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.
Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.
Válassza az Új felhasználó, majd a Külső felhasználó meghívása lehetőséget.
Az Alapszintű beállítások lap Identitásterületén adja meg a külső felhasználó e-mail-címét. Ha szeretné, adjon meg egy megjelenítendő nevet és egy üdvözlő üzenetet.
A Tulajdonságok és hozzárendelések lapon további részleteket is hozzáadhat a felhasználóhoz.
Válassza a Véleményezés + meghívás lehetőséget, ha automatikusan el szeretné küldeni a meghívót a vendégfelhasználónak. Megjelenik a Felhasználó meghívása sikerült üzenet.
Miután elküldte a meghívót, a felhasználói fiók automatikusan hozzáadódik a címtárhoz vendégként.
A bejelentkezési folyamat tesztelése az MFA beállítása előtt
- A teszt felhasználónevével és jelszavával jelentkezzen be a Microsoft Entra felügyeleti központjába.
- Csak a bejelentkezési hitelesítő adataival férhet hozzá a Microsoft Entra felügyeleti központhoz. Nincs szükség más hitelesítésre.
- Kijelentkezés.
MFA-t igénylő feltételes hozzáférési szabályzat létrehozása
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
Keresse meg az Identity>Protection>Security Centert.
A Védelem területen válassza a Feltételes hozzáférés lehetőséget.
A Feltételes hozzáférés lap tetején lévő eszköztáron válassza az Új szabályzat létrehozása lehetőséget.
Az Új lapon a Név szövegmezőben írja be az MFA kötelező a B2B portál eléréséhez szöveget.
A Hozzárendelések szakaszban válassza a Felhasználók és csoportok csoportban található hivatkozást.
A Felhasználók és csoportok lapon válassza a Felhasználók és csoportok kiválasztása, majd a Vendég vagy külső felhasználók lehetőséget. A szabályzatot különböző külső felhasználótípusokhoz, beépített címtárszerepkörökhöz vagy felhasználókhoz és csoportokhoz rendelheti.
A Hozzárendelések szakaszban válassza a felhőalkalmazások vagy műveletek alatti hivatkozást.
Válassza az Alkalmazások kijelölése lehetőséget, majd a Kiválasztás területen válassza a hivatkozást.
A Kiválasztás lapon válassza a Windows Azure Service Management API,majd a Kiválasztás lehetőséget.
Az Új lap Hozzáférés-vezérlők szakaszában válassza a Hivatkozás lehetőséget a Támogatás csoportban.
A Támogatás lapon válassza a Hozzáférés engedélyezése lehetőséget, jelölje be a Többtényezős hitelesítés megkövetelése jelölőnégyzetet, majd válassza a Kiválasztás lehetőséget.
A Szabályzat engedélyezése alatt válassza a Be lehetőséget.
Válassza a Létrehozás lehetőséget.
A What If lehetőség használata a bejelentkezés szimulációjára
A feltételes hozzáférésen | Szabályzatok lap, válassza a What If lehetőséget.
Válassza ki a Felhasználó alatti hivatkozást.
A keresőmezőbe írja be a tesztvendég felhasználó nevét. Válassza ki a felhasználót a keresési eredmények között, majd válassza a Kiválasztás lehetőséget.
Válassza ki a hivatkozást a Felhőalkalmazások, műveletek vagy hitelesítési tartalmak területen. Válassza az Alkalmazások kijelölése lehetőséget, majd a Kiválasztás területen válassza a hivatkozást.
A Felhőalkalmazások lapon az alkalmazások listájában válassza a Windows Azure Service Management API lehetőséget, majd válassza a Kiválasztás lehetőséget.
Válassza a What If lehetőséget, és ellenőrizze, hogy az új szabályzat megjelenik-e a Kiértékelési eredmények területen az alkalmazandó szabályzatok lapon.
A feltételes hozzáférési szabályzat tesztelése
A teszt felhasználónevével és jelszavával jelentkezzen be a Microsoft Entra felügyeleti központjába.
További hitelesítési módszerekre vonatkozó kérésnek kell megjelennie. Eltarthat egy ideig, mire a szabályzat érvénybe lép.
Feljegyzés
A bérlők közötti hozzáférési beállításokat úgy is konfigurálhatja, hogy megbízzanak az MFA-ben a Microsoft Entra otthoni bérlőjében. Ez lehetővé teszi, hogy a külső Microsoft Entra-felhasználók a saját bérlőjükben regisztrált MFA-t használják az erőforrás-bérlőben való regisztráció helyett.
Kijelentkezés.
Az erőforrások eltávolítása
Ha már nincs rá szükség, távolítsa el a tesztfelhasználót és a feltételes hozzáférési szabályzatot.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.
- Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.
- Válassza ki a tesztfelhasználót, majd utána a Felhasználó törlése lehetőséget.
- Keresse meg az Identity>Protection>Security Centert.
- A Védelem területen válassza a Feltételes hozzáférés lehetőséget.
- A Szabályzatnév listában válassza a tesztszabályzathoz tartozó helyi menüt (...), majd kattintson a Törlés lehetőségre. Válassza az Igen lehetőséget a megerősítéshez.
Következő lépések
Ebben az oktatóanyagban létrehozott egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy a vendégfelhasználók MFA-t használjanak az egyik felhőalkalmazásba való bejelentkezéskor. További információ a vendégfelhasználók együttműködéshez való hozzáadásáról: Microsoft Entra B2B együttműködési felhasználók hozzáadása az Azure Portalon.