Oktatóanyag: Többtényezős hitelesítés kényszerítése a B2B-vendégfelhasználók számára

  • Cikk

Ha külső B2B-vendégfelhasználókkal dolgozik együtt, érdemes többtényezős hitelesítési szabályzatokkal védeni az alkalmazásokat. Ilyen esetben ugyanis a külső felhasználók az erőforrásokat nem érhetik el csupán egy felhasználónév és egy jelszó használatával. A Microsoft Entra ID-ban ezt a célt egy feltételes hozzáférési szabályzattal érheti el, amely MFA-t igényel a hozzáféréshez. Az MFA-szabályzatok a bérlői, alkalmazás- vagy egyéni vendégfelhasználói szinten is kikényszeríthetők, ugyanúgy, mint a saját szervezet tagjai számára. Az erőforrás-bérlő mindig felelős a Microsoft Entra többtényezős hitelesítéséért a felhasználók számára, még akkor is, ha a vendégfelhasználó szervezete többtényezős hitelesítési képességekkel rendelkezik.

Példa:

Diagram showing a guest user signing into a company's apps.

  1. Az „A” cég egyik rendszergazdája vagy alkalmazottja azt kéri egy vendégfelhasználótól, hogy használjon egy olyan felhőalapú vagy helyszíni alkalmazást, amely kötelező MFA-használatra van konfigurálva.
  2. A vendégfelhasználó saját munkahelyi, iskolai vagy közösségi identitásával jelentkezik be.
  3. A felhasználót felkéri a rendszer, hogy végezze el a többtényezős hitelesítést.
  4. A felhasználó beállítja az „A” céghez tartozó MFA-hitelesítést, és elvégzi magának az MFA-beállításokat. A felhasználó hozzáférhet az alkalmazáshoz.

Feljegyzés

A Microsoft Entra többtényezős hitelesítése erőforrás-bérlőn történik a kiszámíthatóság biztosítása érdekében. Amikor a vendégfelhasználó bejelentkezik, a háttérben megjelenik az erőforrás-bérlő bejelentkezési lapja, valamint a saját otthoni bérlő bejelentkezési lapja és a cég emblémája az előtérben.

Az oktatóanyag során az alábbi lépéseket fogja végrehajtani:

  • A bejelentkezési folyamat tesztelése az MFA beállítása előtt.
  • Hozzon létre egy feltételes hozzáférési szabályzatot, amely MFA-t igényel egy felhőalkalmazáshoz való hozzáféréshez a környezetben. Ebben az oktatóanyagban a Windows Azure Service Management API alkalmazással mutatjuk be a folyamatot.
  • A What If eszköz használata az MFA-bejelentkezés szimulációjához.
  • Tesztelje a feltételes hozzáférési szabályzatot.
  • A tesztfelhasználó és a szabályzat törlése.

Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.

Előfeltételek

Az oktatóanyag teljesítéséhez a következőkre lesz szüksége:

  • Hozzáférés a Microsoft Entra ID P1 vagy P2 kiadásához, amely a feltételes hozzáférési szabályzat képességeit tartalmazza. Az MFA kényszerítéséhez létre kell hoznia egy Microsoft Entra feltételes hozzáférési szabályzatot. Az MFA-szabályzatok mindig érvénybe lépnek a szervezetben, függetlenül attól, hogy a partner rendelkezik-e MFA-képességekkel.
  • Egy érvényes külső e-mail-fiók, amelyet vendégfelhasználóként hozzá tud majd adni a bérlői címtárhoz, és amellyel be lehet majd jelentkezni. Ha nem tudja, hogyan hozhat létre vendégfiókot, olvassa el a B2B-vendégfelhasználó hozzáadása a Microsoft Entra Felügyeleti központban című témakört.

Tesztvendég felhasználó létrehozása a Microsoft Entra-azonosítóban

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.

  2. Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.

  3. Válassza az Új felhasználó, majd a Külső felhasználó meghívása lehetőséget.

    Screenshot showing where to select the new guest user option.

  4. Az Alapszintű beállítások lap Identitásterületén adja meg a külső felhasználó e-mail-címét. Ha szeretné, adjon meg egy megjelenítendő nevet és egy üdvözlő üzenetet.

    Screenshot showing where to enter the guest email.

  5. A Tulajdonságok és hozzárendelések lapon további részleteket is hozzáadhat a felhasználóhoz.

  6. Válassza a Véleményezés + meghívás lehetőséget, ha automatikusan el szeretné küldeni a meghívót a vendégfelhasználónak. Megjelenik a Felhasználó meghívása sikerült üzenet.

  7. Miután elküldte a meghívót, a felhasználói fiók automatikusan hozzáadódik a címtárhoz vendégként.

A bejelentkezési folyamat tesztelése az MFA beállítása előtt

  1. A teszt felhasználónevével és jelszavával jelentkezzen be a Microsoft Entra felügyeleti központjába.
  2. Csak a bejelentkezési hitelesítő adataival férhet hozzá a Microsoft Entra felügyeleti központhoz. Nincs szükség más hitelesítésre.
  3. Kijelentkezés.

MFA-t igénylő feltételes hozzáférési szabályzat létrehozása

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.

  2. Keresse meg az Identity>Protection>Security Centert.

  3. A Védelem területen válassza a Feltételes hozzáférés lehetőséget.

  4. A Feltételes hozzáférés lap tetején lévő eszköztáron válassza az Új szabályzat létrehozása lehetőséget.

  5. Az Új lapon a Név szövegmezőben írja be az MFA kötelező a B2B portál eléréséhez szöveget.

  6. A Hozzárendelések szakaszban válassza a Felhasználók és csoportok csoportban található hivatkozást.

  7. A Felhasználók és csoportok lapon válassza a Felhasználók és csoportok kiválasztása, majd a Vendég vagy külső felhasználók lehetőséget. A szabályzatot különböző külső felhasználótípusokhoz, beépített címtárszerepkörökhöz vagy felhasználókhoz és csoportokhoz rendelheti.

    Screenshot showing selecting all guest users.

  8. A Hozzárendelések szakaszban válassza a felhőalkalmazások vagy műveletek alatti hivatkozást.

  9. Válassza az Alkalmazások kijelölése lehetőséget, majd a Kiválasztás területen válassza a hivatkozást.

    Screenshot showing the Cloud apps page and the Select option.

  10. A Kiválasztás lapon válassza a Windows Azure Service Management API,majd a Kiválasztás lehetőséget.

  11. Az Új lap Hozzáférés-vezérlők szakaszában válassza a Hivatkozás lehetőséget a Támogatás csoportban.

  12. A Támogatás lapon válassza a Hozzáférés engedélyezése lehetőséget, jelölje be a Többtényezős hitelesítés megkövetelése jelölőnégyzetet, majd válassza a Kiválasztás lehetőséget.

    Screenshot showing the Require multifactor authentication option.

  13. A Szabályzat engedélyezése alatt válassza a Be lehetőséget.

    Screenshot showing the Enable policy option set to On.

  14. Válassza a Létrehozás lehetőséget.

A What If lehetőség használata a bejelentkezés szimulációjára

  1. A feltételes hozzáférésen | Szabályzatok lap, válassza a What If lehetőséget.

    Screenshot that highlights where to select the What if option on the Conditional Access - Policies page.

  2. Válassza ki a Felhasználó alatti hivatkozást.

  3. A keresőmezőbe írja be a tesztvendég felhasználó nevét. Válassza ki a felhasználót a keresési eredmények között, majd válassza a Kiválasztás lehetőséget.

    Screenshot showing a guest user selected.

  4. Válassza ki a hivatkozást a Felhőalkalmazások, műveletek vagy hitelesítési tartalmak területen. Válassza az Alkalmazások kijelölése lehetőséget, majd a Kiválasztás területen válassza a hivatkozást.

    Screenshot showing the Windows Azure Service Management API app selected.

  5. A Felhőalkalmazások lapon az alkalmazások listájában válassza a Windows Azure Service Management API lehetőséget, majd válassza a Kiválasztás lehetőséget.

  6. Válassza a What If lehetőséget, és ellenőrizze, hogy az új szabályzat megjelenik-e a Kiértékelési eredmények területen az alkalmazandó szabályzatok lapon.

    Screenshot showing the results of the What If evaluation.

A feltételes hozzáférési szabályzat tesztelése

  1. A teszt felhasználónevével és jelszavával jelentkezzen be a Microsoft Entra felügyeleti központjába.

  2. További hitelesítési módszerekre vonatkozó kérésnek kell megjelennie. Eltarthat egy ideig, mire a szabályzat érvénybe lép.

    Screenshot showing the More information required message.

    Feljegyzés

    A bérlők közötti hozzáférési beállításokat úgy is konfigurálhatja, hogy megbízzanak az MFA-ben a Microsoft Entra otthoni bérlőjében. Ez lehetővé teszi, hogy a külső Microsoft Entra-felhasználók a saját bérlőjükben regisztrált MFA-t használják az erőforrás-bérlőben való regisztráció helyett.

  3. Kijelentkezés.

Az erőforrások eltávolítása

Ha már nincs rá szükség, távolítsa el a tesztfelhasználót és a feltételes hozzáférési szabályzatot.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.
  2. Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.
  3. Válassza ki a tesztfelhasználót, majd utána a Felhasználó törlése lehetőséget.
  4. Keresse meg az Identity>Protection>Security Centert.
  5. A Védelem területen válassza a Feltételes hozzáférés lehetőséget.
  6. A Szabályzatnév listában válassza a tesztszabályzathoz tartozó helyi menüt (...), majd kattintson a Törlés lehetőségre. Válassza az Igen lehetőséget a megerősítéshez.

Következő lépések

Ebben az oktatóanyagban létrehozott egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy a vendégfelhasználók MFA-t használjanak az egyik felhőalkalmazásba való bejelentkezéskor. További információ a vendégfelhasználók együttműködéshez való hozzáadásáról: Microsoft Entra B2B együttműködési felhasználók hozzáadása az Azure Portalon.