Autentikasi dan Akses Bersyarat untuk External Identities
Saat pengguna eksternal mengakses sumber daya di organisasi Anda, alur autentikasi ditentukan oleh metode kolaborasi (kolaborasi B2B atau koneksi langsung B2B), penyedia identitas pengguna (penyewa Microsoft Azure AD eksternal, penyedia identitas sosial, dll.), kebijakan Akses Bersyarat, dan pengaturan akses lintas penyewa yang dikonfigurasi baik di penyewa utama pengguna maupun sumber daya hosting penyewa.
Artikel ini menjelaskan alur autentikasi untuk pengguna eksternal yang mengakses sumber daya di organisasi Anda. Organisasi dapat menerapkan beberapa kebijakan Akses Bersyarat untuk pengguna eksternal mereka, yang dapat diterapkan di tingkat penyewa, aplikasi, atau pengguna individual dengan cara yang sama seperti diaktifkan untuk karyawan penuh waktu dan anggota organisasi.
Alur autentikasi untuk pengguna AAD eksternal
Diagram berikut mengilustrasikan alur autentikasi saat organisasi Azure AD berbagi sumber daya dengan pengguna dari organisasi AAD lainnya. Diagram ini menunjukkan cara kerja pengaturan akses lintas penyewa dengan kebijakan Akses Bersyarat, seperti autentikasi multifaktor (MFA), untuk menentukan apakah pengguna dapat mengakses sumber daya. Alur ini berlaku untuk kolaborasi B2B sekaligus koneksi langsung B2B, kecuali sebagaimana tercantum pada langkah 6.
| Langkah | Deskripsi |
|---|---|
| 1 | Pengguna dari Fabrikam ( penyewa rumah pengguna) memulai kredensial masuk ke sumber daya di Contoso ( penyewa sumber daya). |
| 2 | Selama kredensial masuk, layanan token keamanan AAD mengevaluasi kebijakan Akses Bersyarat Contoso. Ini juga memeriksa apakah pengguna Fabrikam diizinkan mengakses dengan mengevaluasi pengaturan akses lintas penyewa (pengaturan keluar Fabrikam dan pengaturan masuk Contoso). |
| 3 | AAD memeriksa pengaturan kepercayaan masuk Contoso untuk melihat apakah Contoso mempercayai klaim MFA dan perangkat (kepatuhan perangkat, status gabungan Azure AD hibrid) dari Fabrikam. Jika tidak, lewati ke langkah 6. |
| 4 | Jika Contoso memercayai MFA dan klaim perangkat dari Fabrikam, Azure AD memeriksa sesi autentikasi pengguna untuk indikasi bahwa pengguna telah menyelesaikan MFA. Jika Contoso mempercayai informasi perangkat dari Fabrikam, Azure AD mencari klaim dalam sesi autentikasi yang menunjukkan status perangkat (patuh atau Azure AD hibrid bergabung). |
| 5 | Jika MFA diperlukan tetapi tidak selesai, atau jika klaim perangkat tidak diberikan, Azure AD mengeluarkan MFA dan tantangan perangkat di penyewa rumah pengguna sesuai kebutuhan. Ketika MFA dan persyaratan perangkat terpenuhi di Fabrikam, pengguna diizinkan mengakses sumber daya di Contoso. Jika pemeriksaan tidak dapat dipenuhi, akses diblokir. |
| 6 | Ketika tidak ada pengaturan kepercayaan yang dikonfigurasi dan MFA diperlukan, pengguna kolaborasi B2B diminta untuk MFA, yang perlu mereka penuhi di penyewa sumber daya. Akses diblokir untuk pengguna koneksi langsung B2B. Jika kepatuhan perangkat diperlukan tetapi tidak dapat dievaluasi, akses diblokir untuk pengguna kolaborasi B2B maupun pengguna koneksi langsung B2B. |
Untuk informasi selengkapnya, lihat bagian Akses Bersyarat untuk pengguna eksternal.
Alur autentikasi untuk pengguna eksternal non-AAD
Saat organisasi AAD berbagi sumber daya dengan pengguna eksternal dengan penyedia identitas selain AAD, alur autentikasi bergantung pada apakah pengguna melakukan autentikasi dengan IdP atau dengan autentikasi kode sandi email sekali pakai. Dalam kedua kasus, penyewa sumber daya mengidentifikasi metode autentikasi mana yang akan digunakan, dan kemudian mengalihkan pengguna ke IdP mereka atau mengeluarkan kode sandi sekali pakai.
Contoh 1: Alur autentikasi dan token untuk pengguna eksternal non-AAD
Diagram berikut mengilustrasikan alur autentikasi saat pengguna eksternal masuk dengan akun dari penyedia identitas non-AAD, seperti Google, Facebook, atau IdP SAML/WS-Fed federasi.
)
| Langkah | Deskripsi |
|---|---|
| 1 | Pengguna tamu B2B meminta akses ke sumber daya. Sumber daya mengalihkan pengguna ke penyewa sumber dayanya, IdP tepercaya. |
| 2 | Penyewa sumber daya mengidentifikasi pengguna sebagai eksternal dan mengalihkan pengguna ke IdP pengguna tamu B2B. Pengguna melakukan autentikasi utama dalam IdP. |
| 3 | Kebijakan otorisasi dievaluasi di IdP pengguna tamu B2B. Jika pengguna memenuhi kebijakan ini, IdP pengguna tamu B2B akan mengeluarkan token kepada pengguna. Pengguna dialihkan kembali ke penyewa sumber daya dengan token. Penyewa sumber daya memvalidasi token dan kemudian mengevaluasi pengguna terhadap kebijakan Akses Bersyaratnya. Misalnya, penyewa sumber daya dapat mengharuskan pengguna untuk melakukan MFA AAD. |
| 4 | Pengaturan akses lintas penyewa masuk dan kebijakan Akses Bersyarat dievaluasi. Jika semua kebijakan terpenuhi, penyewa sumber daya mengeluarkan token dan mengarahkan pengguna ke sumber dayanya. |
Contoh 2: Alur autentikasi dan token untuk pengguna kode sandi sekali pakai
Diagram berikut mengilustrasikan alur saat autentikasi kode sandi email sekali pakai diaktifkan dan pengguna eksternal tidak diautentikasi melalui cara lain, seperti Azure AD, akun Microsoft, atau IdP sosial.
| Langkah | Deskripsi |
|---|---|
| 1 | Pengguna meminta akses ke sumber daya di penyewa lain. Sumber daya mengalihkan pengguna ke penyewa sumber dayanya, IdP tepercaya. |
| 2 | Penyewa sumber daya mengidentifikasi pengguna sebagai pengguna kode sandi satu kali (OTP) email eksternal dan mengirim email dengan OTP kepada pengguna. |
| 3 | Pengguna mengambil OTP dan mengirimkan kode. Penyewa sumber daya mengevaluasi pengguna terhadap kebijakan Akses Bersyaratnya. |
| 4 | Setelah semua kebijakan Akses bersyarat terpenuhi, penyewa sumber daya mengeluarkan token dan mengalihkan pengguna ke sumber dayanya. |
Akses Bersyarat untuk pengguna eksternal
Organisasi dapat menerapkan kebijakan Akses Bersyarat untuk kolaborasi B2B eksternal dan pengguna koneksi langsung B2B dengan cara yang sama seperti yang diaktifkan untuk karyawan penuh waktu dan anggota organisasi. Dengan diperkenalkannya pengaturan akses lintas penyewa, Anda juga dapat mempercayai MFA dan klaim perangkat dari organisasi Azure AD eksternal. Bagian ini menjelaskan pertimbangan penting untuk menerapkan Akses Bersyarat ke pengguna di luar organisasi Anda.
MFA untuk pengguna eksternal Azure AD
Dalam skenario lintas penyewa Azure AD, organisasi sumber daya dapat membuat kebijakan Akses Bersyarat yang memerlukan kepatuhan MFA atau perangkat untuk semua tamu dan pengguna eksternal. Umumnya, pengguna kolaborasi B2B yang mengakses sumber daya kemudian diminta untuk menyiapkan Azure AD MFA mereka dengan penyewa sumber daya. Namun, Azure AD sekarang menawarkan kemampuan untuk mempercayai klaim MFA dari penyewa Azure AD lainnya. Mengaktifkan kepercayaan MFA dengan penyewa lain menyederhanakan proses masuk untuk pengguna kolaborasi B2B dan memungkinkan akses untuk pengguna koneksi langsung B2B.
Jika Anda telah mengonfigurasi pengaturan kepercayaan masuk untuk menerima klaim MFA dari kolaborasi B2B atau penyewa rumah pengguna koneksi langsung B2B, Azure AD memeriksa sesi autentikasi pengguna. Jika sesi berisi klaim yang menunjukkan bahwa kebijakan MFA telah terpenuhi di penyewa rumah pengguna, pengguna diberikan masuk tanpa hambatan ke sumber daya bersama Anda.
Jika kepercayaan MFA tidak diaktifkan, pengalaman pengguna berbeda untuk pengguna kolaborasi B2B dan pengguna koneksi langsung B2B:
Pengguna kolaborasi B2B: Jika organisasi sumber daya belum mengaktifkan kepercayaan MFA dengan penyewa rumah pengguna, pengguna akan mendapatkan tantangan MFA dari organisasi sumber daya. (Alurnya sama dengan alur MFA untuk pengguna eksternal non-Azure AD.)
Pengguna koneksi langsung B2B: Jika organisasi sumber daya belum mengaktifkan kepercayaan MFA dengan penyewa rumah pengguna, pengguna diblokir agar tidak mengakses sumber daya. Jika Anda ingin mengizinkan B2B terhubung langsung dengan organisasi eksternal dan kebijakan Akses Bersyarat Anda memerlukan MFA, Anda harus mengonfigurasi setelan kepercayaan masuk untuk menerima klaim MFA dari organisasi.
Pelajari selengkapnya tentang cara mengonfigurasi pengaturan kepercayaan masuk untuk MFA.
MFA untuk pengguna eksternal non-Azure AD
Untuk pengguna eksternal non-Azure AD, penyewa sumber daya selalu bertanggung jawab atas MFA. Berikut ini adalah contoh alur MFA yang khas. Skenario ini berfungsi untuk identitas apa pun, termasuk MSA atau ID sosial. Alur ini juga berlaku untuk pengguna eksternal Azure AD saat Anda belum mengonfigurasi setelan kepercayaan dengan organisasi Azure AD rumah mereka.
Seorang admin atau pekerja informasi di perusahaan bernama Fabrikam mengundang pengguna dari perusahaan lain bernama Contoso untuk menggunakan aplikasi Fabrikam.
Aplikasi Fabrikam dikonfigurasi untuk memerlukan Azure AD MFA saat mengakses.
Ketika pengguna kolaborasi B2B dari Contoso mencoba mengakses aplikasi Fabrikam, mereka diminta untuk menyelesaikan tantangan Azure AD Multifactor Authentication.
Pengguna tamu kemudian dapat mengatur Azure AD Multifactor Authentication mereka dengan Fabrikam dan memilih opsi.
Fabrikam harus memiliki lisensi Microsoft Azure Active Directory premium yang mendukung Azure Active Directory Multifactor Authentication. Pengguna dari Contoso kemudian menggunakan lisensi ini dari Fabrikam. Lihat model tagihan untuk identitas eksternal Microsoft Azure Active Directory untuk informasi tentang lisensi B2B.
Catatan
MFA selesai pada sewa sumber daya untuk memastikan prediktabilitas. Saat pengguna tamu masuk, mereka akan melihat halaman masuk penyewa sumber daya yang ditampilkan di latar belakang, dan halaman masuk penyewa rumah dan logo perusahaan mereka sendiri di latar depan.
Reset Azure AD Multifactor Authentication (bukti) untuk pengguna kolaborasi B2B
Cmdlet PowerShell berikut tersedia untuk pemeriksaan atau meminta pendaftaran MFA dari pengguna kolaborasi B2B.
Hubungkan ke Azure AD:
$cred = Get-Credential Connect-MsolService -Credential $credDapatkan semua pengguna dengan metode bukti:
Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}Contohnya:
Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}Reset metode Azure AD Multifactor Authentication agar pengguna tertentu mengharuskan pengguna mengatur metode bukti lagi, misalnya:
Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName gsamoogle_gmail.com#EXT#@ WoodGroveAzureAD.onmicrosoft.com
Kepatuhan perangkat dan kebijakan perangkat gabungan Azure AD hibrid
Organisasi dapat menggunakan kebijakan Akses Bersyarat untuk mengharuskan perangkat pengguna dikelola oleh Microsoft Intune. Kebijakan tersebut dapat memblokir akses pengguna eksternal, karena pengguna eksternal tidak dapat mendaftarkan perangkat mereka yang tidak dikelola dengan organisasi sumber daya. Perangkat hanya dapat dikelola oleh penyewa rumah pengguna.
Namun, Anda dapat menggunakan pengaturan kepercayaan perangkat untuk membuka blokir pengguna eksternal sambil tetap memerlukan perangkat terkelola. Di pengaturan akses lintas penyewa, Anda dapat memilih untuk mempercayai klaim dari penyewa rumah pengguna eksternal tentang apakah perangkat pengguna memenuhi kebijakan kepatuhan perangkat mereka atau hibrid Azure AD bergabung. Anda dapat mengatur pengaturan kepercayaan perangkat untuk semua organisasi Azure AD atau organisasi individual.
Saat pengaturan kepercayaan perangkat diaktifkan, Azure AD memeriksa sesi autentikasi pengguna untuk klaim perangkat. Jika sesi berisi klaim perangkat yang menunjukkan bahwa kebijakan telah terpenuhi di penyewa rumah pengguna, pengguna eksternal diberikan masuk tanpa hambatan ke sumber daya bersama Anda.
Penting
- Kecuali Anda bersedia mempercayai klaim mengenai kepatuhan perangkat atau status gabungan Azure AD hibrid dari penyewa rumah pengguna eksternal, kami tidak menyarankan untuk menerapkan kebijakan Akses Bersyarat yang mengharuskan pengguna eksternal menggunakan perangkat terkelola.
Filter perangkat
Saat membuat kebijakan Akses Bersyarat untuk pengguna eksternal, Anda dapat mengevaluasi kebijakan berdasarkan atribut perangkat dari perangkat yang terdaftar di Azure AD. Dengan menggunakan ketentuan filter untuk perangkat, Anda dapat menargetkan perangkat tertentu menggunakan operator dan properti yang didukung dan ketentuan penetapan lain yang tersedia dalam kebijakan Akses Bersyarat Anda.
Filter perangkat dapat digunakan bersama dengan pengaturan akses lintas penyewa untuk mendasarkan kebijakan pada perangkat yang dikelola di organisasi lain. Misalnya, Anda ingin memblokir perangkat dari penyewa Azure AD eksternal berdasarkan atribut perangkat tertentu. Anda dapat menyiapkan kebijakan berbasis atribut perangkat dengan melakukan hal berikut:
- Konfigurasikan pengaturan akses lintas penyewa Anda untuk mempercayai klaim perangkat dari organisasi tersebut.
- Tetapkan atribut perangkat yang ingin Anda gunakan untuk pemfilteran ke salah satu atribut ekstensi perangkat yang didukung.
- Buat kebijakan Akses Bersyarat dengan filter perangkat yang memblokir akses ke perangkat yang berisi atribut tersebut.
Pelajari selengkapnya tentang pemfilteran untuk perangkat dengan Akses Bersyarat.
Kebijakan manajemen aplikasi perangkat bergerak
Kami tidak menyarankan untuk mewajibkan kebijakan perlindungan aplikasi untuk pengguna eksternal. Kontrol pemberian Akses Bersyarat seperti Memerlukan aplikasi klien yang disetujui dan Memerlukan kebijakan perlindungan aplikasi mengharuskan perangkat didaftarkan di penyewa sumber daya. Kontrol ini hanya dapat diterapkan ke perangkat iOS dan Android. Karena perangkat pengguna hanya dapat dikelola oleh penyewa rumah mereka, kontrol ini tidak dapat diterapkan ke pengguna tamu eksternal.
Akses Bersyarat Berbasis Lokasi
Kebijakan berbasis lokasi berdasarkan rentang IP dapat diberlakukan jika organisasi yang mengundang dapat membuat rentang alamat IP tepercaya yang menentukan organisasi mitra mereka.
Kebijakan juga dapat diberlakukan berdasarkan lokasi geografis.
Akses Bersyarat Berbasis Risiko
Kebijakan risiko masuk diterapkan jika pengguna tamu eksternal memenuhi kontrol pemberian. Misalnya, organisasi dapat memerlukan Azure Active Directory MFA untuk risiko masuk sedang atau tinggi. Namun, jika pengguna sebelumnya belum mendaftar untuk Azure Active Directory MFA di penyewa sumber daya, pengguna akan diblokir. Ini dilakukan untuk mencegah pengguna jahat mendaftarkan info masuk Azure Active Directory MFA mereka sendiri jika membahayakan kata sandi pengguna yang sah.
Namun Kebijakan risiko pengguna tidak dapat diselesaikan dalam penyewa sumber daya. Misalnya, jika Anda memerlukan perubahan kata sandi untuk pengguna tamu eksternal yang berisiko tinggi, mereka akan diblokir karena ketidakmampuan untuk mengatur ulang kata sandi di direktori sumber daya.
Kondisi aplikasi klien Access bersyarat
Kondisi aplikasi klien berperilaku sama untuk pengguna tamu B2B seperti yang mereka lakukan untuk jenis pengguna lainnya. Misalnya, Anda dapat mencegah pengguna tamu menggunakan protokol autentikasi lama.
Kontrol sesi Akses Bersyarat
Kontrol sesi berperilaku sama untuk pengguna tamu B2B seperti yang mereka lakukan untuk tipe pengguna lain.
Perlindungan identitas dan kebijakan risiko pengguna
Perlindungan Identitas mendeteksi mandat yang disusupi untuk pengguna Azure AD dan menandai akun pengguna yang mungkin disusupi sebagai "berisiko". Sebagai penyewa sumber daya, Anda dapat menerapkan kebijakan risiko pengguna ke pengguna eksternal untuk memblokir proses masuk berisiko. Untuk pengguna eksternal, risiko pengguna dievaluasi di direktori asal mereka. Risiko masuk secara real-time untuk pengguna ini dievaluasi di direktori sumber daya ketika mereka mencoba mengakses sumber daya. Namun, karena identitas pengguna eksternal ada di direktori beranda mereka, berikut ini adalah batasan:
- Jika pengguna eksternal memicu kebijakan risiko pengguna Perlindungan Identitas untuk memaksa reset kata sandi, mereka diblokir karena tidak dapat mengatur ulang kata sandi mereka di organisasi sumber daya.
- Laporan pengguna berisiko organisasi sumber daya tidak akan mencerminkan pengguna eksternal karena evaluasi risiko terjadi di direktori beranda pengguna eksternal.
- Admin di organisasi sumber daya tidak dapat menutup atau memulihkan pengguna eksternal berisiko karena mereka tidak memiliki akses ke direktori asal pengguna B2B.
Anda dapat mencegah pengguna eksternal terpengaruh oleh kebijakan berbasis risiko dengan membuat grup di Azure AD yang berisi semua pengguna eksternal organisasi Anda. Selanjutnya, tambahkan grup ini sebagai pengecualian untuk risiko pengguna perlindungan identitas bawaan Anda dan kebijakan risiko masuk, serta kebijakan Akses Bersyarat apa pun yang menggunakan risiko masuk sebagai suatu kondisi.
Untuk informasi selengkapnya, lihat Perlindungan Identitas dan pengguna B2B.
Langkah berikutnya
Untuk informasi lebih lanjut, baca artikel berikut: