Accesso condizionale per gli utenti di Collaborazione B2BConditional access for B2B collaboration users

Autenticazione a più fattori per gli utenti B2BMulti-factor authentication for B2B users

Con Collaborazione B2B di Azure AD, le organizzazioni possono applicare criteri di autenticazione a più fattori (MFA) per gli utenti B2B.With Azure AD B2B collaboration, organizations can enforce multi-factor authentication (MFA) policies for B2B users. Questi criteri possono essere applicati a livello di tenant, di app o di singolo utente, così come vengono abilitati per dipendenti a tempo pieno e membri dell'organizzazione.These policies can be enforced at the tenant, app, or individual user level, the same way that they are enabled for full-time employees and members of the organization. I criteri di autenticazione a più fattori (MFA) vengono applicati all'organizzazione delle risorse.MFA policies are enforced at the resource organization.

Esempio:Example:

  1. Un amministratore o un information worker della società A invita gli utenti della società B in un'applicazione Foo della società A.Admin or information worker in Company A invites user from company B to an application Foo in company A.
  2. L'applicazione Foo nella società A è configurata per richiedere l'autenticazione a più fattori all'accesso.Application Foo in company A is configured to require MFA on access.
  3. Quando l'utente della società B tenta di accedere all'app Foo nel tenant della società A, gli viene chiesto di completare una richiesta di autenticazione a più fattori.When the user from company B attempts to access app Foo in the company A tenant, they are asked to complete an MFA challenge.
  4. L'utente può configurare la propria autenticazione a più fattori con la società A e ne sceglie l'opzione MFA.The user can set up their MFA with company A, and chooses their MFA option.
  5. Questo scenario funziona per qualsiasi identità, ad esempio di Azure AD o account del servizio gestito, se gli utenti della società B eseguono l'autenticazione usando un ID per social network.This scenario works for any identity (Azure AD or MSA, for example, if users in Company B authenticate using social ID)
  6. La società A deve avere un numero sufficiente di licenze di Azure AD Premium che supportano l'autenticazione a più fattori.Company A must have sufficient Premium Azure AD licenses that support MFA. L'utente della società B utilizza la licenza della società A.The user from company B consumes this license from company A.

La tenancy che emette l'invito è sempre responsabile dell'autenticazione a più fattori degli utenti dell'organizzazione partner, anche se l'organizzazione partner ha funzionalità di autenticazione a più fattori.The inviting tenancy is always responsible for MFA for users from the partner organization, even if the partner organization has MFA capabilities.

Configurazione dell'autenticazione a più fattori per gli utenti di Collaborazione B2BSetting up MFA for B2B collaboration users

La configurazione di MFA per gli utenti di Collaborazione B2B è estremamente semplice, come illustrato nel video seguente:To discover how easy it is to set up MFA for B2B collaboration users, see how in the following video:

Esperienza di autenticazione a più fattori per gli utenti di B2B per il riscatto dell'offertaB2B users MFA experience for offer redemption

Guardare l'animazione seguente per visualizzare l'esperienza di riscatto:Check out the following animation to see the redemption experience:

Reimpostazione dell'autenticazione a più fattori per gli utenti di Collaborazione B2BMFA reset for B2B collaboration users

L'amministratore attualmente può richiedere agli utenti di Collaborazione B2B di ripetere l'identificazione solo usando i cmdlet di PowerShell seguenti:Currently, the admin can require B2B collaboration users to proof up again only by using the following PowerShell cmdlets:

  1. Connettersi ad Azure ADConnect to Azure AD

    $cred = Get-Credential
    Connect-MsolService -Credential $cred
    
  2. Ottenere tutti gli utenti con metodi di identificazioneGet all users with proof up methods

    Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
    

    Di seguito è fornito un esempio:Here is an example:

    Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
    
  3. Reimpostare il metodo di autenticazione a più fattori per un utente specifico in modo da richiedere all'utente di Collaborazione B2B di impostare di nuovo i metodi di identificazione.Reset the MFA method for a specific user to require the B2B collaboration user to set proof-up methods again. Esempio:Example:

    Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName gsamoogle_gmail.com#EXT#@ WoodGroveAzureAD.onmicrosoft.com
    

Perché si esegue un'autenticazione a più fattori nella tenancy delle risorse?Why do we perform MFA at the resource tenancy?

Nella versione corrente, l'autenticazione a più fattori è sempre nella tenancy delle risorse, per motivi di prevedibilità.In the current release, MFA is always in the resource tenancy, for reasons of predictability. Ad esempio, si supponga che un utente di Contoso (Sara) riceve un invito da Fabrikam e Fabrikam ha abilitato l'autenticazione a più fattori per gli utenti B2B.For example, let’s say a Contoso user (Sally) is invited to Fabrikam and Fabrikam has enabled MFA for B2B users.

Se Contoso ha abilitato i criteri di autenticazione a più fattori per App1 ma non per App2, esaminando l'attestazione MFA di Contoso nel token si potrebbe riscontrare il problema seguente.If Contoso has MFA policy enabled for App1 but not App2, then if we look at the Contoso MFA claim in the token, we might see the following issue:

  • Giorno 1: un utente con autenticazione a più fattori in Contoso accede ad App1 e non viene quindi visualizzata una richiesta MFA aggiuntiva in Fabrikam.Day 1: A user has MFA in Contoso and is accessing App1, then no additional MFA prompt is shown in Fabrikam.

  • Giorno 2: l'utente ha eseguito l'accesso ad App2 in Contoso e quando accede a Fabrikam deve eseguirvi la registrazione al servizio MFA.Day 2: The user has accessed App 2 in Contoso, so now when accessing Fabrikam, they must register for MFA there.

Questo processo può generare confusione e determinare una riduzione del numero di accessi completati.This process can be confusing and could lead to drop in sign-in completions.

In aggiunta, anche se Contoso ha una funzionalità di autenticazione a più fattori, non è sempre probabile che Fabrikam accetti i criteri di autenticazione a più fattori di Contoso.Moreover, even if Contoso has MFA capability, it is not always the case the Fabrikam would trust the Contoso MFA policy.

Infine, l'autenticazione a più fattori del tenant delle risorse funziona anche per account del servizio gestito, ID per social network e organizzazioni partner che non hanno configurato l'autenticazione a più fattori.Finally, resource tenant MFA also works for MSAs and social IDs and for partner orgs that do not have MFA set up.

Di conseguenza, per l'autenticazione a più fattori degli utenti B2B è consigliabile richiedere sempre l'autenticazione a più fattori nel tenant che emette l'invito.Therefore, the recommendation for MFA for B2B users is to always require MFA in the inviting tenant. Questo requisito potrebbe causare la duplicazione dell'autenticazione a più fattori in alcuni casi, ma l'esperienza degli utenti finali è prevedibile a ogni accesso al tenant che emette l'invito: l'utente deve eseguire la registrazione al servizio MFA con tale tenant.This requirement could lead to double MFA in some cases, but whenever accessing the inviting tenant, the end-users experience is predictable: Sally must register for MFA with the inviting tenant.

Accesso condizionale basato sul dispositivo, sulla posizione e sui rischi per gli utenti B2BDevice-based, location-based, and risk-based conditional access for B2B users

Quando Contoso abilita criteri di accesso condizionale basati sul dispositivo per i dati aziendali, viene impedito l'accesso da dispositivi non gestiti da Contoso e non conformi ai criteri dei dispositivi di Contoso.When Contoso enables device-based conditional access policies for their corporate data, access is prevented from devices that are not managed by Contoso and not compliant with the Contoso device policies.

Se il dispositivo dell'utente B2B non è gestito da Contoso, l'accesso degli utenti B2B delle organizzazioni partner viene bloccato in qualsiasi contesto vengano applicati i criteri.If the B2B user’s device isn't managed by Contoso, access of B2B users from the partner organizations is blocked in whatever context these policies are enforced. Contoso, tuttavia, può creare elenchi di esclusione contenenti gli utenti di partner specifici per escluderli dai criteri di accesso condizionale basati sul dispositivo.However, Contoso can create exclusion lists containing specific partner users to exclude them from the device-based conditional access policy.

Accesso condizionale basato sulla posizione per B2BLocation-based conditional access for B2B

I criteri di accesso condizionale basati sulla posizione possono essere applicati per gli utenti B2B se l'organizzazione che emette l'invito può creare un intervallo di indirizzi IP attendibili che definisce le organizzazioni partner.Location-based conditional access policies can be enforced for B2B users if the inviting organization is able to create a trusted IP address range that defines their partner organizations.

Accesso condizionale basato sui rischi per B2BRisk-based conditional access for B2B

Attualmente non è possibile applicare criteri di accesso basati sui rischi agli utenti B2B, perché la valutazione dei rischi viene eseguita nell'organizzazione principale dell'utente B2B.Currently, risk-based sign-in policies cannot be applied to B2B users because the risk evaluation is performed at the B2B user’s home organization.

Passaggi successiviNext steps

Vedere gli altri articoli su Azure AD B2B Collaboration.Browse our other articles on Azure AD B2B collaboration: