Esercitazione: Applicare l'autenticazione a più fattori per gli utenti guest B2B

  • Articolo

Quando si collabora con utenti guest B2B esterni, è consigliabile proteggere le app con criteri di autenticazione a più fattori. Per gli utenti esterni non saranno sufficienti un nome utente e una password per accedere alle risorse. In Microsoft Entra ID è possibile raggiungere questo obiettivo con un criterio di accesso condizionale che richiede l'autenticazione a più fattori per l'accesso. I criteri di autenticazione a più fattori possono essere applicati a livello di tenant, app o utente guest singolo, allo stesso modo in cui sono abilitati per i membri della propria organizzazione. Il tenant delle risorse è sempre responsabile dell'autenticazione a più fattori di Microsoft Entra per gli utenti, anche se l'organizzazione dell'utente guest dispone di funzionalità di autenticazione a più fattori.

Esempio:

Diagram showing a guest user signing into a company's apps.

  1. Un amministratore o un dipendente della Società A invita un utente guest a usare un'applicazione cloud o locale configurata per richiedere l'autenticazione MFA per l'accesso.
  2. L'utente guest accede con la propria identità aziendale, dell'istituto di istruzione o di social networking.
  3. All'utente viene richiesto di completare una richiesta di autenticazione MFA.
  4. L'utente configura l'autenticazione MFA con la Società A e ne sceglie l'opzione MFA. All'utente viene consentito l'accesso all'applicazione.

Nota

L'autenticazione a più fattori Di Microsoft Entra viene eseguita nella tenancy delle risorse per garantire la prevedibilità. Quando l'utente guest accede, viene visualizzata la pagina di accesso del tenant della risorsa in background e la pagina di accesso del tenant principale e il logo aziendale in primo piano.

Questa esercitazione illustra come:

  • Testare l'esperienza di accesso prima della configurazione di MFA.
  • Creare criteri di accesso condizionale che richiedano MFA per l'accesso a un'app cloud nell'ambiente. In questa esercitazione si userà l'app per le API di Gestione dei servizi di Windows Azure per illustrare il processo.
  • Usare lo strumento What If per simulare l'accesso MFA.
  • Testare i criteri di accesso condizionale.
  • Eliminare l'utente e i criteri di test.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Prerequisiti

Per completare lo scenario in questa esercitazione, sono necessari gli elementi seguenti:

  • Accesso a Microsoft Entra ID P1 o P2 Edition, che include funzionalità dei criteri di accesso condizionale. Per applicare l'autenticazione a più fattori, è necessario creare un criterio di accesso condizionale di Microsoft Entra. I criteri di autenticazione a più fattori vengono sempre applicati all'organizzazione, indipendentemente dal fatto che il partner disponga di funzionalità MFA.
  • Un account di posta elettronica esterno valido che è possibile aggiungere alla directory del tenant come utente guest e usarlo per accedere. Se non si sa come creare un account guest, vedere Aggiungere un utente guest B2B nell'interfaccia di amministrazione di Microsoft Entra.

Creare un utente guest di test in Microsoft Entra ID

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un utente Amministrazione istrator.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Selezionare Nuovo utente e quindi Invita utente esterno.

    Screenshot showing where to select the new guest user option.

  4. In Identità nella scheda Informazioni di base immettere l'indirizzo di posta elettronica dell'utente esterno. Facoltativamente, includere un nome visualizzato e un messaggio di benvenuto.

    Screenshot showing where to enter the guest email.

  5. Facoltativamente, è possibile aggiungere altri dettagli all'utente nelle schede Proprietà e assegnazioni .

  6. Selezionare Rivedi e invita per inviare automaticamente l'invito all'utente guest. Viene visualizzato il messaggio L'utente è stato invitato.

  7. Dopo aver inviato l'invito, l'account utente viene automaticamente aggiunto alla directory come guest.

Testare l'esperienza di accesso prima della configurazione di MFA

  1. Usare il nome utente e la password di test per accedere all'interfaccia di amministrazione di Microsoft Entra.
  2. Dovrebbe essere possibile accedere all'interfaccia di amministrazione di Microsoft Entra usando solo le credenziali di accesso. Non sono necessarie altre autenticazioni.
  3. Disconnettersi.

Creare criteri di accesso condizionale che richiedano MFA

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.

  2. Passare al Centro sicurezza di Identity>Protection.>

  3. In Protezione selezionare Accesso condizionale.

  4. Nella barra degli strumenti nella parte superiore della pagina Accesso condizionale selezionare Crea nuovi criteri.

  5. Nella pagina Nuovo digitare Richiedi MFA per l'accesso al portale B2B nella casella di testo Nome.

  6. Nella sezione Assegnazioni scegliere il collegamento in Utenti e gruppi.

  7. Nella pagina Utenti e gruppi scegliere Seleziona utenti e gruppi e quindi scegliere Utenti guest o utenti esterni. È possibile assegnare i criteri a diversi tipi di utente esterni, ruoli della directory predefiniti o utenti e gruppi.

    Screenshot showing selecting all guest users.

  8. Nella sezione Assegnazioni scegliere il collegamento in App o azioni cloud.

  9. Scegliere Seleziona app e quindi scegliere il collegamento in Seleziona.

    Screenshot showing the Cloud apps page and the Select option.

  10. Nella pagina Seleziona scegliere API gestione dei servizi di Windows Azure e quindi scegliere Seleziona.

  11. Nella sezione Controlli di accesso della pagina Nuovo scegliere il collegamento in Concedi.

  12. Nella pagina Concedi scegliere Concedi accesso, selezionare la casella di controllo Richiedi autenticazione a più fattori e quindi scegliere Seleziona.

    Screenshot showing the Require multifactor authentication option.

  13. In Abilita criterio selezionare .

    Screenshot showing the Enable policy option set to On.

  14. Seleziona Crea.

Usare l'opzione What If per simulare l'accesso

  1. Nell'accesso condizionale | Pagina Criteri , selezionare What If.

    Screenshot that highlights where to select the What if option on the Conditional Access - Policies page.

  2. Selezionare il collegamento in Utente.

  3. Nella casella di ricerca digitare il nome dell'utente guest di test. Scegliere l'utente nei risultati della ricerca e quindi scegliere Seleziona.

    Screenshot showing a guest user selected.

  4. Selezionare il collegamento in App cloud, azioni o contenuto di autenticazione. Scegliere Seleziona app e quindi scegliere il collegamento in Seleziona.

    Screenshot showing the Windows Azure Service Management API app selected.

  5. Nell'elenco delle applicazioni della pagina App cloud scegliere API gestione dei servizi di Windows Azure e quindi scegliere Seleziona.

  6. Scegliere What If e verificare che il nuovo criterio venga visualizzato in Risultati valutazione nella scheda Criteri che verranno applicati .

    Screenshot showing the results of the What If evaluation.

Testare i criteri di accesso condizionale

  1. Usare il nome utente e la password di test per accedere all'interfaccia di amministrazione di Microsoft Entra.

  2. Verrà visualizzata una richiesta per altri metodi di autenticazione. L'applicazione del criterio può richiedere del tempo.

    Screenshot showing the More information required message.

    Nota

    È anche possibile configurare le impostazioni di accesso tra tenant per considerare attendibile l'autenticazione a più fattori dal tenant home di Microsoft Entra. In questo modo gli utenti esterni di Microsoft Entra possono usare l'autenticazione a più fattori registrata nel proprio tenant anziché registrarsi nel tenant delle risorse.

  3. Disconnettersi.

Pulire le risorse

Quando non sono più necessari, eliminare l'utente e i criteri di accesso condizionale di test.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un utente Amministrazione istrator.
  2. Passare a Identità>Utenti>Tutti gli utenti.
  3. Selezionare l'utente di test e quindi selezionare Elimina utente.
  4. Passare al Centro sicurezza di Identity>Protection.>
  5. In Protezione selezionare Accesso condizionale.
  6. Nell'elenco Nome criteri selezionare il menu di scelta rapida (...) per i criteri di test e quindi scegliere Elimina. Seleziona per confermare.

Passaggi successivi

In questa esercitazione sono stati creati criteri di accesso condizionale che richiedono agli utenti guest di usare MFA per l'accesso a una delle app cloud. Per altre informazioni sull'aggiunta di utenti guest per la collaborazione, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra B2B nel portale di Azure.