Share via

Zelfstudie: Meervoudige verificatie afdwingen voor B2B-gastgebruikers

  • Artikel

Wanneer u samenwerkt met externe B2B-gastgebruikers, is het een goed idee om uw apps te beveiligen met meervoudig verificatiebeleid. Externe gebruikers hebben dan meer nodig dan alleen een gebruikersnaam en wachtwoord om toegang te krijgen tot uw resources. In Microsoft Entra ID kunt u dit doel bereiken met een beleid voor voorwaardelijke toegang waarvoor MFA is vereist voor toegang. MFA-beleid kan worden afgedwongen op tenant-, app- of afzonderlijke gastgebruikersniveau, op dezelfde manier als voor leden van uw eigen organisatie. De resourcetenant is altijd verantwoordelijk voor meervoudige verificatie van Microsoft Entra voor gebruikers, zelfs als de organisatie van de gastgebruiker multifactor-verificatiemogelijkheden heeft.

Voorbeeld:

Diagram showing a guest user signing into a company's apps.

  1. Een beheerder of medewerker van bedrijf A nodigt een gastgebruiker uit om een cloud- of on-premises toepassing te gebruiken die zodanig is geconfigureerd dat MFA nodig is voor toegang.
  2. De gastgebruiker meldt zich aan met de identiteit van zijn eigen werk, school of organisatie.
  3. De gebruiker wordt gevraagd om een MFA-controle in te vullen.
  4. De gebruiker configureert de MFA voor bedrijf A en kiest hun MFA-optie. De gebruiker krijgt toegang tot de toepassing.

Notitie

Microsoft Entra meervoudige verificatie wordt uitgevoerd bij resourcetenancy om voorspelbaarheid te garanderen. Wanneer de gastgebruiker zich aanmeldt, ziet deze de aanmeldingspagina van de tenant van de bron op de achtergrond en de eigen aanmeldingspagina van de home tenant en het bedrijfslogo op de voorgrond.

In deze zelfstudie leert u het volgende:

  • De aanmeldingservaring testen vóór de MFA-configuratie.
  • Een voorwaardelijk toegangsbeleid maken waarbij MFA is vereist voor toegang tot een cloud-app in uw omgeving. In deze zelfstudie gebruiken we de Windows Azure Service Management API-app om het proces te illustreren.
  • Het What If-hulpprogramma gebruiken om de aanmelding bij MFA te simuleren.
  • Uw beleid voor voorwaardelijke toegang testen.
  • Testgebruiker en beleid opschonen.

Als u nog geen abonnement op Azure hebt, maakt u een gratis account aan voordat u begint.

Vereisten

Voor het voltooien van het scenario in deze zelfstudie hebt u het volgende nodig:

  • Toegang tot Microsoft Entra ID P1 of P2, waaronder mogelijkheden voor beleid voor voorwaardelijke toegang. Als u MFA wilt afdwingen, moet u een Microsoft Entra-beleid voor voorwaardelijke toegang maken. MFA-beleid wordt altijd afgedwongen in uw organisatie, ongeacht of de partner MFA-mogelijkheden heeft.
  • Een geldig extern e-mailaccount dat u aan uw tenant-directory als gastgebruiker kunt toevoegen en voor aanmelding kunt gebruiken. Als u niet weet hoe u een gastaccount maakt, raadpleegt u Een B2B-gastgebruiker toevoegen in het Microsoft Entra-beheercentrum.

Een testgastgebruiker maken in Microsoft Entra ID

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruiker Beheer istrator.

  2. Blader naar Identiteit>Gebruikers>Alle gebruikers.

  3. Selecteer Nieuwe gebruiker en selecteer externe gebruiker uitnodigen.

    Screenshot showing where to select the new guest user option.

  4. Voer onder Identiteit op het tabblad Basis het e-mailadres van de externe gebruiker in. Voeg eventueel een weergavenaam en welkomstbericht toe.

    Screenshot showing where to enter the guest email.

  5. U kunt desgewenst meer details toevoegen aan de gebruiker op de tabbladen Eigenschappen en Toewijzingen .

  6. Selecteer Beoordelen en uitnodigen om de uitnodiging automatisch naar de gastgebruiker te verzenden. Het bericht Gebruiker is uitgenodigd verschijnt.

  7. Nadat u de uitnodiging hebt verzonden, wordt het gebruikersaccount automatisch als gast aan de directory toegevoegd.

De aanmeldingservaring testen vóór de MFA-configuratie

  1. Gebruik de gebruikersnaam en het wachtwoord van uw test om u aan te melden bij het Microsoft Entra-beheercentrum.
  2. U moet toegang hebben tot het Microsoft Entra-beheercentrum met alleen uw aanmeldingsreferenties. Er is geen andere verificatie vereist.
  3. Afmelden.

Een voorwaardelijk toegangsbeleid maken waarbij MFA is vereist

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheer istrator voor voorwaardelijke toegang.

  2. Blader naar Identity>Protection>Security Center.

  3. Selecteer onder Beveiligen de optie Voorwaardelijke toegang.

  4. Selecteer op de pagina Voorwaardelijke toegang in de werkbalk bovenaan het selectievakje Nieuw beleid maken.

  5. Typ op de pagina Nieuw in het tekstvak Naam de tekst MFA afdwingen voor B2B-toegang tot de portal.

  6. Kies in de sectie Toewijzingen de koppeling onder Gebruikers en groepen.

  7. Kies op de pagina Gebruikers en groepen de optie Gebruikers en groepen selecteren en kies vervolgens Gast- of externe gebruikers. U kunt het beleid toewijzen aan verschillende typen externe gebruikers, ingebouwde directoryrollen of gebruikers en groepen.

    Screenshot showing selecting all guest users.

  8. Kies in de sectie Toewijzingen de koppeling onder Cloud-apps of -acties.

  9. Kies Apps selecteren en kies vervolgens de koppeling onder Selecteren.

    Screenshot showing the Cloud apps page and the Select option.

  10. Kies op de pagina Selecteren de Windows Azure Service Management-API en kies vervolgens Selecteren.

  11. Kies op de pagina Nieuw in de sectie Toegangsbeheer de koppeling onder Verlenen.

  12. Kies toegang verlenen op de pagina Verlenen, schakel het selectievakje Meervoudige verificatie vereisen in en kies Selecteren.

    Screenshot showing the Require multifactor authentication option.

  13. Selecteer onder Beleid inschakelen de optie Aan.

    Screenshot showing the Enable policy option set to On.

  14. Selecteer Maken.

De What If-optie gebruiken om de aanmelding te simuleren

  1. Voorwaardelijke toegang | Pagina Beleid, selecteer What If.

    Screenshot that highlights where to select the What if option on the Conditional Access - Policies page.

  2. Selecteer de koppeling onder Gebruiker.

  3. Typ in het zoekvak de naam van uw testgastgebruiker. Kies de gebruiker in de zoekresultaten en kies Selecteren.

    Screenshot showing a guest user selected.

  4. Selecteer de koppeling onder Cloud-apps, acties of verificatie-inhoud. Kies Apps selecteren en kies vervolgens de koppeling onder Selecteren.

    Screenshot showing the Windows Azure Service Management API app selected.

  5. Kies op de pagina Cloud-apps in de lijst met toepassingen de Windows Azure Service Management-API en kies vervolgens Selecteren.

  6. Kies What If en controleer of uw nieuwe beleid wordt weergegeven onder Evaluatieresultaten op het tabblad Beleid dat van toepassing is.

    Screenshot showing the results of the What If evaluation.

Uw beleid voor voorwaardelijke toegang testen

  1. Gebruik de gebruikersnaam en het wachtwoord van uw test om u aan te melden bij het Microsoft Entra-beheercentrum.

  2. U ziet nu een aanvraag voor meer verificatiemethoden. Het kan enige tijd duren voordat het beleid van kracht wordt.

    Screenshot showing the More information required message.

    Notitie

    U kunt ook instellingen voor toegang tussen tenants configureren om de MFA te vertrouwen vanuit de Microsoft Entra-tenant voor thuisgebruik. Hierdoor kunnen externe Microsoft Entra-gebruikers de MFA gebruiken die is geregistreerd in hun eigen tenant in plaats van zich te registreren in de resourcetenant.

  3. Afmelden.

Resources opschonen

Verwijder de testgebruiker en het testbeleid voor voorwaardelijke toegang als deze niet langer nodig zijn.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruiker Beheer istrator.
  2. Blader naar Identiteit>Gebruikers>Alle gebruikers.
  3. Selecteer de testgebruiker en selecteer vervolgens Gebruiker verwijderen.
  4. Blader naar Identity>Protection>Security Center.
  5. Selecteer onder Beveiligen de optie Voorwaardelijke toegang.
  6. Selecteer in de lijst Beleidsnaam het contextmenu (…) voor uw testbeleid, en selecteer vervolgens Verwijderen. Selecteer Ja om te bevestigen.

Volgende stappen

In deze zelfstudie hebt u een voorwaardelijk toegangsbeleid gemaakt dat gastgebruikers voorschrijft om MFA te gebruiken wanneer ze zich aanmelden bij een van uw cloud-apps. Zie Microsoft Entra B2B-samenwerkingsgebruikers toevoegen in Azure Portal voor meer informatie over het toevoegen van gastgebruikers voor samenwerking.