Hoe de sterkte van verificatie voor voorwaardelijke toegang werkt voor externe gebruikers
Het beleid voor verificatiemethoden is met name handig voor het beperken van externe toegang tot gevoelige apps in uw organisatie, omdat u specifieke verificatiemethoden, zoals phishingbestendige methoden, kunt afdwingen voor externe gebruikers.
Wanneer u beleid voor voorwaardelijke toegang op basis van verificatiesterkte toepast op externe Microsoft Entra-gebruikers, werkt het beleid samen met MFA-vertrouwensinstellingen in uw instellingen voor toegang tussen tenants om te bepalen waar en hoe de externe gebruiker MFA moet uitvoeren. Een Microsoft Entra-gebruiker verifieert zich in zijn eigen Microsoft Entra-tenant. Wanneer ze vervolgens toegang hebben tot uw resource, past Microsoft Entra ID het beleid toe en controleert u of u MFA-vertrouwensrelatie hebt ingeschakeld. Houd er rekening mee dat het inschakelen van een MFA-vertrouwensrelatie optioneel is voor B2B-samenwerking, maar is vereist voor directe B2B-verbinding.
In scenario's voor externe gebruikers variëren de verificatiemethoden die aan de verificatiesterkte kunnen voldoen, afhankelijk van of de gebruiker MFA in de thuistenant of de resourcetenant voltooit. De volgende tabel geeft de toegestane methoden in elke tenant aan. Als een resourcetenant heeft gekozen voor het vertrouwen van claims van externe Microsoft Entra-organisaties, worden alleen de claims die worden vermeld in de kolom 'Thuistenant' hieronder geaccepteerd door de resourcetenant voor MFA. Als de resourcetenant MFA-vertrouwen heeft uitgeschakeld, moet de externe gebruiker MFA in de resourcetenant voltooien met behulp van een van de methoden die worden vermeld in de kolom Resourcetenant.
| Verificatiemethode | Thuistenant | Resourcetenant |
|---|---|---|
| Tekstbericht als tweede factor | ✅ | ✅ |
| Spraakoproep | ✅ | ✅ |
| Pushmelding van Microsoft Authenticator | ✅ | ✅ |
| Aanmelden bij Microsoft Authenticator-telefoon | ✅ | |
| OATH-softwaretoken | ✅ | ✅ |
| OATH-hardware beveiligingstoken | ✅ | |
| FIDO2-beveiligingssleutel | ✅ | |
| Windows Hello voor Bedrijven | ✅ | |
| Verificatie op basis van certificaat | ✅ |
Zie Voorwaardelijke toegang: Een verificatiesterkte vereisen voor externe gebruikers voor meer informatie over het instellen van verificatiesterkten voor externe gebruikers.
Gebruikerservaring voor externe gebruikers
Een beleid voor voorwaardelijke toegang met verificatiesterkte werkt samen met MFA-vertrouwensinstellingen in uw toegangsinstellingen voor meerdere tenants. Eerst verifieert een Microsoft Entra-gebruiker zich met zijn eigen account in zijn eigen tenant. Wanneer deze gebruiker vervolgens toegang probeert te krijgen tot uw resource, past Microsoft Entra ID het beleid voor voorwaardelijke toegang van de verificatiesterkte toe en controleert of u MFA-vertrouwensrelatie hebt ingeschakeld.
- Als MFA-vertrouwensrelatie is ingeschakeld, controleert Microsoft Entra-id de verificatiesessie van de gebruiker op een claim die aangeeft dat MFA is voldaan in de thuistenant van de gebruiker. Zie de voorgaande tabel voor verificatiemethoden die acceptabel zijn voor MFA wanneer deze zijn voltooid in de basistenant van een externe gebruiker. Als de sessie een claim bevat die aangeeft dat aan de MFA-beleidsregels al is voldaan in de basistenant van de gebruiker en de methoden voldoen aan de vereisten voor verificatiesterkte, heeft de gebruiker toegang toegestaan. Anders biedt Microsoft Entra ID de gebruiker een uitdaging om MFA in de thuistenant te voltooien met behulp van een acceptabele verificatiemethode.
- Als de MFA-vertrouwensrelatie is uitgeschakeld, biedt Microsoft Entra-id de gebruiker een uitdaging om MFA in de resourcetenant te voltooien met behulp van een acceptabele verificatiemethode. Zie de voorgaande tabel voor verificatiemethoden die acceptabel zijn voor MFA door een externe gebruiker.