Włącz uwierzytelnianie wieloskładnikowe w usłudze Azure Active Directory B2C

Przed rozpoczęciem użyj selektora Wybierz typ zasad, aby wybrać typ konfigurowanych zasad. Usługa Azure Active Directory B2C oferuje dwie metody definiowania sposobu interakcji użytkowników z aplikacjami: za pomocą wstępnie zdefiniowanych przepływów użytkowników lub w pełni konfigurowalnych zasad niestandardowych. Kroki wymagane w tym artykule są różne dla każdej metody.

Usługa Azure Active Directory B2C (Azure AD B2C) integruje się bezpośrednio z uwierzytelnianiem wieloskładnikowym firmy Microsoft, dzięki czemu można dodać drugą warstwę zabezpieczeń do środowisk rejestracji i logowania w aplikacjach. Uwierzytelnianie wieloskładnikowe można włączyć bez konieczności pisania pojedynczego wiersza kodu. Jeśli utworzono już przepływy rejestracji i logowania użytkowników, nadal możesz włączyć uwierzytelnianie wieloskładnikowe.

Ta funkcja ułatwia aplikacjom obsługę scenariuszy, takich jak:

• Nie wymagasz uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do jednej aplikacji, ale wymagasz dostępu do innej aplikacji. Na przykład klient może zalogować się do aplikacji ubezpieczenia automatycznego przy użyciu konta społecznego lub lokalnego, ale musi sprawdzić numer telefonu przed uzyskaniem dostępu do aplikacji ubezpieczenia domowego zarejestrowanej w tym samym katalogu.
• Nie wymagasz uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do aplikacji, ale wymagasz od niej dostępu do poufnych części w niej. Na przykład klient może zalogować się do aplikacji bankowej przy użyciu konta społecznościowego lub lokalnego i sprawdzić saldo konta, ale musi sprawdzić numer telefonu przed podjęciem próby przelewu bankowego.

Wymagania wstępne

• Utwórz przepływ użytkownika, aby użytkownicy mogli zarejestrować się i zalogować się do aplikacji.
• Rejestrowanie aplikacji internetowej.

• Wykonaj kroki opisane w artykule Wprowadzenie do zasad niestandardowych w usłudze Active Directory B2C
• Rejestrowanie aplikacji internetowej.

Metody weryfikacji

W przypadku dostępu warunkowego użytkownicy mogą lub nie mogą być kwestionowani w przypadku uwierzytelniania wieloskładnikowego w oparciu o decyzje dotyczące konfiguracji, które można podjąć jako administrator. Metody uwierzytelniania wieloskładnikowego to:

• Wiadomość e-mail — podczas logowania do użytkownika jest wysyłana wiadomość e-mail weryfikacyjna zawierająca hasło jednorazowe (OTP). Użytkownik udostępnia kod OTP, który został wysłany w wiadomości e-mail.
• Wiadomość SMS lub rozmowa telefoniczna — podczas pierwszego rejestracji lub logowania użytkownik jest proszony o podanie i zweryfikowanie numeru telefonu. Podczas kolejnych logowania użytkownik jest monitowany o wybranie opcji Wyślij kod lub Zadzwoń do mnie za pomocą uwierzytelniania wieloskładnikowego. W zależności od wybranego przez użytkownika wiadomość SMS jest wysyłana lub do zweryfikowanego numeru telefonu jest wysyłana rozmowa telefoniczna w celu zidentyfikowania użytkownika. Użytkownik udostępnia kod OTP wysyłany za pośrednictwem wiadomości SMS lub zatwierdza połączenie telefoniczne.
• Telefon tylko połączenie — działa w taki sam sposób jak opcja SMS lub rozmowa telefoniczna, ale jest wykonywane tylko połączenie telefoniczne.
• Tylko wiadomość SMS — działa tak samo jak w przypadku opcji SMS lub połączenia telefonicznego, ale wysyłana jest tylko wiadomość SMS.
• Aplikacja Authenticator — TOTP — użytkownik musi zainstalować aplikację uwierzytelniającą, która obsługuje weryfikację hasła jednorazowego (TOTP, time-based time password), taką jak aplikacja Microsoft Authenticator, na urządzeniu, którego jest właścicielem. Podczas pierwszego tworzenia konta lub logowania użytkownik skanuje kod QR lub wprowadza kod ręcznie przy użyciu aplikacji authenticator. Podczas kolejnych logowania użytkownik wpisze kod TOTP wyświetlany w aplikacji authenticator. Zobacz , jak skonfigurować aplikację Microsoft Authenticator.

Ważne

Aplikacja Authenticator — protokół TOTP zapewnia silniejsze zabezpieczenia niż wiadomości SMS/Telefon, a poczta e-mail jest najmniej bezpieczna. Uwierzytelnianie wieloskładnikowe oparte na programie SMS/Telefon powoduje naliczanie oddzielnych opłat od normalnego modelu cenowego usługi Azure AD B2C MAU.

Ustawianie uwierzytelniania wieloskładnikowego

1. Zaloguj się w witrynie Azure Portal.

2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy usługi Azure AD B2C z menu Katalogi i subskrypcje.

3. W menu po lewej stronie wybierz pozycję Azure AD B2C. Możesz też wybrać pozycję Wszystkie usługi i wyszukać i wybrać pozycję Azure AD B2C.

4. Wybierz pozycję Przepływy użytkownika.

5. Wybierz przepływ użytkownika, dla którego chcesz włączyć uwierzytelnianie wieloskładnikowe. Na przykład B2C_1_signinsignup.

6. Wybierz Właściwości.

7. W sekcji Uwierzytelnianie wieloskładnikowe wybierz żądany typ metody. Następnie w obszarze Wymuszanie uwierzytelniania wieloskładnikowego wybierz opcję:

   • Wyłączone — uwierzytelnianie wieloskładnikowe nigdy nie jest wymuszane podczas logowania, a użytkownicy nie są monitowani o zarejestrowanie się w usłudze MFA podczas rejestracji lub logowania.

   • Zawsze włączone — uwierzytelnianie wieloskładnikowe jest zawsze wymagane, niezależnie od konfiguracji dostępu warunkowego. Podczas rejestracji użytkownicy są monitowani o zarejestrowanie się w usłudze MFA. Jeśli podczas logowania użytkownicy nie są jeszcze zarejestrowani w usłudze MFA, zostanie wyświetlony monit o zarejestrowanie.

   • Warunkowe — podczas rejestracji i logowania użytkownicy są monitowani o zarejestrowanie się w usłudze MFA (zarówno nowych użytkowników, jak i istniejących użytkowników, którzy nie są zarejestrowani w usłudze MFA). Podczas logowania uwierzytelnianie wieloskładnikowe jest wymuszane tylko wtedy, gdy wymagana jest aktywna ocena zasad dostępu warunkowego:

     • Jeśli wynik jest wyzwaniem uwierzytelniania wieloskładnikowego bez ryzyka, uwierzytelnianie wieloskładnikowe jest wymuszane. Jeśli użytkownik nie jest jeszcze zarejestrowany w usłudze MFA, zostanie wyświetlony monit o zarejestrowanie.
     • Jeśli wynikiem jest wyzwanie uwierzytelniania wieloskładnikowego ze względu na ryzyko , a użytkownik nie jest zarejestrowany w usłudze MFA, logowanie zostanie zablokowane.

   Uwaga

   • Dzięki ogólnej dostępności dostępu warunkowego w usłudze Azure AD B2C użytkownicy są teraz monitowani o zarejestrowanie się w metodzie MFA podczas rejestracji. Wszystkie przepływy użytkowników rejestracji utworzone przed ogólną dostępnością nie będą automatycznie odzwierciedlać tego nowego zachowania, ale możesz uwzględnić zachowanie, tworząc nowe przepływy użytkowników.
   • W przypadku wybrania pozycji Warunkowe należy również dodać dostęp warunkowy do przepływów użytkownika i określić aplikacje, do których mają być stosowane zasady.
   • Uwierzytelnianie wieloskładnikowe jest domyślnie wyłączone dla przepływów użytkownika rejestracji. Możesz włączyć uwierzytelnianie wieloskładnikowe w przepływach użytkownika przy użyciu rejestracji telefonu, ale ponieważ numer telefonu jest używany jako podstawowy identyfikator, jednorazowy kod dostępu wiadomości e-mail jest jedyną opcją dostępną dla drugiego czynnika uwierzytelniania.

8. Wybierz pozycję Zapisz. Usługa MFA jest teraz włączona dla tego przepływu użytkownika.

Aby zweryfikować środowisko, możesz użyć polecenia Uruchom przepływ użytkownika. Potwierdź następujący scenariusz:

Konto klienta jest tworzone w dzierżawie przed wykonaniem kroku uwierzytelniania wieloskładnikowego. W trakcie tego kroku klient zostanie poproszony o podanie numeru telefonu i zweryfikowanie go. Jeśli weryfikacja zakończy się pomyślnie, numer telefonu zostanie dołączony do konta do późniejszego użycia. Nawet jeśli klient anuluje lub zrezygnuje, klient może zostać poproszony o ponowne zweryfikowanie numeru telefonu podczas następnego logowania z włączonym uwierzytelnianiem wieloskładnikowym.

Aby włączyć uwierzytelnianie wieloskładnikowe, pobierz pakiet startowy zasad niestandardowych z usługi GitHub w następujący sposób:

• Pobierz plik zip lub sklonuj repozytorium z https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpackwitryny , a następnie zaktualizuj pliki XML w pakiecie startowym SocialAndLocalAccountsWithMFA przy użyciu nazwy dzierżawy usługi Azure AD B2C. SocialAndLocalAccountsWithMFA umożliwia opcje logowania społecznościowego i lokalnego oraz opcje uwierzytelniania wieloskładnikowego, z wyjątkiem opcji Aplikacja Authenticator — TOTP.
• Aby obsługiwać aplikację Authenticator — opcja TOTP MFA, pobierz niestandardowe pliki zasad z https://github.com/azure-ad-b2c/samples/tree/master/policies/totpusługi , a następnie zaktualizuj pliki XML przy użyciu nazwy dzierżawy usługi Azure AD B2C. Pamiętaj, aby uwzględnić TrustFrameworkExtensions.xmlpliki , TrustFrameworkLocalization.xmli TrustFrameworkBase.xml XML z pakietu startowego SocialAndLocalAccounts .
• Zaktualizuj układ [strony] do wersji 2.1.14. Aby uzyskać więcej informacji, zobacz Wybieranie układu strony.

Rejestrowanie użytkownika w usłudze TOTP przy użyciu aplikacji authenticator (dla użytkowników końcowych)

Gdy aplikacja usługi Azure AD B2C włącza uwierzytelnianie wieloskładnikowe przy użyciu opcji TOTP, użytkownicy końcowi muszą używać aplikacji uwierzytelniającego do generowania kodów TOTP. Użytkownicy mogą używać aplikacji Microsoft Authenticator lub dowolnej innej aplikacji wystawcy uwierzytelniania obsługującej weryfikację TOTP. Administrator systemu usługi Azure AD B2C musi poinformować użytkowników końcowych o skonfigurowaniu aplikacji Microsoft Authenticator, wykonując następujące czynności:

1. Pobierz i zainstaluj aplikację Microsoft Authenticator na urządzeniu przenośnym z systemem Android lub iOS.
2. Otwórz aplikację, która wymaga użycia protokołu TOTP dla uwierzytelniania wieloskładnikowego, na przykład aplikacji internetowej firmy Contoso, a następnie zaloguj się lub zarejestruj się, wprowadzając wymagane informacje.
3. Jeśli zostanie wyświetlony monit o zarejestrowanie konta przez skanowanie kodu QR przy użyciu aplikacji authenticator, otwórz aplikację Microsoft Authenticator na telefonie, a w prawym górnym rogu wybierz ikonę menu kropkowanego (w przypadku systemu Android) lub + ikonę menu (dla systemu IOS).
4. Wybierz pozycję + Dodaj konto.
5. Wybierz pozycję Inne konto (Google, Facebook itp.), a następnie przeskanuj kod QR wyświetlany w aplikacji (na przykład aplikacja internetowa Contoso), aby zarejestrować konto. Jeśli nie możesz zeskanować kodu QR, możesz ręcznie dodać konto:
   1. W aplikacji Microsoft Authenticator na telefonie wybierz pozycję LUB WPROWADŹ KOD RĘCZNIE.
   2. W aplikacji (na przykład aplikacja internetowa Contoso) wybierz pozycję Nadal masz problemy?. Spowoduje to wyświetlenie nazwy konta i wpisu tajnego.
   3. Wprowadź nazwę konta i wpis tajny w aplikacji Microsoft Authenticator, a następnie wybierz pozycję ZAKOŃCZ.
6. W aplikacji (na przykład aplikacja internetowa Contoso) wybierz pozycję Kontynuuj.
7. W polu Wprowadź kod wprowadź kod wyświetlany w aplikacji Microsoft Authenticator.
8. Wybierz pozycję Verify (Weryfikuj).
9. Podczas kolejnego logowania do aplikacji wpisz kod wyświetlany w aplikacji Microsoft Authenticator.

Dowiedz się więcej o tokenach oprogramowania OATH

Usuwanie rejestracji wystawcy uwierzytelnienia TOTP użytkownika (dla administratorów systemu)

W usłudze Azure AD B2C możesz usunąć rejestrację aplikacji uwierzytelniania TOTP użytkownika. Następnie użytkownik będzie musiał ponownie zarejestrować swoje konto w celu ponownego użycia uwierzytelniania TOTP. Aby usunąć rejestrację TOTP użytkownika, możesz użyć witryny Azure Portal lub interfejsu API programu Microsoft Graph.

Uwaga

• Usunięcie rejestracji aplikacji uwierzytelniania TOTP użytkownika z usługi Azure AD B2C nie powoduje usunięcia konta użytkownika w aplikacji wystawcy uwierzytelniania TOTP. Administrator systemu musi skierować użytkownika do ręcznego usunięcia konta z aplikacji wystawcy uwierzytelniania TOTP przed próbą ponownego zarejestrowania.
• Jeśli użytkownik przypadkowo usunie swoje konto z aplikacji wystawcy uwierzytelniania TOTP, musi powiadomić administratora systemu lub właściciela aplikacji, który może usunąć rejestrację wystawcy uwierzytelnienia TOTP użytkownika z usługi Azure AD B2C, aby użytkownik mógł ponownie zarejestrować.

Usuwanie rejestracji aplikacji uwierzytelniania TOTP przy użyciu witryny Azure Portal

1. Zaloguj się w witrynie Azure Portal.
2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy usługi Azure AD B2C z menu Katalogi i subskrypcje.
3. W menu po lewej stronie wybierz pozycję Użytkownicy.
4. Wyszukaj i wybierz użytkownika, dla którego chcesz usunąć rejestrację aplikacji wystawcy uwierzytelniania TOTP.
5. W menu po lewej stronie wybierz pozycję Metody uwierzytelniania.
6. W obszarze Metody uwierzytelniania wielokrotnego użytku znajdź token OATH oprogramowania, a następnie wybierz menu wielokropka obok niego. Jeśli ten interfejs nie jest widoczny, wybierz opcję "Przełącz na nowe metody uwierzytelniania użytkownika! Kliknij tutaj, aby użyć go teraz" , aby przełączyć się na nowe środowisko metod uwierzytelniania.
7. Wybierz pozycję Usuń, a następnie wybierz pozycję Tak , aby potwierdzić.

Usuwanie rejestracji aplikacji wystawcy uwierzytelniania TOTP przy użyciu interfejsu API programu Microsoft Graph

Dowiedz się, jak usunąć metodę uwierzytelniania tokenu OATH oprogramowania użytkownika przy użyciu interfejsu API programu Microsoft Graph.

Następne kroki

• Dowiedz się więcej na temat kontrolki wyświetlania TOTP i profilu technicznego uwierzytelniania wieloskładnikowego identyfikatora firmy Microsoft