Udostępnij za pośrednictwem

Samouczek: wymuszanie uwierzytelniania wieloskładnikowego dla użytkowników-gości B2B

  • Artykuł

Dotyczy:Zielony okrąg z białym symbolem znacznika wyboru.Dzierżawcy siły roboczej — dzierżawcy zewnętrzni Biały okrąg z szarym symbolem X. (dowiedz się więcej)

Podczas współpracy z zewnętrznymi użytkownikami-gośćmi B2B warto chronić aplikacje przy użyciu zasad uwierzytelniania wieloskładnikowego. Następnie użytkownicy zewnętrzni potrzebują więcej niż tylko nazwy użytkownika i hasła, aby uzyskać dostęp do zasobów. W usłudze Microsoft Entra ID można osiągnąć ten cel przy użyciu zasad dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego w celu uzyskania dostępu. Zasady uwierzytelniania wieloskładnikowego można wymusić na poziomie dzierżawy, aplikacji lub pojedynczego użytkownika-gościa w taki sam sposób, w jaki są one włączone dla członków własnej organizacji. Dzierżawa zasobów jest zawsze odpowiedzialna za uwierzytelnianie wieloskładnikowe firmy Microsoft dla użytkowników, nawet jeśli organizacja użytkownika-gościa ma możliwości uwierzytelniania wieloskładnikowego.

Przykład:

Diagram przedstawiający użytkownika-gościa logującego się do aplikacji firmy.

  1. Administrator lub pracownik w firmie A zaprasza użytkownika-gościa do użycia aplikacji w chmurze lub lokalnej, która jest konfigurowana do wymagania usługi MFA w celu uzyskania dostępu.
  2. Użytkownik-gość loguje się za pomocą własnej tożsamości służbowej lub społecznościowej.
  3. Użytkownik jest proszony o ukończenie testu usługi MFA.
  4. Użytkownik konfiguruje usługę MFA w firmie A i wybiera jej opcję usługi MFA. Użytkownik może uzyskiwać dostęp do aplikacji.

Uwaga

Uwierzytelnianie wieloskładnikowe firmy Microsoft odbywa się w dzierżawie zasobów, aby zapewnić przewidywalność. Gdy użytkownik-gość zaloguje się, zobaczy stronę logowania dzierżawy zasobów wyświetlaną w tle oraz stronę logowania do dzierżawy głównej i logo firmy na pierwszym planie.

Ten samouczek obejmuje następujące kroki:

  • Testowanie środowiska logowania przed uruchomieniem instalacji usługi MFA.
  • Utwórz zasady dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do aplikacji w chmurze w danym środowisku. W tym samouczku użyjemy aplikacji interfejsu API zarządzania usługami platformy Windows Azure, aby zilustrować proces.
  • Symulacja logowania w usłudze MFA zostanie przeprowadzona przy użyciu narzędzia What If.
  • Przetestuj zasady dostępu warunkowego.
  • Czyszczenie użytkownika testowego i zasad.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Wymagania wstępne

Do ukończenia scenariusza z tego samouczka są potrzebne następujące elementy:

  • Dostęp do wersji Microsoft Entra ID P1 lub P2, która obejmuje możliwości zasad dostępu warunkowego. Aby wymusić uwierzytelnianie wieloskładnikowe, należy utworzyć zasady dostępu warunkowego firmy Microsoft. Zasady uwierzytelniania wieloskładnikowego są zawsze wymuszane w organizacji, niezależnie od tego, czy partner ma możliwości uwierzytelniania wieloskładnikowego.
  • Prawidłowe zewnętrzne konto e-mail, które można dodać do katalogu dzierżawy jako użytkownika-gościa i którego można używać do logowania. Jeśli nie wiesz, jak utworzyć konto gościa, zobacz Dodawanie użytkownika-gościa B2B w centrum administracyjnym firmy Microsoft Entra.

Tworzenie testowego użytkownika-gościa w identyfikatorze Entra firmy Microsoft

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.

  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.

  3. Wybierz pozycję Nowy użytkownik, a następnie wybierz pozycję Zaproś użytkownika zewnętrznego.

    Zrzut ekranu przedstawiający miejsce wybierania nowej opcji użytkownika-gościa.

  4. W obszarze Tożsamość na karcie Podstawowe wprowadź adres e-mail użytkownika zewnętrznego. Opcjonalnie dołącz nazwę wyświetlaną i wiadomość powitalną.

    Zrzut ekranu przedstawiający miejsce wprowadzania wiadomości e-mail gościa.

  5. Opcjonalnie możesz dodać dalsze szczegóły do użytkownika na kartach Właściwości i Przypisania .

  6. Wybierz pozycję Przejrzyj i zaproś , aby automatycznie wysłać zaproszenie do użytkownika-gościa. Zostanie wyświetlony komunikat Pomyślnie zaproszono użytkownika.

  7. Po wysłaniu zaproszenia konto użytkownika zostanie automatycznie dodane do katalogu jako gość.

Testowanie środowiska logowania przed uruchomieniem instalacji usługi MFA

  1. Użyj nazwy użytkownika testowego i hasła, aby zalogować się do centrum administracyjnego firmy Microsoft Entra.
  2. Dostęp do centrum administracyjnego firmy Microsoft Entra powinien być dostępny tylko przy użyciu poświadczeń logowania. Żadne inne uwierzytelnianie nie jest wymagane.
  3. Wyloguj się.

Tworzenie zasad dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.

  2. Przejdź do usługi Identity>Protection>Security Center.

  3. W obszarze Ochrona wybierz pozycję Dostęp warunkowy.

  4. Na stronie Dostęp warunkowy na pasku narzędzi u góry wybierz pozycję Utwórz nowe zasady.

  5. Na stronie Nowe w polu tekstowym Nazwa wpisz frazę Wymagaj usługi MFA do dostępu do portalu B2B.

  6. W sekcji Przypisania wybierz link w obszarze Użytkownicy i grupy.

  7. Na stronie Użytkownicy i grupy wybierz pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Goście lub użytkownicy zewnętrzni. Zasady można przypisać do różnych typów użytkowników zewnętrznych, wbudowanych ról katalogu lub użytkowników i grup.

    Zrzut ekranu przedstawiający wybieranie wszystkich użytkowników-gości.

  8. W sekcji Przypisania wybierz link w obszarze Aplikacje lub akcje w chmurze.

  9. Wybierz pozycję Wybierz aplikacje, a następnie wybierz link w obszarze Wybierz.

    Zrzut ekranu przedstawiający stronę Aplikacje w chmurze i opcję Wybierz.

  10. Na stronie Wybierz wybierz pozycję Windows Azure Service Management API, a następnie wybierz pozycję Wybierz.

  11. Na stronie Nowy w sekcji Kontrole dostępu wybierz link w obszarze Udziel.

  12. Na stronie Udzielanie wybierz pozycję Udziel dostępu, zaznacz pole wyboru Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający opcję wymagania uwierzytelniania wieloskładnikowego.

  13. W obszarze Włączanie zasad wybierz pozycję Włączone.

    Zrzut ekranu przedstawiający opcję Włącz zasady ustawioną na Włączone.

  14. Wybierz pozycję Utwórz.

Symulowanie logowania przy użyciu opcji What If

  1. Na dostępie warunkowym | Strona Zasady , wybierz pozycję Co jeśli.

    Zrzut ekranu pokazujący, gdzie wybrać opcję Co jeśli na stronie Dostęp warunkowy — zasady.

  2. Wybierz link w obszarze Użytkownik.

  3. W polu wyszukiwania wpisz nazwę testowego użytkownika-gościa. Wybierz użytkownika w wynikach wyszukiwania, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający wybranego użytkownika-gościa.

  4. Wybierz link w obszarze Aplikacje w chmurze, akcje lub zawartość uwierzytelniania. Wybierz pozycję Wybierz aplikacje, a następnie wybierz link w obszarze Wybierz.

    Zrzut ekranu przedstawiający wybraną aplikację.

  5. Na stronie Aplikacje w chmurze na liście aplikacji wybierz pozycję Windows Azure Service Management API, a następnie wybierz pozycję Wybierz.

  6. Wybierz pozycję What If i sprawdź, czy nowe zasady są wyświetlane w obszarze Wyniki oceny na karcie Zasady, które będą stosowane .

    Zrzut ekranu przedstawiający wyniki oceny analizy warunkowej.

Testowanie zasad dostępu warunkowego

  1. Użyj nazwy użytkownika testowego i hasła, aby zalogować się do centrum administracyjnego firmy Microsoft Entra.

  2. Powinno zostać wyświetlone żądanie dotyczące większej liczby metod uwierzytelniania. Zastosowanie zasad może zająć trochę czasu.

    Zrzut ekranu przedstawiający komunikat Więcej informacji wymaganych.

    Uwaga

    Możesz również skonfigurować ustawienia dostępu między dzierżawami, aby ufać usłudze MFA z dzierżawy głównej firmy Microsoft. Dzięki temu zewnętrzni użytkownicy firmy Microsoft Entra mogą używać uwierzytelniania wieloskładnikowego zarejestrowanego we własnej dzierżawie, a nie rejestrować się w dzierżawie zasobów.

  3. Wyloguj się.

Czyszczenie zasobów

Gdy użytkownik testowy nie będzie już potrzebny, usuń użytkownika testowego i przetestuj zasady dostępu warunkowego.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz użytkownika testowego, a następnie wybierz pozycję Usuń użytkownika.
  4. Przejdź do usługi Identity>Protection>Security Center.
  5. W obszarze Ochrona wybierz pozycję Dostęp warunkowy.
  6. Na liście Nazwa zasad wybierz menu kontekstowe (…) dla zasad testowych, a następnie wybierz pozycję Usuń. Wybierz Tak, aby potwierdzić.

Następne kroki

W tym samouczku utworzono zasady dostępu warunkowego, które wymagają od użytkowników-gości korzystania z uwierzytelniania wieloskładnikowego podczas logowania się do jednej z aplikacji w chmurze. Aby dowiedzieć się więcej na temat dodawania użytkowników-gości do współpracy, zobacz Dodawanie użytkowników współpracy firmy Microsoft Entra B2B w witrynie Azure Portal.