Samouczek: wymuszanie uwierzytelniania wieloskładnikowego dla użytkowników-gości B2B
Dotyczy:Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)
Podczas współpracy z zewnętrznymi użytkownikami-gośćmi B2B warto chronić aplikacje przy użyciu zasad uwierzytelniania wieloskładnikowego. Następnie użytkownicy zewnętrzni potrzebują więcej niż tylko nazwy użytkownika i hasła, aby uzyskać dostęp do zasobów. W usłudze Microsoft Entra ID można osiągnąć ten cel przy użyciu zasad dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego w celu uzyskania dostępu. Zasady uwierzytelniania wieloskładnikowego można wymusić na poziomie dzierżawy, aplikacji lub pojedynczego użytkownika-gościa w taki sam sposób, w jaki są one włączone dla członków własnej organizacji. Dzierżawa zasobów jest zawsze odpowiedzialna za uwierzytelnianie wieloskładnikowe firmy Microsoft dla użytkowników, nawet jeśli organizacja użytkownika-gościa ma możliwości uwierzytelniania wieloskładnikowego.
Przykład:
- Administrator lub pracownik w firmie A zaprasza użytkownika-gościa do użycia aplikacji w chmurze lub lokalnej, która jest konfigurowana do wymagania usługi MFA w celu uzyskania dostępu.
- Użytkownik-gość loguje się za pomocą własnej tożsamości służbowej lub społecznościowej.
- Użytkownik jest proszony o ukończenie testu usługi MFA.
- Użytkownik konfiguruje usługę MFA w firmie A i wybiera jej opcję usługi MFA. Użytkownik może uzyskiwać dostęp do aplikacji.
Uwaga
Uwierzytelnianie wieloskładnikowe firmy Microsoft odbywa się w dzierżawie zasobów, aby zapewnić przewidywalność. Gdy użytkownik-gość zaloguje się, zobaczy stronę logowania dzierżawy zasobów wyświetlaną w tle oraz stronę logowania do dzierżawy głównej i logo firmy na pierwszym planie.
Ten samouczek obejmuje następujące kroki:
- Testowanie środowiska logowania przed uruchomieniem instalacji usługi MFA.
- Utwórz zasady dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do aplikacji w chmurze w danym środowisku. W tym samouczku użyjemy aplikacji interfejsu API zarządzania usługami platformy Windows Azure, aby zilustrować proces.
- Symulacja logowania w usłudze MFA zostanie przeprowadzona przy użyciu narzędzia What If.
- Przetestuj zasady dostępu warunkowego.
- Czyszczenie użytkownika testowego i zasad.
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Wymagania wstępne
Do ukończenia scenariusza z tego samouczka są potrzebne następujące elementy:
- Dostęp do wersji Microsoft Entra ID P1 lub P2, która obejmuje możliwości zasad dostępu warunkowego. Aby wymusić uwierzytelnianie wieloskładnikowe, należy utworzyć zasady dostępu warunkowego firmy Microsoft. Zasady uwierzytelniania wieloskładnikowego są zawsze wymuszane w organizacji, niezależnie od tego, czy partner ma możliwości uwierzytelniania wieloskładnikowego.
- Prawidłowe zewnętrzne konto e-mail, które można dodać do katalogu dzierżawy jako użytkownika-gościa i którego można używać do logowania. Jeśli nie wiesz, jak utworzyć konto gościa, zobacz Dodawanie użytkownika-gościa B2B w centrum administracyjnym firmy Microsoft Entra.
Tworzenie testowego użytkownika-gościa w identyfikatorze Entra firmy Microsoft
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
Wybierz pozycję Nowy użytkownik, a następnie wybierz pozycję Zaproś użytkownika zewnętrznego.
W obszarze Tożsamość na karcie Podstawowe wprowadź adres e-mail użytkownika zewnętrznego. Opcjonalnie dołącz nazwę wyświetlaną i wiadomość powitalną.
Opcjonalnie możesz dodać dalsze szczegóły do użytkownika na kartach Właściwości i Przypisania .
Wybierz pozycję Przejrzyj i zaproś , aby automatycznie wysłać zaproszenie do użytkownika-gościa. Zostanie wyświetlony komunikat Pomyślnie zaproszono użytkownika.
Po wysłaniu zaproszenia konto użytkownika zostanie automatycznie dodane do katalogu jako gość.
Testowanie środowiska logowania przed uruchomieniem instalacji usługi MFA
- Użyj nazwy użytkownika testowego i hasła, aby zalogować się do centrum administracyjnego firmy Microsoft Entra.
- Dostęp do centrum administracyjnego firmy Microsoft Entra powinien być dostępny tylko przy użyciu poświadczeń logowania. Żadne inne uwierzytelnianie nie jest wymagane.
- Wyloguj się.
Tworzenie zasad dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
Przejdź do usługi Identity>Protection>Security Center.
W obszarze Ochrona wybierz pozycję Dostęp warunkowy.
Na stronie Dostęp warunkowy na pasku narzędzi u góry wybierz pozycję Utwórz nowe zasady.
Na stronie Nowe w polu tekstowym Nazwa wpisz frazę Wymagaj usługi MFA do dostępu do portalu B2B.
W sekcji Przypisania wybierz link w obszarze Użytkownicy i grupy.
Na stronie Użytkownicy i grupy wybierz pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Goście lub użytkownicy zewnętrzni. Zasady można przypisać do różnych typów użytkowników zewnętrznych, wbudowanych ról katalogu lub użytkowników i grup.
W sekcji Przypisania wybierz link w obszarze Aplikacje lub akcje w chmurze.
Wybierz pozycję Wybierz aplikacje, a następnie wybierz link w obszarze Wybierz.
Na stronie Wybierz wybierz pozycję Windows Azure Service Management API, a następnie wybierz pozycję Wybierz.
Na stronie Nowy w sekcji Kontrole dostępu wybierz link w obszarze Udziel.
Na stronie Udzielanie wybierz pozycję Udziel dostępu, zaznacz pole wyboru Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.
W obszarze Włączanie zasad wybierz pozycję Włączone.
Wybierz pozycję Utwórz.
Symulowanie logowania przy użyciu opcji What If
Na dostępie warunkowym | Strona Zasady , wybierz pozycję Co jeśli.
Wybierz link w obszarze Użytkownik.
W polu wyszukiwania wpisz nazwę testowego użytkownika-gościa. Wybierz użytkownika w wynikach wyszukiwania, a następnie wybierz pozycję Wybierz.
Wybierz link w obszarze Aplikacje w chmurze, akcje lub zawartość uwierzytelniania. Wybierz pozycję Wybierz aplikacje, a następnie wybierz link w obszarze Wybierz.
Na stronie Aplikacje w chmurze na liście aplikacji wybierz pozycję Windows Azure Service Management API, a następnie wybierz pozycję Wybierz.
Wybierz pozycję What If i sprawdź, czy nowe zasady są wyświetlane w obszarze Wyniki oceny na karcie Zasady, które będą stosowane .
Testowanie zasad dostępu warunkowego
Użyj nazwy użytkownika testowego i hasła, aby zalogować się do centrum administracyjnego firmy Microsoft Entra.
Powinno zostać wyświetlone żądanie dotyczące większej liczby metod uwierzytelniania. Zastosowanie zasad może zająć trochę czasu.
Uwaga
Możesz również skonfigurować ustawienia dostępu między dzierżawami, aby ufać usłudze MFA z dzierżawy głównej firmy Microsoft. Dzięki temu zewnętrzni użytkownicy firmy Microsoft Entra mogą używać uwierzytelniania wieloskładnikowego zarejestrowanego we własnej dzierżawie, a nie rejestrować się w dzierżawie zasobów.
Wyloguj się.
Czyszczenie zasobów
Gdy użytkownik testowy nie będzie już potrzebny, usuń użytkownika testowego i przetestuj zasady dostępu warunkowego.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz użytkownika testowego, a następnie wybierz pozycję Usuń użytkownika.
- Przejdź do usługi Identity>Protection>Security Center.
- W obszarze Ochrona wybierz pozycję Dostęp warunkowy.
- Na liście Nazwa zasad wybierz menu kontekstowe (…) dla zasad testowych, a następnie wybierz pozycję Usuń. Wybierz Tak, aby potwierdzić.
Następne kroki
W tym samouczku utworzono zasady dostępu warunkowego, które wymagają od użytkowników-gości korzystania z uwierzytelniania wieloskładnikowego podczas logowania się do jednej z aplikacji w chmurze. Aby dowiedzieć się więcej na temat dodawania użytkowników-gości do współpracy, zobacz Dodawanie użytkowników współpracy firmy Microsoft Entra B2B w witrynie Azure Portal.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla