Руководство. Принудительное применение многофакторной проверки подлинности для гостевых пользователей B2B

  • Статья

При совместной работе с внешними гостевыми пользователями B2B рекомендуется защитить приложения с помощью политик многофакторной проверки подлинности. После такой защиты для доступа к вашим ресурсам внешним пользователям потребуется больше, чем просто имя пользователя и пароль. В идентификаторе Microsoft Entra можно выполнить эту задачу с помощью политики условного доступа, требующей MFA для доступа. Политики MFA могут применяться на уровне клиента, приложения или отдельного гостевого пользователя, так же, как они включены для членов вашей организации. Клиент ресурсов всегда отвечает за многофакторную проверку подлинности Microsoft Entra для пользователей, даже если у гостевой организации есть возможности многофакторной проверки подлинности.

Пример:

Diagram showing a guest user signing into a company's apps.

  1. Администратор или сотрудник компании A приглашает гостевого пользователя использовать облачное или локальное приложение, настроенное на прохождение Многофакторной идентификации для получения доступа.
  2. Гостевой пользователь входит в систему, используя собственный рабочий, учебный идентификатор или идентификатор в социальной сети.
  3. Пользователю предлагается пройти Многофакторную идентификацию.
  4. Ему нужно согласовать параметры прохождения MFA с компанией A и выбрать приемлемый вариант. После этого пользователь получит доступ к приложению.

Примечание.

Многофакторная проверка подлинности Microsoft Entra выполняется в клиенте ресурсов, чтобы обеспечить прогнозируемость. Когда гостевой пользователь входит в систему, он видит страницу входа клиента ресурса, отображаемую в фоновом режиме, собственную страницу входа в систему домашнего клиента и логотип компании на переднем плане.

При работе с этим руководством вы сделаете следующее:

  • Перед настройкой MFA проверьте работу входа в систему.
  • Создайте политику условного доступа, которая требует прохождения MFA для доступа к облачному приложению в вашей среде. В этом руководстве мы будем использовать приложение API управления службами Windows Azure для иллюстрации процесса.
  • Используйте инструмент What If для имитации входа через MFA.
  • Проверите политику условного доступа.
  • Очистите тестового пользователя и политику.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

Необходимые компоненты

Для выполнения сценария в этом руководстве вам понадобится следующее.

  • Доступ к выпуску Microsoft Entra ID P1 или P2, который включает возможности политики условного доступа. Чтобы применить MFA, необходимо создать политику условного доступа Microsoft Entra. Политики MFA всегда применяются в вашей организации независимо от того, имеет ли партнер возможности MFA.
  • Допустимая внешняя учетная запись электронной почты, которую вы можете добавить в свой каталог клиента в качестве гостевого пользователя и использовать для входа. Если вы не знаете, как создать гостевую учетную запись, см. статью "Добавление гостевого пользователя B2B" в Центре администрирования Microsoft Entra.

Создание тестового гостевого пользователя в идентификаторе Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.

  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

  3. Выберите Новый пользователь, а затем — Пригласить внешнего пользователя.

    Screenshot showing where to select the new guest user option.

  4. В разделе "Удостоверение " на вкладке "Основные сведения" введите адрес электронной почты внешнего пользователя. При необходимости включите отображаемое имя и приветственное сообщение.

    Screenshot showing where to enter the guest email.

  5. При необходимости можно добавить дополнительные сведения пользователю на вкладках "Свойства и назначения".

  6. Выберите "Рецензирование и приглашение ", чтобы автоматически отправить приглашение гостевого пользователя. Появится сообщение Пользователь успешно приглашен.

  7. После отправки приглашения учетная запись пользователя автоматически добавляется в каталог как гость.

Проверка входа в систему перед настройкой MFA

  1. Используйте имя тестового пользователя и пароль для входа в Центр администрирования Microsoft Entra.
  2. Вы должны иметь доступ к Центру администрирования Microsoft Entra, используя только учетные данные для входа. Никакой другой проверки подлинности не требуется.
  3. Выйти.

Создание политики условного доступа, которая требует MFA

  1. Войдите в Центр администрирования Microsoft Entra как минимум условный доступ Администратор istrator.

  2. Перейдите в Центр безопасности защиты>идентификации>.

  3. В разделе Защита выберите Условный доступ.

  4. На странице условного доступа в верхней части панели инструментов выберите "Создать политику".

  5. На странице создания в поле Имя введите Require MFA for B2B portal access (Требовать Многофакторную идентификацию для доступа к порталу B2B).

  6. В разделе Назначения щелкните ссылку под надписью Пользователи и группы.

  7. На странице "Пользователи и группы" выберите "Выбрать пользователей и группы", а затем выберите "Гостевой" или "Внешние пользователи". Политику можно назначить различным внешним типам пользователей, встроенным ролям каталога или пользователям и группам.

    Screenshot showing selecting all guest users.

  8. В разделе Назначения щелкните ссылку под надписью Облачные приложения или действия.

  9. Щелкните Выберите приложения, а затем щелкните ссылку под надписью Выбрать.

    Screenshot showing the Cloud apps page and the Select option.

  10. На странице "Выбор" выберите API управления службами Windows Azure и нажмите кнопку "Выбрать".

  11. На странице Создать в разделе Элементы управления доступом выберите Предоставить.

  12. На странице "Предоставление" выберите "Предоставить доступ", выберите поле проверка "Требовать многофакторную проверку подлинности" и нажмите кнопку "Выбрать".

    Screenshot showing the Require multifactor authentication option.

  13. В разделе Включить политику нажмите кнопку Вкл.

    Screenshot showing the Enable policy option set to On.

  14. Нажмите кнопку создания.

Использование параметра What If для имитации входа

  1. На странице Условный доступ | политики выберите What If.

    Screenshot that highlights where to select the What if option on the Conditional Access - Policies page.

  2. Щелкните ссылку в разделе Пользователь.

  3. В поле поиска введите имя тестового гостевого пользователя. Выберите пользователя в результатах поиска и нажмите Выбрать.

    Screenshot showing a guest user selected.

  4. Выберите ссылку в разделе Cloud apps, actions, or authentication content (Облачные приложения, действия или содержимое для проверки подлинности). Щелкните Выберите приложения, а затем щелкните ссылку под надписью Выбрать.

    Screenshot showing the Windows Azure Service Management API app selected.

  5. На странице облачных приложений в списке приложений выберите API управления службами Windows Azure и нажмите кнопку "Выбрать".

  6. Нажмите кнопку What If и убедитесь, что новая политика отображается в разделе Результат вычисления на вкладке Политики, которые будут применяться.

    Screenshot showing the results of the What If evaluation.

Проверка политики условного доступа

  1. Используйте имя тестового пользователя и пароль для входа в Центр администрирования Microsoft Entra.

  2. Вы увидите запрос на дополнительные методы проверки подлинности. Это может занять некоторое время, чтобы политика вступают в силу.

    Screenshot showing the More information required message.

    Примечание.

    Вы также можете настроить параметры доступа между клиентами для доверия MFA из домашнего клиента Microsoft Entra. Это позволяет внешним пользователям Microsoft Entra использовать MFA, зарегистрированную в собственном клиенте, а не регистрировать в клиенте ресурсов.

  3. Выйти.

Очистка ресурсов

Если тестовый пользователь и тестовая политика условного доступа больше не нужны, удалите их.

  1. Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.
  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  3. Выберите тестового пользователя, а затем — команду Удалить пользователя.
  4. Перейдите в Центр безопасности защиты>идентификации>.
  5. В разделе Защита выберите Условный доступ.
  6. В списке имен политики выберите контекстное меню (…) для тестовой политики, а затем — Удалить. Выберите Да для подтверждения.

Следующие шаги

В этом учебнике вы создали политику условного доступа, которая требует прохождения гостевыми пользователями Многофакторной идентификации при входе в одно из облачных приложений. Дополнительные сведения о добавлении гостевых пользователей для совместной работы см. в статье "Добавление пользователей совместной работы Microsoft Entra B2B" в портал Azure.