Självstudier: Använda multifaktorautentisering för B2B-gästanvändareTutorial: Enforce multi-factor authentication for B2B guest users

När du samarbetar med externa B2B-gästanvändare är det en bra idé om du skyddar dina appar med principer för multifaktorautentisering (MFA).When collaborating with external B2B guest users, it’s a good idea to protect your apps with multi-factor authentication (MFA) policies. De externa användarna kommer då att behöva mer än bara ett användarnamn och ett lösenord för att få åtkomst till dina resurser.Then external users will need more than just a user name and password to access your resources. I Azure Active Directory (Azure AD) kan du uppnå det här målet med en princip för villkorlig åtkomst som kräver MFA för åtkomst.In Azure Active Directory (Azure AD), you can accomplish this goal with a Conditional Access policy that requires MFA for access. MFA-principerna kan tillämpas i klientorganisations- eller appnivå eller på enskild gästanvändarnivå, på samma sätt som de aktiveras för medlemmar i din organisation.MFA policies can be enforced at the tenant, app, or individual guest user level, the same way that they are enabled for members of your own organization.

Exempel:Example:

Diagram över en gäst användare som loggar in i företagets appar

  1. En administratör eller anställd på företag A bjuder in en gästanvändare att använda ett molnprogram eller lokalt program som är konfigurerat för att kräva MFA för åtkomst.An admin or employee at Company A invites a guest user to use a cloud or on-premises application that is configured to require MFA for access.
  2. Gästanvändaren loggar med sina egna arbets- eller skolidentiteter eller sociala identiteter.The guest user signs in with their own work, school, or social identity.
  3. Användaren uppmanas att slutföra en MFA-kontroll.The user is asked to complete an MFA challenge.
  4. Användaren ställer in MFA med företag A och väljer sina MFA-alternativ.The user sets up MFA with Company A and chooses their MFA option. Användaren får åtkomst till programmet.The user is allowed access to the application.

I de här självstudierna får du:In this tutorial, you will:

  • Testa inloggningen innan du påbörjar MFA-installationen.Test the sign-in experience before MFA setup.
  • Skapa en princip för villkorlig åtkomst som kräver MFA för åtkomst till en molnbaserad app i din miljö.Create a Conditional Access policy that requires MFA for access to a cloud app in your environment. I den här självstudien använder vi Microsoft Azure Management-appen för att illustrera processen.In this tutorial, we’ll use the Microsoft Azure Management app to illustrate the process.
  • Använd What If-verktyget för att simulera MFA-inloggningen.Use the What If tool to simulate MFA sign-in.
  • Testa din princip för villkorlig åtkomst.Test your Conditional Access policy.
  • Rensa testanvändare och princip.Clean up the test user and policy.

Om du inte har en Azure-prenumeration kan du skapa ett kostnads fritt konto innan du börjar.If you don’t have an Azure subscription, create a free account before you begin.

FörutsättningarPrerequisites

För att slutföra scenariot i den här självstudien behöver du:To complete the scenario in this tutorial, you need:

  • Åtkomst till Azure AD Premium Edition, som innehåller princip funktioner för villkorlig åtkomst.Access to Azure AD Premium edition, which includes Conditional Access policy capabilities. Om du vill framtvinga MFA måste du skapa en princip för villkorlig åtkomst för Azure AD.To enforce MFA, you need to create an Azure AD Conditional Access policy. Observera att MFA-principer alltid tillämpas i din organisation, oavsett om partnern har MFA-funktioner eller inte.Note that MFA policies are always enforced at your organization, regardless of whether the partner has MFA capabilities. Om du konfigurerar MFA i organisationen måste du se till att du har tillräckligt med Azure AD Premium-licenser för din gästanvändare.If you set up MFA for your organization, you’ll need to make sure you have sufficient Azure AD Premium licenses for your guest users.
  • Ett giltigt externt e-postkonto som du kan lägga till i din klientkatalog som gästanvändare och använda för att logga in.A valid external email account that you can add to your tenant directory as a guest user and use to sign in. Om du inte vet hur du skapar ett gästkonto, så gå till Lägga till en B2B-gästanvändare i Azure Portal.If you don't know how to create a guest account, see Add a B2B guest user in the Azure portal.

Skapa en testgästanvändare i Azure ADCreate a test guest user in Azure AD

  1. Logga in till Azure-portalen som Azure AD-administratör.Sign in to the Azure portal as an Azure AD administrator.

  2. Välj Azure Active Directory i den vänstra rutan.In the left pane, select Azure Active Directory.

  3. Under Hantera väljer du Användare.Under Manage, select Users.

  4. Välj Ny gästanvändare.Select New guest user.

    Skärm bild som visar var du väljer alternativet ny gäst användare

  5. Under Användarnamn anger du den externa användarens e-postadress.Under User name, enter the email address of the external user. Du kan också lägga till ett välkomstmeddelande.Optionally, include a welcome message.

    Skärm bild som visar var du anger ett meddelande om gäst inbjudning

  6. Välj Bjud in för att skicka inbjudan till gästanvändaren automatiskt.Select Invite to automatically send the invitation to the guest user. Meddelandet Användaren har bjudits in visas.A Successfully invited user message appears.

  7. När du har skickat inbjudan läggs användarkontot automatiskt till i katalogen som gäst.After you send the invitation, the user account is automatically added to the directory as a guest.

Testa inloggningen innan du påbörjar MFA-installationenTest the sign-in experience before MFA setup

  1. Använd ditt testanvändarnamn och lösenordet för att logga in på Azure Portal.Use your test user name and password to sign in to your Azure portal.
  2. Observera att du kan få åtkomst till Azure Portal bara genom att använda dina inloggningsuppgifter.Note that you’re able to access the Azure portal using just your sign-in credentials. Ingen ytterligare autentisering krävs.No additional authentication is required.
  3. Logga ut.Sign out.

Skapa en princip för villkorlig åtkomst som kräver MFACreate a Conditional Access policy that requires MFA

  1. Logga in på Azure Portal som säkerhets administratör eller administratör för villkorlig åtkomst.Sign in to your Azure portal as a security administrator or a Conditional Access administrator.

  2. I Azure Portal väljer du Azure Active Directory.In the Azure portal, select Azure Active Directory.

  3. På sidan Azure Active Directory väljer du villkorlig åtkomsti avsnittet säkerhet .On the Azure Active Directory page, in the Security section, select Conditional Access.

  4. Välj Ny princip i verktygsfältet högst upp på sidan Villkorsstyrd åtkomst.On the Conditional Access page, in the toolbar on the top, select New policy.

  5. Skriv Kräver MFA för B2B-portalåtkomst i textrutan Namn på sidan Ny.On the New page, in the Name textbox, type Require MFA for B2B portal access.

  6. Välj Användare och grupper i avsnittet Tilldelningar.In the Assignments section, select Users and groups.

  7. Välj Välj användare och grupper på sidan Användare och grupper och välj sedan Alla gästanvändare (förhandsversion).On the Users and groups page, choose Select users and groups, and then select All guest users (preview).

    Skärm bild som visar val av alla gäst användare

  8. Välj Klar.Select Done.

  9. Välj Molnappar i avsnittet Tilldelningar på sidan Ny.On the New page, in the Assignments section, select Cloud apps.

  10. Välj Välj appar på sidan Molnappar och välj sedan Välj.On the Cloud apps page, choose Select apps, and then choose Select.

    Skärm bild som visar sidan molnappar och alternativet Välj

  11. Välj Microsoft Azure-hantering på sidan Välj och välj sedan Välj.On the Select page, choose Microsoft Azure Management, and then choose Select.

    Skärm bild som visar den valda Microsoft Azure hanterings appen

  12. Välj Klar på sidan Molnappar.On the Cloud apps page, select Done.

  13. Välj Bevilja i avsnittet Åtkomstkontroller på sidan Ny.On the New page, in the Access controls section, select Grant.

  14. Välj Bevilja åtkomst på sidan Bevilja, markera kryssrutan Kräv multifaktorautentisering och välj sedan Välj.On the Grant page, choose Grant access, select the Require multi-factor authentication check box, and then choose Select.

    Skärm bild som visar alternativet Kräv Multi-Factor Authentication

  15. Under Aktivera princip väljer du .Under Enable policy, select On.

    Skärm bild som visar alternativet Aktivera princip inställd på på

  16. Välj Skapa.Select Create.

Simulera inloggningen med hjälp av What If-alternativetUse the What If option to simulate sign-in

  1. På sidan villkorlig åtkomst – principer väljer du What If.On the Conditional Access - Policies page, select What If.

    Skärm bild som visar var du väljer alternativet vad om

  2. Välj Användare, marker din testgästanvändare och välj sedan Välj.Select User, choose your test guest user, and then choose Select.

    Skärm bild som visar en gäst användare vald

  3. Välj Molnappar.Select Cloud apps.

  4. Välj Välj appar på sidan Molnappar och klicka sedan på Välj.On the Cloud apps page, choose Select apps and then click Select. Välj Microsoft Azure-hantering i listan över program och klicka sedan på Välj.In the applications list, select Microsoft Azure Management, and then click Select.

    Skärm bild som visar den valda Microsoft Azure hanterings appen

  5. Välj Klar på sidan Molnappar.On the Cloud apps page, select Done.

  6. Välj What If och verifiera att den nya principen visas under Utvärderingsresultat på fliken Principer som gäller.Select What If, and verify that your new policy appears under Evaluation results on the Policies that will apply tab.

    Skärm bild som visar var du väljer alternativet vad om

Testa din princip för villkorlig åtkomstTest your Conditional Access policy

  1. Använd ditt testanvändarnamn och lösenordet för att logga in på Azure Portal.Use your test user name and password to sign in to your Azure portal.

  2. Du bör se en begäran om ytterligare autentiseringsmetoder.You should see a request for additional authentication methods. Observera att det kan ta lite tid innan principen träder i kraft.Note that it could take some time for the policy to take effect.

    Skärm bild som visar meddelandet mer information som krävs

  3. Logga ut.Sign out.

Rensa resurserClean up resources

När de inte längre behövs tar du bort test användaren och principen testa villkorlig åtkomst.When no longer needed, remove the test user and the test Conditional Access policy.

  1. Logga in till Azure-portalen som Azure AD-administratör.Sign in to the Azure portal as an Azure AD administrator.
  2. Välj Azure Active Directory i den vänstra rutan.In the left pane, select Azure Active Directory.
  3. Under Hantera väljer du Användare.Under Manage, select Users.
  4. Välj testanvändaren och välj sedan Ta bort användare.Select the test user, and then select Delete user.
  5. Välj Azure Active Directory i den vänstra rutan.In the left pane, select Azure Active Directory.
  6. Välj Villkorsstyrd åtkomst under Säkerhet.Under Security, select Conditional Access.
  7. I listan princip namn väljer du snabb menyn (...) för test principen och väljer sedan ta bort.In the Policy Name list, select the context menu (…) for your test policy, and then select Delete. Välj Ja för att bekräfta.Select Yes to confirm.

Nästa stegNext steps

I den här självstudien har du skapat en princip för villkorlig åtkomst som kräver att gäst användare använder MFA när de loggar in till en av dina molnappar.In this tutorial, you’ve created a Conditional Access policy that requires guest users to use MFA when signing in to one of your cloud apps. Läs mer om att lägga till gästanvändare för samarbete i Lägga till B2B-samarbetsanvändare för Azure Active Directory i Azure Portal.To learn more about adding guest users for collaboration, see Add Azure Active Directory B2B collaboration users in the Azure portal.