Öğretici: B2B konuk kullanıcıları için çok faktörlü kimlik doğrulamasını zorunlu kılma

  • Makale

Dış B2B konuk kullanıcılarla işbirliği yaparken, uygulamalarınızı çok faktörlü kimlik doğrulama ilkeleriyle korumak iyi bir fikirdir. Daha sonra şirket dışından kullanıcıların kaynaklarınıza erişmek için bir kullanıcı adı ve paroladan fazlasına ihtiyacı olacaktır. Microsoft Entra Id'de bu hedefi, erişim için MFA gerektiren bir Koşullu Erişim ilkesiyle gerçekleştirebilirsiniz. MFA ilkeleri, kendi kuruluşunuzun üyeleri için etkinleştirildiği şekilde kiracı, uygulama veya tek tek konuk kullanıcı düzeyinde zorunlu kılınabilir. Konuk kullanıcının kuruluşunda çok faktörlü kimlik doğrulaması özellikleri olsa bile kaynak kiracısı her zaman kullanıcılar için Microsoft Entra çok faktörlü kimlik doğrulamasından sorumludur.

Örnek:

Diagram showing a guest user signing into a company's apps.

  1. A Şirketindeki bir yönetici veya çalışan, erişim için MFA gerekli kılınacak şekilde yapılandırılmış bir bulut veya şirket içi uygulamayı kullanması için bir konuk kullanıcıyı davet eder.
  2. Konuk kullanıcı, kendi iş, okul veya sosyal kimliği ile oturum açar.
  3. Kullanıcıdan bir MFA testini tamamlaması istenir.
  4. Kullanıcı, A Şirketi ile MFA’yı ayarlar ve kendi MFA seçeneğini belirler. Kullanıcının uygulamaya erişmesine izin verilir.

Not

Microsoft Entra çok faktörlü kimlik doğrulaması, öngörülebilirliği sağlamak için kaynak kiracılığında gerçekleştirilir. Konuk kullanıcı oturum açtığında, arka planda kaynak kiracı oturum açma sayfası ve ön planda kendi giriş kiracısı oturum açma sayfası ve şirket logosu görüntülenir.

Bu öğreticide şunları yapacaksınız:

  • MFA kurulumundan önce oturum açma deneyimini test edin.
  • Ortamınızdaki bir bulut uygulamasına erişim için MFA gerektiren bir Koşullu Erişim ilkesi oluşturun. Bu öğreticide, işlemi göstermek için Windows Azure Hizmet Yönetimi API'sini kullanacağız.
  • MFA oturum açma işleminin benzetimini yapmak için What If aracını kullanın.
  • Koşullu Erişim ilkenizi test edin.
  • Test kullanıcısını ve ilkeyi temizleyin.

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Önkoşullar

Bu öğreticide senaryoyu tamamlamak için şunlar gereklidir:

  • Koşullu Erişim ilkesi özelliklerini içeren Microsoft Entra ID P1 veya P2 sürümüne erişim. MFA'yı zorunlu kılmak için bir Microsoft Entra Koşullu Erişim ilkesi oluşturmanız gerekir. MFA ilkeleri, iş ortağının MFA özelliklerine sahip olup olmadığına bakılmaksızın kuruluşunuzda her zaman uygulanır.
  • Konuk kullanıcı olarak kiracı dizininize ekleyebileceğiniz ve oturum açmak için kullanabileceğiniz geçerli bir harici e-posta hesabı. Konuk hesabı oluşturmayı bilmiyorsanız Bkz . Microsoft Entra yönetim merkezinde B2B konuk kullanıcı ekleme.

Microsoft Entra Id'de test konuk kullanıcısı oluşturma

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.

  2. Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.

  3. Yeni kullanıcı'yı ve ardından Dış kullanıcıyı davet et'i seçin.

    Screenshot showing where to select the new guest user option.

  4. Temel Bilgiler sekmesindeki Kimlik'in altında dış kullanıcının e-posta adresini girin. İsteğe bağlı olarak, bir görünen ad ve hoş geldiniz iletisi ekleyin.

    Screenshot showing where to enter the guest email.

  5. İsteğe bağlı olarak, Özellikler ve Atamalar sekmelerinin altında kullanıcıya daha fazla ayrıntı ekleyebilirsiniz.

  6. Daveti konuk kullanıcıya otomatik olarak göndermek için Gözden geçir + davet et'i seçin. Kullanıcı başarıyla davet edildi iletisi görüntülenir.

  7. Daveti göndermenizin ardından kullanıcı hesabı otomatik olarak dizine konuk olarak eklenir.

MFA kurulumundan önce oturum açma deneyimini test etme

  1. Microsoft Entra yönetim merkezinde oturum açmak için test kullanıcı adınızı ve parolanızı kullanın.
  2. Microsoft Entra yönetim merkezine yalnızca oturum açma kimlik bilgilerinizi kullanarak erişebilmelisiniz. Başka kimlik doğrulaması gerekmez.
  3. Oturumu kapatma.

MFA gerektiren bir Koşullu Erişim ilkesi oluşturma

  1. Microsoft Entra yönetim merkezinde en az Koşullu Erişim Yönetici istratörü olarak oturum açın.

  2. Kimlik>Koruması>Güvenlik Merkezi'ne gidin.

  3. Koru altında Koşullu Erişim'i seçin.

  4. Koşullu Erişim sayfasındaki üstteki araç çubuğunda Yeni ilke oluştur'u seçin.

  5. Yeni sayfasında Ad metin kutusuna B2B portal erişimi için MFA’yı gerekli kıl yazın.

  6. Atamalar bölümünde Kullanıcılar ve gruplar altındaki bağlantıyı seçin.

  7. Kullanıcılar ve gruplar sayfasında Kullanıcıları ve grupları seç'i ve ardından Konuk veya dış kullanıcılar'ı seçin. İlkeyi farklı dış kullanıcı türlerine, yerleşik dizin rollerine veya kullanıcılara ve gruplara atayabilirsiniz.

    Screenshot showing selecting all guest users.

  8. Atamalar bölümünde Bulut uygulamaları veya eylemleri altındaki bağlantıyı seçin.

  9. Uygulama seç'i seçin ve ardından Seç'in altındaki bağlantıyı seçin.

    Screenshot showing the Cloud apps page and the Select option.

  10. Seç sayfasında Windows Azure Hizmet Yönetimi API'sini ve ardından Seç'i seçin.

  11. Yeni sayfasındaki Erişim denetimleri bölümünde Ver altındaki bağlantıyı seçin.

  12. Ver sayfasında Erişim ver'i seçin, Çok faktörlü kimlik doğrulaması gerektir onay kutusunu ve ardından Seç'i seçin.

    Screenshot showing the Require multifactor authentication option.

  13. İlkeyi etkinleştir bölümünde Açık seçeneğini belirleyin.

    Screenshot showing the Enable policy option set to On.

  14. Oluştur'u belirleyin.

Oturum açmanın benzetimini yapmak için What If seçeneğini kullanma

  1. Koşullu Erişimde | İlkeler sayfasında Durum'a tıklayın.

    Screenshot that highlights where to select the What if option on the Conditional Access - Policies page.

  2. Kullanıcı'nın altındaki bağlantıyı seçin.

  3. Arama kutusuna test konuk kullanıcınızın adını yazın. Arama sonuçlarında kullanıcıyı seçin ve ardından Seç'i seçin.

    Screenshot showing a guest user selected.

  4. Bulut uygulamaları, eylemler veya kimlik doğrulama içeriği altındaki bağlantıyı seçin. Uygulama seç'i seçin ve ardından Seç'in altındaki bağlantıyı seçin.

    Screenshot showing the Windows Azure Service Management API app selected.

  5. Bulut uygulamaları sayfasındaki uygulamalar listesinde Windows Azure Hizmet Yönetimi API'sini ve ardından Seç'i seçin.

  6. Durum'u seçin ve yeni ilkenizin Uygulanacak ilkeler sekmesindeki Değerlendirme sonuçları altında göründüğünü doğrulayın.

    Screenshot showing the results of the What If evaluation.

Koşullu Erişim ilkenizi test etme

  1. Microsoft Entra yönetim merkezinde oturum açmak için test kullanıcı adınızı ve parolanızı kullanın.

  2. Daha fazla kimlik doğrulama yöntemi için bir istek görmeniz gerekir. İlkenin geçerli olması biraz zaman alabilir.

    Screenshot showing the More information required message.

    Not

    Ayrıca, Microsoft Entra ev kiracısından MFA'ya güvenmek için kiracılar arası erişim ayarlarını yapılandırabilirsiniz. Bu, dış Microsoft Entra kullanıcılarının kaynak kiracısına kaydolmak yerine kendi kiracılarında kayıtlı MFA'ları kullanmasına olanak tanır.

  3. Oturumu kapatma.

Kaynakları temizleme

Artık gerekli olmadığında, test kullanıcısını ve test Koşullu Erişim ilkesini kaldırın.

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
  2. Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
  3. Test kullanıcısını seçin ve Kullanıcıyı sil seçeneğini belirleyin.
  4. Kimlik>Koruması>Güvenlik Merkezi'ne gidin.
  5. Koru altında Koşullu Erişim'i seçin.
  6. İlke Adı listesinde, test ilkeniz için bağlam menüsünü (…) seçin ve Sil seçeneğini belirleyin. Onaylamak için Evet'i seçin.

Sonraki adımlar

Bu öğreticide, konuk kullanıcıların bulut uygulamalarınızdan birinde oturum açarken MFA kullanmasını gerektiren bir Koşullu Erişim ilkesi oluşturdunuz. İşbirliği için konuk kullanıcı ekleme hakkında daha fazla bilgi edinmek için bkz . Azure portalında Microsoft Entra B2B işbirliği kullanıcıları ekleme.