B2B işbirliği kullanıcıları için Koşullu Erişim

Bu makalede kuruluşların B2B konuk kullanıcılarının kaynaklarına erişmesi için Koşullu Erişim (CA) ilkelerini nasıl kapsamına ayaları açıklanmıştır.

Not

Bu kimlik doğrulama veya yetkilendirme akışı, konuk kullanıcılar için ilgili Kimlik sağlayıcısının (IdP) mevcut kullanıcılarına göre biraz farklıdır.

Dış dizinden B2B konuk kullanıcıları için kimlik doğrulama akışı

Aşağıdaki diyagramda akış göstermektedir: image shows Authentication flow for B2B guest users from an external directory

Adım Description
1. B2B konuk kullanıcısı bir kaynağa erişim isteğinde bulundu. Kaynak, kullanıcıyı güvenilir bir IdP olan kaynak kiracısına yeniden yönlendirmektedir.
2. Kaynak kiracısı, kullanıcıyı dış olarak tanımlar ve B2B konuk kullanıcının IdP'sini yeniden yönlendirer. Kullanıcı IdP'de birincil kimlik doğrulaması gerçekleştirir.
3. B2B konuk kullanıcının IdP'si kullanıcıya bir belirteç sağlar. Kullanıcı, belirteci ile kaynak kiracısına geri yeniden yönlendirildi. Kaynak kiracısı belirteci doğrular ve ardından kullanıcıyı CA ilkelerine göre değerlendirir. Örneğin, kaynak kiracısı kullanıcının (AD) Multi-Factor Authentication Azure Active Directory gerçekleştirmesi gerekli olabilir.
4. Tüm kaynak kiracısı CA ilkeleri karşılandıktan sonra kaynak kiracısı kendi belirteci iletir ve kullanıcıyı kaynağına yeniden yönlendirer.

Bir kez geçiş koduna sahip B2B konuk kullanıcıları için kimlik doğrulama akışı

Aşağıdaki diyagramda akış göstermektedir: image shows Authentication flow for B2B guest users with one time passcode

Adım Description
1. Kullanıcı başka bir kiracıda yer alan bir kaynağa erişim ister. Kaynak, kullanıcıyı güvenilir bir IdP olan kaynak kiracısına yeniden yönlendirmektedir.
2. Kaynak kiracısı, bir dış e-posta tek kullanımlık geçiş kodu (OTP) kullanıcısı olarak kullanıcıyı tanımlar ve kullanıcıya OTP ile bir e-posta gönderir.
3. Kullanıcı OTP'yi almak ve kodu göndermek. Kaynak kiracısı, kullanıcıyı CA ilkelerine göre değerlendirir.
4. Tüm CA ilkeleri karşılandıktan sonra kaynak kiracısı bir belirteç sağlar ve kullanıcıyı kaynağına yeniden yönlendirer.

Not

Kullanıcı bir dış kaynak kiracısına aitse, B2B konuk kullanıcının IdP CA ilkelerinin de değerlendirilmesi mümkün değildir. Bugünden sonra, konuklara yalnızca kaynak kiracının CA ilkeleri uygulanır.

B2B kullanıcıları için Azure AD Multi-Factor Authentication

Kuruluşlar, B2B konuk kullanıcıları için birden çok Azure AD Multi-Factor Authentication ilkelerini zorunlu kabilirsiniz. Bu ilkeler kiracı, uygulama veya bireysel kullanıcı düzeyinde, tam zamanlı çalışanlar ve kuruluş üyeleri için etkinleştirildikten sonra uygulanabilir. Konuk kullanıcının kuruluşu Multi-Factor Authentication özelliklerine sahip olsa bile kaynak kiracısı her zaman kullanıcılar için Azure AD Multi-Factor Authentication'ın sorumluluğundadır. İşte bir örnek:

  1. Fabrikam adlı bir şirkette yönetici veya bilgi çalışanı, Contoso adlı başka bir şirketten kullanıcıyı, uygulamasını Woodgrove kullanmaya davet ediyor.

  2. Fabrikam'daki Woodgrove uygulaması, erişimde Azure AD Multi-Factor Authentication gerektirecek şekilde yapılandırılmıştır.

  3. Contoso'daki B2B konuk kullanıcısı Fabrikam kiracısı içinde Woodgrove'a erişmeyi denemesi, Azure AD Multi-Factor Authentication zorluklarını tamamlaması istener.

  4. Ardından konuk kullanıcı, Fabrikam ile Azure AD Multi-Factor Authentication'ı ayarip seçenekleri kullanabilir.

  5. Bu senaryo herhangi bir kimlik için çalışır: Azure AD veya Kişisel Microsoft Hesabı (MSA). Örneğin, Contoso'daki kullanıcı sosyal kimlik kullanarak kimlik doğrulaması kullanıyorsa.

  6. Fabrikam'ın Azure AD Multi-Factor Authentication'i destekleyen yeterli premium Azure AD lisansları olmalıdır. Contoso kullanıcısı daha sonra bu lisansı Fabrikam'dan tüketir. B2B lisanslama hakkında bilgi için bkz. Azure AD dış kimlikleri için faturalama modeli.

Not

Azure AD Multi-Factor Authentication, öngörülebilirliği sağlamak için kaynak kirası aşamasında yapılır. Konuk kullanıcı oturum açması, kaynak kiracı oturum açma sayfasının arka planda ve kendi ana kiracı oturum açma sayfasının ve şirket logosunun ön planda görüntüleniyor olduğunu görebilir.

B2B kullanıcıları için Azure AD Multi-Factor Authentication sıfırlaması

Artık B2B konuk kullanıcılarının kanıtı için aşağıdaki PowerShell cmdlet'leri kullanılabilir:

  1. Azure AD'ye Bağlanma

    $cred = Get-Credential
    Connect-MsolService -Credential $cred
    
  2. Proof up yöntemlerine sahip tüm kullanıcıları alma

    Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
    

    Örnek aşağıda verilmiştir:

    Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
    
  3. Belirli bir kullanıcının B2B işbirliği kullanıcısını yeniden kanıt yöntemleri ayarlamasını gerektirmesi için Azure AD Multi-Factor Authentication yöntemini sıfırlayın. Örnek aşağıda verilmiştir:

    Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName gsamoogle_gmail.com#EXT#@ WoodGroveAzureAD.onmicrosoft.com
    

B2B kullanıcıları için Koşullu Erişim

B2B konuk kullanıcıları için CA ilkelerini etkileyen çeşitli faktörler vardır.

Cihaz tabanlı Koşullu Erişim

CA'da, kullanıcının cihazı uyumlu veya Karma Azure AD'ye katılmışolmalıdır. B2B konuk kullanıcıları yalnızca kaynak kiracının kendi aygıtlarını yöneteblirse uyumluluğu karşılar. Cihazlar aynı anda birden fazla kuruluş tarafından yönetilamaz. B2B konuk kullanıcıları, şirket içi AD hesabı olmayan Hibrit Azure AD'ye katılmayı karşılar.

Not

  • Dış kullanıcılar için yönetilen bir cihaz gerektirmek önerilmez.
  • Konuk kullanıcılar Koşullu Erişim ile korunan bir kaynağa erişmeye çalışsalar artık cihazlarını kiracınıza yeniden kaydetmeleri istenmeyecektir. Daha önce konuk kullanıcılar yeniden kayıt işlemini başlatabilecekti. Ancak bu, mevcut cihaz kaydını kaldırır ve kaydı tamamlayamzamaz. Şimdi cihazlarını yeniden kaydetmeye çalışmalarını önlemek için koşullu erişim engelleme sayfasını görebilirler.

Mobil uygulama yönetim ilkeleri

CA,Onaylı istemci uygulamaları gerektir ve Uygulama koruma ilkeleri gerektir gibi denetimler için cihazın kiracıda kayıtlı olması gerekir. Bu denetimler yalnızca iOS ve Android cihazlara uygulanabilir. Ancak, kullanıcının cihazı zaten başka bir kuruluş tarafından yönetiliyorsa bu denetimlerin hiçbiri B2B konuk kullanıcılarına uygulanamaz. Bir mobil cihaz aynı anda birden fazla kiracıya kaydedi olamaz. Mobil cihaz başka bir kuruluş tarafından yönetiliyorsa kullanıcı engellenir.

Not

Dış kullanıcılar için bir uygulama koruma ilkesi gerektirmek önerilmez.

Konum Tabanlı Koşullu Erişim

Davet eden kuruluş, iş ortağı kuruluşlarını tanımlayan güvenilir bir IP adresi aralığı oluşturabilirse, IP aralıklarını temel alan konum tabanlı ilke zorunlu kılınabilir.

İlkeler coğrafi konumlara göre de uygulanabilir.

Risk tabanlı Koşullu Erişim

B2B konuk kullanıcısı onay denetimine sahipse Oturum açma riski ilkesi uygulanır. Örneğin, bir kuruluş orta veya yüksek oturum açma riski için Azure AD Multi-Factor Authentication'a ihtiyaç kullanabilir. Ancak, bir kullanıcı daha önce kaynak kiracıda Azure AD Multi-Factor Authentication'a kayıtlı değilse kullanıcı engellenir. Bu, kötü amaçlı kullanıcıların yasal bir kullanıcının parolasını tehlikeye atması durumunda kendi Azure AD Multi-Factor Authentication kimlik bilgilerini kaydetmelerini önlemek için yapılır.

Ancak Kullanıcı riski ilkesi kaynak kiracıda çözümlenemiyor. Örneğin, yüksek riskli konuk kullanıcılar için parola değişikliğine ihtiyaç ediyorsanız, kaynak dizininde parolaları sıfırlayamama nedeniyle bu kullanıcılar engellenir.

Koşullu Erişim istemci uygulamaları koşulu

İstemci uygulamaları koşulları, B2B konuk kullanıcıları için diğer tüm kullanıcı türlerde olduğu gibi davranır. Örneğin, konuk kullanıcıların eski kimlik doğrulama protokollerini kullanmalarını önleyebilirsiniz.

Koşullu Erişim oturum denetimleri

Oturum denetimleri B2B konuk kullanıcıları için diğer tüm kullanıcı türlerde olduğu gibi davranır.

Sonraki adımlar

Daha fazla bilgi için Azure AD B2B işbirliği ile ilgili aşağıdaki makalelere bakın: