Jak funguje síla ověřování podmíněného přístupu pro externí uživatele
Zásady metod ověřování jsou užitečné zejména pro omezení externího přístupu k citlivým aplikacím ve vaší organizaci, protože pro externí uživatele můžete vynutit konkrétní metody ověřování, jako jsou metody odolné proti útokům phishing.
Když použijete zásady podmíněného přístupu pro ověřování u externích uživatelů Microsoft Entra, zásady spolupracují s nastavením důvěryhodnosti vícefaktorového ověřování v nastavení přístupu mezi tenanty a určují, kde a jak externí uživatel musí MFA provádět. Uživatel Microsoft Entra se ověřuje ve svém domovském tenantovi Microsoft Entra. Když pak přistupují k vašemu prostředku, použije Microsoft Entra ID zásadu a zkontroluje, jestli jste povolili vícefaktorovou důvěryhodnost. Všimněte si, že povolení důvěryhodnosti MFA je volitelné pro spolupráci B2B, ale je vyžadováno pro B2B přímé připojení.
Ve scénářích externích uživatelů se mohou metody ověřování, které mohou splňovat úroveň zabezpečení ověřování, lišit v závislosti na tom, zda uživatel provádí MFA ve svém domovském tenantovi nebo tenantovi prostředků. Následující tabulka uvádí povolené metody v každé nájemní jednotce. Pokud se tenant prostředku rozhodl důvěřovat deklaracím identity z externích organizací Microsoft Entra, budou tenantem prostředků pro vícefaktorové ověřování přijaty pouze tyto deklarace identity uvedené v níže uvedeném sloupci "Domácí tenant". Pokud tenant prostředku zakázal důvěru vícefaktorového ověřování, musí externí uživatel dokončit vícefaktorové ověřování v tenantovi prostředků pomocí jedné z metod uvedených ve sloupci "Tenant prostředku".
| Metoda ověřování | Nájemník domova | Tenant prostředků |
|---|---|---|
| Textová zpráva jako druhý faktor | ✅ | ✅ |
| Hlasový hovor | ✅ | ✅ |
| Nabízené oznámení Microsoft Authenticatoru | ✅ | ✅ |
| Přihlášení k telefonu v Microsoft Authenticatoru | ✅ | |
| Softwarový token OATH | ✅ | ✅ |
| Hardwarový token OATH | ✅ | |
| Klíč zabezpečení FIDO2 | ✅ | |
| Windows Hello pro firmy | ✅ | |
| Ověřování pomocí certifikátů | ✅ |
Další informace o nastavení síly ověřování pro externí uživatele najdete v tématu Podmíněný přístup: Vyžadování síly ověřování pro externí uživatele.
Uživatelské prostředí pro externí uživatele
Zásady podmíněného přístupu pro sílu ověřování spolupracují s nastaveními důvěryhodnosti vícefaktorového ověřování v nastavení křížového přístupu mezi tenanty. Nejprve se uživatel Microsoft Entra ověří pomocí vlastního účtu ve svém domovském tenantovi. Když se tento uživatel pokusí o přístup k vašemu prostředku, Microsoft Entra ID použije zásady podmíněného přístupu síly ověřování identity a zkontroluje, jestli jste povolili důvěryhodnost vícefaktorového ověřování.
- Pokud je povolena důvěryhodnost MFA, Microsoft Entra ID zkontroluje relaci ověřování uživatele na potvrzení, které indikuje, že MFA bylo splněno v domovském tenantovi uživatele. V předchozí tabulce najdete metody ověřování, které jsou vhodné pro vícefaktorové ověřování, když jsou provedeny v domovském tenantovi externího uživatele. Pokud relace obsahuje deklaraci identity, která naznačuje, že zásady vícefaktorového ověřování jsou již splněny v domovském tenantovi uživatele a ověřovací metody splňují požadavky na sílu ověřování, je uživateli povolen přístup. V opačném případě Id Microsoft Entra zobrazí uživateli výzvu k dokončení vícefaktorového ověřování v domovském tenantovi pomocí přijatelné metody ověřování.
- Pokud je důvěra MFA zakázána, předloží Microsoft Entra ID uživateli výzvu, aby dokončil MFA v tenantovi prostředků pomocí přijatelné metody ověřování. Viz předchozí tabulka metod ověřování, které jsou přijatelné pro vícefaktorové ověřování externím uživatelem.