Condividi tramite


Funzionamento della robustezza dell'autenticazione per l'Accesso Condizionale per gli utenti esterni

I criteri metodi di autenticazione sono particolarmente utili per limitare l'accesso esterno alle app sensibili nell'organizzazione, perché è possibile applicare metodi di autenticazione specifici, ad esempio metodi resistenti al phishing, per gli utenti esterni.

Quando si applicano criteri di accesso condizionale basati sulla forza dell'autenticazione agli utenti esterni di Microsoft Entra, i criteri funzionano insieme alle impostazioni di attendibilità MFA tra tenant per determinare dove e come l'utente esterno deve eseguire l'autenticazione a più fattori. Un utente di Microsoft Entra esegue l'autenticazione nel tenant Microsoft Entra di casa. Quindi, quando accedono alla risorsa, Microsoft Entra ID applica i criteri e verifica se è stata abilitata l'attendibilità MFA. Si noti che l'abilitazione dell'attendibilità MFA è facoltativa per la collaborazione B2B, ma è necessaria per la connessione diretta B2B.

Negli scenari degli utenti esterni, i metodi di autenticazione che possono soddisfare il livello richiesto variano a seconda che l'utente stia completando l'autenticazione a più fattori (MFA) nel tenant d'origine o nel tenant della risorsa. La tabella seguente indica i metodi consentiti in ogni tenant. Se un tenant di risorsa ha scelto di fidarsi delle dichiarazioni provenienti da organizzazioni esterne di Microsoft Entra, solo le dichiarazioni elencate nella colonna "Tenant principale" di seguito verranno accettate dal tenant di risorsa per l'autenticazione a più fattori. Se il tenant delle risorse ha disabilitato l'attendibilità MFA, l'utente esterno deve completare l'autenticazione a più fattori nel tenant delle risorse usando uno dei metodi elencati nella colonna "Tenant delle risorse".

Metodo di autenticazione Inquilino domestico Il tenant delle risorse
Messaggio di testo come secondo fattore
Chiamata vocale
Notifica push di Microsoft Authenticator
Accesso tramite telefono di Microsoft Authenticator
Token OATH software
Token OATH hardware
Chiave di sicurezza FIDO2
Windows Hello for Business
Autenticazione basata su certificati

Per altre informazioni su come impostare i punti di forza di autenticazione per gli utenti esterni, vedere Accesso condizionale: Richiedere un livello di autenticazione per gli utenti esterni.

Esperienza utente per utenti esterni

Una policy di accesso condizionale basata sulla forza dell'autenticazione funziona insieme alle impostazioni di attendibilità dell'MFA nelle impostazioni di accesso incrociato tra tenant. Un utente di Microsoft Entra esegue prima l'autenticazione con il proprio account nel tenant principale. Quindi, quando l'utente tenta di accedere alla risorsa, Microsoft Entra ID applica i criteri di accesso condizionale del livello di autenticazione e verifica se è stata abilitata l'attendibilità MFA.

  • Se l'attendibilità MFA è abilitata, Microsoft Entra ID controlla la sessione di autenticazione dell'utente per un'attestazione che indica che l'autenticazione a più fattori è stata completata nel tenant di origine dell'utente. Vedere la tabella precedente per i metodi di autenticazione accettabili per l'autenticazione a più fattori quando viene completata nel tenant principale di un utente esterno. Se la sessione contiene un'attestazione che indica che i criteri MFA sono già soddisfatti nel tenant principale dell'utente e i metodi soddisfano i requisiti di attendibilità dell'autenticazione, l'utente è autorizzato ad accedere. In caso contrario, Microsoft Entra ID presenta all'utente una sfida per completare l'autenticazione a più fattori nel tenant principale usando un metodo di autenticazione accettabile.
  • Se l'attendibilità MFA è disabilitata, Microsoft Entra ID presenta all'utente una prova per completare l'autenticazione a più fattori nel tenant della risorsa usando un metodo di autenticazione accettabile. Vedere la tabella precedente per i metodi di autenticazione accettabili per l'autenticazione a più fattori da parte di un utente esterno.

Passaggi successivi