Uwierzytelnianie wieloskładnikowe w dzierżawach zewnętrznych
Dotyczy:Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)
Uwierzytelnianie wieloskładnikowe (MFA) dodaje do aplikacji warstwę zabezpieczeń, wymagając od użytkowników podania drugiej metody weryfikowania tożsamości podczas rejestracji lub logowania. Dzierżawy zewnętrzne obsługują dwie metody uwierzytelniania jako drugi czynnik:
- Jednorazowy kod dostępu poczty e-mail
- Uwierzytelnianie oparte na wiadomościACH SMS jest dostępne jako dodatek (zobacz szczegóły).
Wymuszanie uwierzytelniania wieloskładnikowego zwiększa bezpieczeństwo organizacji przez dodanie dodatkowej warstwy weryfikacji, co utrudnia nieautoryzowanym użytkownikom uzyskanie dostępu.
Tworzenie zasad uwierzytelniania wieloskładnikowego
W dzierżawie zewnętrznej możesz użyć dostępu warunkowego firmy Microsoft Entra, aby utworzyć zasady, które monitują użytkowników o uwierzytelnianie wieloskładnikowe podczas rejestrowania się lub logowania do aplikacji. Te zasady są tworzone w centrum administracyjnym firmy Microsoft Entra w sekcji Dostęp warunkowy w sekcji Ochrona. Można określić użytkowników i grupy, do których mają zastosowanie zasady, w tym wszystkich użytkowników i z wyłączeniem wszelkich kont dostępu awaryjnego lub kont typu break-glass.
W zasadach zdefiniujesz aplikacje wymagające uwierzytelniania wieloskładnikowego. Zasady można zastosować do wszystkich aplikacji w chmurze lub wybrać określone aplikacje, z wyłączeniem wszystkich aplikacji, które nie wymagają uwierzytelniania wieloskładnikowego. Następnie należy skonfigurować zasady w celu udzielenia dostępu tylko wtedy, gdy użytkownicy spełnią wymaganie uwierzytelniania wieloskładnikowego.
Aby uzyskać szczegółowe informacje, zobacz , jak utworzyć zasady dostępu warunkowego w dzierżawie zewnętrznej.
Włączanie metod uwierzytelniania wieloskładnikowego
Po wybraniu opcji dostawcy tożsamości w przepływach użytkownika należy zdefiniować metody uwierzytelniania pierwszego składnika na potrzeby rejestracji i logowania. Metody weryfikacji drugiego składnika dla uwierzytelniania wieloskładnikowego są konfigurowane w oddzielnej sekcji centrum administracyjnego firmy Microsoft Entra w sekcji Metody uwierzytelniania w sekcji Ochrona.
W zależności od wybranej opcji jako pierwszego czynnika dostępne są różne metody weryfikacji drugiego składnika na potrzeby uwierzytelniania wieloskładnikowego (MFA).
- E-mail z hasłami i zewnętrznymi dostawcami tożsamości: W przypadku dowolnej z tych metod pierwszego czynnika można włączyć jednorazowy kod dostępu wysyłany e-mailem, wiadomość SMS lub obie te metody jako metody weryfikacji drugiego czynnika dla uwierzytelniania wieloskładnikowego.
- Jednorazowy kod dostępu poczty e-mail: jeśli jako metoda uwierzytelniania pierwszego czynnika jest wybierana wiadomość e-mail z jednorazowym kodem dostępu, nie można jej użyć do weryfikacji drugiego składnika. W związku z tym dla uwierzytelniania wieloskładnikowego można włączyć tylko weryfikację opartą na wiadomościACH SMS.
Aby uzyskać szczegółowe informacje, zobacz , jak włączyć metody uwierzytelniania wieloskładnikowego w dzierżawie zewnętrznej.
Jednorazowy kod dostępu poczty e-mail
Uwierzytelnianie jednorazowego kodu dostępu w wiadomości e-mail jest dostępne w dzierżawie zewnętrznej zarówno jako metoda weryfikacji pierwszego, jak i drugiego składnika. Aby zezwolić na używanie jednorazowych kodów dostępu poczty e-mail dla uwierzytelniania wieloskładnikowego, należy ustawić metodę uwierzytelniania konta lokalnego na adres e-mail z hasłem. Jeśli wybierzesz opcję Poczta e-mail z jednorazowym kodem dostępu, klienci, którzy używają tej metody do logowania podstawowego, nie będą mogli używać go do weryfikacji pomocniczej uwierzytelniania wieloskładnikowego.
Gdy jednorazowy kod dostępu poczty e-mail jest włączony dla uwierzytelniania wieloskładnikowego, użytkownik loguje się przy użyciu podstawowej metody logowania i otrzymuje powiadomienie o wysłaniu kodu na adres e-mail użytkownika. Użytkownik decyduje się wysłać kod, pobiera kod dostępu ze swojej skrzynki odbiorczej poczty e-mail i wprowadza go w oknie logowania. Użytkownik musi ukończyć ten proces weryfikacji w ciągu 10 minut.
Uwierzytelnianie oparte na wiadomościACH SMS
Wiadomość SMS jest dostępna za dodatkową opłatą za weryfikację drugiego składnika w dzierżawach zewnętrznych. Obecnie program SMS nie jest dostępny w przypadku uwierzytelniania pierwszego składnika ani samoobsługowego resetowania hasła w dzierżawach zewnętrznych.
Po włączeniu funkcji SMS dla uwierzytelniania wieloskładnikowego użytkownicy logują się przy użyciu metody podstawowej i są monitowani o zweryfikowanie tożsamości przy użyciu kodu wysłanego za pośrednictwem tekstu. Podają swój numer telefonu i otrzymają wiadomość SMS z kodem weryfikacyjnym.
Identyfikator zewnętrzny ogranicza fałszywe rejestracje i logowania za pośrednictwem wiadomości SMS, wymuszając następujące środki:
- Limity ograniczania przepustowości telefonii pomagają zapobiegać awariom i spowolnieniu. Zobacz Limity i ograniczenia usługi.
- Funkcja CAPTCHA dla uwierzytelniania wieloskładnikowego programu SMS pomaga zapobiegać automatycznym atakom przez odróżnienie użytkowników od zautomatyzowanych botów. Jeśli zostanie wykryty ryzykowny użytkownik, zablokujemy użytkownikowi możliwość logowania się lub poprosimy użytkownika o ukończenie weryfikacji CAPTCHA przed wysłaniem kodu weryfikacyjnego SMS.
Warstwy cenowe wiadomości SMS według kraju/regionu
Poniższa tabela zawiera szczegółowe informacje o różnych warstwach cenowych dla usług uwierzytelniania opartych na programie SMS w różnych krajach lub regionach. Aby uzyskać szczegółowe informacje o cenach, zobacz Tożsamość zewnętrzna Microsoft Entra cennik.
Sms to funkcja dodatku, która wymaga połączonej subskrypcji. Jeśli subskrypcja wygaśnie lub zostanie anulowana, użytkownicy końcowi nie będą już mogli uwierzytelniać się przy użyciu wiadomości SMS, co może uniemożliwić im logowanie się w zależności od zasad uwierzytelniania wieloskładnikowego.
Warstwa | Kraje/regiony |
---|---|
Uwierzytelnianie telefoniczne — niski koszt | Australia, Brazylia, Brunei, Kanada, Chile, Chiny, Kolumbia, Cypr, Macedonia Północna, Polska, Portugalia, Korea Południowa, Tajlandia, Turcja, Stany Zjednoczone |
Uwierzytelnianie telefoniczne — średnie niskie koszty | Grenlandii, Albania, Samoa Amerykańskie, Austria, Bahamy, Bahrajn, Bośnia i Hercegowina, Botswana, Kostaryka, Czechy, Dania, Estonia, Wyspy Owcze, Finlandia, Francja, Grecja, Hongkong, Węgry, Islandia, Irlandia, Włochy, Japonia, Łotewski, Litwa, Luksemburg, Macao, Malta, Meksyk, Mikronezja, Mołdawia, Namibia, Nowa Zelandia, Nikaragua, Norwegia, Rumunia, São Tomé i Príncipe, Seychelles Republic, Singapur, Słowacja, Wyspy Salomona, Hiszpania, Szwecja, Szwajcaria, Tajwan, Wielka Brytania, Stany Zjednoczone Wyspy Dziewicze, Urugwaj |
Uwierzytelnianie telefoniczne — średni koszt | Andora, Angola, Anguilla, Antarktyda, Antigua i Barbuda, Argentyna, Armenia, Australia, Wniebowstąpienie, Barbados, Belgia, Benin, Boliwia, Brytyjskie Wyspy Dziewicze, Bułgaria, Burkina Faso, Kamerun, Kajmany, Republika Środkowoafrykańska, Wyspy Cooka, Chorwacja, Diego Garcia, Djibouti, Dominikana, Timor Wschodni, Ekwador, Salwador, Erytrea, Falklandy, Fidżi, Francuski Guiana, Polinezja Francuska, Gambia, Gruzja, Niemcy, Gibraltar, Grenada, Gwadelupa, Guam, Gwinea, Gujana, Honduras, Indie, Wybrzeże Kości Słoniowej, Kenia, Kiribati, Laos, Liberia, Malezja, Wyspy Marshalla, Martinique, Mauritius, Monaco, Czarnogóra, Montserrat, Holandia, Antylle Holandii, New Caledonia, Niue, Oman, Palau, Panama, Paragwaj, Peru, Puerto Rico, Portoryko, Réunion, Rwanda, Saint Helena, Saint Kitts & Nevis, Saint Lucia, Saint Pierre & Miquelon, Saint Vincent i Grenadines, Saipan, Samoa, San Marino, Arabia Saudyjska, Sint Maarten, Słowenia, Republika Południowej Afryki, Sudan Południowy, Suriname, Swaziland (Nowa nazwa to Królestwo Eswatini), Tokelau, Tonga, Turks & Caicos, Tuvalu, Zjednoczone Emiraty Arabskie, Vanuatu, Wenezuela, Wietnam, Wallis i Futuna |
Wysoki koszt uwierzytelniania telefonicznego | Liechtenstein, Bermudy, Kambodża, Republika Zielonego Przylądka, Demokratyczna Republika Konga, Dominika, Egipt, Gwinea Równikowa, Ghana, Gwatemala, Gwinea Bissau, Izrael, Jamajka, Jamajka, Kosowo, Lesotho, Malediwy, Mali, Mauritania, Maroko, Mozambik, Papua Nowa Gwinea, Filipiny, Katar, Sierra Leone, Trynidad i Tobago, Ukraina, Zimbabwe, Afganistan, Algieria, Azerbejdżan, Bangladesz, Białoruś, Filipiny, Bhutan, Burundi, Chad, Comoros, Kongo, Etiopia, Gabonese Republika, Haiti, Indonezja, Irak, Jordania, Kuwejt, Kirgistan, Liban, Libia, Madagaskar, Malawi, Mongolia, Mjanma, Nauru, Nepal, Niger, Nigeria, Pakistan, Palestyńska Władza Narodowa, Rosja, Senegal, Serbia, Somalia, Sri Lanka, Sudan, Tadżykistan, Tanzania, Republika Togolesii, Tunezja, Uganda, Uganda, Uzbekistan, Jemen, Zambia |
Wybieranie regionów dla programu SMS
Od stycznia 2025 r. niektóre kody kraju będą domyślnie dezaktywowane na potrzeby weryfikacji wiadomości SMS. Jeśli chcesz zezwolić na ruch z zdezaktywowanych regionów, musisz aktywować je dla aplikacji przy użyciu zasad programu Microsoft Graph onPhoneMethodLoadStartevent
. Zobacz Regiony wymagające zgody na weryfikację wiadomości SMS.
Następne kroki
Dodawanie uwierzytelniania wieloskładnikowego (MFA) do aplikacji