Udostępnij za pośrednictwem

Uwierzytelnianie wieloskładnikowe w dzierżawach zewnętrznych

  • Artykuł

Dotyczy:Biały okrąg z szarym symbolem X. Dzierżawcy siły roboczej Zielony okrąg z białym symbolem znacznika wyboru. Dzierżawcy zewnętrzni (dowiedz się więcej)

Uwierzytelnianie wieloskładnikowe (MFA) dodaje do aplikacji warstwę zabezpieczeń, wymagając od użytkowników podania drugiej metody weryfikowania tożsamości podczas rejestracji lub logowania. Dzierżawy zewnętrzne obsługują dwie metody uwierzytelniania jako drugi czynnik:

  • Jednorazowy kod dostępu poczty e-mail
  • Uwierzytelnianie oparte na wiadomościACH SMS jest dostępne jako dodatek (zobacz szczegóły).

Wymuszanie uwierzytelniania wieloskładnikowego zwiększa bezpieczeństwo organizacji przez dodanie dodatkowej warstwy weryfikacji, co utrudnia nieautoryzowanym użytkownikom uzyskanie dostępu.

Tworzenie polityki MFA

W dzierżawie zewnętrznej możesz użyć dostępu warunkowego firmy Microsoft Entra, aby utworzyć zasady, które monitują użytkowników o uwierzytelnianie wieloskładnikowe podczas rejestrowania się lub logowania do aplikacji. Te zasady są tworzone w centrum administracyjnym firmy Microsoft Entra w sekcji Dostęp warunkowy w sekcji Ochrona. Można określić użytkowników i grupy, do których mają zastosowanie zasady, w tym wszystkich użytkowników i z wyłączeniem wszelkich kont dostępu awaryjnego lub kont typu break-glass.

W zasadach zdefiniujesz aplikacje wymagające uwierzytelniania wieloskładnikowego. Zasady można zastosować do wszystkich aplikacji w chmurze lub wybrać określone aplikacje, z wyłączeniem wszystkich aplikacji, które nie wymagają uwierzytelniania wieloskładnikowego. Następnie należy skonfigurować zasady w celu udzielenia dostępu tylko wtedy, gdy użytkownicy spełnią wymaganie uwierzytelniania wieloskładnikowego.

Aby uzyskać szczegółowe informacje, zobacz jak utworzyć zasady dostępu warunkowego w zewnętrznej dzierżawie.

Włączanie metod uwierzytelniania wieloskładnikowego

Po wybraniu opcji dostawcy tożsamości w przepływach użytkownika należy zdefiniować metody uwierzytelniania jednoetapowego na potrzeby rejestracji i logowania. Metody weryfikacji drugiego składnika dla uwierzytelniania wieloskładnikowego są konfigurowane w oddzielnej sekcji centrum administracyjnego firmy Microsoft Entra w sekcji Metody uwierzytelniania w sekcji Ochrona.

W zależności od wybranej opcji jako pierwszego czynnika dostępne są różne metody weryfikacji drugiego składnika na potrzeby uwierzytelniania wieloskładnikowego (MFA).

  • E-mail z hasłami i zewnętrznymi dostawcami tożsamości: W przypadku dowolnej z tych metod pierwszego czynnika można włączyć jednorazowy kod dostępu wysyłany e-mailem, wiadomość SMS lub obie te metody jako metody weryfikacji drugiego czynnika dla uwierzytelniania wieloskładnikowego.
  • Jednorazowy kod dostępu e-mail: Jeśli jako metoda uwierzytelniania pierwotnego czynnika jest wybierana wiadomość e-mail z jednorazowym kodem dostępu, nie można jej użyć do weryfikacji drugiego czynnika. W związku z tym dla uwierzytelniania wieloskładnikowego można włączyć tylko weryfikację opartą na wiadomościACH SMS.

Aby uzyskać szczegółowe informacje, zobacz jak włączyć metody uwierzytelniania wieloskładnikowego w zewnętrznej dzierżawie.

Jednorazowy kod dostępu poczty e-mail

Uwierzytelnianie jednorazowego hasła w wiadomości e-mail jest dostępne w dzierżawie zewnętrznej zarówno jako metoda weryfikacji pierwszego, jak i drugiego składnika. Aby zezwolić na używanie jednorazowych kodów dostępu e-mail dla uwierzytelniania wieloskładnikowego, należy ustawić metodę uwierzytelniania konta lokalnego na Email z hasłem. Jeśli wybierzesz opcję Poczta e-mail z jednorazowym kodem, klienci, którzy używają tej metody do logowania podstawowego, nie będą mogli używać jej do dodatkowej weryfikacji uwierzytelniania wieloskładnikowego.

Gdy jednorazowy kod dostępu poczty e-mail jest włączony dla uwierzytelniania wieloskładnikowego, użytkownik loguje się przy użyciu podstawowej metody logowania i otrzymuje powiadomienie o wysłaniu kodu na adres e-mail użytkownika. Użytkownik decyduje się wysłać kod, pobiera kod dostępu ze swojej skrzynki odbiorczej poczty e-mail i wprowadza go w oknie logowania. Użytkownik musi ukończyć ten proces weryfikacji w ciągu 10 minut.

Uwierzytelnianie oparte na wiadomościACH SMS

Wiadomość SMS jest dostępna za dodatkową opłatą na potrzeby weryfikacji dwuetapowej w dzierżawach zewnętrznych. Obecnie SMS nie jest dostępny do uwierzytelniania pierwszego czynnika ani samoobsługowego resetu hasła w dzierżawach zewnętrznych.

Po włączeniu funkcji SMS dla uwierzytelniania wieloskładnikowego użytkownicy logują się przy użyciu metody podstawowej i są monitowani o zweryfikowanie tożsamości przy użyciu kodu wysłanego za pośrednictwem tekstu. Podają swój numer telefonu i otrzymają wiadomość SMS z kodem weryfikacyjnym.

Zrzut ekranu przedstawiający tekst wiadomości SMS dla uwierzytelniania wieloskładnikowego.

Identyfikator zewnętrzny ogranicza fałszywe rejestracje i logowania za pośrednictwem wiadomości SMS, wymuszając następujące środki:

  • Limity ograniczania przepustowości telefonii pomagają zapobiegać awariom i spowolnieniu. Zobacz Limity i ograniczenia usługi.
  • Funkcja CAPTCHA dla uwierzytelniania wieloskładnikowego programu SMS pomaga zapobiegać automatycznym atakom przez odróżnienie użytkowników od zautomatyzowanych botów. Jeśli zostanie wykryty ryzykowny użytkownik, zablokujemy użytkownikowi możliwość logowania się lub poprosimy użytkownika o ukończenie weryfikacji CAPTCHA przed wysłaniem kodu weryfikacyjnego SMS.

Warstwy cenowe wiadomości SMS według kraju/regionu

Poniższa tabela zawiera szczegółowe informacje o różnych warstwach cenowych dla usług uwierzytelniania opartych na programie SMS w różnych krajach lub regionach. Aby uzyskać szczegółowe informacje o cenach, zobacz ceny Tożsamości zewnętrznej Microsoft Entra.

SMS to dodatkowa funkcja, która wymaga połączonej subskrypcji. Jeśli subskrypcja wygaśnie lub zostanie anulowana, użytkownicy końcowi nie będą już mogli uwierzytelniać się przy użyciu wiadomości SMS, co może uniemożliwić im logowanie się w zależności od zasad uwierzytelniania wieloskładnikowego.

Warstwa Kraje/regiony
Uwierzytelnianie telefoniczne — niski koszt Australia, Brazylia, Brunei, Kanada, Chile, Chiny, Kolumbia, Cypr, Macedonia Północna, Polska, Portugalia, Korea Południowa, Tajlandia, Türkiye, Stany Zjednoczone
Uwierzytelnianie telefoniczne — średnie niskie koszty Grenlandii, Albania, Samoa Amerykańskie, Austria, Bahamy, Bahrajn, Bośnia i Hercegowina, Botswana, Kostaryka, Czechy, Dania, Estonia, Wyspy Owcze, Finlandia, Francja, Grecja, Hongkong (Specjalny Region Administracyjny), Węgry, Islandia, Irlandia, Włochy, Japonia, Łotwa, Litwa, Luksemburg, Makau (Specjalny Region Administracyjny), Malta, Meksyk, Mikronezja, Mołdawia, Namibia, Nowa Zelandia, Nikaragua, Norwegia, Rumunia, São Tomé i Príncipe, Seszele, Singapur, Słowacja, Wyspy Salomona, Hiszpania, Szwecja, Szwajcaria, Tajwan, Wielka Brytania, Wyspy Dziewicze Stanów Zjednoczonych, Urugwaj
Uwierzytelnianie telefoniczne — średnio wysoki koszt Andora, Angola, Anguilla, Antarktyda, Antigui i Barbuda, Argentyna, Armenia, Aruba, Barbados, Belgia, Benin, Boliwia, Bonaire, Curaçao, Saba, Sint Eustatius i Sint Maarten, Brytyjskie Wyspy Dziewicze, Bułgaria, Burkina Faso, Kamerun, Kajmany, Republika Środkowoafrykańska, Wyspy Cooka, Wybrzeże Kości Słoniowej, Chorwacja, Diego Garcia, Djibouti, Dominikana, Ekwador, Salwador, Erytrea, Falklandy, Fiji, Gujana Francuska, Polinezja Francuska, Gambia, Gruzja, Niemcy, Gibraltar, Grenada, Gwadelupa, Guam, Gwinea, Gujana, Honduras, Indie, Kenia, Kiribati, Laos, Liberia, Malezja, Wyspy Marshalla, Martynika, Mauritius, Monako, Czarnogóra, Montserrat, Holandia, Nowa Kaledonia, Niue, Oman, Palau, Panama, Paragwaj, Peru, Portoryko, Réunion, Rwanda, Saint Helena, Ascension i Tristan de Cunha, Saint Kitts i Nevis, Saint Lucia, Saint Pierre i Miquelon, Saint Vincent i Grenadyny, Saipan, Samoa, San Marino, Arabia Saudyjska, Sint Maarten, Słowenia, Republika Południowej Afryki, Sudan Południowy, Surinam, Eswatini, Timor-Leste, Tokelau, Tonga, Turks i Caicos, Tuvalu, Zjednoczone Emiraty Arabskie, Vanuatu, Wenezuela, Wietnam, Wallis i Futuna
Wysoki koszt uwierzytelniania telefonicznego Liechtenstein, Bermudy, Cabo Verde, Kambodża, Demokratyczna Republika Konga, Dominika, Egipt, Gwinea Równikowa, Ghana, Gwatemala, Gwinea-Bissau, Izrael, Jamajka, Jamajka, Kosowo, Lesotho, Malediwy, Mali, Mauritania, Maroko, Mozambik, Papua Nowa Gwinea, Filipiny, Katar, Sierra Leone, Trynidad & Tobago, Ukraina, Zimbabwe, Afganistan, Algieria, Azerbejdżan, Bangladesz, Białoruś, Zimbabwe, Bhutan, Burundi, Chad, Comoros, Kongo, Etiopia, Republika Gabonese, Haiti, Indonezja, Irak, Jordania, Kuwejt, Kirgistan, Liban, Libia, Madagaskar, Malawi, Mongolia, Mjanma, Nauru, Nepal, Niger, Nigeria, Pakistan, Palestyńska Władza Narodowa, Rosja, Senegal, Serbia, Somalia, Sri Lanka, Sudan, Tadżykistan, Tanzania, Republika Togolesii, Tunezja, Uganda, Uganda, Uzbekistan, Jemen, Zambia

Wybieranie regionów dla programu SMS

Od stycznia 2025 r. niektóre kody kraju będą domyślnie dezaktywowane na potrzeby weryfikacji wiadomości SMS. Jeśli chcesz zezwolić na ruch z zdezaktywowanych regionów, musisz aktywować je dla aplikacji przy użyciu zasad programu Microsoft Graph onPhoneMethodLoadStartevent . Zobacz Regiony wymagające wyrażenia zgody na weryfikację SMS.

Następne kroki

Dodawanie uwierzytelniania wieloskładnikowego (MFA) do aplikacji