Dodawanie uwierzytelniania wieloskładnikowego (MFA) do aplikacji
Dotyczy:Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)
Uwierzytelnianie wieloskładnikowe (MFA) dodaje do aplikacji warstwę zabezpieczeń, wymagając od użytkowników podania drugiej metody weryfikowania tożsamości podczas rejestracji lub logowania. Dzierżawy zewnętrzne obsługują dwie metody uwierzytelniania jako drugi czynnik:
- Jednorazowy kod dostępu e-mail: po zalogowaniu się użytkownika przy użyciu poczty e-mail i hasła zostanie wyświetlony monit o kod dostępu, który jest wysyłany do poczty e-mail. Aby zezwolić na używanie jednorazowych kodów dostępu poczty e-mail dla uwierzytelniania wieloskładnikowego, ustaw metodę uwierzytelniania konta lokalnego na Adres e-mail z hasłem. Jeśli wybierzesz opcję Poczta e-mail z jednorazowym kodem dostępu, klienci, którzy używają tej metody do logowania podstawowego, nie będą mogli używać go do weryfikacji pomocniczej uwierzytelniania wieloskładnikowego.
- Uwierzytelnianie oparte na wiadomościACH SMS: chociaż program SMS nie jest opcją uwierzytelniania pierwszego czynnika, jest dostępny jako drugi czynnik dla uwierzytelniania wieloskładnikowego. Użytkownicy logujący się przy użyciu poczty e-mail i hasła, poczty e-mail i jednorazowego kodu dostępu lub tożsamości społecznościowych, takich jak Google, Facebook lub Apple, są monitowani o drugą weryfikację przy użyciu wiadomości SMS. Nasze uwierzytelnianie wieloskładnikowe SMS obejmuje automatyczne kontrole oszustw. Jeśli podejrzewamy oszustwa, poprosimy użytkownika o ukończenie capTCHA, aby potwierdzić, że nie jest robotem przed wysłaniem kodu SMS na potrzeby weryfikacji. Zapewnia również zabezpieczenia przed oszustwami telefonicznymi. SMS to funkcja dodatku. Dzierżawa musi być połączona z aktywną, prawidłową subskrypcją. Dowiedz się więcej
W tym artykule opisano sposób wymuszania uwierzytelniania wieloskładnikowego dla klientów przez utworzenie zasad dostępu warunkowego firmy Microsoft Entra i dodanie uwierzytelniania wieloskładnikowego do przepływu rejestracji i logowania użytkownika.
Napiwek
Aby wypróbować tę funkcję, przejdź do pokazu Woodgrove Groceries i uruchom przypadek użycia "uwierzytelnianie wieloskładnikowe".
Wymagania wstępne
- Dzierżawa zewnętrzna firmy Microsoft Entra.
- Przepływ użytkownika rejestracji i logowania.
- Aplikacja zarejestrowana w dzierżawie zewnętrznej i dodana do przepływu rejestracji i logowania użytkownika.
- Konto z co najmniej rolą Administratora zabezpieczeń do konfigurowania zasad dostępu warunkowego i uwierzytelniania wieloskładnikowego.
- Sms to funkcja dodatku, która wymaga połączonej subskrypcji. Jeśli subskrypcja wygaśnie lub zostanie anulowana, użytkownicy końcowi nie będą już mogli uwierzytelniać się przy użyciu programu SMS, co może uniemożliwić im logowanie się w zależności od zasad uwierzytelniania wieloskładnikowego.
Tworzenie zasady dostępu warunkowego
Utwórz zasady dostępu warunkowego w dzierżawie zewnętrznej, które monitują użytkowników o uwierzytelnianie wieloskładnikowe podczas tworzenia konta lub logowania się do aplikacji. (Aby uzyskać więcej informacji, zobacz Typowe zasady dostępu warunkowego: wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników).
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
Przejdź do pozycji Ochrona>zasad>warunkowego, a następnie wybierz pozycję Nowe zasady.
Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
W obszarze Przypisania wybierz link w obszarze Użytkownicy.
a. Na karcie Dołączanie wybierz pozycję Wszyscy użytkownicy.
b. Na karcie Wykluczanie wybierz pozycję Użytkownicy i grupy, a następnie wybierz konta awaryjne lub konta awaryjne organizacji. Następnie naciśnij przycisk Wybierz.
Wybierz link w obszarze Zasoby docelowe.
a. Na karcie Dołączanie wybierz jedną z następujących opcji:
Wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
Wybierz pozycję Wybierz zasoby i wybierz link w obszarze Wybierz. Znajdź aplikację, wybierz ją, a następnie wybierz pozycję Wybierz.
b. Na karcie Wykluczanie wybierz wszystkie aplikacje, które nie wymagają uwierzytelniania wieloskładnikowego.
W obszarze Kontrole dostępu wybierz link w obszarze Udziel. Wybierz pozycję Udziel dostępu, wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.
Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.
Włączanie jednorazowego kodu dostępu poczty e-mail jako metody uwierzytelniania wieloskładnikowego
Włącz metodę uwierzytelniania jednorazowego kodu dostępu poczty e-mail w dzierżawie zewnętrznej dla wszystkich użytkowników.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do sekcji Metody uwierzytelniania ochrony>.
Na liście Metoda wybierz pozycję E-mail OTP.
W obszarze Włącz i cel włącz przełącznik Włącz .
W obszarze Dołącz obok pozycji Cel wybierz pozycję Wszyscy użytkownicy.
Wybierz pozycję Zapisz.
Włączanie programu SMS jako metody uwierzytelniania wieloskładnikowego
Włącz metodę uwierzytelniania sms w dzierżawie zewnętrznej dla wszystkich użytkowników.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do sekcji Metody uwierzytelniania ochrony>.
Na liście Metoda wybierz pozycję SMS.
W obszarze Włącz i cel włącz przełącznik Włącz .
W obszarze Dołącz obok pozycji Cel wybierz pozycję Wszyscy użytkownicy.
Wybierz pozycję Zapisz.
Aktywowanie usług telekomunikacyjnych dla regionów z rezygnacją
Od stycznia 2025 r. niektóre kody kraju będą domyślnie dezaktywowane na potrzeby weryfikacji wiadomości SMS. Jeśli chcesz zezwolić na ruch z zdezaktywowanych regionów, musisz aktywować je dla aplikacji przy użyciu zasad programu Microsoft Graph onPhoneMethodLoadStartevent
. Zobacz Regiony wymagające zgody na weryfikację wiadomości SMS.
Testowanie logowania
W prywatnej przeglądarce otwórz aplikację i wybierz pozycję Zaloguj się. Powinien zostać wyświetlony monit o inną metodę uwierzytelniania.