Jak działa siła uwierzytelniania dostępu warunkowego dla użytkowników zewnętrznych
Zasady metod uwierzytelniania są szczególnie przydatne w przypadku ograniczania dostępu zewnętrznego do poufnych aplikacji w organizacji, ponieważ można wymusić określone metody uwierzytelniania, takie jak metody odporne na wyłudzanie informacji, dla użytkowników zewnętrznych.
W przypadku zastosowania zasad dostępu warunkowego dotyczących mechanizmu uwierzytelniania do zewnętrznych użytkowników Microsoft Entra, zasady te współpracują z ustawieniami zaufania MFA w ustawieniach dostępu między dzierżawami, aby określić, gdzie i jak użytkownik zewnętrzny musi wykonać uwierzytelnianie wieloskładnikowe. Użytkownik Microsoft Entra uwierzytelnia się w swojej głównej dzierżawie firmy Microsoft Entra. Następnie, gdy uzyskują dostęp do Twojego zasobu, Microsoft Entra ID stosuje zasady i sprawdza, czy włączyłeś zaufanie dla MFA. Należy pamiętać, że włączenie zaufania uwierzytelniania wieloskładnikowego jest opcjonalne w przypadku współpracy B2B, ale jest wymagane w przypadku bezpośredniego połączenia B2B.
W scenariuszach użytkowników zewnętrznych metody uwierzytelniania spełniające wymogi co do siły uwierzytelniania różnią się w zależności od tego, czy użytkownik przeprowadza MFA w swojej dzierżawie macierzystej, czy w dzierżawie zasobów. W poniższej tabeli przedstawiono dozwolone metody u każdego najemcy. Jeśli dzierżawca zasobów zdecydował się ufać roszczeniom od zewnętrznych organizacji Microsoft Entra, tylko te roszczenia wymienione w poniższej kolumnie "Dzierżawa macierzysta" zostaną zaakceptowane przez dzierżawcę zasobów dla uwierzytelnienia wieloskładnikowego. Jeśli dzierżawa zasobów wyłączyła zaufanie MFA, użytkownik zewnętrzny musi ukończyć MFA w dzierżawie zasobów, korzystając z jednej z metod wymienionych w kolumnie "Dzierżawa zasobów".
| Metoda uwierzytelniania | Najemca mieszkania | Dzierżawa zasobów |
|---|---|---|
| Wiadomość SMS jako drugi czynnik | ✅ | ✅ |
| Połączenie głosowe | ✅ | ✅ |
| Powiadomienie push Microsoft Authenticator | ✅ | ✅ |
| Logowanie za pomocą telefonu Microsoft Authenticator | ✅ | |
| Token oprogramowania OATH | ✅ | ✅ |
| Token sprzętowy OATH | ✅ | |
| Klucz zabezpieczeń FIDO2 | ✅ | |
| Windows Hello for Business | ✅ | |
| Uwierzytelnianie oparte na certyfikatach | ✅ |
Aby uzyskać więcej informacji na temat ustawiania mocnych stron uwierzytelniania dla użytkowników zewnętrznych, zobacz Dostęp warunkowy: wymaganie siły uwierzytelniania dla użytkowników zewnętrznych.
Środowisko użytkownika dla użytkowników zewnętrznych
Polityka dostępu warunkowego oparta na sile uwierzytelniania współdziała z ustawieniami zaufania MFA w ustawieniach dostępu międzydzierżawowego. Najpierw użytkownik usługi Microsoft Entra uwierzytelnia się przy użyciu swojego konta w dzierżawie macierzystej. Następnie, gdy ten użytkownik próbuje uzyskać dostęp do zasobu, Microsoft Entra ID stosuje politykę dostępu warunkowego bazującą na sile uwierzytelniania i sprawdza, czy włączono zaufanie do uwierzytelniania wieloskładnikowego.
- Jeśli zaufanie do uwierzytelniania wieloskładnikowego jest włączone, Microsoft Entra ID sprawdza sesję uwierzytelniania użytkownika w poszukiwaniu oświadczenia, które wskazuje, że uwierzytelnianie wieloskładnikowe zostało spełnione w głównym tenant użytkownika. Zapoznaj się z poprzednią tabelą metod uwierzytelniania, które są akceptowalne dla uwierzytelniania wieloskładnikowego podczas korzystania z macierzystej dzierżawy użytkownika zewnętrznego. Jeśli sesja zawiera oświadczenie wskazujące, że zasady MFA są już spełnione w dzierżawie domowej użytkownika, a metody spełniają wymagania dotyczące siły uwierzytelniania, użytkownikowi zezwala się na dostęp. W przeciwnym razie identyfikator Entra firmy Microsoft przedstawia użytkownikowi wyzwanie ukończenia uwierzytelniania wieloskładnikowego w dzierżawie głównej przy użyciu akceptowalnej metody uwierzytelniania.
- Jeśli zaufanie MFA jest wyłączone, Microsoft Entra ID przedstawia użytkownikowi prośbę o ukończenie uwierzytelniania wieloskładnikowego w dzierżawcy zasobu przy użyciu akceptowalnej metody uwierzytelniania. Zobacz poprzednią tabelę metod uwierzytelniania, które są akceptowalne dla uwierzytelniania wieloskładnikowego przez użytkownika zewnętrznego.