Jak działa siła uwierzytelniania dostępu warunkowego dla użytkowników zewnętrznych
Zasady metod uwierzytelniania są szczególnie przydatne w przypadku ograniczania dostępu zewnętrznego do poufnych aplikacji w organizacji, ponieważ można wymusić określone metody uwierzytelniania, takie jak metody odporne na wyłudzanie informacji, dla użytkowników zewnętrznych.
W przypadku zastosowania zasad dostępu warunkowego siły uwierzytelniania do zewnętrznych użytkowników firmy Microsoft Entra zasady współpracują z ustawieniami zaufania usługi MFA w ustawieniach dostępu między dzierżawami w celu określenia, gdzie i jak użytkownik zewnętrzny musi wykonać uwierzytelnianie wieloskładnikowe. Użytkownik Microsoft Entra uwierzytelnia się w swojej głównej dzierżawie firmy Microsoft Entra. Następnie po korzystaniu z zasobu identyfikator Entra firmy Microsoft stosuje zasady i sprawdza, czy włączono zaufanie uwierzytelniania wieloskładnikowego. Należy pamiętać, że włączenie zaufania uwierzytelniania wieloskładnikowego jest opcjonalne w przypadku współpracy B2B, ale jest wymagane w przypadku bezpośredniego połączenia B2B.
W scenariuszach użytkowników zewnętrznych metody uwierzytelniania, które mogą spełniać siłę uwierzytelniania, różnią się w zależności od tego, czy użytkownik wykonuje uwierzytelnianie wieloskładnikowe w dzierżawie głównej, czy dzierżawie zasobów. W poniższej tabeli przedstawiono dozwolone metody w każdej dzierżawie. Jeśli dzierżawa zasobów zdecydowała się ufać oświadczeniam zewnętrznych organizacji firmy Microsoft Entra, tylko te oświadczenia wymienione w poniższej kolumnie "Dzierżawa główna" zostaną zaakceptowane przez dzierżawę zasobów dla uwierzytelniania wieloskładnikowego. Jeśli dzierżawa zasobów wyłączyła zaufanie uwierzytelniania wieloskładnikowego, użytkownik zewnętrzny musi ukończyć uwierzytelnianie wieloskładnikowe w dzierżawie zasobów przy użyciu jednej z metod wymienionych w kolumnie "Dzierżawa zasobów".
| Metoda uwierzytelniania | Dzierżawa domowa | Dzierżawa zasobów |
|---|---|---|
| Wiadomość SMS jako drugi czynnik | ✅ | ✅ |
| Połączenie głosowe | ✅ | ✅ |
| Powiadomienie wypychane microsoft Authenticator | ✅ | ✅ |
| Logowanie za pomocą telefonu Microsoft Authenticator | ✅ | |
| Token oprogramowania OATH | ✅ | ✅ |
| Token sprzętowy OATH | ✅ | |
| Klucz zabezpieczeń FIDO2 | ✅ | |
| Windows Hello for Business | ✅ | |
| Uwierzytelnianie oparte na certyfikatach | ✅ |
Aby uzyskać więcej informacji na temat ustawiania mocnych stron uwierzytelniania dla użytkowników zewnętrznych, zobacz Dostęp warunkowy: wymaganie siły uwierzytelniania dla użytkowników zewnętrznych.
Środowisko użytkownika dla użytkowników zewnętrznych
Siła uwierzytelniania Zasady dostępu warunkowego współdziałają z ustawieniami zaufania uwierzytelniania wielodostępnego w ustawieniach dostępu między dzierżawami. Najpierw użytkownik Firmy Microsoft Entra uwierzytelnia się przy użyciu własnego konta w dzierżawie macierzystej. Następnie, gdy ten użytkownik próbuje uzyskać dostęp do zasobu, identyfikator Entra firmy Microsoft stosuje zasady siły uwierzytelniania dostępu warunkowego i sprawdza, czy włączono zaufanie uwierzytelniania wieloskładnikowego.
- Jeśli zaufanie uwierzytelniania wieloskładnikowego jest włączone, identyfikator entra firmy Microsoft sprawdza sesję uwierzytelniania użytkownika dla oświadczenia, które wskazuje, że uwierzytelnianie wieloskładnikowe zostało spełnione w dzierżawie głównej użytkownika. Zapoznaj się z poprzednią tabelą metod uwierzytelniania, które są akceptowalne dla uwierzytelniania wieloskładnikowego po zakończeniu pracy w dzierżawie głównej użytkownika zewnętrznego. Jeśli sesja zawiera oświadczenie wskazujące, że zasady uwierzytelniania wieloskładnikowego są już spełnione w dzierżawie głównej użytkownika, a metody spełniają wymagania dotyczące siły uwierzytelniania, użytkownik ma dozwolony dostęp. W przeciwnym razie identyfikator Entra firmy Microsoft przedstawia użytkownikowi wyzwanie ukończenia uwierzytelniania wieloskładnikowego w dzierżawie głównej przy użyciu akceptowalnej metody uwierzytelniania.
- Jeśli zaufanie uwierzytelniania wieloskładnikowego jest wyłączone, identyfikator Entra firmy Microsoft przedstawia użytkownikowi wyzwanie ukończenia uwierzytelniania wieloskładnikowego w dzierżawie zasobów przy użyciu akceptowalnej metody uwierzytelniania. Zobacz poprzednią tabelę metod uwierzytelniania, które są akceptowalne dla uwierzytelniania wieloskładnikowego przez użytkownika zewnętrznego.