Udostępnij za pośrednictwem


Zarządzanie zewnętrzną metodą uwierzytelniania w usłudze Microsoft Entra ID (wersja zapoznawcza)

Metoda uwierzytelniania zewnętrznego (EAM) umożliwia użytkownikom wybranie zewnętrznego dostawcy w celu spełnienia wymagań dotyczących uwierzytelniania wieloskładnikowego (MFA) podczas logowania się do identyfikatora Entra firmy Microsoft. Program EAM może spełnić wymagania uwierzytelniania wieloskładnikowego z zasad dostępu warunkowego, Ochrona tożsamości Microsoft Entra zasad dostępu warunkowego opartego na ryzyku, aktywacji usługi Privileged Identity Management (PIM) i gdy sama aplikacja wymaga uwierzytelniania wieloskładnikowego.

Moduły EAM różnią się od federacji, ponieważ tożsamość użytkownika jest tworzona i zarządzana w usłudze Microsoft Entra ID. W przypadku federacji tożsamość jest zarządzana w zewnętrznym dostawcy tożsamości. Umowy EAM wymagają co najmniej licencji Microsoft Entra ID P1.

Diagram przedstawiający sposób działania uwierzytelniania metody zewnętrznej.

Wymagane metadane do skonfigurowania programu EAM

Aby utworzyć program EAM, potrzebne są następujące informacje od zewnętrznego dostawcy uwierzytelniania:

  • Identyfikator aplikacji jest zazwyczaj aplikacją wielodostępną od dostawcy, która jest używana w ramach integracji. Musisz podać zgodę administratora dla tej aplikacji w dzierżawie.

  • Identyfikator klienta to identyfikator dostawcy używany w ramach integracji uwierzytelniania w celu zidentyfikowania identyfikatora entra firmy Microsoft żądającego uwierzytelnienia.

  • Adres URL odnajdywania to punkt końcowy odnajdywania openID Connect (OIDC) dla zewnętrznego dostawcy uwierzytelniania.

    Uwaga

    Zobacz Konfigurowanie nowego zewnętrznego dostawcy uwierzytelniania przy użyciu identyfikatora Entra firmy Microsoft, aby skonfigurować rejestrację aplikacji.

Zarządzanie programem EAM w centrum administracyjnym firmy Microsoft Entra

Umowy EAM są zarządzane za pomocą zasad metod uwierzytelniania identyfikatora entra firmy Microsoft, podobnie jak metody wbudowane.

Tworzenie programu EAM w centrum administracyjnym

Przed utworzeniem programu EAM w centrum administracyjnym upewnij się, że masz metadane do skonfigurowania programu EAM.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

  2. Przejdź do sekcji Metody>uwierzytelniania ochrony>Dodaj metodę zewnętrzną (wersja zapoznawcza).

    Zrzut ekranu przedstawiający sposób dodawania programu EAM w centrum administracyjnym firmy Microsoft Entra.

    Dodaj właściwości metody na podstawie informacji o konfiguracji od dostawcy. Na przykład:

    • Nazwa: Adatum
    • Identyfikator klienta: 00001111-aaaa-2222-bbbb-3333cc44444
    • Punkt końcowy odnajdywania: https://adatum.com/.well-known/openid-configuration
    • Identyfikator aplikacji: 11112222-bbbb-3333-cccc-4444ddddd555

    Ważne

    Nazwa wyświetlana to nazwa wyświetlana użytkownikowi w selektorze metody. Nie można jej zmienić po utworzeniu metody. Nazwy wyświetlane muszą być unikatowe.

    Zrzut ekranu przedstawiający sposób dodawania właściwości programu EAM.

    Potrzebujesz co najmniej roli Administrator ról uprzywilejowanych, aby udzielić zgody administratora dla aplikacji dostawcy. Jeśli nie masz roli wymaganej do udzielenia zgody, nadal możesz zapisać metodę uwierzytelniania, ale nie możesz jej włączyć, dopóki nie zostanie udzielona zgoda.

    Po wprowadzeniu wartości od dostawcy naciśnij przycisk, aby poprosić o zgodę administratora na udzielenie aplikacji, aby móc odczytać wymagane informacje od użytkownika w celu poprawnego uwierzytelnienia. Zostanie wyświetlony monit o zalogowanie się przy użyciu konta z uprawnieniami administratora i przyznanie aplikacji dostawcy z wymaganymi uprawnieniami.

    Po zalogowaniu kliknij pozycję Akceptuj , aby udzielić zgody administratora:

    Zrzut ekranu przedstawiający sposób udzielania zgody administratora.

    Przed udzieleniem zgody możesz zobaczyć uprawnienia, które aplikacja dostawcy żąda. Po udzieleniu zgody administratora i replikacji zmian strona zostanie odświeżona, aby pokazać, że udzielono zgody administratora.

    Zrzut ekranu przedstawiający zasady metod uwierzytelniania po udzieleniu zgody.

Jeśli aplikacja ma uprawnienia, możesz również włączyć metodę przed zapisaniem. W przeciwnym razie należy zapisać metodę w stanie wyłączonym i włączyć po udzieleniu zgody przez aplikację.

Po włączeniu metody wszyscy użytkownicy w zakresie mogą wybrać metodę dla dowolnych monitów uwierzytelniania wieloskładnikowego. Jeśli aplikacja od dostawcy nie ma zatwierdzonej zgody, logowanie się przy użyciu metody zakończy się niepowodzeniem.

Jeśli aplikacja zostanie usunięta lub nie ma już uprawnień, użytkownicy zobaczą błąd i logowanie nie powiedzie się. Nie można użyć metody .

Konfigurowanie programu EAM w centrum administracyjnym

Aby zarządzać swoimi umowami EAM w centrum administracyjnym firmy Microsoft Entra, otwórz zasady Metody uwierzytelniania. Wybierz nazwę metody, aby otworzyć opcje konfiguracji. Możesz wybrać użytkowników, którzy są dołączani i wykluczeni z tej metody.

Zrzut ekranu przedstawiający zakres użycia programu EAM dla określonych użytkowników.

Usuwanie programu EAM w centrum administracyjnym

Jeśli nie chcesz już, aby użytkownicy mogli korzystać z programu EAM, możesz wykonać następujące czynności:

  • Ustaw opcję Włącz na Wyłączone , aby zapisać konfigurację metody
  • Kliknij pozycję Usuń, aby usunąć metodę

Zrzut ekranu przedstawiający sposób usuwania programu EAM.

Zarządzanie programem EAM przy użyciu programu Microsoft Graph

Aby zarządzać zasadami metod uwierzytelniania przy użyciu programu Microsoft Graph, potrzebne są Policy.ReadWrite.AuthenticationMethod uprawnienia. Aby uzyskać więcej informacji, zobacz Aktualizowanie uwierzytelnianiaMethodsPolicy.

Środowisko użytkownika

Użytkownicy, którzy są włączeni dla programu EAM, mogą z niego korzystać, gdy są wymagane logowanie i uwierzytelnianie wieloskładnikowe.

Uwaga

Aktywnie pracujemy nad obsługą preferowanej przez system uwierzytelniania wieloskładnikowego za pomocą programu EAM.

Jeśli użytkownik ma inne sposoby logowania i włączono preferowaną przez system uwierzytelnianie wieloskładnikowe , inne metody są domyślnie wyświetlane w kolejności. Użytkownik może wybrać inną metodę, a następnie wybrać umowę EAM. Jeśli na przykład użytkownik ma włączoną usługę Authenticator jako inną metodę, zostanie wyświetlony monit o dopasowanie liczb.

Zrzut ekranu przedstawiający sposób wybierania umowy EAM po włączeniu uwierzytelniania wieloskładnikowego preferowanego przez system.

Jeśli użytkownik nie ma włączonych innych metod, może po prostu wybrać umowę EAM. Są one przekierowywane do zewnętrznego dostawcy uwierzytelniania w celu ukończenia uwierzytelniania.

Zrzut ekranu przedstawiający sposób logowania się przy użyciu programu EAM.

Rejestracja metody uwierzytelniania dla programu EAMs

W wersji zapoznawczej wszyscy użytkownicy w grupie dołączania dla programu EAM są traktowani jako zdolni do uwierzytelniania wieloskładnikowego i mogą używać zewnętrznej metody uwierzytelniania do zaspokojenia uwierzytelniania wieloskładnikowego. Użytkownicy z obsługą uwierzytelniania wieloskładnikowego z powodu bycia obiektem docelowym dołączania dla programu EAM nie są uwzględniani w raportach dotyczących rejestracji metody uwierzytelniania.

Uwaga

Aktywnie pracujemy nad dodaniem możliwości rejestracji dla programu EAM. Po dodaniu rejestracji użytkownicy, którzy wcześniej korzystali z programu EAM, będą musieli zarejestrować program EAM przy użyciu identyfikatora Entra, zanim zostanie wyświetlony monit o użycie go w celu spełnienia wymagań uwierzytelniania wieloskładnikowego.

Równoległe używanie kontrolek niestandardowych programu EAM i dostępu warunkowego

Moduły EAM i kontrolki niestandardowe mogą działać równolegle. Firma Microsoft zaleca, aby administratorzy konfigurowali dwa zasady dostępu warunkowego:

  • Jedna zasada wymuszania kontrolki niestandardowej
  • Inne zasady z wymaganym przyznaniem uwierzytelniania wieloskładnikowego

Uwzględnij grupę testową użytkowników dla każdej zasady, ale nie obie. Jeśli użytkownik jest uwzględniony w obu zasadach lub w obu zasadach, użytkownik musi spełnić wymagania uwierzytelniania wieloskładnikowego podczas logowania. Muszą również spełnić wymagania kontrolki niestandardowej, co sprawia, że są przekierowywane do dostawcy zewnętrznego po raz drugi.

Następne kroki

Aby uzyskać więcej informacji na temat zarządzania metodami uwierzytelniania, zobacz Zarządzanie metodami uwierzytelniania dla identyfikatora Entra firmy Microsoft.

Aby uzyskać informacje o dostawcy programu EAM, zobacz Dokumentacja zewnętrznego dostawcy metod uwierzytelniania wieloskładnikowego firmy Microsoft (wersja zapoznawcza).