Wymaganie siły uwierzytelniania wieloskładnikowego dla użytkowników zewnętrznych

Siła uwierzytelniania to kontrola dostępu warunkowego, która umożliwia zdefiniowanie konkretnej kombinacji metod uwierzytelniania wieloskładnikowego (MFA), które użytkownik zewnętrzny musi ukończyć w celu uzyskania dostępu do zasobów. Ta kontrola jest szczególnie przydatna w przypadku ograniczania dostępu zewnętrznego do poufnych aplikacji w organizacji. Można na przykład utworzyć zasady dostępu warunkowego, wymagać siły uwierzytelniania odpornego na wyłudzanie informacji w zasadach i przypisać je do gości i użytkowników zewnętrznych.

Identyfikator Entra firmy Microsoft zapewnia trzy wbudowane siły uwierzytelniania:

• Siła uwierzytelniania wieloskładnikowego (mniej restrykcyjna) zalecana w tym artykule
• Siła uwierzytelniania wieloskładnikowego bez hasła
• Siła uwierzytelniania wieloskładnikowego odpornego na wyłudzanie (najbardziej restrykcyjne)

Możesz użyć jednego z wbudowanych poziomów bezpieczeństwa lub utworzyć niestandardowy poziom bezpieczeństwa na podstawie metod uwierzytelniania, których chcesz wymagać.

W scenariuszach użytkowników zewnętrznych metody uwierzytelniania wieloskładnikowego, które dzierżawca zasobów może akceptować, różnią się w zależności od tego, czy użytkownik wykonuje uwierzytelnianie wieloskładnikowe w swoim dzierżawcy macierzystym, czy w dzierżawcy zasobów. Aby uzyskać szczegółowe informacje, zobacz Siła uwierzytelniania dla użytkowników zewnętrznych.

Uwaga

Obecnie można stosować tylko zasady siły uwierzytelniania do użytkowników zewnętrznych, którzy uwierzytelniają się za pomocą identyfikatora Entra firmy Microsoft. W przypadku jednorazowego kodu dostępu przesyłanego e-mailem oraz użytkowników z federacją SAML/WS-Fed i Google, użyj kontroli przyznawania MFA, aby wymagać uwierzytelniania wieloskładnikowego (MFA).

Skonfiguruj ustawienia dostępu między dzierżawami, aby zaufać uwierzytelnianiu wieloskładnikowemu

Zasady zabezpieczeń uwierzytelniania współpracują z ustawieniami zaufania MFA w ustawieniach dostępu między dzierżawami, aby określić, gdzie i jak użytkownik zewnętrzny musi wykonywać uwierzytelnianie wieloskładnikowe. Użytkownik systemu Microsoft Entra najpierw uwierzytelnia się za pomocą własnego konta w dzierżawie macierzystej. Następnie, gdy ten użytkownik próbuje uzyskać dostęp do zasobu, usługa Microsoft Entra ID stosuje zasady dostępu warunkowego dotyczące siły uwierzytelniania i sprawdza, czy włączono zaufanie MFA.

• Jeśli zaufanie MFA jest włączone, Microsoft Entra ID sprawdza sesję uwierzytelniania użytkownika pod kątem oświadczenia wskazującego, że uwierzytelnianie wieloskładnikowe zostało zrealizowane w macierzystej dzierżawie użytkownika.
• Jeśli zaufanie uwierzytelniania wieloskładnikowego jest wyłączone, dzierżawa zasobów stawia przed użytkownikiem wyzwanie, aby ukończyć uwierzytelnianie wieloskładnikowe w tej dzierżawie przy użyciu akceptowalnej metody.

Metody uwierzytelniania, których użytkownicy zewnętrzni mogą używać do spełnienia wymagań uwierzytelniania wieloskładnikowego, różnią się w zależności od tego, czy użytkownik wykonuje uwierzytelnianie wieloskładnikowe w dzierżawie głównej, czy dzierżawie zasobów. Zobacz tabelę w sekcji Siła uwierzytelniania dostępu warunkowego.

Ważne

Przed utworzeniem polityki dostępu warunkowego sprawdź ustawienia dostępu między dzierżawami, aby upewnić się, że ustawienia zaufania MFA dla ruchu przychodzącego są skonfigurowane zgodnie z oczekiwaniami.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Awaryjny dostęp lub konta awaryjne, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usługowe i główne jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Połączenia wykonywane przez podmioty usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości roboczych, aby zdefiniować zasady przeznaczone dla głównych usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Tworzenie zasady dostępu warunkowego

Wykonaj poniższe kroki, aby utworzyć zasady dostępu warunkowego, stosujące odpowiednią siłę uwierzytelniania dla użytkowników zewnętrznych.

Ostrzeżenie

Jeśli używasz metod uwierzytelniania zewnętrznego, są one obecnie niezgodne z siłą uwierzytelnienia i należy użyć Wymagaj uwierzytelniania wieloskładnikowego, aby przyznać kontrolę.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do Ochrona>Dostęp warunkowy>Zasady.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W sekcji Przypisania wybierz Użytkownicy lub identyfikatory obciążeń.
   1. W obszarze Uwzględnij wybierz pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Goście lub użytkownicy zewnętrzni.
      1. Wybierz typy gości lub użytkowników zewnętrznych, do których chcesz zastosować zasady.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy, a następnie wybierz konta awaryjne lub konta awaryjne (break-glass) w organizacji.
6. W obszarze > w obszarze Dołącz lub Wyklucz wybierz wszystkie aplikacje, które mają zostać uwzględnione w wymaganiach dotyczących siły uwierzytelniania lub wykluczyć je.
7. W obszarze Kontrola dostępu>Nadawanie, wybierz pozycję Nadanie dostępu.
   1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie z listy wybierz odpowiednią wbudowaną lub niestandardową siłę uwierzytelniania.
   2. Wybierz Wybierz.
8. Potwierdź ustawienia i ustaw opcję Włącz zasady na Tylko raportowanie.
9. Wybierz Utwórz, aby utworzyć i włączyć swoją politykę.

Po potwierdzeniu ustawień przy użyciu trybu tylko raportowania, administrator może przełączyć ustawienie Włącz politykę z trybu Tylko raport na Włączony.

Powiązana zawartość

• Szablony dostępu warunkowego
• Użyj trybu raportowania dla dostępu warunkowego, aby ocenić wyniki nowych decyzji dotyczących zasad.