Добавление многофакторной проверки подлинности (MFA) в приложение

Область применения: клиенты рабочей силы внешниеклиенты (дополнительные сведения)

Многофакторная проверка подлинности (MFA) добавляет уровень безопасности в приложения, требуя, чтобы пользователи предоставили второй метод проверки удостоверения во время регистрации или входа. Внешние клиенты поддерживают два метода проверки подлинности в качестве второго фактора:

• Одноразовый секретный код электронной почты: после входа пользователя с помощью электронной почты и пароля он запрашивает секретный код, отправляемый в сообщение электронной почты. Чтобы разрешить использование одноразовых секретных кодов электронной почты для MFA, задайте для параметра "Электронная почта" метод проверки подлинности локальной учетной записи с паролем. Если вы выберете электронную почту с одноразовым секретным кодом, клиенты, использующие этот метод для первичного входа, не смогут использовать его для вторичной проверки MFA.
• Проверка подлинности на основе SMS: хотя SMS не является вариантом первой факторной проверки подлинности, он доступен в качестве второго фактора для MFA. Пользователей, которые входят с помощью электронной почты и пароля, электронной почты и одноразового секретного кода или социальных удостоверений, таких как Google, Facebook или Apple, просят пройти вторую проверку с помощью SMS-сообщения. Наш SMS MFA включает автоматические проверки мошенничества. Если мы подозреваем в мошенничестве, мы попросите пользователя завершить CAPTCHA, чтобы подтвердить, что они не робот, прежде чем отправлять SMS-код для проверки. Он также обеспечивает защиту от мошенничества телефонии. SMS — это функция надстройки. Клиент должен быть связан с активной, допустимой подпиской. Подробнее

В этой статье описывается, как применить MFA для клиентов, создав политику условного доступа Microsoft Entra и добавив MFA в поток пользователя регистрации и входа.

Совет

Чтобы попробовать эту функцию, перейдите на демонстрацию продуктов Woodgrove и запустите вариант использования Многофакторной проверки подлинности.

Необходимые компоненты

• Внешний клиент Microsoft Entra.
• Поток регистрации и входа.
• Приложение, зарегистрированное во внешнем клиенте и добавленное в поток регистрации и входа.
• Учетная запись с по крайней мере ролью администратора безопасности для настройки политик условного доступа и MFA.
• SMS является функцией надстройки и требует связанной подписки. Если срок действия подписки истекает или отменяется, конечные пользователи больше не смогут проходить проверку подлинности с помощью SMS, что может заблокировать вход в систему в зависимости от политики MFA.

Создание политики условного доступа

Создайте политику условного доступа в внешнем клиенте, которая запрашивает проверку подлинности пользователей при регистрации или входе в приложение. (Дополнительные сведения см. в разделе Общая политика условного доступа: требуется MFA для всех пользователей.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

3. Перейдите к политикам>и выберите "Создать политику".

   

4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.

5. В разделе "Назначения" выберите ссылку в разделе "Пользователи".

   a. На вкладке "Включить" выберите "Все пользователи".

   b. На вкладке "Исключить " выберите "Пользователи и группы " и выберите учетные записи аварийного доступа или аварийного доступа вашей организации. Затем выберите Выбрать.

   

6. Выберите ссылку в разделе "Целевые ресурсы".

   a. На вкладке "Включить" выберите один из следующих параметров:

   • Выберите все ресурсы (прежнее название — "Все облачные приложения").

   • Выберите ресурсы и выберите ссылку в разделе "Выбрать". Найдите приложение, выберите его и нажмите кнопку "Выбрать".

   b. На вкладке "Исключить " выберите все приложения, которые не требуют многофакторной проверки подлинности.

   

7. В разделе "Элементы управления доступом" выберите ссылку в разделе "Предоставление". Выберите "Предоставить доступ", выберите "Требовать многофакторную проверку подлинности" и нажмите кнопку "Выбрать".

   

8. Подтвердите параметры и задайте для параметра Включить политику значение Включить.

9. Нажмите Создать, чтобы создать и включить политику.

Включение однократного секретного кода электронной почты в качестве метода MFA

Включите метод проверки подлинности однократного секретного кода электронной почты во внешнем клиенте для всех пользователей.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

2. Перейдите к >.

3. В списке методов выберите "Электронная почта OTP".

   

4. В разделе "Включить" и "Целевой" включите переключатель "Включить".

5. В разделе "Включить" рядом с "Целевой" выберите "Все пользователи".

   

6. Выберите Сохранить.

Включение SMS в качестве метода MFA

Включите метод проверки подлинности SMS во внешнем клиенте для всех пользователей.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

2. Перейдите к >.

3. В списке методов выберите SMS.

   

4. В разделе "Включить" и "Целевой" включите переключатель "Включить".

5. В разделе "Включить" рядом с "Целевой" выберите "Все пользователи".

   

6. Выберите Сохранить.

Активация телекоммуникации для регионов согласия

Начиная с января 2025 года некоторые коды стран по умолчанию будут отключены для проверки SMS. Если вы хотите разрешить трафик из деактивированных регионов, необходимо активировать их для приложения с помощью политики Microsoft Graph onPhoneMethodLoadStartevent . См. раздел "Регионы, требующие согласия на проверку SMS".

Проверка входа

В частном браузере откройте приложение и выберите "Войти". Вам нужно будет указать другой метод проверки подлинности.