Как работает надежность проверки подлинности условного доступа для внешних пользователей
Политика методов проверки подлинности особенно полезна для ограничения внешнего доступа к конфиденциальным приложениям в организации, так как вы можете применять определенные методы проверки подлинности, такие как методы, устойчивые к фишингу, для внешних пользователей.
При применении политики условного доступа проверки подлинности к внешним пользователям Microsoft Entra политика работает вместе с параметрами доверия MFA в параметрах доступа между клиентами, чтобы определить, где и как внешний пользователь должен выполнять MFA. Пользователь Microsoft Entra проходит проверку подлинности в своем домашнем клиенте Microsoft Entra. Затем при доступе к ресурсу идентификатор Microsoft Entra применяет политику и проверяет, включен ли доверие MFA. Обратите внимание, что включение доверия MFA необязательно для совместной работы B2B, но требуется для прямого подключения B2B.
В сценариях внешнего пользователя методы проверки подлинности, которые могут удовлетворить силу проверки подлинности, зависят от того, выполняется ли пользователь MFA в домашнем клиенте или клиенте ресурсов. В следующей таблице указаны допустимые методы в каждом клиенте. Если клиент ресурсов решил доверять утверждениям из внешних организаций Microsoft Entra, то только те утверждения, перечисленные в столбце "Домашний клиент" ниже, будут приняты клиентом ресурсов для MFA. Если клиент ресурсов отключил доверие MFA, внешний пользователь должен завершить MFA в клиенте ресурса с помощью одного из методов, перечисленных в столбце "Клиент ресурса".
| Authentication method | Домашний клиент | Клиент ресурсов |
|---|---|---|
| Текстовое сообщение в качестве второго фактора | ✅ | ✅ |
| Голосовой звонок | ✅ | ✅ |
| Приложение Microsoft Authenticator — push-уведомление | ✅ | ✅ |
| Вход на телефон Microsoft Authenticator | ✅ | |
| Программный маркер OATH | ✅ | ✅ |
| Токен оборудования OATH | ✅ | |
| Ключ безопасности FIDO2 | ✅ | |
| Windows Hello для бизнеса | ✅ | |
| Аутентификация на основе сертификата | ✅ |
Дополнительные сведения о том, как настроить сильные стороны проверки подлинности для внешних пользователей, см. в статье "Условный доступ: требуется сила проверки подлинности для внешних пользователей".
Взаимодействие с пользователем для внешних пользователей
Политика условного доступа проверки подлинности работает вместе с параметрами доверия MFA в параметрах доступа между клиентами. Во-первых, пользователь Microsoft Entra проходит проверку подлинности с помощью собственной учетной записи в своем домашнем клиенте. Затем, когда этот пользователь пытается получить доступ к ресурсу, идентификатор Microsoft Entra применяет политику условного доступа проверки подлинности и проверяет, включена ли доверие MFA.
- Если включено доверие MFA, идентификатор Microsoft Entra проверяет сеанс проверки подлинности пользователя для утверждения, указывающего, что MFA выполнена в домашнем клиенте пользователя. См. предыдущую таблицу для методов проверки подлинности, приемлемых для MFA при завершении в домашнем клиенте внешнего пользователя. Если сеанс содержит утверждение, указывающее, что политики MFA уже выполнены в домашнем клиенте пользователя, а методы удовлетворяют требованиям к силе проверки подлинности, пользователь может получить доступ. В противном случае идентификатор Microsoft Entra представляет пользователю задачу завершить MFA в домашнем клиенте с помощью приемлемого метода проверки подлинности.
- Если доверие MFA отключено, идентификатор Microsoft Entra представляет пользователю задачу завершить MFA в клиенте ресурса с помощью приемлемого метода проверки подлинности. См. предыдущую таблицу для методов проверки подлинности, приемлемых для MFA внешним пользователем.