Как работает надежность проверки подлинности условного доступа для внешних пользователей
Политика методов проверки подлинности особенно полезна для ограничения внешнего доступа к конфиденциальным приложениям в организации, так как вы можете применять определенные методы проверки подлинности, такие как методы, устойчивые к фишингу, для внешних пользователей.
При применении политики условного доступа, основанной на проверке подлинности, к внешним пользователям Microsoft Entra, эта политика работает вместе с настройками доверенных отношений MFA в параметрах доступа между клиентами, чтобы определить, где и как внешний пользователь должен выполнять MFA. Пользователь Microsoft Entra проходит проверку подлинности в своем домашнем клиенте Microsoft Entra. Затем при доступе к вашему ресурсу, Microsoft Entra ID применяет политику и проверяет, включено ли доверие для MFA. Обратите внимание, что включение доверия MFA необязательно для совместной работы B2B, но требуется для прямого подключения B2B.
В сценариях внешнего пользователя методы проверки подлинности, которые могут удовлетворить уровень надежности аутентификации, зависят от того, выполняется ли пользователем MFA в домашнем клиенте или ресурсном клиенте. В следующей таблице указаны допустимые методы в каждом подразделении. Если клиент ресурсов решил доверять утверждениям из внешних организаций Microsoft Entra, то только те утверждения, перечисленные в столбце "Домашний клиент" ниже, будут приняты клиентом ресурсов для MFA. Если клиент ресурсов отключил доверие MFA, внешний пользователь должен завершить MFA в клиенте ресурса с помощью одного из методов, перечисленных в столбце "Клиент ресурса".
Метод аутентификации | Домашний клиент | Арендатор ресурсов |
---|---|---|
Текстовое сообщение в качестве второго фактора | ✅ | ✅ |
Голосовой звонок | ✅ | ✅ |
Приложение Microsoft Authenticator — push-уведомление | ✅ | ✅ |
Вход с помощью Microsoft Authenticator на телефоне | ✅ | |
Программный маркер OATH | ✅ | ✅ |
Токен оборудования OATH | ✅ | |
Ключ безопасности FIDO2 | ✅ | |
Windows Hello для бизнеса | ✅ | |
Аутентификация на основе сертификата | ✅ |
Дополнительные сведения о том, как настроить сильные стороны проверки подлинности для внешних пользователей, см. в статье "Условный доступ: требуется сила проверки подлинности для внешних пользователей".
Взаимодействие с пользователем для внешних пользователей
Политика условного доступа, связанная с проверкой подлинности, работает вместе с параметрами доверия MFA в настройках кросс-арендного доступа. Во-первых, пользователь Microsoft Entra проходит проверку подлинности с помощью собственной учетной записи в своем домашнем клиенте. Затем, когда этот пользователь пытается получить доступ к вашему ресурсу, Microsoft Entra ID применяет политику условного доступа по степени надежности аутентификации и проверяет, включено ли доверительное отношение MFA.
- Если включено доверие MFA, Microsoft Entra ID проверяет сеанс аутентификации пользователя на предмет наличия утверждения, указывающего, что MFA было выполнено в домашнем клиенте пользователя. См. предыдущую таблицу для методов проверки подлинности, приемлемых для MFA при завершении в домашнем клиенте внешнего пользователя. Если сеанс содержит утверждение, указывающее, что политики MFA уже выполнены в домашнем клиенте пользователя, а методы удовлетворяют требованиям к силе проверки подлинности, пользователь может получить доступ. В противном случае идентификатор Microsoft Entra представляет пользователю задачу завершить MFA в домашнем клиенте с помощью приемлемого метода проверки подлинности.
- Если доверие MFA отключено, идентификатор Microsoft Entra представляет пользователю задачу завершить MFA в клиенте ресурса с помощью приемлемого метода проверки подлинности. См. предыдущую таблицу для методов проверки подлинности, приемлемых для MFA внешним пользователем.