Требовать многофакторную проверку подлинности для внешних пользователей

Уровень проверки подлинности — это элемент управления условным доступом, который позволяет определить определенное сочетание методов многофакторной проверки подлинности (MFA), которые внешний пользователь должен завершить для доступа к ресурсам. Этот элемент управления особенно полезен для ограничения внешнего доступа к конфиденциальным приложениям в вашей организации. Например, можно создать политику условного доступа, потребовать в ней уровень силы аутентификации, устойчивый к фишингу, и назначить её гостям и внешним пользователям.

Идентификатор Microsoft Entra предоставляет три встроенных преимущества проверки подлинности:

• Уровень многофакторной проверки подлинности (менее строгий) рекомендуется в этой статье
• Сила аутентификации без паролей (MFA)
• Сила защиты от фишинга многофакторной аутентификации (самая строгая)

Вы можете использовать одну из встроенных сильных сторон или создать настраиваемую силу проверки подлинности на основе необходимых методов проверки подлинности.

В сценариях внешнего пользователя методы проверки подлинности MFA, которые клиент ресурсов может принимать, зависят от того, выполняет ли пользователь MFA в своем домашнем клиенте или в клиенте ресурса. Дополнительные сведения см. в разделе "Надежность проверки подлинности для внешних пользователей".

Примечание.

В настоящее время можно применять только политики надежности проверки подлинности для внешних пользователей, прошедших проверку подлинности с помощью идентификатора Microsoft Entra. Для пользователей, использующих одноразовые коды по электронной почте, SAML/WS-Fed и федерации Google, используйте управление доступом MFA для требования многофакторной аутентификации.

Настройка параметров доступа между клиентами для доверия MFA

Политики надежности проверки подлинности работают вместе с параметрами доверия MFA в параметрах доступа между клиентами, чтобы определить, где и как внешний пользователь должен выполнять MFA. Пользователь Microsoft Entra сначала проходит проверку подлинности с помощью собственной учетной записи в своем домашнем клиенте. Затем, когда этот пользователь пытается получить доступ к вашему ресурсу, Microsoft Entra ID применяет политику условного доступа, основанную на уровне надёжности аутентификации, и проверяет, включена ли функция доверия MFA.

• Если включено доверие MFA, Microsoft Entra ID проверяет сеанс аутентификации пользователя для утверждения, свидетельствующего, что MFA выполнена в домашнем клиенте (тенанте) пользователя.
• Если доверие MFA отключено, клиент ресурсов представляет пользователю задачу завершить MFA в клиенте ресурса с помощью приемлемого метода проверки подлинности.

Методы проверки подлинности, которые внешние пользователи могут использовать для удовлетворения требований MFA, отличаются в зависимости от того, завершает ли пользователь MFA в домашнем клиенте или клиенте ресурсов. См. таблицу в надежности проверки подлинности условного доступа.

Внимание

Перед созданием политики условного доступа проверьте параметры доступа между клиентами, чтобы убедиться, что параметры доверия MFA для входящего трафика настроены в соответствии с указанными параметрами.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи экстренного доступа для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и служебные принципы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные служебными участниками, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, нацеленные на служебные принципы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Создание политики условного доступа

Чтобы создать политику условного доступа, которая применяет силу проверки подлинности к внешним пользователям, выполните следующие действия.

Предупреждение

Если вы используете внешние методы аутентификации, они в настоящее время несовместимы с требованиями к уровню надежности аутентификации, и вы должны использовать параметр Требовать многофакторную аутентификацию.

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к защите>условного доступа>политикам.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе "Включить" выберите " Выбрать пользователей и группы", а затем выберите "Гостевой" или "Внешние пользователи".
      1. Выберите типы гостевых или внешних пользователей, к которым вы хотите применить политику.
   2. В разделе Исключить выберите Пользователи и группы и выберите учетные записи для аварийного доступа или обхода стандартных систем контроля в вашей организации.
6. В разделе "Целевые ресурсы">(ранее облачные приложения) в разделе "Включить" или "Исключить" выберите все приложения, которые необходимо включить или исключить из требований к надежности проверки подлинности.
7. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите "Требовать силу проверки подлинности", а затем выберите соответствующую встроенную или настраиваемую силу проверки подлинности из списка.
   2. Нажмите Выберите.
8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
9. Нажмите Создать, чтобы создать и включить политику.

После того как вы подтвердите параметры в режиме только для отчетов, администратор может перевести переключатель политики из положения Только для отчетов в положение Включено.

Связанный контент

• Шаблоны условного доступа
• Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.