Så här fungerar autentiseringsstyrkan för villkorsstyrd åtkomst för externa användare
Principen Autentiseringsmetoder är särskilt användbar för att begränsa extern åtkomst till känsliga appar i din organisation eftersom du kan framtvinga specifika autentiseringsmetoder, till exempel nätfiskeresistenta metoder, för externa användare.
När du tillämpar en princip för villkorsstyrd åtkomst för externa Microsoft Entra-användare fungerar principen tillsammans med MFA-förtroendeinställningar i inställningarna för åtkomst mellan klientorganisationer för att avgöra var och hur den externa användaren måste utföra MFA. En Microsoft Entra-användare autentiserar i sin Microsoft Entra-klientorganisation. När de sedan kommer åt din resurs tillämpar Microsoft Entra-ID principen och kontrollerar om du har aktiverat MFA-förtroende. Observera att det är valfritt att aktivera MFA-förtroende för B2B-samarbete men krävs för B2B-direktanslutning.
I externa användarscenarier varierar de autentiseringsmetoder som kan uppfylla autentiseringsstyrkan beroende på om användaren slutför MFA i sin hemklient eller resursklientorganisation. I följande tabell visas de tillåtna metoderna i varje klientorganisation. Om en resursklient har valt att lita på anspråk från externa Microsoft Entra-organisationer godkänns endast de anspråk som anges i kolumnen "Hemklient" nedan av resursklientorganisationen för MFA. Om resursklientorganisationen har inaktiverat MFA-förtroende måste den externa användaren slutföra MFA i resursklientorganisationen med någon av metoderna som anges i kolumnen Resursklientorganisation.
| Autentiseringsmetod | Hemklientorganisation | Resursklientorganisation |
|---|---|---|
| Textmeddelande som andra faktor | ✅ | ✅ |
| Röstsamtal | ✅ | ✅ |
| Push-meddelande för Microsoft Authenticator | ✅ | ✅ |
| Microsoft Authenticator-telefoninloggning | ✅ | |
| OATH-programvarutoken | ✅ | ✅ |
| OATH-maskinvarutoken | ✅ | |
| FIDO2-säkerhetsnyckel | ✅ | |
| Windows Hello för företag | ✅ | |
| Certifikatbaserad autentisering | ✅ |
Mer information om hur du anger autentiseringsstyrkor för externa användare finns i Villkorsstyrd åtkomst: Kräv en autentiseringsstyrka för externa användare.
Användarupplevelse för externa användare
En princip för villkorsstyrd åtkomst för autentiseringsstyrka fungerar tillsammans med MFA-förtroendeinställningar i inställningarna för åtkomst mellan klientorganisationer. Först autentiserar en Microsoft Entra-användare med sitt eget konto i sin hemklientorganisation. När den här användaren sedan försöker komma åt din resurs tillämpar Microsoft Entra-ID:t principen för villkorsstyrd åtkomst för autentiseringsstyrka och kontrollerar om du har aktiverat MFA-förtroende.
- Om MFA-förtroende är aktiverat kontrollerar Microsoft Entra-ID användarens autentiseringssession för ett anspråk som anger att MFA har uppfyllts i användarens hemklientorganisation. Se föregående tabell för autentiseringsmetoder som är acceptabla för MFA när de slutförs i en extern användares hemklientorganisation. Om sessionen innehåller ett anspråk som anger att MFA-principerna redan är uppfyllda i användarens hemklientorganisation och metoderna uppfyller kraven för autentiseringsstyrka tillåts användaren åtkomst. Annars ger Microsoft Entra-ID användaren en utmaning att slutföra MFA i hemklientorganisationen med hjälp av en acceptabel autentiseringsmetod.
- Om MFA-förtroende är inaktiverat ger Microsoft Entra ID användaren en utmaning att slutföra MFA i resursklientorganisationen med hjälp av en acceptabel autentiseringsmetod. Se föregående tabell för autentiseringsmetoder som är acceptabla för MFA av en extern användare.