教程:对 B2B 来宾用户强制执行多重身份验证

适用于:带白色勾号的绿色圆圈。 员工租户 带灰色 X 号的白色圆圈。 外部租户(了解详细信息

在与 B2B 来宾用户协作时,最好使用多重身份验证策略保护你的应用。 实施后,用户在访问你的资源时,不仅仅是要提供用户名和密码。 在 Microsoft Entra ID 中,可通过要求 MFA 访问验证的条件访问策略实现此目标。 可在租户、应用或个人来宾用户级别强制实施 MFA 策略,操作方式与为你自己的组织成员启用这些策略的方式相同。 资源租户始终负责用户的 Microsoft Entra 多重身份验证,即使来宾用户的组织具有多重身份验证功能也是如此。

示例:

显示登录到公司应用的来宾用户的示意图。

  1. 公司 A 的某位管理员或员工邀请一名来宾用户使用云或本地应用程序,而此程序被配置为要求进行 MFA 访问验证。
  2. 该来宾用户使用其自己的工作、学校或社交标识进行登录。
  3. 系统要求该用户完成 MFA 验证。
  4. 该用户向公司 A 设置 MFA,并选择其 MFA 选项。 该用户获准访问此应用程序。

注意

Microsoft Entra 多重身份验证在资源租户上完成,以确保可预测性。 当来宾用户登录时,他们将看到资源租户登录页面在后台显示,他们自己的主租户登录页面和公司徽标在前台显示。

在本教程中,你将:

  • 在 MFA 设置之前测试登录体验。
  • 创建一个条件访问策略,它要求用户通过 MFA 才可访问你环境中的云应用。 在本教程中,我们将使用 Windows Azure 服务管理 API 应用来演示此过程。
  • 使用 What If 工具来模拟 MFA 登录情形。
  • 测试条件访问策略。
  • 清理测试用户和策略。

如果还没有 Azure 订阅,可以在开始前创建一个免费帐户

先决条件

若要完成本教程中的方案,需要:

  • 访问 Microsoft Entra ID P1 或 P2 版本,其中包括条件访问策略功能。 若要强制实施 MFA,需要创建 Microsoft Entra 条件访问策略。 始终在你的组织强制实施 MFA 策略,无论合作伙伴是否具有 MFA 功能。
  • 有效的外部电子邮件帐户,该帐户可作为来宾用户添加到租户目录中并可在登录时使用。 如果你不知道如何创建来宾帐户,请参阅在 Microsoft Entra 管理中心内添加 B2B 来宾用户

在Microsoft Entra ID 中创建测试来宾用户

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“用户”>“所有用户”。

  3. 选择“新建用户”,然后选择“邀请外部用户”。

    显示选择“新来宾用户”选项的位置的屏幕截图。

  4. 在“基本信息”选项卡的“标识”下,输入外部用户的电子邮件地址。 (可选)添加显示名称和欢迎消息。

    显示来宾电子邮件地址输入位置的屏幕截图。

  5. (可选)可以在“属性”和“分配”选项卡下向用户添加更多详细信息。

  6. 选择“查看 + 邀请”,以自动向来宾用户发送邀请。 随即显示“已成功邀请用户”消息。

  7. 发送邀请后,该用户帐户将以来宾的形式自动添加到目录。

在 MFA 设置之前测试登录体验

  1. 使用测试用户名和密码登录到 Microsoft Entra 管理中心
  2. 你应该仅凭登录凭据就能够访问 Microsoft Entra 管理中心。 不必进行任何其他身份验证。
  3. 注销。

创建需要 MFA 的条件访问策略

  1. 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“保护”>“条件访问”>“策略”。

  3. 选择“新策略”

  4. 为策略指定名称,例如“需要 MFA 来进行 B2B 门户访问”。 建议组织为其策略的名称创建有意义的标准。

  5. 在“分配”下,选择“用户或工作负载标识” 。

    1. 在“包括”下,选择“选择用户和组”,然后选择“来宾或外部用户”。 可以将策略分配给不同的外部用户类型、内置的目录角色或用户和组。

    显示选择所有来宾用户的屏幕截图。

  6. 在“目标资源”>“资源(旧称云应用)”>“包括”>“选择资源”下,选择“Azure 服务管理 API”,然后选择“选择”。

    显示“云应用”页和“选择”选项的屏幕截图。

  7. 在“访问控制”>“授予”下,依次选择“"授予访问权限”、“需要多重身份验证”和“选择”。

    显示用于要求多重身份验证的选项的屏幕截图。

  8. 在“启用策略”下,选择“开” 。

  9. 选择创建

使用 What If 选项来模拟登录情形

  1. 在“条件访问 | 策略”页上,选择“What If” 。

    突出显示了在“条件访问 - 策略”页面上选择“What if”选项的位置的屏幕截图。

  2. 选择“用户”下的链接。

  3. 在搜索框中,键入测试来宾用户的名称。 在搜索结果中选择用户,然后选择“选择”。

    显示已选中一个来宾用户的屏幕截图。

  4. 选择“云应用、操作或身份验证内容”下的链接。 选择“选择资源”,然后选择“选择”下的链接

    显示选择了应用的屏幕截图。

  5. 在“云应用”页面的应用程序列表中,选择“Windows Azure 服务管理 API”,然后选择“选择”

  6. 选择 What If,然后验证确保“要应用的策略”选项卡的“评估结果”下显示了新策略 。

    显示 What If 评估结果的屏幕截图。

测试条件访问策略

  1. 使用测试用户名和密码登录到 Microsoft Entra 管理中心

  2. 应会看到有关更多身份验证方法的请求。 此策略可能一段时间后才会生效。

    显示“需要更多信息”消息的屏幕截图。

    注意

    还可以配置跨租户访问设置,以信任来自 Microsoft Entra 主租户的 MFA。 这让外部 Microsoft Entra 用户可以使用在他们自己的租户中注册的 MFA,而不是在资源租户中注册。

  3. 注销。

清理资源

不再需要测试用户和测试条件访问策略时,请将其删除。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“用户”>“所有用户”。

  3. 选择测试用户,然后选择“删除用户”。

  4. 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心

  5. 浏览到“保护”>“条件访问”>“策略”

  6. 在“策略名称”列表中,为测试策略选择上下文菜单 (…),然后选择“删除” 。 请选择“是”以确认。

下一步

在本教程中,你创建了一个条件访问策略,它要求来宾用户在登录你的某个云应用时使用 MFA。 要详细了解如何添加来宾用户进行协作,请参阅在 Microsoft Entra 管理中心内添加 Microsoft Entra B2B 协作用户