外部租户的多重身份验证
适用于:
员工租户 
外部租户(了解详细信息)
多重身份验证 (MFA) 要求用户在注册或登录期间提供第二种方法来验证其身份,从而为应用程序添加一层安全性。 外部租户支持作为第二个因素进行身份验证的两种方法:
- 电子邮件一次性密码
- 基于短信的身份验证,可用作加载项,请参阅详细信息。
强制 MFA 通过添加额外的验证层来提高组织的安全性,使未经授权的用户获得访问权限变得更加困难。
创建 MFA 策略
在外部租户中,使用 Microsoft Entra 条件访问创建策略,用于在用户注册或登录应用时提示用户进行 MFA。 在“Microsoft Entra 管理中心”中的“保护”部分的条件访问下创建此策略。 可以指定应用策略的用户和组,包括所有用户,以及排除任何紧急访问或不受限帐户。
在策略中,定义需要 MFA 的应用程序。 可以将策略应用到所有云应用或选择特定应用,同时排除不需要 MFA 的任何应用程序。 然后,将策略配置为仅在用户完成 MFA 要求时授予访问权限。
有关详细信息,请参阅如何在外部租户中创建条件访问策略。
启用 MFA 方法
在用户流中选择标识提供者选项时,请定义用于注册和登录的第一因素身份验证方法。 MFA 的第二因素验证方法在 Microsoft Entra 管理中心的单独部分中,在“保护”部分中的“身份验证方法”下进行配置。
根据选择哪个选项作为第一个因素,不同的第二因素验证方法可用于多重身份验证 (MFA)。
- 包含密码和社交标识提供者的电子邮件:对于这些第一因素方法中的任何一种,可以启用电子邮件一次性密码、短信或两者同时作为 MFA 的第二因素验证方法。
- 电子邮件一次性密码:如果选择具有一次性密码的电子邮件作为第一因素身份验证方法,就不能用于第二因素验证。 因此,只能为 MFA 启用基于短信的验证。
有关详细信息,请参阅如何在外部租户中启用 MFA 方法。
电子邮件一次性密码
外部租户中提供电子邮件一次性密码身份验证同时作为第一因素和第二因素验证方法。 若要允许对 MFA 使用电子邮件一次性密码,必须将本地帐户身份验证方法设置为 具有密码的电子邮件。 如果选择“使用一次性密码的电子邮件”,则使用此方法进行主要登录的客户无法将其用于 MFA 辅助验证。
为 MFA 启用电子邮件一次性密码时,用户使用其主要登录方法登录,并收到将向其电子邮件地址发送代码的通知。 用户选择发送代码,从其电子邮件收件箱中检索密码,并在登录窗口中输入密码。 用户必须在 10 分钟内完成此验证过程。
基于短信的身份验证
外部租户可使用短信进行第二因素验证,但需额外付费。 目前,短信不适用于外部租户中的第一因素身份验证或自助密码重置。
为 MFA 启用短信后,用户使用其主要方法登录,并提示用户使用通过文本发送的代码验证其身份。 他们输入其电话号码,会收到一条包含验证码的短信。
通过强制执行以下措施,外部 ID 通过短信缓解欺诈性注册:
- 电话限制有助于防止中断和速度变慢。 请参阅“服务限制和局限性”。
- 用于短信 MFA 的 CAPTCHA 通过区分人类用户与自动机器人来帮助防止自动攻击。 如果检测到风险用户,我们会在发送短信验证码之前阻止用户登录或要求用户完成 CAPTCHA。
按国家/地区划分的短信定价层
下表提供有关不同国家或地区基于短信的身份验证服务的不同定价层的详细信息。 有关定价详细信息,请参阅 Microsoft Entra 外部 ID 定价。
短信是一项附加功能,需要链接的订阅。 如果订阅过期或被取消,最终用户将无法再使用短信进行身份验证,这可能会根据 MFA 策略阻止他们登录。
| 层 | 国家/地区 |
|---|---|
| 手机身份验证低成本 | 澳大利亚、巴西、文莱、加拿大、智利、中国、哥伦比亚、塞浦路斯、北马其顿、波兰、葡萄牙、韩国、泰国、土耳其、美国 |
| 手机身份验证中低成本 | 格陵兰、阿尔巴尼亚、美属萨摩亚、奥地利、巴哈马、巴林、波黑、博茨瓦纳、哥斯达黎加、捷克共和国、丹麦、爱沙尼亚、法罗群岛、芬兰、法国、希腊、中国香港、匈牙利、冰岛、爱尔兰、意大利、日本、拉脱维亚、立陶宛、卢森堡、澳门、马耳他、墨西哥、密克罗尼西亚、摩尔多瓦、纳米比亚、新西兰、尼加拉瓜、挪威、罗马尼亚、圣多美和普林西比、塞浦路斯共和国、新加坡、斯洛伐克、所罗门群岛、西班牙、瑞典、瑞士、中国台湾、英国、美国维尔京群岛、乌拉圭 |
| 手机身份验证中高成本 | 安哥拉、安哥拉、安吉拉、南极洲、安提瓜和巴布达、阿根廷、亚美尼亚、阿鲁巴、阿鲁巴、阿鲁巴、卢森堡、比利时、贝宁、玻利维亚、英属维尔京群岛、保加利亚、布基纳法索、喀麦隆、开曼群岛、克罗地亚、迭戈加西亚、吉布提、多米尼加共和国、多米尼加共和国、东帝汶、厄瓜多尔、萨尔瓦多、厄立特里亚、福克兰群岛、斐济、法属圭亚那、法属波利尼西亚、冈比亚、格鲁吉亚、德国、直布罗陀、 格林纳达、瓜德罗普、关岛、几内亚、圭亚那、洪都拉斯、印度、象牙海岸、肯尼亚、基里巴斯、老挝、利比里亚、马来西亚、马绍尔群岛、马提尼克岛、毛里求斯、摩纳哥、黑山、蒙特塞拉特、荷兰、荷兰、荷兰安提列群岛、新喀里多尼亚、纽埃、阿曼、帕劳、巴拿马、巴拉圭、秘鲁、波多黎各、留尼翁、卢旺达、圣海伦娜、圣基茨和尼维斯、圣路易斯、圣皮埃尔和米奎隆、圣文森特和格林纳丁斯、塞班、萨摩亚、圣安东尼奥、沙特阿拉伯、圣马滕、斯洛文尼亚、南非、南苏丹、萨摩亚、斯威士兰、托凯劳、通加、土耳其和凯科斯、图瓦卢、阿拉伯联合酋长国、委内瑞拉、越南、瓦利斯和富图纳群岛 |
| 手机身份验证高成本 | 列支敦士登、百慕大、柬埔寨、开普敦、刚果民主共和国、多米尼加、埃及、赤道几内亚、加纳、危地马拉、巴布亚新几内亚、以色列、牙买加、牙买加、科索沃、毛里塔尼亚、马尔代夫、马里、毛里塔尼亚、莫桑比克、莫桑比克、巴布亚新几内亚、菲律宾、卡塔尔、塞拉利昂、多米尼加共和国、乌克兰、津巴布韦、阿富汗、阿尔及利亚、阿塞拜疆、孟加拉国、白俄罗斯、巴布亚新几内亚、布隆迪、乍得、科摩罗、刚果、埃塞俄比亚、加蓬共和国、海地、印度尼西亚、伊拉克、约旦、印度尼西亚、伊拉克、约旦 科威特、吉尔吉斯斯坦、黎巴嫩、利比亚、马达加斯加、马拉维、蒙古、缅甸、瑙鲁、尼泊尔、尼日尔、尼日利亚、巴基斯坦、巴勒斯坦民族权力机构、俄罗斯、塞内加尔、塞尔维亚、索马里、斯里兰卡、苏丹、塔吉克斯坦、坦桑尼亚、多哥共和国、突尼斯、土库曼斯坦、乌干达、乌兹别克斯坦、也门、赞比亚 |