条件访问身份验证强度如何为外部用户工作
身份验证方法策略特别适用于限制对组织中的敏感应用的外部访问,因为可以对外部用户强制实施特定的身份验证方法,例如防网络钓鱼方法。
将身份验证强度条件访问策略应用于外部 Microsoft Entra 用户时,该策略与跨租户访问设置中的 MFA 信任设置协同工作,以确定外部用户必须执行 MFA 的位置和方式。 Microsoft Entra 用户在其主 Microsoft Entra 租户中进行身份验证。 然后,当这些用户访问你的资源时,Microsoft Entra ID 会应用该策略并检查你是否启用了 MFA 信任。 请注意,启用 MFA 信任对于 B2B 协作是可选的,但对于 B2B 直接连接是必需的。
在外部用户方案中,可以满足身份验证强度的身份验证方法会有所不同,具体取决于用户是在主租户还是在资源租户中完成 MFA。 下表指示每个租户中允许的方法。 如果资源租户已选择信任来自外部 Microsoft Entra 组织的声明,则只有以下“主租户”列中列出的声明将被资源租户接受以进行 MFA。 如果资源租户禁用了 MFA 信任,则外部用户必须使用“资源租户”列中列出的方法之一在资源租户中完成 MFA。
| 身份验证方法 | 主租户 | 资源租户 |
|---|---|---|
| 将短信作为第二个因素 | ✅ | ✅ |
| 语音呼叫 | ✅ | ✅ |
| Microsoft Authenticator 推送通知 | ✅ | ✅ |
| Microsoft Authenticator 手机登录 | ✅ | |
| OATH 软件令牌 | ✅ | ✅ |
| OATH 硬件令牌 | ✅ | |
| FIDO2 安全密钥 | ✅ | |
| Windows Hello for Business | ✅ | |
| 基于证书的身份验证 | ✅ |
有关如何为外部用户设置身份验证强度的详细信息,请参阅条件访问:要求确保外部用户的身份验证强度。
外部用户的用户体验
身份验证强度条件访问策略与跨租户访问设置中的 MFA 信任设置一起使用。 首先,Microsoft Entra 用户使用自己的帐户在其主租户中进行身份验证。 然后,当此用户尝试访问资源时,Microsoft Entra ID 会应用身份验证强度条件访问策略,并检查是否启用了 MFA 信任。
- 如果 MFA 信任已启用,Microsoft Entra ID 检查用户的身份验证会话中是否存在指示在用户的主租户中完成 MFA 的声明。 有关在外部用户的主租户中完成时 MFA 可接受的身份验证方法,请参阅上表。 如果会话包含表明用户的主租户中已满足 MFA 策略的声明,并且方法满足身份验证强度要求,则允许用户访问。 否则,Microsoft Entra ID 会向用户提出一项挑战,要使用可接受的身份验证方法在主租户中完成 MFA。
- 如果 MFA 信任已禁用,Microsoft Entra ID 会向用户提出一项挑战,要使用可接受的身份验证方法在资源租户中完成 MFA。 有关外部用户可接受的 MFA 身份验证方法,请参阅上表。