外部租用戶的多重要素驗證
適用於: 員工租用戶 外部租用戶 (深入瞭解)
多重要素驗證 (MFA) 藉由要求使用者在註冊或登入期間提供第二種方法來驗證其身分識別,為您的應用程式新增一層安全性。 外部租用戶支援兩種驗證方法作為第二個因數:
- 以 Email 寄送一次性密碼
- 簡訊型驗證,以附加元件的形式提供 (請參閱詳細資料)。
強制執行 MFA 可藉由新增額外的一層驗證來增強組織的安全性,讓未經授權的使用者更難取得存取權。
建立 MFA 原則
在外部租用戶中,您可以使用 Microsoft Entra 條件式存取原則建立原則,以在使用者註冊或登入您的應用程式時,提示使用者進行 MFA。 您可以在保護區段的條件式存取下,在 Microsoft Entra 系統管理中心建立此原則。 您可以指定原則套用至哪些使用者和群組,包括所有使用者,但排除任何緊急存取或中斷帳戶。
在原則中,您可定義需要 MFA 的應用程式。 您可以將原則套用至所有雲端應用程式,或選取特定應用程式,同時排除任何不需要 MFA 的應用程式。 然後,您設定原則只有在使用者完成 MFA 需求時,才能授與存取權。
有關詳細資訊,請參閱 如何在外部租用戶中建立條件式存取原則。
啟用 MFA 的方法
當您在使用者流程中選取識別提供者選項時,您可以定義註冊和登入的第一因素驗證方法。 MFA 的第二因素驗證方法是在 Microsoft Entra 系統管理中心個別區段, 驗證方法 的 保護 區段中設定。
根據您選擇作為第一個因素的選項, 多重要素驗證 (MFA) 可使用不同的第二因素驗證方法。
- 具有密碼和社交身分識別提供者的電子郵件:對於任何第一因素方法,您可以啟用以電子郵件寄送一次性密碼、簡訊或兩者作為 MFA 的第二因素驗證方法。
- 以電子郵件寄送一次性密碼:當選取具有一次性密碼的電子郵件作為第一因素驗證方法時,無法用於第二因素驗證。 因此,MFA 只能啟用簡訊型的驗證。
有關詳細資訊,請參閱 如何在外部租用戶中啟用 MFA 方法。
以 Email 寄送一次性密碼
以電子郵件寄送一次性密碼驗證可在外部租用戶中作為第一因素和第二因素驗證方法。 若要允許使用以電子郵件寄送一次性密碼進行 MFA,您的本機帳戶驗證方法必須設定為 具有密碼的電子郵件。 如果您選擇 以電子郵件寄送一次性密碼,則使用此方法進行主要登入的客戶無法將其用於 MFA 第二驗證。
為 MFA 啟用以電子郵件寄送一次性密碼時,使用者將使用其主要登入方法登入,並收到程式碼將傳送至使用者電子郵件地址的通知。 使用者選擇傳送程式碼、從電子郵件收件匣收取密碼,並在登入視窗中輸入密碼。 用戶必須在10分鐘內完成此驗證程式。
簡訊型驗證
簡訊可用於外部租用戶的第二因素驗證,但需額外付費。 目前,簡訊不適用於外部租用戶中的第一因素驗證或自助式密碼重設。
為 MFA 啟用簡訊時,使用者會使用其主要方法登入,並提示使用者透過文字傳送的程式碼來驗證其身分識別。 輸入電話號碼,並接收具有驗證碼的簡訊。
外部 ID 可藉由強制執行下列措施,透過簡訊降低詐騙註冊和登入的風險:
- 電話語音節流限制有助於防止中斷和變慢。 請參閱 服務限制。
- 簡訊 MFA 的 CAPTCHA 可藉由區分人類使用者與自動化機器人來協助防止自動化攻擊。 如果偵測到有風險性使用者,我們會封鎖使用者登入,或要求使用者在傳送簡訊驗證程式碼之前完成 CAPTCHA。
依國家/區域畫分的簡訊價格層級
下表提供不同國家或區域簡訊型驗證服務之不同價格層級的詳細資訊。 有關價格詳細資訊,請參閱 Microsoft Entra 外部 ID 價格。
簡訊是附加功能,需要已連結的訂用帳戶。 如果訂用帳戶到期或取消,終端使用者將無法再使用簡訊進行驗證,這可能會視 MFA 原則而定,防止他們登入。
層 | 國家/區域 |
---|---|
電話驗證低成本 | 澳大利亞、巴西、汶萊、加拿大、智利、中國、哥倫比亞、塞普勒斯、北馬其頓、波蘭、葡萄牙、韓國、泰國、土耳其、美國 |
電話驗證中低成本 | 格陵蘭、阿爾巴尼亞、美屬薩摩亞、奧地利、巴哈馬、巴林、波士尼亞-黑塞哥維那、博茨瓦納、哥斯大黎加、捷克共和國、丹麥、愛沙尼亞、法羅群島、芬蘭、法國、希臘、香港、匈牙利、冰島、愛爾蘭、義大利、日本、拉脫維亞、立陶宛、盧森堡、澳門、馬爾他、墨西哥、密克羅尼西亞、摩爾多瓦、納米比亞、紐西蘭、尼加拉瓜、挪威、羅馬尼亞、聖多美和普林西比、塞里舍共和國、新加坡、斯洛伐克、所羅門群島、西班牙、瑞典、瑞士、 台灣、英國、美國維京群島、烏拉圭 |
電話驗證中高成本 | 安哥拉、安哥拉、安吉拉、南極洲、安提瓜和巴布達、阿根廷、亞美尼亞、阿路巴、阿路巴、阿森西翁、巴巴多斯、比利時、貝南、玻利維亞、英屬維爾京群島、保加利亞、布吉納法索、喀麥隆、開曼群島、中非共和國、庫克群島、克羅埃西亞、迭戈加西亞、吉布地、多明尼加共和國、多明尼加共和國、厄瓜多、薩爾瓦多、厄利垂亞、福克蘭群島、斐濟、法屬圭亞那、法屬波利尼西亞、甘比亞、格魯吉亞、德國、直布羅陀、格林納達、瓜德盧普、關島、幾內亞、蓋亞那、宏都拉斯、印度、象牙海岸、肯亞、基里巴斯、寮國、賴比瑞亞、馬來西亞、馬紹爾群島、馬丁尼克島、茅利西斯、摩納哥、黑山、蒙特塞拉特、荷蘭、荷蘭、象牙海岸、肯亞、基里巴斯、寮國、賴比瑞亞、馬來西亞、馬紹爾群島、馬丁尼克島、茅利里西斯、摩納哥、黑山、蒙特塞拉特、荷蘭、荷蘭安提列斯、新喀里多尼亞、紐埃、阿曼、帕勞、巴拿馬、巴拉圭、秘魯、波多黎各、留尼翁、盧安達、聖海倫娜、聖基茨和尼維斯、聖盧西亞、聖皮埃爾和米奎隆、聖文森特和格林納丁、塞潘、薩摩亞、馬里諾、沙烏地阿拉伯、聖馬滕、斯洛維尼亞、南非、南蘇丹、斯威士蘭(新名是埃斯瓦蒂尼王國)、托克勞、通加、土耳其和凱科斯、圖瓦盧、阿拉伯聯合大公國、瓦努阿圖、委內瑞拉、越南、瓦利斯和富圖納王國 |
電話驗證高成本 | 列支敦斯登、百慕達、柬埔寨、維德角、剛果民主共和國、多米尼克、埃及、赤道幾內亞、迦納、瓜地馬拉、幾內亞、比紹、以色列、牙買加、牙買加、科索沃、茅利塔尼亞、瑪律地夫、馬里、茅利塔尼亞、摩洛哥、莫桑比克、巴布亞新幾內亞、菲律賓、卡達、塞拉利昂、特立尼達和多巴哥、烏克蘭、辛巴威、阿富汗、阿爾及利亞、亞塞拜然、孟加拉國、白俄羅斯、貝里斯、不丹、蒲隆地、乍得、科摩羅斯、剛果、衣索比亞、加彭共和國、海地、印尼、伊拉克、約旦、科威特、吉爾吉斯斯坦、黎巴嫩、利比亞、馬達加斯加、馬拉威、蒙古、緬甸、瑙魯、尼泊爾、尼日爾、奈及利亞、巴基斯坦、巴勒斯坦民族權力機構、俄羅斯、塞內加爾、塞爾維亞、索馬里、斯裡蘭卡、蘇丹、塔吉克、坦尚尼亞、多哥共和國、突尼西亞、土庫曼、烏干達、烏茲別克斯坦、葉門、尚比亞 |
選擇加入SMS的區域
從 2025 年 1 月開始,特定國家 /地區代碼預設會停用 SMS 驗證。 如果您想要允許來自已停用區域的流量,您必須使用 Microsoft Graph onPhoneMethodLoadStartevent
原則為應用程式啟用它們。 請參閱 需要加入 SMS 驗證的區域。