條件式存取驗證強度對外部使用者的運作方式
驗證方法原則特別適用於限制組織中敏感性應用程式的外部存取,因為您可以針對外部使用者強制執行特定的驗證方法,例如防網路釣魚方法。
當您將驗證強度條件式存取原則套用至外部 Microsoft Entra 使用者時,此原則會與跨租用戶存取設定中的 MFA 信任設定搭配運作,以判斷外部使用者必須執行 MFA 的位置和方式。 Microsoft Entra 使用者會在 Microsoft Entra 主租用戶中驗證。 然後,當他們存取您的資源時,Microsoft Entra ID 會套用原則並檢查您是否已啟用 MFA 信任。 請注意,針對 B2B 共同作業啟用 MFA 信任是選擇性的,但是 B2B 直接連線是必要的。
在外部使用者情境中,可以滿足驗證強度的驗證方法會有所不同,這取決於使用者是在其主租用戶還是資源租用戶中完成 MFA。 下表指出每個租戶中允許的方法。 如果資源租用戶已選擇信任來自外部 Microsoft Entra 組織的宣告,則資源租用戶僅接受以下 [主租用戶] 資料行中列出的宣告進行 MFA。 如果資源租用戶已停用 MFA 信任,外部使用者必須使用 [資源租用戶] 資料行中列出的其中一種方法,在資源租用戶中完成 MFA。
| 驗證方法 | 住家租戶 | 資源租用者 |
|---|---|---|
| 以文字簡訊作為第二個要素 | ✅ | ✅ |
| 語音通話 | ✅ | ✅ |
| Microsoft Authenticator 推送通知 | ✅ | ✅ |
| Microsoft Authenticator 手機登入 | ✅ | |
| OATH 軟體權杖 | ✅ | ✅ |
| OATH 硬體令牌 | ✅ | |
| FIDO2 安全性金鑰 | ✅ | |
| Windows Hello 企業版 | ✅ | |
| 憑證式驗證 | ✅ |
如需如何為外部使用者設定驗證強度的詳細資訊,請參閱條件式存取:需要外部使用者的驗證強度。
外部使用者的使用者體驗
驗證強度條件式存取原則可與跨租用戶存取設定中的 MFA 信任設定搭配運作。 首先,Microsoft Entra 使用者會在其主租用戶中使用自己的帳戶進行驗證。 然後,當使用者嘗試存取您的資源時,Microsoft Entra ID 會套用驗證強度條件式存取原則,並檢查您是否已啟用 MFA 信任。
- 如果 MFA 信任已啟用,Microsoft Entra ID 會檢查使用者的驗證會話來尋找一個宣告,該宣告指出已在使用者的主租用戶中完成 MFA。 如需在外部使用者的主租用戶中完成時,MFA 可接受的驗證方法,請參閱上表。 如果會話中包含聲明,指出使用者的主租用戶已符合 MFA 政策,且使用的方法滿足驗證強度需求,則允許使用者存取。 否則,Microsoft Entra ID 會向使用者提出挑戰,要求他們在主租用戶內使用可接受的驗證方法來完成 MFA。
- 如果 MFA 信任已停用,Microsoft Entra ID 就會向使用者顯示挑戰,以使用可接受的驗證方法在資源租用戶中完成 MFA。 如需外部使用者可接受的 MFA 驗證方法,請參閱上表。