需要外部使用者的多重要素驗證強度
驗證強度是條件式存取控制,可讓您定義外部使用者必須完成才能存取您的資源的多重要素驗證 (MFA) 方法的特定組合。 此控制項特別適用於限制對組織中敏感性應用程式的外部存取。 例如,您可以建立條件式存取原則,在原則中要求防網路釣魚驗證強度,並將它指派給來賓和外部使用者。
Microsoft Entra ID 提供三個內建驗證強度:
- 本文建議的多重要素驗證強度 (較不嚴格)
- 無密碼 MFA 強度
- 網路釣魚防護 MFA 強度 (限制最嚴格)
您可以使用其中一個內建強度,或根據您要要求的驗證方法建立自訂驗證強度。
在外部使用者案例中,資源租用戶可接受的 MFA 驗證方法會因使用者正在主租用戶或資源租用戶中完成 MFA 而有所不同。 如需詳細資訊,請參閱 外部使用者的驗證強度。
注意
目前,您只能將驗證強度原則套用至使用 Microsoft Entra ID 進行驗證的外部使用者。 對於電子郵件一次性密碼、SAML/WS-Fed 和 Google 同盟使用者,請使用 MFA 授與控制項來要求 MFA。
設定跨租用戶存取設定以信任 MFA
驗證強度原則可與跨租用戶存取設定中的 MFA 信任設定搭配運作,以判斷外部使用者必須執行 MFA 的位置和方式。 Microsoft Entra 使用者會先在其主租用戶中使用自己的帳戶驗證。 然後,當使用者嘗試存取您的資源時,Microsoft Entra ID 會套用驗證強度條件式存取原則,並檢查您是否啟用 MFA 信任。
- 如果 MFA 信任已啟用,Microsoft Entra ID 會檢查使用者的驗證工作階段是否有宣告,指出已在使用者的主租用戶中完成 MFA。
- 如果 MFA 信任已停用,資源租用戶就會向使用者顯示挑戰,以使用可接受的驗證方法在資源租用戶中完成 MFA。
外部使用者可用來滿足 MFA 需求的驗證方法會根據使用者正在主租用戶或資源租用戶中完成 MFA 而有所不同。 請參閱條件式存取驗證強度中的表格。
重要
建立條件式存取原則之前,請檢查您的跨租用戶存取設定,以確定您的輸入 MFA 信任設定已如預期設定。
使用者排除
條件式存取原則是功能強大的工具,建議您從原則中排除下列帳戶:
- 緊急存取 或 中斷帳戶 ,以防止因為原則設定錯誤而導致鎖定。 在不太可能的情況下,所有系統管理員都遭到鎖定,您的緊急存取系統管理帳戶可用來登入並採取復原存取的步驟。
- 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
- 服務帳戶 和服務 主體,例如Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式,但也可用來登入系統以供管理之用。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取,來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。
建立條件式存取原則
使用下列步驟來建立條件式存取原則,以將驗證強度套用至外部使用者。
- 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護] > [條件式存取] > [原則]。
- 選取 [新增原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選擇 [選取使用者和群組],然後選取 [來賓或外部使用者]。
- 選取您要套用原則的來賓或外部使用者類型。
- 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或急用帳戶。
- 在 [包含] 下,選擇 [選取使用者和群組],然後選取 [來賓或外部使用者]。
- 在 [目標資源資源>](先前稱為雲端應用程式)的 [包含] 或 [排除] 底下,選取您想要包含在驗證強度需求或排除的任何應用程式。
- 在 [存取控制]>[授與] 下,選取 [授與存取權]。
- 選取 [需要驗證強度],然後從清單中選取適當的內建或自定義驗證強度。
- 選取選取。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
使用報告專用模式確認設定之後,管理員可以將 [啟用原則] 切換從 [報告專用] 移至 [開啟]。
相關內容
- 條件式存取範本 (部分機器翻譯)
- 使用報告專用模式來進行條件式存取,以確認新原則決策的結果。