教程:对 B2B 来宾用户强制执行多重身份验证

适用于:带白色勾号的绿色圆圈。 员工租户 带灰色 X 号的白色圆圈。 外部租户(了解详细信息

在与 B2B 来宾用户协作时,最好使用多重身份验证策略保护你的应用。 实施后,用户在访问你的资源时,不仅仅是要提供用户名和密码。 在 Microsoft Entra ID 中,可通过要求 MFA 访问验证的条件访问策略实现此目标。 可在租户、应用或个人来宾用户级别强制实施 MFA 策略,操作方式与为你自己的组织成员启用这些策略的方式相同。 资源租户始终负责用户的 Microsoft Entra 多重身份验证,即使来宾用户的组织具有多重身份验证功能也是如此。

示例:

显示登录到公司应用的来宾用户的示意图。

  1. 公司 A 的某位管理员或员工邀请一名来宾用户使用云或本地应用程序,而此程序被配置为要求进行 MFA 访问验证。
  2. 该来宾用户使用其自己的工作、学校或社交标识进行登录。
  3. 系统要求该用户完成 MFA 验证。
  4. 该用户向公司 A 设置 MFA,并选择其 MFA 选项。 该用户获准访问此应用程序。

注意

Microsoft Entra 多重身份验证在资源租户上完成,以确保可预测性。 当来宾用户登录时,他们将看到资源租户登录页面在后台显示,他们自己的主租户登录页面和公司徽标在前台显示。

在本教程中,你将:

  • 在 MFA 设置之前测试登录体验。
  • 创建一个条件访问策略,它要求用户通过 MFA 才可访问你环境中的云应用。 在本教程中,我们将使用 Azure 服务管理 API 应用来演示此过程。
  • 测试条件访问策略。
  • 清理测试用户和策略。

如果没有 Azure 订阅,可在开始前创建一个试用帐户

先决条件

若要完成本教程中的方案,需要:

  • 访问 Microsoft Entra ID P1 或 P2 版本,其中包括条件访问策略功能。 若要强制实施 MFA,需要创建 Microsoft Entra 条件访问策略。 始终在你的组织强制实施 MFA 策略,无论合作伙伴是否具有 MFA 功能。
  • 有效的外部电子邮件帐户,该帐户可作为来宾用户添加到租户目录中并可在登录时使用。 如果你不知道如何创建来宾帐户,请参阅在 Microsoft Entra 管理中心内添加 B2B 来宾用户

在Microsoft Entra ID 中创建测试来宾用户

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“用户”>“所有用户”。

  3. 选择“新建用户”,然后选择“邀请外部用户”。

    显示选择“新来宾用户”选项的位置的屏幕截图。

  4. 在“基本信息”选项卡的“标识”下,输入外部用户的电子邮件地址。 (可选)添加显示名称和欢迎消息。

    显示来宾电子邮件地址输入位置的屏幕截图。

  5. (可选)可以在“属性”和“分配”选项卡下向用户添加更多详细信息。

  6. 选择“查看 + 邀请”,以自动向来宾用户发送邀请。 随即显示“已成功邀请用户”消息。

  7. 发送邀请后,该用户帐户将以来宾的形式自动添加到目录。

在 MFA 设置之前测试登录体验

  1. 使用测试用户名和密码登录到 Microsoft Entra 管理中心
  2. 你应该仅凭登录凭据就能够访问 Microsoft Entra 管理中心。 不必进行任何其他身份验证。
  3. 注销。

创建需要 MFA 的条件访问策略

  1. 以安全管理员或条件访问管理员的身份登录 Azure 门户

  2. 在 Azure 门户中,选择“Microsoft Entra ID”。

  3. 在左侧菜单中的“管理”下,选择“安全” 。

  4. 在“保护”下,选择“条件访问” 。

  5. 选择“创建新策略”。

  6. 为策略指定名称,例如“需要 MFA 来进行 B2B 门户访问”。 建议组织为其策略的名称创建有意义的标准。

  7. 在“分配”下,选择“用户或工作负载标识” 。

    1. 在“包括”下,选择“选择用户和组”,然后选择“来宾或外部用户”。 可以将策略分配给不同的外部用户类型、内置的目录角色或用户和组。

    显示选择所有来宾用户的屏幕截图。

  8. 在“目标资源”>“资源(旧称云应用)”>“包括”>“选择资源”下,选择“Azure 服务管理 API”,然后选择“选择”。

    显示“云应用”页和“选择”选项的屏幕截图。

  9. 在“访问控制”>“授予”下,依次选择“"授予访问权限”、“需要多重身份验证”和“选择”。

    显示用于要求多重身份验证的选项的屏幕截图。

  10. 在“启用策略”下,选择“开” 。

  11. 选择创建

测试条件访问策略

  1. 使用测试用户名和密码登录到 Microsoft Entra 管理中心

  2. 应会看到有关更多身份验证方法的请求。 此策略可能一段时间后才会生效。

    显示“需要更多信息”消息的屏幕截图。

    注意

    还可以配置跨租户访问设置,以信任来自 Microsoft Entra 主租户的 MFA。 这让外部 Microsoft Entra 用户可以使用在他们自己的租户中注册的 MFA,而不是在资源租户中注册。

  3. 注销。

清理资源

不再需要测试用户和测试条件访问策略时,请将其删除。

  1. 以 Microsoft Entra 管理员身份登录到 Azure 门户
  2. 在左侧窗格中,选择“Microsoft Entra ID”。
  3. 在“管理”下,选择“用户” 。
  4. 选择测试用户,然后选择“删除用户”。
  5. 在左侧窗格中,选择“Microsoft Entra ID”。
  6. 在“安全性”下,选择“条件访问” 。
  7. 在“策略名称”列表中,为测试策略选择上下文菜单 (…),然后选择“删除” 。 请选择“是”以确认。

下一步

在本教程中,你创建了一个条件访问策略,它要求来宾用户在登录你的某个云应用时使用 MFA。 要详细了解如何添加来宾用户进行协作,请参阅在 Microsoft Entra 管理中心内添加 Microsoft Entra B2B 协作用户