教程:对 B2B 来宾用户强制执行多重身份验证

  • 项目

在与 B2B 来宾用户协作时,最好使用多重身份验证策略保护你的应用。 实施后,用户在访问你的资源时,不仅仅是要提供用户名和密码。 在 Microsoft Entra ID 中,可通过要求 MFA 访问验证的条件访问策略实现此目标。 可在租户、应用或个人来宾用户级别强制实施 MFA 策略,操作方式与为你自己的组织成员启用这些策略的方式相同。 资源租户始终负责用户的 Microsoft Entra 多重身份验证,即使来宾用户的组织具有多重身份验证功能也是如此。

示例:

Diagram showing a guest user signing into a company's apps.

  1. 公司 A 的某位管理员或员工邀请一名来宾用户使用云或本地应用程序,而此程序被配置为要求进行 MFA 访问验证。
  2. 该来宾用户使用其自己的工作、学校或社交标识进行登录。
  3. 系统要求该用户完成 MFA 验证。
  4. 该用户向公司 A 设置 MFA,并选择其 MFA 选项。 该用户获准访问此应用程序。

注意

Microsoft Entra 多重身份验证在资源租户上完成,以确保可预测性。 当来宾用户登录时,他们将看到资源租户登录页面在后台显示,他们自己的主租户登录页面和公司徽标在前台显示。

在本教程中,你将:

  • 在 MFA 设置之前测试登录体验。
  • 创建一个条件访问策略,它要求用户通过 MFA 才可访问你环境中的云应用。 在本教程中,我们将使用 Azure 服务管理 API 应用来演示此过程。
  • 测试条件访问策略。
  • 清理测试用户和策略。

如果没有 Azure 订阅,可在开始前创建一个试用帐户

先决条件

若要完成本教程中的方案,需要:

  • 访问 Microsoft Entra ID P1 或 P2 版本,其中包括条件访问策略功能。 若要强制实施 MFA,需要创建 Microsoft Entra 条件访问策略。 始终在你的组织强制实施 MFA 策略,无论合作伙伴是否具有 MFA 功能。
  • 有效的外部电子邮件帐户,该帐户可作为来宾用户添加到租户目录中并可在登录时使用。 如果你不知道如何创建来宾帐户,请参阅在 Microsoft Entra 管理中心内添加 B2B 来宾用户

在Microsoft Entra ID 中创建测试来宾用户

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“用户”>“所有用户”。

  3. 选择“新建用户”,然后选择“邀请外部用户”。

    Screenshot showing where to select the new guest user option.

  4. 在“基本信息”选项卡的“标识”下,输入外部用户的电子邮件地址。 (可选)添加显示名称和欢迎消息。

    Screenshot showing where to enter the guest email.

  5. (可选)可以在“属性”和“分配”选项卡下向用户添加更多详细信息。

  6. 选择“查看 + 邀请”,以自动向来宾用户发送邀请。 随即显示“已成功邀请用户”消息。

  7. 发送邀请后,该用户帐户将以来宾的形式自动添加到目录。

在 MFA 设置之前测试登录体验

  1. 使用测试用户名和密码登录到 Microsoft Entra 管理中心
  2. 你应该仅凭登录凭据就能够访问 Microsoft Entra 管理中心。 不必进行任何其他身份验证。
  3. 注销。

创建需要 MFA 的条件访问策略

  1. 以安全管理员或条件访问管理员的身份登录 Azure 门户

  2. 在 Azure 门户中,选择“Microsoft Entra ID”。

  3. 在左侧菜单中的“管理”下,选择“安全” 。

  4. 在“保护”下,选择“条件访问” 。

  5. 在“条件访问”页面顶部的工具栏中,选择“新建策略” 。

  6. 在“新建”页面的“名称”文本框中,键入“需要 MFA 才能访问 B2B 门户” 。

  7. 在“分配”部分中,选择“用户和组”下的链接 。

  8. 在“用户和组”页上,选择“选择用户和组”,然后选择“来宾或外部用户”。 可以将策略分配给不同的外部用户类型、内置的目录角色或用户和组。

    Screenshot showing selecting all guest users.

  9. 在“分配”部分中,选择“云应用或操作”下的链接 。

  10. 选择“选择应用”,然后选择“选择”下的链接 。

    Screenshot showing the Cloud apps page and the Select option.

  11. 在“选择”页上,选择“Azure 服务管理 API”,然后选择“选择”

  12. 在“新建”页面的“访问控制”部分中,选择“授权”下的链接 。

  13. 在“授权”页面上,选择“授予访问权限”,然后选择“需要多重身份验证”复选框和“选择”。

    Screenshot showing the Require multifactor authentication option.

  14. 在“启用策略”下,选择“开” 。

    Screenshot showing the Enable policy option set to On.

  15. 选择创建

测试条件访问策略

  1. 使用测试用户名和密码登录到 Microsoft Entra 管理中心

  2. 应会看到有关更多身份验证方法的请求。 此策略可能一段时间后才会生效。

    Screenshot showing the More information required message.

    注意

    还可以配置跨租户访问设置,以信任来自 Microsoft Entra 主租户的 MFA。 这让外部 Microsoft Entra 用户可以使用在他们自己的租户中注册的 MFA,而不是在资源租户中注册。

  3. 注销。

清理资源

不再需要测试用户和测试条件访问策略时,请将其删除。

  1. 以 Microsoft Entra 管理员身份登录到 Azure 门户
  2. 在左侧窗格中,选择“Microsoft Entra ID”。
  3. 在“管理”下,选择“用户” 。
  4. 选择测试用户,然后选择“删除用户”。
  5. 在左侧窗格中,选择“Microsoft Entra ID”。
  6. 在“安全性”下,选择“条件访问” 。
  7. 在“策略名称”列表中,为测试策略选择上下文菜单 (…),然后选择“删除” 。 请选择“是”以确认。

后续步骤

在本教程中,你创建了一个条件访问策略,它要求来宾用户在登录你的某个云应用时使用 MFA。 要详细了解如何添加来宾用户进行协作,请参阅在 Azure 门户中添加 Microsoft Entra B2B 协作用户