自定义控件(预览版)
自定义控件是 Microsoft Entra ID 的预览功能。 使用自定义控件时,系统会将用户重定向到兼容服务,以满足 Microsoft Entra ID 之外的身份验证要求。 为了满足此控制要求,用户浏览器将被重定向到外部服务,执行任何需要的身份验证,然后重定向回 Microsoft Entra ID。 Microsoft Entra ID 将验证响应,如果用户已成功完成身份验证或验证,该用户将继续留在条件访问流中。
注意
正如 Alex Simons 在他的博客文章即将对自定义控件进行的更改中提到的:
...我们正在计划用一种方法来取代当前的预览版,这种方法将使合作伙伴提供的身份验证功能可与 Microsoft Entra 管理员和最终用户体验无缝协作。 合作伙伴 MFA 解决方案目前仅在输入密码后才发挥作用,在其他重要场景不充当升级身份验证的 MFA,不与最终用户或管理凭据管理功能集成。 该新实现将允许合作伙伴提供的身份验证因素与内置因素共同用于重要场景,其中包括注册、使用、MFA 声明、升级身份验证、报告和日志记录。
在完成新设计、预览并达到“正式发布”之前,预览版都将支持当前的有限方法。 届时,我们将为客户提供迁移到新实现的时间。 由于当前方法的限制,在新功能准备就绪之前,我们不会加入任何新提供程序。
我们正与客户和提供商密切合作,并且随着关系越来越紧密,我们将告知时间安排...
创建自定义控件
重要
在 Intune 设备注册来实现跨租户信任的过程中,或者在将设备联接到 Microsoft Entra ID 时,不能将自定义控件与 Identity Protection 自动化配合使用来提升 Privileged Identity Manager (PIM) 中的角色,其中该自动化要求 Microsoft Entra 多重身份验证、Microsoft Entra 自助式密码重置 (SSPR) 且带有登录频率控制以满足多重身份验证声明要求。
自定义控件使用有限的一组已批准身份验证提供程序。 若要创建自定义控件,应首先联系想使用的控件的提供商。 每个非 Microsoft 提供商在注册、订阅或以其他方式加入服务以及指示想要与条件访问集成方面都有自己的进程和要求。 此时,提供商将提供采用 JSON 格式的数据块。 使用此数据可使提供商和条件访问一起服务于租户,创建新控件,并确定条件访问如何判断用户是否通过提供商成功执行了验证。
复制 JSON 数据,然后将其粘贴到相关文本框中。 不要对 JSON 做任何更改,除非用户明确理解所做的更改。 做出任何更改可能中断提供商和 Microsoft 之间的联系,并且有可能将你和你的用户锁定在帐户之外。
创建自定义控件的选项位于“条件访问” 页的“管理” 部分中。
单击“新建自定义控件”,打开包含控件 JSON 数据文本框的边栏选项卡。
删除自定义控件
若要删除自定义控件,必须先确定它未在任何条件访问策略中使用。 完成后:
- 转到“自定义控件”列表
- 选择 …
- 选择“删除” 。
编辑自定义控件
若要编辑自定义控件,必须删除当前控件,然后使用更新的信息创建新控件。
已知的限制
在 Intune 设备注册来实现跨租户信任的过程中,或者在将设备联接到 Microsoft Entra ID 时,不能将自定义控件与 Identity Protection 自动化配合使用来提升 Privileged Identity Manager (PIM) 中的角色,其中该自动化要求 Microsoft Entra 多重身份验证、Microsoft Entra 自助式密码重置 (SSPR) 且带有登录频率控制以满足多重身份验证声明要求。