教程:对 B2B 来宾用户强制执行多重身份验证
适用于: 员工租户 外部租户(了解详细信息)
在与 B2B 来宾用户协作时,最好使用多重身份验证策略保护你的应用。 实施后,用户在访问你的资源时,不仅仅是要提供用户名和密码。 在 Microsoft Entra ID 中,可通过要求 MFA 访问验证的条件访问策略实现此目标。 可在租户、应用或个人来宾用户级别强制实施 MFA 策略,操作方式与为你自己的组织成员启用这些策略的方式相同。 资源租户始终负责用户的 Microsoft Entra 多重身份验证,即使来宾用户的组织具有多重身份验证功能也是如此。
示例:
- 公司 A 的某位管理员或员工邀请一名来宾用户使用云或本地应用程序,而此程序被配置为要求进行 MFA 访问验证。
- 该来宾用户使用其自己的工作、学校或社交标识进行登录。
- 系统要求该用户完成 MFA 验证。
- 该用户向公司 A 设置 MFA,并选择其 MFA 选项。 该用户获准访问此应用程序。
注意
Microsoft Entra 多重身份验证在资源租户上完成,以确保可预测性。 当来宾用户登录时,他们将看到资源租户登录页面在后台显示,他们自己的主租户登录页面和公司徽标在前台显示。
在本教程中,你将:
- 在 MFA 设置之前测试登录体验。
- 创建一个条件访问策略,它要求用户通过 MFA 才可访问你环境中的云应用。 在本教程中,我们将使用 Azure 服务管理 API 应用来演示此过程。
- 测试条件访问策略。
- 清理测试用户和策略。
如果没有 Azure 订阅,可在开始前创建一个试用帐户。
先决条件
若要完成本教程中的方案,需要:
- 访问 Microsoft Entra ID P1 或 P2 版本,其中包括条件访问策略功能。 若要强制实施 MFA,需要创建 Microsoft Entra 条件访问策略。 始终在你的组织强制实施 MFA 策略,无论合作伙伴是否具有 MFA 功能。
- 有效的外部电子邮件帐户,该帐户可作为来宾用户添加到租户目录中并可在登录时使用。 如果你不知道如何创建来宾帐户,请参阅在 Microsoft Entra 管理中心内添加 B2B 来宾用户。
在Microsoft Entra ID 中创建测试来宾用户
提示
本文中的步骤可能因开始使用的门户而略有不同。
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“所有用户”。
选择“新建用户”,然后选择“邀请外部用户”。
在“基本信息”选项卡的“标识”下,输入外部用户的电子邮件地址。 (可选)添加显示名称和欢迎消息。
(可选)可以在“属性”和“分配”选项卡下向用户添加更多详细信息。
选择“查看 + 邀请”,以自动向来宾用户发送邀请。 随即显示“已成功邀请用户”消息。
发送邀请后,该用户帐户将以来宾的形式自动添加到目录。
在 MFA 设置之前测试登录体验
- 使用测试用户名和密码登录到 Microsoft Entra 管理中心。
- 你应该仅凭登录凭据就能够访问 Microsoft Entra 管理中心。 不必进行任何其他身份验证。
- 注销。
创建需要 MFA 的条件访问策略
以安全管理员或条件访问管理员的身份登录 Azure 门户。
在 Azure 门户中,选择“Microsoft Entra ID”。
在左侧菜单中的“管理”下,选择“安全” 。
在“保护”下,选择“条件访问” 。
在“条件访问”页面顶部的工具栏中,选择“新建策略”。
在“新建”页面的“名称”文本框中,键入“需要 MFA 才能访问 B2B 门户” 。
在“分配”部分中,选择“用户和组”下的链接 。
在“用户和组”页上,选择“选择用户和组”,然后选择“来宾或外部用户”。 可以将策略分配给不同的外部用户类型、内置的目录角色或用户和组。
在“分配”部分中,选择“云应用或操作”下的链接 。
选择“选择应用”,然后选择“选择”下的链接 。
在“选择”页上,选择“Azure 服务管理 API”,然后选择“选择”。
在“新建”页面的“访问控制”部分中,选择“授权”下的链接 。
在“授权”页面上,选择“授予访问权限”,然后选择“需要多重身份验证”复选框和“选择”。
在“启用策略”下,选择“开” 。
选择“创建” 。
测试条件访问策略
使用测试用户名和密码登录到 Microsoft Entra 管理中心。
应会看到有关更多身份验证方法的请求。 此策略可能一段时间后才会生效。
注意
还可以配置跨租户访问设置,以信任来自 Microsoft Entra 主租户的 MFA。 这让外部 Microsoft Entra 用户可以使用在他们自己的租户中注册的 MFA,而不是在资源租户中注册。
注销。
清理资源
不再需要测试用户和测试条件访问策略时,请将其删除。
- 以 Microsoft Entra 管理员身份登录到 Azure 门户。
- 在左侧窗格中,选择“Microsoft Entra ID”。
- 在“管理”下,选择“用户” 。
- 选择测试用户,然后选择“删除用户”。
- 在左侧窗格中,选择“Microsoft Entra ID”。
- 在“安全性”下,选择“条件访问” 。
- 在“策略名称”列表中,为测试策略选择上下文菜单 (…),然后选择“删除” 。 请选择“是”以确认。
下一步
在本教程中,你创建了一个条件访问策略,它要求来宾用户在登录你的某个云应用时使用 MFA。 要详细了解如何添加来宾用户进行协作,请参阅在 Microsoft Entra 管理中心内添加 Microsoft Entra B2B 协作用户。