Поделиться через

Руководство: Внедрение многофакторной аутентификации для гостевых пользователей B2B

Применяется: зеленый круг с символом белой галочки. Клиенты рабочей силы белый круг с серым символом X. Внешние клиенты (дополнительные сведения)

При совместной работе с внешними гостевыми пользователями B2B защитите приложения с помощью политик многофакторной проверки подлинности. Внешним пользователям требуется больше, чем имя пользователя и пароль для доступа к ресурсам. В идентификаторе Microsoft Entra можно выполнить эту задачу с помощью политики условного доступа, требующей MFA для доступа. Политики MFA можно применять на уровне клиента, приложения или отдельного гостевого пользователя, как и для членов вашей организации. Клиент ресурсов отвечает за многофакторную проверку подлинности Microsoft Entra для пользователей, даже если у гостевой организации есть возможности многофакторной проверки подлинности.

Пример:

Схема, на которой показан вход гостевого пользователя в приложения компании.

  1. Администратор или сотрудник компании A приглашает гостевого пользователя использовать облачное или локальное приложение, настроенное на прохождение Многофакторной идентификации для получения доступа.
  2. Гостевой пользователь входит в систему, используя собственный рабочий, учебный идентификатор или идентификатор в социальной сети.
  3. Пользователю необходимо пройти многофакторную аутентификацию.
  4. Пользователь настраивает MFA с Компанией A и выбирает свой вариант аутентификации. После этого пользователь получит доступ к приложению.

Примечание.

Многофакторная проверка подлинности Microsoft Entra выполняется на уровне аренды ресурсов, чтобы обеспечить конфиденциальность. Когда гостевой пользователь входит в систему, он увидит страницу входа клиента ресурсов, отображаемую в фоновом режиме, а также страницу входа в домашний клиент и логотип компании на переднем плане.

При работе с этим руководством вы сделаете следующее:

  • Проверьте интерфейс входа перед настройкой MFA.
  • Создайте политику условного доступа, которая требует прохождения MFA для доступа к облачному приложению в вашей среде. В этом руководстве мы будем использовать приложение Azure Resource Manager для иллюстрации процесса.
  • Используйте инструмент What If для имитации входа через MFA.
  • Проверите политику условного доступа.
  • Удалите тестового пользователя и политику.

Если у вас нет подписки Azure, создайте бесплатную учетную запись для начала работы.

Предварительные условия

Для выполнения сценария в этом руководстве вам понадобится следующее.

  • Доступ к выпуску Microsoft Entra ID P1 или P2, который включает возможности политики условного доступа. Чтобы применить MFA, создайте политику условного доступа Microsoft Entra. Политики MFA всегда применяются в вашей организации, даже если у партнера нет возможностей MFA.
  • Допустимая внешняя учетная запись электронной почты , которую можно добавить в каталог клиента в качестве гостевого пользователя и использовать для входа. Если вы не знаете, как создать гостевую учетную запись, выполните действия, описанные в разделе "Добавление гостевого пользователя B2B" в Центре администрирования Microsoft Entra.

Создание тестового гостевого пользователя в идентификаторе Microsoft Entra

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.

  2. Перейдите к Entra ID>пользователям.

  3. Выберите новый пользователь и пригласите внешнего пользователя.

    Снимок экрана, где можно выбрать новую опцию для гостевого пользователя.

  4. В разделе "Удостоверение " на вкладке "Основные сведения" введите адрес электронной почты внешнего пользователя. При необходимости можно включить отображаемое имя и приветственное сообщение.

    Снимок экрана: где ввести гостевую электронную почту.

  5. Дополнительные сведения можно добавить пользователю на вкладках "Свойства" и "Назначения".

  6. Выберите "Рецензирование и приглашение ", чтобы автоматически отправить приглашение гостевого пользователя. Появится сообщение об успешном приглашении пользователя .

  7. После отправки приглашения учетная запись пользователя добавляется в каталог в качестве гостя.

Проверка входа в систему перед настройкой MFA

  1. Войдите в Центр администрирования Microsoft Entra с помощью имени тестового пользователя и пароля.
  2. Доступ к Центру администрирования Microsoft Entra с помощью только учетных данных для входа. Никакой другой проверки подлинности не требуется.
  3. Выйдите из Центра администрирования Microsoft Entra.

Создание политики условного доступа, которая требует MFA

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.

  2. Перейдите к Entra ID>условного доступа>политики.

  3. Выберите новую политику.

  4. Присвойте политике имя, например требовать MFA для доступа на портале B2B. Создайте значимый стандарт для политик именования.

  5. В разделе "Назначения" выберите "Пользователи" или "Идентификаторы рабочей нагрузки".

    1. В разделе "Включить" выберите "Выбрать пользователей и группы", а затем выберите "Гостевой" или "Внешние пользователи". Политику можно назначить различным внешним типам пользователей, встроенным ролям каталога или пользователям и группам.

    Снимок экрана, на котором выбраны все гостевые пользователи.

  6. В разделе "Целевые ресурсы>" (прежнее название — облачные приложения)>Выберите>ресурсы, выберите Azure Resource Manager и выберите ресурс.

    Снимок экрана: страница

  7. В разделе "Элементы управления доступом>предоставление", выберите "Предоставить доступ", "Требовать многофакторную проверку подлинности", и нажмите "Выбрать".

    Снимок экрана: параметр для необходимости многофакторной проверки подлинности.

  8. В разделе Включить политикувыберите On.

  9. Нажмите кнопку "Создать".

Использование параметра What If для имитации входа

Инструмент политики условного доступа "What If" помогает понять последствия политик условного доступа в вашей среде. Вместо ручного тестирования политик с несколькими входами вы можете использовать это средство для имитации входа пользователя. Симуляция прогнозирует, как вход в систему влияет на ваши политики, и генерирует подробный отчет. Дополнительные сведения см. в разделе Использование инструмента "Что если" для понимания политик условного доступа.

Проверка политики условного доступа

  1. Используйте имя тестового пользователя и пароль для входа в Центр администрирования Microsoft Entra.

  2. Вы увидите запрос на дополнительные методы проверки подлинности. Это потребует некоторое время, пока политика вступит в силу.

    Снимок экрана: сообщение

    Примечание.

    Можно также настроить параметры доступа между клиентами, чтобы доверять MFA из домашнего узла Microsoft Entra. Это позволяет внешним пользователям Microsoft Entra использовать зарегистрированную MFA в их собственном тенанте, вместо регистрации в тенанте ресурсов.

  3. Выйти из системы.

Очистка ресурсов

Если тестовый пользователь и тестовая политика условного доступа больше не нужны, удалите их.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.

  2. Перейдите к Entra ID>пользователям.

  3. Выберите тестового пользователя и нажмите кнопку "Удалить пользователя".

  4. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.

  5. Перейдите к Entra ID>условного доступа>политики.

  6. В списке "Имя политики " выберите контекстное меню (...) для тестовой политики, а затем выберите "Удалить" и подтвердите, нажав кнопку "Да".

Дальнейшие действия

В этом руководстве вы создали политику условного доступа, которая требует, чтобы гостевые пользователи использовали MFA при входе в одно из облачных приложений. Дополнительные сведения о добавлении гостевых пользователей для совместной работы см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B" в Центре администрирования Microsoft Entra.