Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Преимущества проверки подлинности особенно полезны для ограничения внешнего доступа к конфиденциальным приложениям в вашей организации. Они могут применять определенные методы проверки подлинности, такие как методы, устойчивые к фишингу, для внешних пользователей.
При применении политики силы аутентификации условного доступа к внешним пользователям Microsoft Entra эта политика взаимодействует с параметрами доверия многофакторной аутентификации (MFA) в кросс-арендных параметрах доступа, чтобы определить, где и как внешний пользователь должен выполнять MFA. Пользователь Microsoft Entra проходит проверку подлинности в своем домашнем клиенте Microsoft Entra. Когда пользователь обращается к вашему ресурсу, Microsoft Entra ID применяет политику и проверяет, включено ли доверие в MFA.
Замечание
Включение доверия MFA является необязательным для совместной работы между бизнесом (B2B), но требуется для прямого подключения B2B.
В сценариях взаимодействия с внешними пользователями методы аутентификации, способные выполнить требования к уровням надежности проверки, зависят от того, выполняет ли пользователь многофакторную аутентификацию в домашнем клиенте или клиенте ресурсов. В следующей таблице указаны допустимые методы в каждом подразделении. Если клиент ресурсов решит доверять утверждениям из внешних организаций Microsoft Entra, клиент ресурсов для MFA принимает только утверждения, перечисленные в столбце "Домашний клиент" таблицы. Если клиент ресурсов отключает доверие MFA, внешний пользователь должен завершить MFA в клиенте ресурса с помощью одного из методов, перечисленных в столбце "Клиент ресурса".
| Метод аутентификации | Домашний клиент | Арендатор ресурсов |
|---|---|---|
| Текстовое сообщение в качестве второго фактора | ✅ | ✅ |
| Голосовой звонок | ✅ | ✅ |
| Приложение Microsoft Authenticator — push-уведомление | ✅ | ✅ |
| Вход с помощью Microsoft Authenticator на телефоне | ✅ | |
| Программный маркер OATH | ✅ | ✅ |
| Токен оборудования OATH | ✅ | |
| Ключ безопасности FIDO2 | ✅ | |
| Windows Hello для бизнеса | ✅ | |
| Проверка подлинности на основе сертификатов | ✅ |
Дополнительные сведения о настройке сильных сторон проверки подлинности для внешних пользователей см. в разделе "Требовать многофакторные преимущества проверки подлинности для внешних пользователей".
Взаимодействие с пользователем для внешних пользователей
Политика уровня надежности аутентификации для условного доступа работает вместе с параметрами доверия MFA в настройках доступа между клиентами. Во-первых, пользователь Microsoft Entra проходит проверку подлинности с помощью собственной учетной записи в домашнем клиенте. Когда пользователь пытается получить доступ к вашему ресурсу, Microsoft Entra ID применяет политику надежности аутентификации условного доступа и проверяет, включено ли доверие MFA.
Если включено доверие MFA: Microsoft Entra ID проверяет сессию аутентификации пользователя на наличие утверждения, указывающего, что многофакторная аутентификация (MFA) была выполнена в домашнем клиенте (тенанте) пользователя. См. предыдущую таблицу для методов проверки подлинности, приемлемых для MFA, когда они выполняются в домашнем клиенте внешнего пользователя.
Если сеанс содержит утверждение, указывающее, что политики MFA уже выполнены в домашнем клиенте пользователя, а методы удовлетворяют требованиям к силе проверки подлинности, пользователь может получить доступ. В противном случае идентификатор Microsoft Entra представляет пользователю задачу завершить MFA в домашнем клиенте с помощью приемлемого метода проверки подлинности.
Если доверие MFA отключено: идентификатор Microsoft Entra представляет пользователю задачу завершить MFA в клиенте ресурса с помощью приемлемого метода проверки подлинности. См. предыдущую таблицу для методов проверки подлинности, приемлемых для MFA внешним пользователем.