Требовать многофакторную проверку подлинности для внешних пользователей

Обзор

Уровень проверки подлинности — это элемент управления условным доступом, который позволяет определить определенное сочетание методов многофакторной проверки подлинности (MFA), которые внешний пользователь должен завершить для доступа к ресурсам. Этот элемент управления особенно полезен для ограничения внешнего доступа к конфиденциальным приложениям в вашей организации. Например, можно создать политику условного доступа, потребовать в ней уровень силы аутентификации, устойчивый к фишингу, и назначить её гостям и внешним пользователям.

Microsoft Entra ID предоставляет три встроенные преимущества проверки подлинности:

• Уровень многофакторной проверки подлинности (менее строгий) рекомендуется в этой статье
• Сила аутентификации без паролей (MFA)
• Сила защиты от фишинга многофакторной аутентификации (самая строгая)

Вы можете использовать одну из встроенных сильных сторон или создать настраиваемую силу проверки подлинности на основе необходимых методов проверки подлинности.

В сценариях внешнего пользователя методы проверки подлинности MFA, которые клиент ресурсов может принимать, зависят от того, выполняет ли пользователь MFA в своем домашнем клиенте или в клиенте ресурса. Дополнительные сведения см. в разделе "Надежность проверки подлинности для внешних пользователей".

Настройте параметры доступа между тенантами, чтобы доверять MFA

Политики надежности проверки подлинности работают вместе с параметрами доверия MFA в параметрах доступа между клиентами, чтобы определить, где и как внешний пользователь должен выполнять MFA. Пользователь Microsoft Entra сначала проходит проверку подлинности с помощью собственной учетной записи в своем домашнем клиенте. Затем, когда этот пользователь пытается получить доступ к вашему ресурсу, Microsoft Entra ID применяет политику условного доступа с проверкой силы аутентификации и проверяет, включено ли доверие к MFA.

• Если доверие MFA включено, Microsoft Entra ID проверяет сеанс проверки подлинности пользователя на наличие утверждения о выполнении MFA в домашнем арендаторе пользователя.
• Если доверие MFA отключено, клиент ресурсов представляет пользователю задачу завершить MFA в клиенте ресурса с помощью приемлемого метода проверки подлинности.

Методы проверки подлинности, которые внешние пользователи могут использовать для удовлетворения требований MFA, отличаются в зависимости от того, завершает ли пользователь MFA в домашнем клиенте или клиенте ресурсов. См. таблицу в надежности проверки подлинности условного доступа.

Пользовательские исключения

Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи экстренного доступа для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
  • Дополнительные сведения можно найти в статье Управление учетными записями аварийного доступа в Microsoft Entra ID.
• учетные записи сервисов и сервисных принципалов, например: учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, предназначенные для служебных принципов.
  • Если ваша организация использует эти учетные записи в скриптах или коде, замените их управляемыми удостоверениями.

Создание политики условного доступа

Чтобы создать политику условного доступа, которая применяет силу проверки подлинности к внешним пользователям, выполните следующие действия.

1. Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
2. Перейдите к Entra ID>условному доступу>политикам.
3. Выберите Новая политика.
4. Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе "Включить" выберите " Выбрать пользователей и группы", а затем выберите "Гостевой" или "Внешние пользователи".
      1. Выберите типы гостевых или внешних пользователей, к которым вы хотите применить политику.
   2. В разделе Исключить выберите Пользователи и группы и выберите учетные записи для аварийного доступа или обхода стандартных систем контроля в вашей организации.
6. В разделе "Целевые ресурсы">(ранее облачные приложения) в разделе "Включить" или "Исключить" выберите все приложения, которые необходимо включить или исключить из требований к надежности проверки подлинности.
7. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите "Требовать силу проверки подлинности", а затем выберите соответствующую встроенную или настраиваемую силу проверки подлинности из списка.
   2. Нажмите Выберите.
8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
9. Щелкните Создать, чтобы включить эту политику.

После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".

Связанный контент

• Шаблоны условного доступа
• Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.
• Настройка параметров доступа между клиентами