Dodawanie uwierzytelniania wieloskładnikowego (MFA) do aplikacji

Dotyczy: Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)

Uwierzytelnianie wieloskładnikowe (MFA) dodaje do aplikacji warstwę zabezpieczeń, wymagając od użytkowników podania drugiej metody weryfikowania tożsamości podczas rejestracji lub logowania. Dzierżawy zewnętrzne obsługują dwie metody uwierzytelniania jako drugi czynnik:

• Jednorazowy kod dostępu e-mail: po zalogowaniu się użytkownika przy użyciu poczty e-mail i hasła zostanie wyświetlony monit o kod dostępu, który jest wysyłany do poczty e-mail. Aby zezwolić na używanie jednorazowych kodów dostępu poczty e-mail dla uwierzytelniania wieloskładnikowego, ustaw metodę uwierzytelniania konta lokalnego na Adres e-mail z hasłem. Jeśli wybierzesz opcję Poczta e-mail z jednorazowym kodem dostępu, klienci, którzy używają tej metody do logowania podstawowego, nie będą mogli używać go do weryfikacji pomocniczej uwierzytelniania wieloskładnikowego.
• Uwierzytelnianie oparte na wiadomościACH SMS: chociaż program SMS nie jest opcją uwierzytelniania pierwszego czynnika, jest dostępny jako drugi czynnik dla uwierzytelniania wieloskładnikowego. Użytkownicy, którzy logują się przy użyciu poczty e-mail i hasła, wiadomości e-mail i jednorazowego kodu dostępu lub tożsamości społecznościowych, takich jak Google lub Facebook, są monitowani o drugą weryfikację przy użyciu wiadomości SMS. Nasze uwierzytelnianie wieloskładnikowe SMS obejmuje automatyczne kontrole oszustw. Jeśli podejrzewamy oszustwa, poprosimy użytkownika o ukończenie capTCHA, aby potwierdzić, że nie jest robotem przed wysłaniem kodu SMS na potrzeby weryfikacji.

W tym artykule opisano sposób wymuszania uwierzytelniania wieloskładnikowego dla klientów przez utworzenie zasad dostępu warunkowego firmy Microsoft Entra i dodanie uwierzytelniania wieloskładnikowego do przepływu rejestracji i logowania użytkownika.

Wymagania wstępne

• Dzierżawa zewnętrzna firmy Microsoft Entra.
• Przepływ użytkownika rejestracji i logowania.
• Aplikacja zarejestrowana w dzierżawie zewnętrznej i dodana do przepływu rejestracji i logowania użytkownika.
• Konto z co najmniej rolą Administratora zabezpieczeń do konfigurowania zasad dostępu warunkowego i uwierzytelniania wieloskładnikowego.

Tworzenie zasady dostępu warunkowego

Utwórz zasady dostępu warunkowego w dzierżawie zewnętrznej, które monitują użytkowników o uwierzytelnianie wieloskładnikowe podczas tworzenia konta lub logowania się do aplikacji. (Aby uzyskać więcej informacji, zobacz Typowe zasady dostępu warunkowego: wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników).

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.

3. Przejdź do pozycji Ochrona>zasad dostępu>warunkowego, a następnie wybierz pozycję Nowe zasady.

   

4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.

5. W obszarze Przypisania wybierz link w obszarze Użytkownicy.

   a. Na karcie Dołączanie wybierz pozycję Wszyscy użytkownicy.

   b. Na karcie Wykluczanie wybierz pozycję Użytkownicy i grupy, a następnie wybierz konta awaryjne lub konta awaryjne organizacji. Następnie naciśnij przycisk Wybierz.

   

6. Wybierz link w obszarze Zasoby docelowe.

   a. Na karcie Dołączanie wybierz jedną z następujących opcji:

   • Wybierz pozycję Wszystkie aplikacje w chmurze.

   • Wybierz pozycję Wybierz aplikacje i wybierz link w obszarze Wybierz. Znajdź aplikację, wybierz ją, a następnie wybierz pozycję Wybierz.

   b. Na karcie Wykluczanie wybierz wszystkie aplikacje, które nie wymagają uwierzytelniania wieloskładnikowego.

   

7. W obszarze Kontrole dostępu wybierz link w obszarze Udziel. Wybierz pozycję Udziel dostępu, wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.

   

8. Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.

9. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Włączanie jednorazowego kodu dostępu poczty e-mail jako metody uwierzytelniania wieloskładnikowego

Włącz metodę uwierzytelniania jednorazowego kodu dostępu poczty e-mail w dzierżawie zewnętrznej dla wszystkich użytkowników.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź do sekcji Metody uwierzytelniania ochrony>.

3. Na liście Metoda wybierz pozycję E-mail OTP.

   

4. W obszarze Włącz i cel włącz przełącznik Włącz .

5. W obszarze Dołącz obok pozycji Cel wybierz pozycję Wszyscy użytkownicy.

   

6. Wybierz pozycję Zapisz.

Włączanie programu SMS jako metody uwierzytelniania wieloskładnikowego

Włącz metodę uwierzytelniania sms w dzierżawie zewnętrznej dla wszystkich użytkowników.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź do sekcji Metody uwierzytelniania ochrony>.

3. Na liście Metoda wybierz pozycję SMS.

   

4. W obszarze Włącz i cel włącz przełącznik Włącz .

5. W obszarze Dołącz obok pozycji Cel wybierz pozycję Wszyscy użytkownicy.

6. Wyłącz pole wyboru Użyj do logowania. Program SMS nie jest obsługiwany w dzierżawach zewnętrznych na potrzeby uwierzytelniania pierwszego składnika.

   

7. Wybierz pozycję Zapisz.

Testowanie logowania

W prywatnej przeglądarce otwórz aplikację i wybierz pozycję Zaloguj się. Powinien zostać wyświetlony monit o inną metodę uwierzytelniania.