Требовать многофакторную проверку подлинности для внешних пользователей

Уровень проверки подлинности — это элемент управления условным доступом, который позволяет определить определенное сочетание методов многофакторной проверки подлинности (MFA), которые внешний пользователь должен завершить для доступа к ресурсам. Этот элемент управления особенно полезен для ограничения внешнего доступа к конфиденциальным приложениям в вашей организации. Например, можно создать политику условного доступа, требовать в политике силу фишинговой проверки подлинности и назначить ее гостям и внешним пользователям.

Идентификатор Microsoft Entra предоставляет три встроенных преимущества проверки подлинности:

  • Уровень многофакторной проверки подлинности (менее строгий) рекомендуется в этой статье
  • Сила MFA без пароля
  • Устойчивость к фишингу MFA (самая строгая)

Вы можете использовать одну из встроенных сильных сторон или создать настраиваемую силу проверки подлинности на основе необходимых методов проверки подлинности.

В сценариях внешнего пользователя методы проверки подлинности MFA, которые клиент ресурсов может принимать, зависят от того, выполняет ли пользователь MFA в своем домашнем клиенте или в клиенте ресурса. Дополнительные сведения см. в разделе "Надежность проверки подлинности для внешних пользователей".

Примечание.

В настоящее время можно применять только политики надежности проверки подлинности для внешних пользователей, прошедших проверку подлинности с помощью идентификатора Microsoft Entra. Для однократного секретного кода, SAML/WS-Fed и пользователей федерации Google используйте элемент управления предоставлением MFA, чтобы требовать многофакторную проверку подлинности.

Настройка параметров доступа между клиентами для доверия MFA

Политики надежности проверки подлинности работают вместе с параметрами доверия MFA в параметрах доступа между клиентами, чтобы определить, где и как внешний пользователь должен выполнять MFA. Пользователь Microsoft Entra сначала проходит проверку подлинности с помощью собственной учетной записи в своем домашнем клиенте. Затем, когда этот пользователь пытается получить доступ к ресурсу, идентификатор Microsoft Entra применяет политику условного доступа проверки подлинности и проверяет, включена ли доверие MFA.

  • Если включено доверие MFA, идентификатор Microsoft Entra проверяет сеанс проверки подлинности пользователя для утверждения, указывающего, что MFA выполнена в домашнем клиенте пользователя.
  • Если доверие MFA отключено, клиент ресурсов представляет пользователю задачу завершить MFA в клиенте ресурса с помощью приемлемого метода проверки подлинности.

Методы проверки подлинности, которые внешние пользователи могут использовать для удовлетворения требований MFA, отличаются в зависимости от того, завершает ли пользователь MFA в домашнем клиенте или клиенте ресурсов. См. таблицу в проверке подлинности условного доступа.

Внимание

Перед созданием политики условного доступа проверьте параметры доступа между клиентами, чтобы убедиться, что параметры доверия MFA для входящего трафика настроены в соответствии с указанными параметрами.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.

Создание политики условного доступа

Чтобы создать политику условного доступа, которая применяет силу проверки подлинности к внешним пользователям, выполните следующие действия.

Предупреждение

Если вы используете внешние методы проверки подлинности, они в настоящее время несовместимы с силой проверки подлинности и следует использовать элемент управления "Требовать многофакторную проверку подлинности".

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к политикам условного доступа>защиты>.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе "Включить" выберите " Выбрать пользователей и группы", а затем выберите "Гостевой" или "Внешние пользователи".
      1. Выберите типы гостевых или внешних пользователей, к которым вы хотите применить политику.
    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
  6. В разделе "Целевые ресурсы">(ранее облачные приложения) в разделе "Включить" или "Исключить" выберите все приложения, которые необходимо включить или исключить из требований к надежности проверки подлинности.
  7. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
    1. Выберите "Требовать силу проверки подлинности", а затем выберите соответствующую встроенную или настраиваемую силу проверки подлинности из списка.
    2. Выберите Выбрать.
  8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров с помощью режима только для отчетов администратор может переместить переключатель политики "Включить" из режима "Только для отчетов".