身份验证强度对于限制对组织中的敏感应用的外部访问特别有用。 他们可以为外部用户强制实施特定的身份验证方法,例如抵御网络钓鱼的方法。
向外部Microsoft Entra 用户应用条件访问强度策略时,该策略与跨租户访问设置中的多重身份验证(MFA)信任设置协同工作,以确定外部用户必须执行 MFA 的位置和方式。 Microsoft Entra 用户在其主 Microsoft Entra 租户中进行身份验证。 当用户访问资源时,Microsoft Entra ID 应用策略,并检查是否启用了 MFA 信任。
注释
对于企业到企业(B2B)协作,启用 MFA 信任是可选的,但对于 B2B 直接连接,则是必须的。
在外部用户方案中,满足身份验证强度的身份验证方法会有所不同,具体取决于用户是在主租户中完成 MFA 还是资源租户。 下表指示每个租户中允许的方法。 如果资源租户选择信任来自外部Microsoft Entra 组织的声明,则 MFA 的资源租户仅接受表的“主租户”列中列出的声明。 如果资源租户禁用 MFA 信任,则外部用户必须使用“资源租户”列中列出的方法之一在资源租户中完成 MFA。
| 身份验证方法 | 主租户 | 资源租户 |
|---|---|---|
| 将短信作为第二个因素 | ✅ | ✅ |
| 语音呼叫 | ✅ | ✅ |
| Microsoft Authenticator 推送通知 | ✅ | ✅ |
| Microsoft Authenticator 手机登录 | ✅ | |
| OATH 软件令牌 | ✅ | ✅ |
| OATH 硬件令牌 | ✅ | |
| FIDO2 安全密钥 | ✅ | |
| Windows Hello 企业版 | ✅ | |
| 基于证书的身份验证 | ✅ |
有关如何为外部用户设置身份验证强度的详细信息,请参阅 要求外部用户的多重身份验证强度。
外部用户的用户体验
条件访问身份验证强度策略与跨租户访问设置中的 MFA 信任设置 协同工作。 首先,Microsoft Entra 用户在主租户中使用自己的帐户进行身份验证。 当用户尝试访问资源时,Microsoft Entra ID 应用条件访问身份验证强度策略,并检查是否启用了 MFA 信任:
如果启用了 MFA 信任:Microsoft Entra ID 会检查用户的身份验证会话中是否存在指示用户主租户中已完成 MFA 的声明。 请参阅上表,了解在外部用户的主租户中完成 MFA 时可接受的身份验证方法。
如果会话包含表明用户的主租户中已满足 MFA 策略的声明,并且方法满足身份验证强度要求,则允许用户访问。 否则,Microsoft Entra ID 会向用户发起使用可接受的身份验证方法在所属租户中完成多因素认证的挑战。
如果禁用 MFA 信任:Microsoft Entra ID 会向用户发起挑战,要求他们在目标租户中使用可接受的身份验证方法来完成 MFA。 有关外部用户可接受的 MFA 的身份验证方法,请参阅上表。