自定义控件是 Microsoft Entra ID 的预览功能。 使用自定义控件时,用户将被重定向到兼容的服务,以满足Microsoft Entra ID 之外的身份验证要求。 为了满足此控制要求,用户的浏览器会重定向到外部服务,执行任何所需的身份验证,然后重定向回Microsoft Entra ID。 Microsoft Entra ID 验证响应,并且如果用户已成功进行身份验证或验证,用户将继续在条件访问流中。
有关详细信息,请参阅 Microsoft Entra ID(预览版)中的管理外部身份验证方法。
创建自定义控件
谨慎
自定义控制措施不能用于:
- Microsoft Entra ID 保护的自动化需要多重身份验证
- Microsoft Entra 自助式密码重置 (SSPR)
- 满足多重身份验证声明要求
- 登录频率控制
- 特权身份管理器(PIM)
- Intune 设备注册
- 跨租户信任
- 建立设备与 Microsoft Entra ID 的联接。
自定义控件适用于一组有限的已批准的身份验证提供程序。 若要创建自定义控件,请首先联系要使用的提供商。 每个非Microsoft供应商都有其自己的注册、订阅或加入服务的流程和要求,并表明您希望与条件访问进行集成。 此时,提供商将提供采用 JSON 格式的数据块。 使用此数据可使提供商和条件访问一起服务于租户,创建新控件,并确定条件访问如何判断用户是否通过提供商成功执行了验证。
复制 JSON 数据并将其粘贴到相关文本框中。 除非完全了解所做更改,否则不要更改 JSON。 更改 JSON 可能会中断提供程序与 Microsoft 之间的连接,并可能导致你和你的用户无法访问帐户。
创建自定义控件的选项位于条件访问页的“管理”部分。
选择 “新建自定义控件” 会打开一个包含控件 JSON 数据的面板,其中有一个文本框。
删除自定义控件
若要删除自定义控件,请确保它未在任何条件访问策略中使用。 然后:
- 转到“自定义控件”列表。
- 选择 … .
- 选择“删除” 。
编辑自定义控件
若要编辑自定义控件,请删除当前控件并创建包含更新信息的新控件。
已知的限制
在进行 Intune 设备注册以实现跨租户信任的过程中,或者在将设备联接到 Microsoft Entra ID 时,不能将自定义控件与 Microsoft Entra ID Protection 自动化配合使用来提升 Privileged Identity Manager (PIM) 中的角色,其中该自动化要求 Microsoft Entra 多重身份验证、Microsoft Entra 自助式密码重置 (SSPR)、满足多重身份验证声明要求并进行了登录频率控制。