适用于: 
外部租户(了解详细信息)
多重身份验证 (MFA) 要求用户在注册或登录期间提供第二种方法来验证其身份,从而为应用程序添加一层安全性。 外部租户支持作为第二个因素进行身份验证的两种方法:
- 电子邮件一次性密码
- 基于短信的身份验证,可用作加载项,请参阅详细信息。
强制 MFA 通过添加额外的验证层来提高组织的安全性,使未经授权的用户获得访问权限变得更加困难。
创建 MFA 策略
在外部租户中,使用 Microsoft Entra 条件访问创建策略,用于在用户注册或登录应用时提示用户进行 MFA。 在“Microsoft Entra 管理中心”中的“保护”部分的条件访问下创建此策略。 可以指定应用策略的用户和组,包括所有用户,以及排除任何紧急访问或不受限帐户。
在策略中,定义需要 MFA 的应用程序。 可以将策略应用到所有云应用或选择特定应用,同时排除不需要 MFA 的任何应用程序。 然后,将策略配置为仅在用户完成 MFA 要求时授予访问权限。
有关详细信息,请参阅如何在外部租户中创建条件访问策略。
使用条件访问身份验证上下文逐步执行 MFA
使用身份验证上下文的多重身份验证(MFA)仅当用户访问敏感数据或执行关键作时,才能应用更强大的安全性。 无需对整个应用强制实施 MFA。 借助Microsoft Entra 条件访问身份验证上下文,开发人员可以在应用中添加后续身份验证,例如 MFA。 在高价值交易或查看个人信息等场景中,请使用此选项。 此方法支持零信任原则。 它可确保最低特权访问并减少用户摩擦。 用户获得安全无缝的体验。
启用 MFA 方法
在用户流中选择标识提供者选项时,请定义用于注册和登录的第一因素身份验证方法。 MFA 的第二因素验证方法在 entra ID>身份验证方法下的 Microsoft Entra 管理中心中配置。
根据选择哪个选项作为第一个因素,不同的第二因素验证方法可用于多重身份验证 (MFA)。
- 包含密码和外部标识提供者的电子邮件:对于这些第一因素方法中的任何一种,可以启用电子邮件一次性密码、短信或两者同时作为 MFA 的第二因素验证方法。
- 电子邮件一次性密码:如果选择具有一次性密码的电子邮件作为第一因素身份验证方法,就不能用于第二因素验证。 因此,只能为 MFA 启用基于短信的验证。
有关详细信息,请参阅如何在外部租户中启用 MFA 方法。
电子邮件一次性密码
外部租户中提供电子邮件一次性密码身份验证同时作为第一因素和第二因素验证方法。 若要允许对 MFA 使用电子邮件一次性密码,必须将本地帐户身份验证方法设置为 具有密码的电子邮件。 如果选择“使用一次性密码的电子邮件”,则使用此方法进行主要登录的客户无法将其用于 MFA 辅助验证。
为 MFA 启用电子邮件一次性密码时,用户使用其主要登录方法登录,并收到将向其电子邮件地址发送代码的通知。 用户选择发送代码,从其电子邮件收件箱中检索密码,并在登录窗口中输入密码。 用户必须在 10 分钟内完成此验证过程。
基于短信的身份验证
外部租户可使用短信进行第二因素验证,但需额外付费。 目前,短信不适用于外部租户中的第一因素身份验证或自助密码重置。
为 MFA 启用短信后,用户使用其主要方法登录,并提示用户使用通过文本发送的代码验证其身份。 他们输入其电话号码,会收到一条包含验证码的短信。
通过强制执行以下措施,外部 ID 通过短信缓解欺诈性注册:
- 电话限制有助于防止中断和速度变慢。 请参阅“服务限制和局限性”。
- 用于短信 MFA 的 CAPTCHA 通过区分人类用户与自动机器人来帮助防止自动攻击。 如果检测到风险用户,我们会在发送短信验证码之前阻止用户登录或要求用户完成 CAPTCHA。
按国家/地区划分的短信定价层
下表提供有关不同国家或地区基于短信的身份验证服务的不同定价层的详细信息。 有关定价详细信息,请参阅 Microsoft Entra 外部 ID 定价。
短信是一项附加功能,需要链接的订阅。 如果订阅过期或被取消,最终用户将无法再使用短信进行身份验证,这可能会根据你的 MFA 策略阻止他们登录。
| 层 | 国家/地区 |
|---|---|
| 手机身份验证低成本 | 澳大利亚、巴西、文莱、加拿大、智利、中国、哥伦比亚、塞浦路斯、北马其顿、波兰、葡萄牙、韩国、泰国、图尔基耶、美国 |
| 手机身份验证中低成本 | 格陵兰、阿尔巴尼亚、美属萨摩亚、奥地利、巴哈马、 巴林、波斯尼亚 & 黑塞哥维那、博茨瓦纳、哥斯达黎加、捷克共和国、丹麦、爱沙尼亚、法罗群岛、芬兰、法国、希腊、香港特别行政区、匈牙利、冰岛、爱尔兰、意大利、日本、拉脱维亚、立陶宛、卢森堡、澳门特区、马耳他、墨西哥、密克罗尼西亚、摩尔多瓦、纳米比亚、新西兰、尼加拉瓜、挪威、罗马尼亚、圣托梅和普林西比、塞浦路斯、斯洛伐克、所罗门群岛、西班牙、 瑞典、瑞士、台湾、英国、美国维尔京群岛、乌拉圭 |
| 手机身份验证中高成本 | 安道尔、安哥拉、安圭拉、南极洲、安提瓜和巴布达、阿根廷、亚美尼亚、阿鲁巴、巴巴多斯、比利时、贝宁、玻利维亚、博内尔、库拉索、萨巴、圣尤斯特歇斯和圣马丁、英属维尔京群岛、保加利亚、布基纳法索、喀麦隆、开曼群岛、中非共和国、库克群岛、科特迪瓦、克罗地亚、迪戈加西亚、吉布提、多米尼加共和国、厄瓜多尔、萨尔瓦多、厄立特里亚、福克兰群岛、斐济、法属圭亚那、法国波利尼西亚、冈比亚、格鲁吉亚、德国、直布罗陀、格林纳达、瓜德罗普、关岛、几内亚、圭亚那、洪都拉斯、印度、肯尼亚、基里巴斯、老挝、利比里亚、马来西亚、马绍尔群岛、马提尼克岛、毛里求斯、摩纳哥、黑山、蒙特塞拉特、荷兰、新喀里多尼亚、纽埃、阿曼、帕劳、巴拿马、巴拉圭、秘鲁、波多黎各、留尼汪、卢旺达、圣赫勒拿、阿森松与特里斯坦达库尼亚、圣基茨和尼维斯、圣卢西亚、圣皮埃尔和密克隆群岛,圣文森特和格林纳丁斯、塞班岛、萨摩亚、圣马力诺、沙特阿拉伯、圣马丁、斯洛文尼亚、南非、南苏丹、斯威士兰(新名字为斯威士兰王国)、东帝汶、托克劳、汤加、特克斯和凯科斯群岛、图瓦卢、阿拉伯联合酋长国、瓦努阿图、委内瑞拉、越南、瓦利斯和富图纳 |
| 手机身份验证高成本 | 列支敦士登、百慕大、卡波维德、柬埔寨、刚果民主共和国、 多米尼克、埃及、赤道几内亚、加纳、危地马拉、巴布亚新几内亚、以色列、牙买加、牙买加、科索沃、毛里塔尼亚、马尔代夫、马里、毛里塔尼亚、摩洛哥、莫桑比克、巴布亚新几内亚、菲律宾、卡塔尔、塞拉利昂、特立尼达 & 多巴哥、乌克兰、津巴布韦、阿富汗、阿尔及利亚、阿塞拜疆、孟加拉国、白俄罗斯、博茨瓦纳、布隆迪、乍得、科摩罗、刚果、埃塞俄比亚、加蓬共和国、海地、印度尼西亚、伊拉克、约旦、 科威特、吉尔吉斯斯坦、黎巴嫩、利比亚、马达加斯加、马拉维、蒙古、缅甸、瑙鲁、尼泊尔、尼日尔、尼日利亚、巴基斯坦、巴勒斯坦民族权力机构、俄罗斯、塞内加尔、塞尔维亚、索马里、斯里兰卡、苏丹、塔吉克斯坦、坦桑尼亚、多哥共和国、突尼斯、土库曼斯坦、乌干达、乌兹别克斯坦、也门、赞比亚 |
选择加入 SMS 的区域
从 2025 年 1 月开始,默认情况下将停用某些国家/地区代码的 SMS 验证。 如果要允许来自已停用区域的流量,你需要使用 Microsoft Graph onPhoneMethodLoadStartevent 策略为应用程序激活它们。 请参阅需要选择加入 SMS 验证的区域。