適用於: 
員工租戶 (瞭解更多資訊)
當您與外部 B2B 來賓使用者共同作業時,請使用多重要素驗證原則保護您的應用程式。 外部使用者需要的不僅僅是使用者名稱和密碼來存取您的資源。 在 Microsoft Entra ID中,您可使用需要 MFA 進行存取的條件式存取原則達成此目標。 您可以在租戶、應用程式或個別訪客用戶層級強制執行 MFA 原則,就像對您組織的成員一樣。 即使來賓用戶的組織具有多重身份驗證功能,資源租戶仍負責Microsoft Entra 為用戶提供多重身份驗證。
範例:
- A 公司的系統管理員或員工邀請某位來賓使用者使用已設定為要求使用 MFA 進行存取的雲端或內部部署應用程式。
- 來賓使用者以自己的工作、學校或社交身分識別登入。
- 系統要求使用者完成 MFA 挑戰。
- 使用者在 A 公司設定 MFA 並選擇他們的 MFA 選項。 系統允許使用者存取應用程式。
注意
Microsoft Entra 多重要素驗證是在資源租用期間完成,以確保可預測性。 當來賓使用者登入時,他們會看到背景中顯示的資源租戶登入頁面,以及前景中自己的主租戶登入頁面和公司標誌。
在此教學課程中,您將會:
- 先測試登入體驗,再設定 MFA。
- 建立要求使用 MFA 來存取您環境中雲端應用程式的條件式存取原則。 在本教學課程中,我們將使用 Azure Resource Manager 應用程式來說明程式。
- 使用 What If 工具來模擬 MFA 登入。
- 測試您的條件式存取原則。
- 清除測試使用者和原則。
如果您沒有 Azure 訂用帳戶,請建立 免費帳戶 以開始使用。
必要條件
若要完成本教學課程中的案例,您需要:
- Microsoft Entra ID P1 或 P2 版的存取權,包含條件式存取原則功能。 若要強制執行 MFA,請建立Microsoft Entra 條件式存取原則。 即使合作夥伴沒有 MFA 功能,仍會在您的組織中強制執行 MFA 原則。
- 您可以將一個有效的外部電子郵件帳戶新增至租用戶目錄,作為來賓使用者使用並用來登入。 如果您不知道如何建立來賓帳戶,請遵循 在 Microsoft Entra 系統管理中心新增 B2B 來賓使用者中的步驟。
在 Microsoft Entra ID 中建立測試來賓使用者
以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>使用者。
選取 [新增使用者 ],然後選取 [ 邀請外部使用者]。
在「基本資料」索引標籤的「身分識別」底下,輸入外部使用者的電子郵件地址。 您可以選擇性地包含顯示名稱和歡迎訊息。
您可以選擇性地在 [ 屬性 ] 和 [ 指派 ] 索引標籤下,將進一步的詳細數據新增至使用者。
選取 [檢閱 + 邀請] 即可將邀請自動傳送給來賓使用者。 將會顯示「已成功邀請使用者」訊息。
傳送邀請之後,用戶帳戶會新增至目錄做為來賓。
在設定 MFA 之前先測試登入體驗
- 使用您的測試用戶名稱和密碼登入 Microsoft Entra 系統管理中心 。
- 僅使用登入認證存取 Microsoft Entra 系統管理中心。 不需要其他驗證。
- 登出 Microsoft Entra 系統管理中心。
建立要求使用 MFA 的條件式存取原則
以至少 條件式存取管理員 的身份登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>條件式存取>策略。
選取 [新政策]。
為您的原則命名,例如 需要 MFA 才能存取 B2B 入口網站。 建立有意義的命名原則標準。
在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選擇 [選取使用者和群組],然後選取 [來賓或外部使用者]。 您可以將原則指派給不同的外部使用者類型、內建目錄角色或是使用者和群組。
在 [目標資源資源>](先前稱為雲端應用程式)>[包含>選取資源] 下,選擇 [Azure Resource Manager],然後 選取 資源。
![顯示雲端應用程式頁面和 [選取] 選項的螢幕擷取畫面。](media/tutorial-mfa/tutorial-mfa-app-access.png)
在 [存取控制]>[授予] 底下選擇 [授予存取權] 和 [需要多重要素驗證],然後選擇 [選擇]。
在 [啟用原則] 下,選取 [開啟]。
選取 建立。
![顯示雲端應用程式頁面和 [選取] 選項的螢幕擷取畫面。](media/tutorial-mfa/tutorial-mfa-app-access.png#lightbox)
使用 What If 選項來模擬登入
條件式存取 What If 原則工具可協助您了解環境中條件式存取原則的效果。 您可以使用此工具來模擬使用者的登入,而不是手動使用多個登入來測試您的政策。 模擬會預測此登入將如何影響您的原則,併產生報告。 如需詳細資訊,請參閱 使用 What If 工具來了解條件式存取原則。
測試條件式存取原則
使用您的測試使用者名稱和密碼來登入 Microsoft Entra 系統管理中心。
您應該會看到需要更多驗證方法的要求。 原則可能需要一些時間才會生效。
![[需要更多資訊] 訊息的螢幕快照。](media/tutorial-mfa/mfa-required.png)
注意
您也可以設定 跨租使用者存取設定 ,以信任來自 Microsoft Entra 主租使用者的 MFA。 這可讓外部 Microsoft Entra 使用者使用他們在自己的租用戶中註冊的 MFA,而不是在資源租用戶中註冊。
登出。
清除資源
當您不再需要測試使用者和測試條件式存取原則時,請將其移除。
以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>使用者。
選取測試使用者,然後選取 [刪除使用者]。
以至少 條件式存取管理員 的身份登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>條件式存取>策略。
在 [ 原則名稱] 清單中,選取測試原則的作功能表 (...),然後選取 [ 刪除],然後選取 [ 是]。
後續步驟
在此教學課程中,您已建立要求來賓使用者登入其中一個雲端應用程式時使用 MFA 的條件式存取原則。 若要深入瞭解如何新增來賓用戶以進行共同作業,請移至 在 Microsoft Entra 系統管理中心新增 Microsoft Entra B2B 共同作業使用者。