條件式存取驗證強度對外部使用者的運作方式
驗證方法原則特別適用於限制組織中敏感性應用程式的外部存取,因為您可以針對外部使用者強制執行特定的驗證方法,例如防網路釣魚方法。
當您將驗證強度條件式存取原則套用至外部 Microsoft Entra 使用者時,此原則會與跨租用戶存取設定中的 MFA 信任設定搭配運作,以判斷外部使用者必須執行 MFA 的位置和方式。 Microsoft Entra 使用者會在 Microsoft Entra 主租用戶中驗證。 然後,當他們存取您的資源時,Microsoft Entra ID 會套用原則並檢查您是否已啟用 MFA 信任。 請注意,針對 B2B 共同作業啟用 MFA 信任是選擇性的,但是 B2B 直接連線是必要的。
在外部使用者案例中,可滿足驗證強度的驗證方法有所不同,取決於使用者是在其主租用戶或是資源租用戶中完成 MFA。 下表指出每個租用戶中允許的方法。 如果資源租用戶已選擇信任來自外部 Microsoft Entra 組織的宣告,則資源租用戶僅接受以下 [主租用戶] 資料行中列出的宣告進行 MFA。 如果資源租用戶已停用 MFA 信任,外部使用者必須使用 [資源租用戶] 資料行中列出的其中一種方法,在資源租用戶中完成 MFA。
| 驗證方法 | 主租用戶 | 資源租用戶 |
|---|---|---|
| 以文字簡訊作為第二個要素 | ✅ | ✅ |
| 語音通話 | ✅ | ✅ |
| Microsoft Authenticator 推播通知 | ✅ | ✅ |
| Microsoft Authenticator 手機登入 | ✅ | |
| OATH 軟體權杖 | ✅ | ✅ |
| OATH 硬體權杖 | ✅ | |
| FIDO2 安全性金鑰 | ✅ | |
| Windows Hello 企業版 | ✅ | |
| 憑證式驗證 | ✅ |
如需如何為外部使用者設定驗證強度的詳細資訊,請參閱條件式存取:需要外部使用者的驗證強度。
外部使用者的使用者體驗
驗證強度條件式存取原則可與跨租用戶存取設定中的 MFA 信任設定搭配運作。 Microsoft Entra 使用者會先在其主租用戶中使用自己的帳戶驗證。 然後,當使用者嘗試存取您的資源時,Microsoft Entra ID 會套用驗證強度條件式存取原則,並檢查您是否已啟用 MFA 信任。
- 如果 MFA 信任已啟用,Microsoft Entra ID 會檢查使用者的驗證工作階段是否有宣告,指出已在使用者的主租用戶中完成 MFA。 如需在外部使用者的主租用戶中完成時,MFA 可接受的驗證方法,請參閱上表。 如果工作階段包含宣告,指出使用者的主租用戶已符合 MFA 原則,且方法滿足驗證強度需求,則允許使用者存取。 否則,Microsoft Entra ID 會向使用者提出使用可接受的驗證方法完成主租用戶 MFA 的挑戰。
- 如果 MFA 信任已停用,Microsoft Entra ID 就會向使用者顯示挑戰,以使用可接受的驗證方法在資源租用戶中完成 MFA。 如需外部使用者可接受的 MFA 驗證方法,請參閱上表。