Microsoft 365：如何爲 Guest 用戶配置MFA

Blog連接：https://blog.51cto.com/13637423

隨着科技的發展，數據竊取也變得很廣泛，傳統的ID和密碼管理方式基本都是信息存儲在數據庫中，不管是否加密，一旦竊取數據庫，就會致使數據泄密，因此只依賴於數據庫的認證系統是遠遠不夠的，若是要加強數據的安全性，提倡多重身份驗證方式，即 Multi-factor authentication的縮寫，即動態驗證碼比固定靜態的登陸指令更安全，能夠大大減小在線身份盜竊和欺詐的發生率。

Microsoft Azure 也提供了多重身份驗證機制，能夠幫助用戶對數據和應用程序的訪問，驗證形式以下：

若是你擁有企業Microsoft 365 E3或者E5 訂閱的全局管理員身份，那麼你能夠設置和修改MFA，Microsoft Azure的工做原理圖以下：

你能夠利用MFA機制，下降企業帳戶被破壞的機會，但因爲業務須要，企業員工可能會與企業外部用戶經過Office 365 OneDrive或者SharePoint 進行協同工做，因爲外部用戶使用的我的電子郵件地址不符合Security Policy，爲了安全起見，對Guest 用戶進行配置MFA尤其重要，若是Guest用戶的用戶名和密碼被盜，還擁有第二個身份驗證機制，這將大大下降***訪問數據的可能性。

那麼如何來配置Guest用戶的MFA呢，過程以下：

• 全局管理員在Azure中，在Users中邀請外部用戶做爲Guest身份存儲在Azure Active Directory中。
• 全局管理員在Azure中配置Conditional access，針對Guest 用戶啓用MFA Policy
• End User share document /文件夾給外部用戶
• 外部用戶登陸，配置MFA 認證方式，訪問文檔

全局管理員在Azure中，邀請外部用戶做爲Guest，以下圖所示：

全局管理員在Azure中配置Conditional access，操做過程以下：

1.登陸網站：https://www.office.com/
2.在快速啓動器中，點擊：Azure Active Directory，以下圖所示：

3.在Azure 訂閱的All Services 頁面，搜索Conditional Access，以下圖所示：

4.在Conditional Access頁面，點擊New Policy，以下圖所示：

5.在新建Policy頁面，命名 Guest MFA，Assignments標籤下，選擇 Users and Groups->Select Users and Groups->All Guest and external Users，以下所示：

6.在Cloud Apps or actions，配置Office 365 ，以下圖所示：

7.在 Access Controls 標籤下，選擇Grant->Grant Access-> Require multi-factor authentication，選擇Select，點擊Enable Policy：On，而後點擊「Create」，以下圖所示：

設置完成以後，End User share document /文件夾給Guest用戶，好比OneDrive 中共享一個文檔給外部用戶，以下圖所示：

驗證Guest用戶訪問分享的文檔，MFA生效的具體步驟：

1.Guest 用戶收到受邀請的電子郵件，點擊「Get Started」，以下圖所示：

2.授予相關權限，點擊「Accept」以下圖所示：

3.跳轉到Office 365 驗證界面，點擊next，以下圖所示：

4.選擇MFA驗證方式，好比send me a code by text message，以下圖所示：

5.用戶輸入驗證碼進行驗證，點擊「Verify」，以下圖所示：

6.再次點擊郵件中分享文檔的連接，跳轉到Office 365 驗證頁面，提示給手機發送code，正常輸入後，可訪問文檔。

相關連接地址：

• Create a secure guest sharing environment
• Plan an Azure Multi-Factor Authentication deployment