Microsoft 365：如何为 Guest 用户配置MFA

Blog连接：https://blog.51cto.com/13637423

随着科技的发展，数据窃取也变得很广泛，传统的ID和密码管理方式基本都是信息存储在数据库中，不管是否加密，一旦窃取数据库，就会致使数据泄密，因此只依赖于数据库的认证系统是远远不够的，若是要加强数据的安全性，提倡多重身份验证方式，即 Multi-factor authentication的缩写，即动态验证码比固定静态的登陆指令更安全，能够大大减小在线身份盗窃和欺诈的发生率。

Microsoft Azure 也提供了多重身份验证机制，能够帮助用户对数据和应用程序的访问，验证形式以下：

若是你拥有企业Microsoft 365 E3或者E5 订阅的全局管理员身份，那么你能够设置和修改MFA，Microsoft Azure的工做原理图以下：

你能够利用MFA机制，下降企业帐户被破坏的机会，但因为业务须要，企业员工可能会与企业外部用户经过Office 365 OneDrive或者SharePoint 进行协同工做，因为外部用户使用的我的电子邮件地址不符合Security Policy，为了安全起见，对Guest 用户进行配置MFA尤其重要，若是Guest用户的用户名和密码被盗，还拥有第二个身份验证机制，这将大大下降***访问数据的可能性。

那么如何来配置Guest用户的MFA呢，过程以下：

• 全局管理员在Azure中，在Users中邀请外部用户做为Guest身份存储在Azure Active Directory中。
• 全局管理员在Azure中配置Conditional access，针对Guest 用户启用MFA Policy
• End User share document /文件夹给外部用户
• 外部用户登陆，配置MFA 认证方式，访问文档

全局管理员在Azure中，邀请外部用户做为Guest，以下图所示：

全局管理员在Azure中配置Conditional access，操做过程以下：

1.登陆网站：https://www.office.com/
2.在快速启动器中，点击：Azure Active Directory，以下图所示：

3.在Azure 订阅的All Services 页面，搜索Conditional Access，以下图所示：

4.在Conditional Access页面，点击New Policy，以下图所示：

5.在新建Policy页面，命名 Guest MFA，Assignments标签下，选择 Users and Groups->Select Users and Groups->All Guest and external Users，以下所示：

6.在Cloud Apps or actions，配置Office 365 ，以下图所示：

7.在 Access Controls 标签下，选择Grant->Grant Access-> Require multi-factor authentication，选择Select，点击Enable Policy：On，而后点击“Create”，以下图所示：

设置完成以后，End User share document /文件夹给Guest用户，好比OneDrive 中共享一个文档给外部用户，以下图所示：

验证Guest用户访问分享的文档，MFA生效的具体步骤：

1.Guest 用户收到受邀请的电子邮件，点击“Get Started”，以下图所示：

2.授予相关权限，点击“Accept”以下图所示：

3.跳转到Office 365 验证界面，点击next，以下图所示：

4.选择MFA验证方式，好比send me a code by text message，以下图所示：

5.用户输入验证码进行验证，点击“Verify”，以下图所示：

6.再次点击邮件中分享文档的连接，跳转到Office 365 验证页面，提示给手机发送code，正常输入后，可访问文档。

相关连接地址：

• Create a secure guest sharing environment
• Plan an Azure Multi-Factor Authentication deployment