Microsoft 365：如何为 Guest 用户配置MFA

Blog链接：https://blog.51cto.com/13637423

随着科技的发展，数据窃取也变得很普遍，传统的ID和密码管理方式基本都是信息存储在数据库中，无论是否加密，一旦窃取数据库，就会导致数据泄密，所以只依赖于数据库的认证系统是远远不够的，如果要增强数据的安全性，提倡多重身份验证方式，即 Multi-factor authentication的缩写，即动态验证码比固定静态的登录指令更安全，可以大大减少在线身份盗窃和欺诈的发生率。

Microsoft Azure 也提供了多重身份验证机制，可以帮助用户对数据和应用程序的访问，验证形式如下：

如果你拥有企业Microsoft 365 E3或者E5 订阅的全局管理员身份，那么你可以设置和修改MFA，Microsoft Azure的工作原理图如下：

你可以利用MFA机制，降低企业账户被破坏的机会，但由于业务需要，企业员工可能会与企业外部用户通过Office 365 OneDrive或者SharePoint 进行协同工作，由于外部用户使用的个人电子邮件地址不符合Security Policy，为了安全起见，对Guest 用户进行配置MFA尤为重要，如果Guest用户的用户名和密码被盗，还拥有第二个身份验证机制，这将大大降低***访问数据的可能性。

那么如何来配置Guest用户的MFA呢，过程如下：

• 全局管理员在Azure中，在Users中邀请外部用户作为Guest身份存储在Azure Active Directory中。
• 全局管理员在Azure中配置Conditional access，针对Guest 用户启用MFA Policy
• End User share document /文件夹给外部用户
• 外部用户登录，配置MFA 认证方式，访问文档

全局管理员在Azure中，邀请外部用户作为Guest，如下图所示：

全局管理员在Azure中配置Conditional access，操作过程如下：

1.登录网站：https://www.office.com/
2.在快速启动器中，点击：Azure Active Directory，如下图所示：

3.在Azure 订阅的All Services 页面，搜索Conditional Access，如下图所示：

4.在Conditional Access页面，点击New Policy，如下图所示：

5.在新建Policy页面，命名 Guest MFA，Assignments标签下，选择 Users and Groups->Select Users and Groups->All Guest and external Users，如下所示：

6.在Cloud Apps or actions，配置Office 365 ，如下图所示：

7.在 Access Controls 标签下，选择Grant->Grant Access-> Require multi-factor authentication，选择Select，点击Enable Policy：On，然后点击“Create”，如下图所示：

设置完成之后，End User share document /文件夹给Guest用户，比如OneDrive 中共享一个文档给外部用户，如下图所示：

验证Guest用户访问分享的文档，MFA生效的具体步骤：

1.Guest 用户收到受邀请的电子邮件，点击“Get Started”，如下图所示：

2.授予相关权限，点击“Accept”如下图所示：

3.跳转到Office 365 验证界面，点击next，如下图所示：

4.选择MFA验证方式，比如send me a code by text message，如下图所示：

5.用户输入验证码进行验证，点击“Verify”，如下图所示：

6.再次点击邮件中分享文档的链接，跳转到Office 365 验证页面，提示给手机发送code，正常输入后，可访问文档。

相关链接地址：

• Create a secure guest sharing environment
• Plan an Azure Multi-Factor Authentication deployment