Вопрос или проблема
Мы разрабатываем веб-приложение, размещенное в Azure, и в настоящее время работаем над управлением пользователями. Мы хотели бы пригласить внешних пользователей, которые также зарегистрированы в Microsoft Entra ID. Однако у некоторых организаций наших клиентов есть политики, которые предотвращают приглашение и добавление их учетных записей в другие арендаторы Azure.
Чтобы решить эту проблему, мы рассматривали возможность создания новых учетных записей пользователей в нашем арендаторе Entra ID. Однако это требует использования нового адреса электронной почты, что означает, что мы не можем создать пользователя с существующим адресом электронной почты из другого арендатора.
В качестве потенциального решения мы рассмотрели возможность реализации многофакторной аутентификации (MFA), при которой код подтверждения отправляется на их корпоративный адрес электронной почты. Таким образом, если пользователь покинет свою компанию, он потеряет доступ к своей корпоративной почте и больше не сможет войти в наше приложение.
Несколько вопросов, по которым мы ищем руководство:
- Есть ли способ пригласить внешних пользователей, даже если политики их организаций это запрещают?
- Можем ли мы реализовать MFA с их корпоративным адресом электронной почты, даже если это не адрес электронной почты их основной учетной записи пользователя?
Обратите внимание, что все пользователи добавляются администратором, и саморегистрация пользователей отсутствует.
Спасибо за вашу помощь.
Ответ или решение
Ответ на вопрос о приглашении внешних пользователей и MFA в Microsoft Entra ID
Здравствуйте,
Спасибо за ваш вопрос. Давайте разберем его по пунктам и предложим возможные решения.
1. Приглашение внешних пользователей с учетом организационных политик
К сожалению, если политика безопасности компании клиента запрещает регистрацию их пользователей в вашем Azure-тенанте, вы не сможете пригласить этих пользователей с использованием их существующих учетных записей. Microsoft Entra ID поддерживает системы для совместного использования пользователей, но лишь если политика их организации это позволяет.
Варианты:
-
Проверьте возможность использования B2B: Некоторые организации могут быть открыты к сотрудничеству через B2B-приглашение, если у них настроены соответствующие разрешения. Вам стоит обсудить этот вопрос с вашим клиентом — возможно, они смогут временно приостановить свои политики для определенных пользователей.
-
Создание "гостевых" учетных записей: Если у клиента есть возможность создания временных учетных записей в вашей системе, вы можете создать учетные записи "гостей" на основе соглашений с клиентом.
2. Реализация многофакторной аутентификации (MFA)
Обычно MFA реализуется с использованием средств, связанных с учетной записью. Если учетная запись не может быть создана в Entra ID с использованием корпоративного адреса электронной почты, альтернативный подход, который вы предложили, может оказаться сложным.
-
Использование альтернативного адреса для MFA: Вы можете использовать корпоративный адрес электронной почты пользователя в качестве метода для отправки кода подтверждения при входе. В этом случае вам нужно будет реализовать функционал, который находит и проверяет, существует ли данный адрес в вашей базе данных, а также актуален ли он.
-
Двусторонняя аутентификация: Учитывая, что вы не можете создавать учетные записи с существующими адресами, возможно, стоит рассмотреть использование альтернативной аутентификации, например, через социальные сети или другие идентификаторы.
Заключение
К сожалению, ключевое ограничение заключается в том, что если политика безопасности клиента не позволяет использование их учетных записей, то, скорее всего, вам придется искать альтернативные способы, такие как создание временных учетных записей или другие методы идентификации. Обязательно обсудите эти возможности с вашими клиентами.
Если у вас есть дополнительные вопросы или потребуется более детальная информация, пожалуйста, не стесняйтесь сообщить об этом.
С уважением,
[Ваше Имя]
Эксперт в области Microsoft Entra ID