面向应用开发者详解 Microsoft Entra 外部 ID 多因素认证(MFA)
一、客户登录已成网络攻击重灾区
客户登录入口是黑客重点攻击目标。攻击者清楚,一套重复使用的账号密码就能攻破面向客户的业务应用,这也促使大量企业将外部账号的二次认证从可选功能升级为强制安全门槛。
Microsoft Entra 外部 ID 是面向客户的身份访问管理平台,专门管理外部用户,支持为所有登录业务应用的客户统一开启多因素认证(MFA)。
Entra 外部 ID 运行在独立外部租户中,该目录与企业员工使用的内部租户完全隔离。这种隔离架构具备关键安全价值:员工身份、内部用户组、企业条件访问策略全部留存于内部租户;客户、合作伙伴及其他外部用户则统一托管在外部租户,配套独立的注册、登录规则。
简单来说,依托独立外部租户,企业可单独配置客户账号的 MFA 规则,完全不影响内部员工安全策略。
管控客户登录体验的核心载体是用户流程。用户流程定义用户注册、登录全流程交互逻辑:包含需要收集的用户信息、首选认证方式、是否触发二次核验等。创建用户流程并绑定业务应用后,所有外部客户访问该应用时,都会统一执行这套注册登录流程。
如需在流程中新增 MFA 校验,只需先在外部租户开放对应核验方式,再叠加专属访问策略即可。
单套用户流程可对接多款业务应用,流程内 MFA 规则调整后,所有关联应用将同步更新,无需逐个配置。
二、外部身份支持的三大 MFA 核验方式
当前 Entra 外部租户提供三类二次验证方案,三者在安全强度、用户易用性上各有优劣,且配套前置条件不同。企业选型需根据登录背后承载的数据风险等级判断,而非单纯追求部署便捷。
1. FIDO2 通行密钥(抗钓鱼最优方案)
通行密钥依托绑定用户设备或硬件密钥的公钥加密技术,不存在可被黑客窃取、复用的共享密钥,从根源抵御钓鱼攻击。
用户完成设备解锁(指纹 / 设备 PIN 码)+ 密钥持有,一次操作即可完成双重核验,实现无密码一键登录,安全性与登录效率远超短信 / 邮箱验证码。
部署前提:外部租户需配置自定义域名,凭证会绑定企业自有登录域名,无法使用微软默认域名。
2. 邮箱一次性验证码
向绑定账号的邮箱发送临时验证码,用户回填完成身份核验。无需手机号、无需安装客户端,对海量普通消费者门槛最低。
仅建议作为基础二级核验手段,安全强度有限 —— 一旦攻击者控制用户邮箱,即可绕过该层防护。
3. 短信二次认证
向用户手机号下发验证码,受众覆盖广、全机型兼容。但落地存在两大短板:
① 短信下发按条计费,面向全球客户会产生持续成本;
② 微软内置短信限流机制,防范短信诈骗,登录高峰期验证码易延迟送达。
仅适合作为兜底备用方案,不建议作为唯一防护手段。

三、外部用户 MFA 配套条件访问策略
开放 MFA 核验方式仅代表功能可用,条件访问策略才是强制触发二次认证的核心规则。
外部租户中,条件访问是智能规则引擎,可针对每一次登录行为判断:允许访问、阻断访问、强制二次核验。系统综合访问应用、用户 / 用户组、登录风险等级等多维度信号评估,自动执行 MFA 强制管控。
用户流程与条件访问策略为分层协作关系,不存在功能重复:
用户流程:
定义登录页面可展示的一级、二级认证选项;
条件访问策略:
规定哪些场景下必须触发二次核验。
企业可灵活配置宽松用户流程,搭配精细化 MFA 策略:
仅访问高敏感应用、存在异常登录风险时,强制客户完成二次核验。低风险登录流程保持简洁流畅,兼顾零信任最小权限安全标准与用户体验。
部署顺序:
先在管理后台启用目标 MFA 核验方式,再创建配套访问管控策略。
分步教程:创建外部用户专属 MFA 条件访问策略
该操作指南将在 Microsoft Entra 管理后台配置策略,强制外部租户客户登录完成 MFA 校验。请使用测试客户账号验证,切勿直接上线真实客户。
前置检查:
确认外部租户已启用至少一种 MFA 方式(邮箱验证码部署最简单),且存在测试用户绑定注册登录流程;
打开策略编辑器:
登录外部租户 Entra 管理后台,依次进入【防护】-【条件访问】-【新建策略】;
命名并划定用户范围:
为策略设置清晰名称,选中需要管控的外部用户组,豁免应急管理员账号避免锁权;
绑定目标资源:
在【目标资源】中,选中绑定用户流程的客户应用(例:零售商城网页应用,该策略将管控此应用全部登录行为);
设置强制核验规则:
进入【授予】分类,勾选【要求多因素认证】并保存,该规则将对所有匹配登录行为强制 MFA;
灰度测试:
将策略切换为仅报告模式,使用测试账号登录,查看登录日志确认策略可正常触发。日志验证无误后,正式启用策略。
四、分级二次认证:认证上下文功能
标准条件访问仅在登录入口拦截核验;认证上下文可将安全校验后置,用户登录应用浏览基础内容无需验证,仅在执行敏感操作时触发高强度 MFA。
举例:客户可自由查询账户信息,一旦申请变更收款银行卡,系统立即弹出通行密钥核验窗口。
认证上下文基于条件访问策略拓展,而非替代原有规则:管理员在后台定义上下文标识,开发人员在代码中将标识绑定敏感操作,配套条件访问策略针对该上下文强制高强度 MFA。
这套分级校验方案完美契合零信任最小权限理念,仅在存在数据风险的操作节点重新核验身份,无需用户每次登录重复校验。
功能限制:需要开发人员在应用内对敏感操作做代码适配,无法后台一键开启;推荐用于资金划转、数据导出、账号信息变更等高风险操作。
五、外部身份提供商联合登录与 MFA 适配
多数客户应用支持第三方账号快捷登录(谷歌、Facebook、苹果、自定义 OIDC/SAML 身份源),联合登录架构会改变 MFA 管控逻辑。
用户通过外部身份源登录时,一级身份核验由第三方服务商完成,企业租户可叠加的二次认证方式会受到限制。
实际落地影响:
部分联合登录用户会跳过部分企业侧 MFA 校验,第三方身份源已自带身份核验凭证。
若企业需要 100% 保障二次核验落地,可配置条件访问策略,无论用户通过何种渠道登录,均强制完成企业侧 MFA,并校验第三方身份源凭证是否满足安全要求。
该方案同样适用于企业从 Azure AD B2C 迁移至 Entra 外部 ID,实现全渠道客户身份访问规则统一。
六、B2B 协作场景下的 MFA 管控
B2B 协作属于另一种外部访问场景:其他企业租户的访客登录我方业务应用。Entra 外部身份体系同时覆盖客户注册与 B2B 访客接入,该场景下,访客所属原租户通常持有 MFA 管控权限。
跨租户访问设置用于定义信任边界:可配置租户信任访客原租户已完成的 MFA 凭证,或要求访客在我方平台重复核验。
信任外部凭证可避免访客重复弹窗;不信任外部凭证则能完全自主管控安全标准(适用于无法确认合作方安全体系的场景)。系统默认配置为重复核验,需根据业务需求手动调整。
七、外部租户 MFA 日常运维与跨租户权限配置
外部租户 MFA 全生命周期管理均在 Microsoft Entra 管理后台完成,包含核验方式启用、跨租户信任配置、通行密钥所需自定义域名部署:
启用 MFA 核验方式:
进入外部租户认证方法设置,为目标用户组开启邮箱验证码、短信认证或通行密钥;隐藏不对外提供的核验方式,避免在登录流程展示;
配置自定义域名:
通行密钥(FIDO2)部署必备前置条件,新增并完成企业自有域名校验后,才可上线无密码登录功能;缺少域名则用户无法注册通行密钥;
跨租户访问配置:
进入跨租户访问面板,设置入站信任规则,管控 B2B 访客是否复用原租户 MFA 凭证;
使用率监控:
依托登录日志、认证方式统计报表,追踪外部用户二次认证注册率与各方式使用占比;上线调整前,绘制注册登录流程图,明确 MFA 校验节点位置。
落地取舍提示:
通行密钥安全等级更高,但域名新增、DNS 校验会增加部署周期,建议预留完整工作日完成配置,无法一键快速上线。
八、客户侧用 Entra 外部 ID,员工侧选 ADSelfService Plus 补齐 MFA 能力
上文全部内容均围绕面向客户的独立外部租户。但绝大多数部署 Entra 外部 ID 的企业,同时存在混合 AD 本地环境:Windows 终端、RDP 远程桌面、UAC 权限弹窗、本地业务系统,原生 Entra MFA 无法覆盖这类场景。
ManageEngine ADSelfService Plus 恰好填补这一安全缺口:将 Entra ID MFA 防护延伸至本地基础设施,统一平台管控,复用企业现有核验工具。
ADSelfService Plus 适配 Entra ID MFA 的核心优势
终端全覆盖 MFA:为 Entra 加入 / 混合加入 Windows 设备、RDP 会话、UAC 权限弹窗强制启用 Entra MFA,补齐原生产品缺失的本地终端防护;
17 + 种核验工具:支持 FIDO2 通行密钥、生物识别、推送通知、硬件 OATH 令牌等,适配不同用户与风险等级;
最多三重身份核验:突破传统两步验证限制,高敏感访问场景可叠加三层身份校验;
精细化策略管控:同一租户内,针对不同域名、用户组配置独立 MFA 规则 —— 财务组强制生物识别、普通员工使用验证码,拒绝一刀切管控。
企业若已完成客户侧应用 MFA 防护部署,ADSelfService Plus 可补齐内部员工终端、本地系统的特权访问安全闭环。
常见问题(FAQs)
- ADSelfService Plus 支持对接企业OA工单系统实现密码重置审批吗?
支持标准API对接主流OA、工单平台,员工自助改密、解锁账号可配置多级审批流程。
- ADSelfService Plus 可批量导入AD用户并分配差异化MFA策略吗?
支持Excel批量导入账号,按部门、用户组分别配置不同多因素认证强制规则。
- ADSelfService Plus 能导出所有员工MFA登录审计报表用于等保测评吗?
内置等保专项审计模板,一键导出所有二次认证登录、操作记录合规报表。

