通过外部身份验证方法 (EAM),用户可以在登录到 Microsoft Entra ID 时选择一个外部提供程序来满足多重身份验证 (MFA) 要求。 EAM 可以满足条件访问策略、Microsoft Entra ID 保护的基于风险的条件访问策略、Privileged Identity Management (PIM) 激活的 MFA 要求,还能满足应用程序本身需要 MFA 时的这些要求。
EAM 与联合身份验证的不同之处在于,用户标识是在 Microsoft Entra ID 中发起和管理的。 通过联合身份验证,标识在外部标识提供程序中管理。 EAM 需要至少一个 Microsoft Entra ID P1 许可证。
重要
我们正在更新 EAM 预览版以支持改进。 作为改进的一部分,我们将执行后端迁移,这可能会影响使用 EAM 登录的某些用户。 有关详细信息,请参阅 EAM 的身份验证方法注册。 我们正在推出 2025 年 9 月的改进。
配置 EAM 所需的元数据
若要创建 EAM,需要下列来自外部身份验证提供程序的信息:
应用程序 ID 通常是提供程序中的多租户应用程序,用作集成一部分。 需要在租户中为此应用程序提供管理员同意。
客户端 ID 是来自提供程序的标识符,用作身份验证集成的一部分,用于标识请求身份验证的 Microsoft Entra ID。
发现 URL 是外部身份验证提供程序的 OpenID Connect (OIDC) 发现终结点。
有关如何设置应用注册的详细信息,请参阅 配置具有 Microsoft Entra ID 的新外部身份验证提供程序。
重要
确保在id_token的 JSON Web 令牌(JWT)标头和从提供程序jwks_uri检索的 JSON Web 密钥集(JWKS)中,使用 base64 编码子项(密钥 ID)属性。 此编码对齐对于在身份验证过程中无缝验证令牌签名至关重要。 不对齐可能会导致密钥匹配或签名验证出现问题。
在 Microsoft Entra 管理中心管理 EAM
EAM 使用 Microsoft Entra ID 身份验证方法策略进行管理,就像内置方法一样。
在管理中心创建 EAM
在管理中心创建 EAM 之前,请确保具有元数据来配置 EAM。
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
导航到 Entra ID>身份验证方法>添加外部方法(预览版)。
根据提供程序的配置信息添加方法属性。 例如:
- 名称:Adatum
- 客户端 ID:00001111-aaaa-2222-bbbb-3333cccc4444
- 发现终结点:
https://adatum.com/.well-known/openid-configuration - 应用 ID:11112222-bbbb-3333-cccc-4444dddd5555
重要
用户在方法选取器中看到显示名称。 创建方法后,无法更改名称。 显示名称必须唯一。
至少需要有特权角色管理员角色才能为提供程序的应用程序授予管理员同意。 如果没有授予同意所需的角色,仍可以保存身份验证方法,但在授予同意之前无法启用它。
输入来自提供程序的值后,按按钮请求向应用程序授予管理员同意,以便它可以从用户读取所需的信息以正确进行身份验证。 系统会提示使用具有管理员权限的帐户登录,并向提供程序的应用程序授予所需的权限。
登录后,选择“ 接受 ”以授予管理员同意:
在授予同意之前,可查看提供程序应用程序请求的权限。 授予管理员同意且更改复制后,页面将刷新显示已授予管理员同意。
如果应用程序具有权限,则还可以在保存之前启用该方法。 否则,需要将方法保存在禁用状态,并在应用程序获得同意后启用。
启用方法后,范围内的所有用户都可以为任何 MFA 提示选择该方法。 如果提供程序中的应用程序未获得同意批准,则使用该方法的任何登录都会失败。
如果应用程序被删除或不再具有权限,用户会看到错误且登录失败。 不能使用该方法。
在管理中心配置 EAM
若要在 Microsoft Entra 管理中心管理 EAM,请打开身份验证方法策略。 选择方法名称以打开配置选项。 可选择要允许和禁止哪些用户使用此方法。
在管理中心删除 EAM
如果不再需要用户能够使用 EAM,你可以:
- 将“启用”设置为“关”以保存方法配置
- 选择 “删除 ”以删除方法
使用 Microsoft Graph 管理 EAM
若要使用 Microsoft Graph 管理身份验证方法策略,需要 Policy.ReadWrite.AuthenticationMethod 权限。 有关详细信息,请参阅更新 authenticationMethodsPolicy。
用户体验
启用可使用 EAM 的用户可在登录且需要多重身份验证时使用它。
如果用户有其他登录方式,并且启用了系统首选的 MFA,则按默认顺序显示这些其他方法。 用户可以选择使用不同的方法,然后选择 EAM。 例如,如果用户启用了 Authenticator 作为另一种方法,系统会提示他们号码匹配。
如果用户未启用其他方法,他们只需选择 EAM 即可。 系统会将他们重定向到外部身份验证提供程序来完成身份验证。
EAM 身份验证方法注册
在 EAM 预览版中,为 EAM 启用的组成员的用户可以使用 EAM 来满足 MFA。 这些用户不包括在有关身份验证方法注册的报告中。
正在Microsoft Entra ID 中推出 EAM 注册。 推出完成后,用户需要先将 EAM 注册到 Microsoft Entra ID,然后才能使用它来满足 MFA。 作为此推出一部分,最近使用 EAM 登录的 EAM 用户会自动标记为已注册 EAM。
最近未使用 EAM 登录的用户需要注册它,然后才能再次使用它。 这些用户在下次登录时可能会看到更改,具体取决于其当前的身份验证设置:
- 如果仅为 EAM 启用,则必须先完成 EAM 的实时注册,然后才能继续作。
- 如果启用了 EAM 和其他身份验证方法,则它们可能会失去对 EAM 进行身份验证的访问权限。 有两种方法可以重新获得访问权限:
- 他们可以在 安全信息中注册其 EAM。
- 管理员可以使用 Microsoft Entra 管理中心或 Microsoft Graph 代表他们注册 EAM。
后续部分介绍每个选项的步骤。
用户在安全信息中注册其 EAM 的方式
用户可以按照以下步骤在安全信息中注册 EAM:
- 登录到 安全信息。
- 选择 “+ 添加登录方法”。
- 当系统提示从可用选项列表中选择登录方法时,请选择 “外部身份验证”方法。
- 在确认屏幕上选择 “下一步 ”。
- 使用外部提供程序完成第二个因素质询。 如果成功,用户可以看到其登录方法中列出的 EAM。
用户使用注册向导注册其 EAM 的方式
当用户登录时,注册向导会帮助他们注册他们启用使用的 EAM。 如果为其他身份验证方法启用,则可能需要选择 “我想设置其他方法>外部身份验证方法 ”以继续作。 他们需要向 EAM 提供程序进行身份验证,以便在 Microsoft Entra ID 中注册 EAM。
如果身份验证成功,消息将确认注册已完成,并注册了 EAM。 将用户重定向到他们想要访问的资源。
如果身份验证失败,则会将用户重定向回注册向导,注册页会显示一条错误消息。 用户可以重试,或者在为其他方法启用登录时选择其他登录方式。
管理员如何为用户注册 EAM
管理员可以为 EAM 注册用户。 如果他们为 EAM 注册用户,则用户无需在 安全信息 中或使用注册向导注册其 EAM。
管理员还可以代表用户删除注册。 他们可以删除注册以帮助用户在恢复方案中,因为他们的下一个签名会触发新的注册。 他们可以在 Microsoft Entra 管理中心 或使用 Microsoft Graph 删除 EAM 注册。 管理员可以创建 PowerShell 脚本,以一次性更新多个用户的注册状态。
在 Microsoft Entra 管理中心:
- 选择“用户”“所有用户”。
- 选择要注册 EAM 的用户。
- 在“用户”菜单中,选择 “身份验证方法”,然后选择“ + 添加身份验证方法”。
- 选择 外部身份验证方法。
- 选择一个或多个 EAM,然后选择“ 保存”。
- 此时会显示一条成功消息,前面选择的方法列在 可用身份验证方法中。
并行使用 EAM 和条件访问自定义控件
EAM 和自定义控件可以并行运行。 Microsoft 建议管理员配置两个条件访问策略:
- 一个策略强制实施自定义控件
- 另一个策略要求 MFA 授权
对于每个策略包含一个测试用户组,而不是针对两者包含。 如果用户同时包含在这两个策略中,或者包含具有这两个条件的任何策略,则用户在登录期间必须满足 MFA。 他们还必须满足自定义控件,这使得系统会将他们再次重定向到外部提供程序。
后续步骤
若要详细了解如何管理身份验证方法,请参阅管理 Microsoft Entra ID 的身份验证方法。
如需 EAM 提供程序参考,请查看 Microsoft Entra 多重身份验证外部方法提供程序参考(预览)。