Я думаю, что это действительно зависит от того, что вы подразумеваете под внешним пользователем.
Один из подходов, который я использовал раньше, когда я хочу, чтобы только люди в моем офисе / сети имели доступ к страницам администратора, этоиспользовать блокировку IP через расширение UrlRewrite . Этот подход работает в IIS (после установки расширения) и службах приложений Azure.
Правило, подобное этому, должно сработать:
<rule name="RequestBlockingRule1" patternSyntax="Wildcard" stopProcessing="true">
<match url="cmspages*" />
<conditions>
<add input="{REMOTE_ADDR}" pattern="45.56.78.*" negate="true" />
</conditions>
<action type="CustomResponse" statusCode="401" statusReason="Unauthorized: Access is denied due to invalid credentials" statusDescription="You do not have permission to view this directory or page using the credentials that you supplied." />
</rule>
Это заблокирует доступ ко всем cmspages (возможно, слишком агрессивный), если IP-адрес посетителя не соответствует заданному шаблону.