Vynucení vícefaktorového ověřování v rámci služby Microsoft Entra u starších aplikací pomocí hesel aplikací

  • Článek

Některé starší aplikace bez prohlížeče, jako je Office 2010 nebo starší a Apple Mail před iOSem 11, nerozumí pozastavením nebo přerušením procesu ověřování. Uživatel vícefaktorového ověřování Microsoft Entra (vícefaktorové ověřování Microsoft Entra), který se pokusí přihlásit k některé z těchto starších aplikací bez prohlížeče, nemůže úspěšně ověřit. Pokud chcete tyto aplikace používat zabezpečeným způsobem s vícefaktorovým ověřováním Microsoft Entra pro uživatelské účty, můžete použít hesla aplikací. Tato hesla aplikací nahradila vaše tradiční heslo, aby mohla aplikace obejít vícefaktorové ověřování a správně fungovat.

Moderní ověřování se podporuje pro klienty systém Microsoft Office 2013 a novější. Klienti Office 2013, včetně Outlooku, podporují moderní ověřovací protokoly a můžou pracovat s dvoustupňovým ověřováním. Po vynucování vícefaktorového ověřování Microsoft Entra se hesla aplikací pro klienta nevyžadují.

V tomto článku se dozvíte, jak používat hesla aplikací pro starší verze aplikací, které nepodporují výzvy vícefaktorového ověřování.

Poznámka:

Hesla aplikací nefungují pro účty, které jsou potřeba k používání moderního ověřování.

Přehled a důležité informace

Při vynucení uživatelského účtu pro vícefaktorové ověřování v rámci služby Microsoft Entra je výzva k běžnému přihlášení přerušena žádostí o další ověření. Některé starší aplikace toto přerušení procesu přihlašování nechápou, takže ověřování selže. Pokud chcete zachovat zabezpečení uživatelských účtů a umožnit službě Microsoft Entra vynucení vícefaktorového ověřování, hesla aplikací lze použít místo běžného uživatelského jména a hesla. Pokud je při přihlašování používáno heslo aplikace, nezobrazí se žádná další výzva k ověření, což znamená, že ověření proběhlo úspěšně.

Hesla aplikací jsou generována automaticky, nikoli ze strany uživatele. Tím se automaticky vygenerované heslo znesnadňuje útočníkovi hádat, takže je bezpečnější. Uživatelé nemusí sledovat hesla ani je zadávat pokaždé, když se hesla aplikací zadávají jenom jednou pro každou aplikaci.

Při používání hesel aplikací platí následující aspekty:

  • Pro uživatele platí limit 40 hesel aplikací.
  • Aplikace, které ukládají hesla do mezipaměti a používají je v místních scénářích, můžou selhat, protože heslo aplikace není známé mimo pracovní nebo školní účet. Příkladem tohoto scénáře jsou e-maily Exchange, které jsou místní, ale archivovaná pošta je v cloudu. V tomto scénáři nefunguje stejné heslo.
  • Po vynucování vícefaktorového ověřování Microsoft Entra u účtu uživatele je možné hesla aplikací používat u většiny klientů, kteří nejsou prohlížeči, jako je Outlook a Microsoft Skype pro firmy. Akce správy se ale nedají provádět pomocí hesel aplikací prostřednictvím aplikací, které nejsou v prohlížeči, jako je Windows PowerShell. Akce se nedají provést ani v případě, že má uživatel účet správce.
    • Pokud chcete spouštět skripty PowerShellu, vytvořte účet služby se silným heslem a nevynucujte účet pro dvoustupňové ověření.
  • Pokud máte podezření, že dojde k ohrožení zabezpečení uživatelského účtu a odvoláte nebo resetujete heslo účtu, měla by se také aktualizovat hesla aplikací. Hesla aplikací se při odvolání nebo resetování hesla uživatelského účtu automaticky neodvolá. Uživatel by měl odstranit stávající hesla aplikací a vytvořit nová hesla.

Upozorňující

Hesla aplikací nefungují v hybridních prostředích, kde klienti komunikují s místními i cloudovými koncovými body automatického zjišťování. K ověření místních hesel se vyžadují hesla k doménám. Hesla aplikací se vyžadují k ověření v cloudu.

Názvy hesel aplikací

Názvy hesel aplikací by měly odrážet zařízení, na kterém se používají. Pokud máte přenosný počítač s aplikacemi, které nejsou v prohlížeči, jako je Outlook, Word a Excel, vytvořte pro tyto aplikace jedno heslo aplikace s názvem Laptop . Vytvořte jiné heslo aplikace s názvem Desktop pro stejné aplikace, které běží na stolním počítači.

Doporučuje se vytvořit jedno heslo aplikace pro každé zařízení, nikoli jedno heslo aplikace pro každou aplikaci.

Hesla aplikací federovaného nebo jednotného přihlašování

Microsoft Entra ID podporuje federaci nebo jednotné přihlašování (SSO) se službou místní Active Directory Domain Services (AD DS). Pokud je vaše organizace federovaná s Microsoft Entra ID a používáte vícefaktorové ověřování Microsoft Entra, platí následující aspekty hesla aplikace:

Poznámka:

Následující body platí jenom pro federované zákazníky (SSO).

  • Hesla aplikací se ověřují pomocí ID Microsoft Entra, a proto federování obejití. Federace se aktivně používá jenom při nastavování hesel aplikací.
  • Zprostředkovatel identity (IDP) není kontaktován pro federované uživatele (SSO), na rozdíl od pasivního toku. Hesla aplikací se ukládají do pracovního nebo školního účtu. Pokud uživatel opustí společnost, informace uživatele se v reálném čase přecházejí do pracovního nebo školního účtu pomocí nástroje DirSync . Synchronizace zakázání nebo odstranění účtu může trvat až tři hodiny, což může zpozdit zakázání nebo odstranění hesla aplikace v Microsoft Entra ID.
  • Nastavení řízení přístupu k místnímu klientovi se nedotknou funkcí hesel aplikací.
  • U funkce hesel aplikací není k dispozici žádné protokolování místního ověřování ani funkce auditování.

Některé pokročilé architektury vyžadují kombinaci přihlašovacích údajů pro vícefaktorové ověřování s klienty. Tyto přihlašovací údaje můžou zahrnovat uživatelské jméno a hesla pracovního nebo školního účtu a hesla aplikací. Požadavky závisí na tom, jak se provádí ověřování. Pro klienty, kteří se ověřují v místní infrastruktuře, je nutné zadat uživatelské jméno a heslo pracovního nebo školního účtu. Pro klienty, kteří se ověřují v Microsoft Entra ID, je vyžadováno heslo aplikace.

Předpokládejme například, že máte následující architekturu:

  • Vaše místní instance služby Active Directory je federovaná s ID Microsoft Entra.
  • Používáte Exchange Online.
  • Používáte Skype pro firmy místně.
  • Používáte vícefaktorové ověřování Microsoft Entra.

V tomto scénáři použijete následující přihlašovací údaje:

  • Pokud se chcete přihlásit k Skype pro firmy, použijte uživatelské jméno a heslo pracovního nebo školního účtu.
  • Pokud chcete získat přístup k adresáři z klienta Outlooku, který se připojuje k Exchangi Online, použijte heslo aplikace.

Povolit uživatelům vytvářet hesla aplikací

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Ve výchozím nastavení nemůžou uživatelé vytvářet hesla aplikací. Aby je uživatelé mohli používat, musí být funkce hesel aplikací povolená. Aby mohli uživatelé vytvářet hesla aplikací, musí správce provést následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.

  2. Přejděte do pojmenovaných umístění podmíněného přístupu>.

  3. Na panelu v horní části podmíněného přístupu klikněte na Konfigurovat důvěryhodné IP adresy MFA | Okno Pojmenovaná umístění

  4. Na stránce Vícefaktorové ověřování vyberte možnost Povolit uživatelům vytvářet hesla aplikací pro přihlášení k aplikacím bez prohlížeče.

    Screenshot that shows the service settings for multifactor authentication to allow the user of app passwords

Poznámka:

Když zakážete uživatelům vytvářet hesla aplikací, stávající hesla aplikací budou dál fungovat. Uživatelé ale nemůžou tato stávající hesla aplikací spravovat ani odstraňovat, jakmile tuto možnost zakážete.

Když zakážete možnost vytvářet hesla aplikací, doporučuje se také vytvořit zásadu podmíněného přístupu, která zakáže použití starší verze ověřování. Tento přístup brání fungování stávajících hesel aplikací a vynutí použití moderních metod ověřování.

Vytvoření hesla aplikace

Když uživatelé dokončí počáteční registraci pro vícefaktorové ověřování Microsoft Entra, můžete na konci procesu registrace vytvořit hesla aplikací.

Uživatelé můžou po registraci také vytvářet hesla aplikací. Další informace a podrobné kroky pro uživatele najdete v následujícím prostředku:

Další kroky