Vynucení vícefaktorového ověřování v rámci služby Microsoft Entra u starších aplikací pomocí hesel aplikací

Některé starší aplikace bez prohlížeče, jako je Office 2010 nebo starší a Apple Mail před iOSem 11, nerozumí pozastavením nebo přerušením procesu ověřování. Uživatel vícefaktorového ověřování Microsoft Entra, který se pokusí přihlásit do některé z těchto starších aplikací, které nevyužívají prohlížeč, se nemůže úspěšně ověřit. Pokud chcete tyto aplikace používat zabezpečeným způsobem s vícefaktorovým ověřováním Microsoft Entra pro uživatelské účty, můžete použít hesla aplikací. Tato hesla aplikací nahradila vaše tradiční heslo, aby mohla aplikace obejít vícefaktorové ověřování a správně fungovat.

Moderní ověřování je podporováno pro klienty Microsoft Office 2013 a novější. Klienti Office 2013, včetně Outlooku, podporují moderní ověřovací protokoly a můžou pracovat s dvoustupňovým ověřováním. Po vynucování vícefaktorového ověřování Microsoft Entra se hesla aplikací pro klienta nevyžadují.

V tomto článku se dozvíte, jak používat hesla aplikací pro starší verze aplikací, které nepodporují výzvy vícefaktorového ověřování.

Poznámka:

Hesla aplikací nefungují pro účty, které jsou potřeba k používání moderního ověřování.

Přehled a důležité informace

Při vynucení uživatelského účtu pro vícefaktorové ověřování v rámci služby Microsoft Entra je výzva k běžnému přihlášení přerušena žádostí o další ověření. Některé starší aplikace toto přerušení procesu přihlašování nechápou, takže ověřování selže. Pokud chcete zachovat zabezpečení uživatelských účtů a umožnit službě Microsoft Entra vynucení vícefaktorového ověřování, hesla aplikací lze použít místo běžného uživatelského jména a hesla. Když se při přihlašování použije heslo aplikace, nezobrazí se žádná další výzva k ověření, takže ověření proběhlo úspěšně.

Hesla aplikací jsou generována automaticky, nikoli ze strany uživatele. Tím se automaticky vygenerované heslo znesnadňuje útočníkovi hádat, takže je bezpečnější. Uživatelé nemusí sledovat hesla ani je zadávat pokaždé, když se hesla aplikací zadávají jenom jednou pro každou aplikaci.

Při používání hesel aplikací platí následující aspekty:

• Pro uživatele platí limit 40 hesel aplikací.
• Aplikace, které ukládají hesla do mezipaměti a používají je v místních scénářích, můžou selhat, protože heslo aplikace není známé mimo pracovní nebo školní účet. Příkladem tohoto scénáře jsou e-maily Exchange, které jsou místní, ale archivovaná pošta je v cloudu. V tomto scénáři nefunguje stejné heslo.
• Po vynucování vícefaktorového ověřování Microsoft Entra u účtu uživatele je možné hesla aplikací používat u většiny klientů, kteří nejsou prohlížeči, jako je Outlook a Microsoft Skype pro firmy. Akce správy se ale nedají provádět pomocí hesel aplikací prostřednictvím aplikací, které nejsou v prohlížeči, jako je Windows PowerShell. Akce se nedají provést ani v případě, že má uživatel účet správce.
  • Pokud chcete spouštět skripty PowerShellu, vytvořte účet služby se silným heslem a nevynucujte účet pro dvoustupňové ověření.
• Pokud máte podezření, že dojde k ohrožení zabezpečení uživatelského účtu a odvoláte nebo resetujete heslo účtu, měla by se také aktualizovat hesla aplikací. Hesla aplikací se automaticky neodvolají, když je heslo uživatelského účtu odvoláno nebo resetováno. Uživatel by měl odstranit stávající hesla aplikací a vytvořit nová hesla.
  • Další informace najdete v tématu Vytvoření a odstranění hesel aplikací na stránce Další ověření zabezpečení.

Upozornění

Hesla aplikací nefungují v hybridních prostředích, kde klienti komunikují s místními i cloudovými koncovými body automatického zjišťování. K ověření v místním prostředí se vyžadují hesla k doméně. Hesla aplikací se vyžadují k ověření v cloudu.

Názvy hesel aplikací

Názvy hesel aplikací by měly odrážet zařízení, na kterém se používají. Pokud máte přenosný počítač s aplikacemi, které nejsou v prohlížeči, jako je Outlook, Word a Excel, vytvořte pro tyto aplikace jedno heslo aplikace s názvem Laptop . Vytvořte jiné heslo aplikace s názvem Desktop pro stejné aplikace, které běží na stolním počítači.

Doporučuje se vytvořit jedno heslo aplikace pro každé zařízení, nikoli jedno heslo aplikace pro každou aplikaci.

Hesla aplikací federovaného nebo jednotného přihlašování

Microsoft Entra ID podporuje federaci nebo jednotné přihlašování (SSO) se službou místní Active Directory Domain Services (AD DS). Pokud je vaše organizace federovaná s Microsoft Entra ID a používáte vícefaktorové ověřování Microsoft Entra, platí následující aspekty hesla aplikace:

Poznámka:

Následující body platí jenom pro federované zákazníky (SSO).

• Hesla aplikací jsou ověřována pomocí ID Microsoft Entra a tím pádem obcházejí federaci. Federace se aktivně používá jenom při nastavování hesel aplikací.
• Zprostředkovatel identity (IdP) není kontaktován pro federované uživatele (SSO), na rozdíl od pasivního procesu. Hesla aplikací se ukládají do pracovního nebo školního účtu. Pokud uživatel opustí společnost, informace uživatele se v reálném čase přecházejí do pracovního nebo školního účtu pomocí nástroje DirSync . Synchronizace zakázání nebo odstranění účtu může trvat až tři hodiny, což může zpozdit zakázání nebo odstranění hesla aplikace v Microsoft Entra ID.
• Nastavení řízení přístupu u lokálního klienta nejsou respektovány funkcí hesel aplikací.
• U funkce hesel aplikací není k dispozici žádné protokolování místního ověřování ani funkce auditování.

Některé pokročilé architektury vyžadují kombinaci přihlašovacích údajů pro vícefaktorové ověřování s klienty. Tyto přihlašovací údaje můžou zahrnovat uživatelské jméno a hesla pracovního nebo školního účtu a hesla aplikací. Požadavky závisí na tom, jak se provádí ověřování. Pro klienty, kteří se ověřují v místní infrastruktuře, je nutné zadat uživatelské jméno a heslo pracovního nebo školního účtu. Pro zákazníky, kteří se ověřují pomocí Microsoft Entra ID, je potřeba heslo aplikace.

Předpokládejme například, že máte následující architekturu:

• Vaše místní instance služby Active Directory je federovaná s ID Microsoft Entra.
• Používáte Exchange Online.
• Používáte Skype pro firmy místně.
• Používáte vícefaktorové ověřování Microsoft Entra.

V tomto scénáři použijete následující přihlašovací údaje:

• Pokud se chcete přihlásit k Skype pro firmy, použijte uživatelské jméno a heslo pracovního nebo školního účtu.
• Pokud chcete získat přístup k adresáři z klienta Outlooku, který se připojuje k Exchangi Online, použijte heslo aplikace.

Povolit uživatelům vytvářet hesla aplikací

Ve výchozím nastavení nemůžou uživatelé vytvářet hesla aplikací. Aby je uživatelé mohli používat, musí být funkce hesel aplikací povolená. Aby mohli uživatelé vytvářet hesla aplikací, musí správce provést následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

2. Přejděte do Podmíněného přístupu>Pojmenovaných umístění.

3. V panelu v horní části okna Podmíněný přístup | Pojmenovaná umístění vyberte možnost "Konfigurovat důvěryhodné IP adresy MFA".

4. Na stránce Vícefaktorové ověřování vyberte možnost Povolit uživatelům vytvářet hesla aplikací pro přihlášení k aplikacím bez prohlížeče.

   

Poznámka:

Pokud jsou povolená hesla aplikací, uživatelé budou muset v rámci registrace vícefaktorového ověřování Microsoft Entra vytvořit heslo aplikace.

Když zakážete uživatelům vytvářet hesla aplikací, stávající hesla aplikací budou dál fungovat. Uživatelé ale nemůžou tato stávající hesla aplikací spravovat ani odstraňovat, jakmile tuto možnost zakážete.

Když zakážete možnost vytvářet hesla aplikací, doporučuje se také vytvořit zásadu podmíněného přístupu, která zakáže použití starší verze ověřování. Tento přístup brání fungování stávajících hesel aplikací a vynutí použití moderních metod ověřování.

Vytvoření hesla aplikace

Po dokončení počáteční registrace pro vícefaktorové ověřování Microsoft Entra se uživatelům zobrazí výzva k vytvoření hesla aplikace na konci procesu registrace.

Uživatelé můžou po registraci také vytvářet hesla aplikací. Další informace a podrobné kroky pro uživatele najdete v následujícím zdroji:

• Vytvoření hesel aplikací ze stránky Bezpečnostní údaje

Další kroky

• Další informace o tom, jak uživatelům umožnit rychlou registraci pro vícefaktorové ověřování Microsoft Entra, najdete v tématu Přehled kombinované registrace informací o zabezpečení.
• Další informace o povolených a vynucených stavech uživatelů pro vícefaktorové ověřování Microsoft Entra naleznete v tématu Povolení vícefaktorového ověřování Microsoft Entra pro jednotlivé uživatele pro zabezpečení událostí přihlašování.