A Microsoft Entra többfaktoros hitelesítés érvényesítése régi alkalmazásoknál az alkalmazás jelszavainak használatával

Egyes régebbi, nem böngészős alkalmazások, például az Office 2010 vagy korábbi verziók, valamint az iOS 11 előtti Apple Mail nem értik a hitelesítési folyamat szüneteit vagy megszakításait. A Microsoft Entra többtényezős hitelesítés (Microsoft Entra többtényezős hitelesítés) azon felhasználója, aki megpróbál bejelentkezni valamelyik régebbi, nem böngészős alkalmazásba, nem tudja sikeresen hitelesíteni magát. Ha biztonságos módon szeretné használni ezeket az alkalmazásokat a felhasználói fiókokhoz kényszerített Microsoft Entra többtényezős hitelesítéssel, használhat alkalmazásjelszavakat. Ezek az alkalmazásjelszavak lecserélték a hagyományos jelszót, hogy az alkalmazás megkerülhesse a többtényezős hitelesítést, és megfelelően működjön.

A modern hitelesítés a Microsoft Office 2013-ügyfelek és újabb verziók esetében támogatott. Az Office 2013-ügyfelek, köztük az Outlook is támogatják a modern hitelesítési protokollokat, és kétlépéses ellenőrzéssel is dolgozhatnak. A Többtényezős Microsoft Entra-hitelesítés kényszerítése után az ügyfél nem igényel alkalmazásjelszavakat.

Ez a cikk bemutatja, hogyan használhat alkalmazásjelszavakat olyan örökölt alkalmazásokhoz, amelyek nem támogatják a többtényezős hitelesítési kéréseket.

Megjegyzés:

Az alkalmazásjelszavak nem működnek a modern hitelesítés használatához szükséges fiókok esetében.

Áttekintés és szempontok

Amikor egy felhasználói fiókot a Microsoft Entra többtényezős hitelesítésre kényszerítenek, a szokásos bejelentkezési kérést megszakítja egy további ellenőrzésre vonatkozó kérés. Néhány régebbi alkalmazás nem érti ezt a szünetet a bejelentkezési folyamatban, ezért a hitelesítés sikertelen. A felhasználói fiókok biztonságának fenntartása és a Microsoft Entra többfaktoros hitelesítés érvényben hagyása érdekében a felhasználó szokásos felhasználóneve és jelszava helyett az alkalmazások jelszavai használhatók. Ha a bejelentkezés során egy alkalmazás jelszavát használják, nincs további ellenőrző kérés, így a hitelesítés sikeres.

Az alkalmazások jelszavai automatikusan generálódnak, nem a felhasználó által megadott jelszavak. Ez az automatikusan létrehozott jelszó megnehezíti a támadók találgatását, így biztonságosabb. A felhasználóknak nem kell nyomon követniük a jelszavakat, és nem kell minden alkalommal megadniuk őket, mivel az alkalmazásjelszavak csak alkalmazásonként egyszer lesznek megadva.

Alkalmazásjelszavak használatakor az alábbi szempontok érvényesek:

• Felhasználónként legfeljebb 40 alkalmazásjelszó lehet.
• A jelszavakat gyorsítótárazó és a helyszíni forgatókönyvekben használt alkalmazások meghiúsulhatnak, mert az alkalmazásjelszó nem ismert a munkahelyi vagy iskolai fiókon kívül. Ilyen eset például a helyszíni Exchange-e-mailek, de az archivált levelek a felhőben találhatók. Ebben a forgatókönyvben ugyanaz a jelszó nem működik.
• Miután a Microsoft Entra többtényezős hitelesítést kényszerítette egy felhasználó fiókjára, az alkalmazásjelszavak használhatók a legtöbb nem böngészős ügyfélprogrammal, például az Outlookkal és a Microsoft Skype Vállalati verzió. A felügyeleti műveletek azonban nem hajthatók végre alkalmazásjelszavak használatával nem böngészőalapú alkalmazásokon, például a Windows PowerShellen keresztül. A műveletek akkor sem hajthatók végre, ha a felhasználó rendelkezik rendszergazdai fiókkal.
  • PowerShell-szkriptek futtatásához hozzon létre egy erős jelszóval rendelkező szolgáltatásfiókot, és ne kényszerítse a fiókot kétlépéses ellenőrzésre.
• Ha azt gyanítja, hogy egy felhasználói fiók feltörve van, és visszavonja/ alaphelyzetbe állítja a fiók jelszavát, az alkalmazásjelszavakat is frissíteni kell. Az alkalmazásjelszavak nem lesznek automatikusan visszavonva a felhasználói fiók jelszavának visszavonása/alaphelyzetbe állítása esetén. A felhasználónak törölnie kell a meglévő alkalmazásjelszavakat, és újakat kell létrehoznia.
  • További információ: Alkalmazásjelszavak létrehozása és törlése a További biztonsági ellenőrzés lapon.

Figyelmeztetés

Az alkalmazásjelszavak nem működnek olyan hibrid környezetekben, ahol az ügyfelek a helyszíni és a felhőbeli automatikusan felderített végpontokkal is kommunikálnak. A helyszíni hitelesítéshez tartományi jelszavakra van szükség. A felhőben való hitelesítéshez alkalmazásjelszavakra van szükség.

Alkalmazásjelszavak nevei

Az alkalmazásjelszavak nevének tükröznie kell azt az eszközt, amelyen használják őket. Ha olyan laptopja van, amely nem böngészőbeli alkalmazásokkal rendelkezik, például az Outlook, a Word és az Excel, hozzon létre egy Laptop nevű alkalmazásjelszót ezekhez az alkalmazásokhoz. Hozzon létre egy asztali alkalmazásjelszót az asztali számítógépen futó alkalmazásokhoz.

Javasoljuk, hogy egy alkalmazásjelszót hozzon létre eszközönként, és ne egy alkalmazásjelszót alkalmazásonként.

Összevont vagy egyszeri bejelentkezési alkalmazásjelszavak

A Microsoft Entra ID támogatja az összevonást vagy az egyszeri bejelentkezést (SSO) helyi Active Directory Domain Services (AD DS) használatával. Ha a szervezet a Microsoft Entra-azonosítóval van összevonva, és Többtényezős Microsoft Entra-hitelesítést használ, az alábbi alkalmazásjelszavakkal kapcsolatos szempontok érvényesek:

Megjegyzés:

A következő pontok csak összevont (SSO) ügyfelekre vonatkoznak.

• Az alkalmazásjelszavakat a Microsoft Entra ID ellenőrzi, ezért megkerüli az összevonást. Az összevonás csak alkalmazásjelszavak beállításakor használható aktívan.
• Az identitásszolgáltató (IDP) nem lép kapcsolatba összevont (SSO) felhasználókkal, ellentétben a passzív folyamattal. Az alkalmazásjelszavak a munkahelyi vagy iskolai fiókban vannak tárolva. Ha egy felhasználó elhagyja a vállalatot, a felhasználó információi valós időben, a DirSync használatával jutnak el a munkahelyi vagy iskolai fiókba. A fiók letiltása vagy törlése akár három órát is igénybe vehet a szinkronizáláshoz, ami késleltetheti az alkalmazás jelszavának letiltását/törlését a Microsoft Entra-azonosítóban.
• A helyszíni ügyfél hozzáférés-vezérlési beállításait az alkalmazásjelszavak funkció nem tartja be.
• Az alkalmazásjelszavak funkcióval nem érhető el helyszíni hitelesítési naplózási vagy naplózási funkció.

Egyes fejlett architektúrákhoz hitelesítő adatok kombinációjára van szükség az ügyfelekkel való többtényezős hitelesítéshez. Ezek a hitelesítő adatok tartalmazhatnak munkahelyi vagy iskolai fiók felhasználónevet és jelszavakat, valamint alkalmazásjelszavakat. A követelmények a hitelesítés végrehajtásától függenek. A helyszíni infrastruktúrán hitelesítést használó ügyfelek esetében kötelező megadni egy munkahelyi vagy iskolai fiók felhasználónevét és jelszavát. A Microsoft Entra-azonosítóval hitelesítést használó ügyfelek esetében alkalmazásjelszóra van szükség.

Tegyük fel például, hogy a következő architektúrával rendelkezik:

• Az Active Directory helyszíni példánya Microsoft Entra-azonosítóval van összevonva.
• Az Exchange Online-t használja.
• Helyszíni Skype Vállalati verzió használ.
• A Microsoft Entra többtényezős hitelesítést használja.

Ebben a forgatókönyvben a következő hitelesítő adatokat használja:

• A Skype Vállalati verzió való bejelentkezéshez használja munkahelyi vagy iskolai fiókjának felhasználónevét és jelszavát.
• Ha az Exchange Online-hoz csatlakozó Outlook-ügyfélről szeretné elérni a címjegyzéket, használjon alkalmazásjelszót.

Alkalmazásjelszavak létrehozásának engedélyezése a felhasználóknak

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Alapértelmezés szerint a felhasználók nem hozhatnak létre alkalmazásjelszavakat. Az alkalmazásjelszavak funkciót engedélyezni kell, mielőtt a felhasználók használhatják őket. Ahhoz, hogy a felhasználók alkalmazásjelszavakat hozzanak létre, a rendszergazdának végre kell hajtania a következő lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.

2. Keresse meg a feltételes hozzáférés>által elnevezett helyeket.

3. Kattintson az "MFA megbízható IP-címek konfigurálása" elemre a feltételes hozzáférés felső részén található sávon | Névvel ellátott helyek ablak.

4. A Többtényezős hitelesítés lapon válassza az Engedélyezés a felhasználóknak, hogy alkalmazásjelszavakat hozzanak létre a nem böngészőbeli alkalmazásokba való bejelentkezéshez.

   

Megjegyzés:

Ha letiltja, hogy a felhasználók alkalmazásjelszavakat hozzanak létre, a meglévő alkalmazásjelszavak továbbra is működnek. A felhasználók azonban nem kezelhetik vagy törölhetik ezeket a meglévő alkalmazásjelszavakat, ha letiltja ezt a képességet.

Ha letiltja az alkalmazásjelszavak létrehozásának lehetőségét, javasoljuk, hogy hozzon létre egy feltételes hozzáférési szabályzatot az örökölt hitelesítés használatának letiltásához. Ez a módszer megakadályozza a meglévő alkalmazásjelszavak működését, és kényszeríti a modern hitelesítési módszerek használatát.

Alkalmazásjelszó létrehozása

Amikor a felhasználók befejezik a Microsoft Entra többtényezős hitelesítés kezdeti regisztrációját, a regisztrációs folyamat végén lehetőség van alkalmazásjelszavak létrehozására.

A felhasználók a regisztráció után alkalmazásjelszavakat is létrehozhatnak. További információkért és a felhasználók részletes lépéseiért tekintse meg a következő erőforrást:

• Alkalmazásjelszavak létrehozása a Biztonsági adatok lapon

További lépések

• További információ arról, hogy a felhasználók hogyan regisztrálhatnak gyorsan a Microsoft Entra többtényezős hitelesítésre, lásd a kombinált biztonsági adatok regisztrációjának áttekintését.
• További információ a Microsoft Entra többtényezős hitelesítés engedélyezett és kényszerített felhasználói állapotairól: A felhasználónkénti Microsoft Entra többtényezős hitelesítés engedélyezése a bejelentkezési események biztonságossá tételéhez