Wymuszanie uwierzytelniania wieloskładnikowego Microsoft przy użyciu starszych, korzystając z haseł aplikacji
Niektóre starsze, inne niż przeglądarki aplikacje, takie jak Office 2010 lub starsze i Apple Mail przed systemem iOS 11, nie rozumieją wstrzymania ani przerw w procesie uwierzytelniania. Użytkownik uwierzytelniania wieloskładnikowego firmy Microsoft (Microsoft Entra Multifactor Authentication), który próbuje zalogować się do jednej ze starszych aplikacji, innych niż przeglądarka, nie może pomyślnie uwierzytelnić się. Aby używać tych aplikacji w bezpieczny sposób z uwierzytelnianiem wieloskładnikowym firmy Microsoft wymuszanym dla kont użytkowników, możesz użyć haseł aplikacji. Te hasła aplikacji zastąpiły tradycyjne hasło, aby umożliwić aplikacji obejście uwierzytelniania wieloskładnikowego i poprawne działanie.
Nowoczesne uwierzytelnianie jest obsługiwane dla klientów pakietu Microsoft Office 2013 i nowszych. Klienci pakietu Office 2013, w tym outlook, obsługują nowoczesne protokoły uwierzytelniania i mogą pracować z weryfikacją dwuetapową. Po wymusieniu uwierzytelniania wieloskładnikowego firmy Microsoft hasła aplikacji nie są wymagane dla klienta.
W tym artykule pokazano, jak używać haseł aplikacji dla starszych aplikacji, które nie obsługują monitów uwierzytelniania wieloskładnikowego.
Uwaga
Hasła aplikacji nie działają w przypadku kont, które są wymagane do korzystania z nowoczesnego uwierzytelniania.
Omówienie i zagadnienia
Gdy konto użytkownika jest wymuszane dla uwierzytelniania wieloskładnikowego Microsoft, regularne monity logowania są przerywane przez żądanie dodatkowej weryfikacji. Niektóre starsze aplikacje nie rozumieją tego przerwania w procesie logowania, dlatego uwierzytelnianie kończy się niepowodzeniem. Aby zachować bezpieczeństwo konta użytkownika i pozostawić wymuszane uwierzytelnianie wieloskładnikowe Microsoft, hasła aplikacji można używać zamiast regularnej nazwy użytkownika i hasła. Jeśli podczas logowania jest używane hasło aplikacji, nie ma dodatkowego monitu o weryfikację, więc uwierzytelnianie zakończy się pomyślnie.
Hasła aplikacji są generowane automatycznie, a nie określone przez użytkownika. To automatycznie wygenerowane hasło utrudnia atakującemu odgadnięcie, więc jest bezpieczniejsze. Użytkownicy nie muszą śledzić haseł ani wprowadzać ich za każdym razem, gdy hasła aplikacji są wprowadzane tylko raz na aplikację.
W przypadku korzystania z haseł aplikacji należy wziąć pod uwagę następujące kwestie:
- Istnieje limit 40 haseł aplikacji na użytkownika.
- Aplikacje buforujące hasła i korzystające z nich w scenariuszach lokalnych mogą zakończyć się niepowodzeniem, ponieważ hasło aplikacji nie jest znane poza kontem służbowym. Przykładem tego scenariusza są wiadomości e-mail programu Exchange, które są lokalne, ale zarchiwizowana poczta znajduje się w chmurze. W tym scenariuszu to samo hasło nie działa.
- Po wymusieniu uwierzytelniania wieloskładnikowego firmy Microsoft na koncie użytkownika hasła aplikacji mogą być używane z większością klientów innych niż przeglądarki, takich jak Outlook i Microsoft Skype dla firm. Nie można jednak wykonywać akcji administracyjnych przy użyciu haseł aplikacji za pośrednictwem aplikacji innych niż przeglądarki, takich jak program Windows PowerShell. Nie można wykonać akcji nawet wtedy, gdy użytkownik ma konto administracyjne.
- Aby uruchomić skrypty programu PowerShell, utwórz konto usługi z silnym hasłem i nie wymuszaj konta na potrzeby weryfikacji dwuetapowej.
- Jeśli podejrzewasz, że konto użytkownika zostało naruszone i odwołano/zresetuj hasło do konta, należy również zaktualizować hasła aplikacji. Hasła aplikacji nie są automatycznie odwołyne, gdy hasło konta użytkownika zostanie odwołane/zresetowane. Użytkownik powinien usunąć istniejące hasła aplikacji i utworzyć nowe.
- Aby uzyskać więcej informacji, zobacz Tworzenie i usuwanie haseł aplikacji na stronie Dodatkowa weryfikacja zabezpieczeń.
Ostrzeżenie
Hasła aplikacji nie działają w środowiskach hybrydowych, w których klienci komunikują się zarówno z punktami końcowymi odnajdywania lokalnego, jak i z automatycznym odnajdywaniem w chmurze. Hasła domeny są wymagane do uwierzytelniania lokalnego. Hasła aplikacji są wymagane do uwierzytelniania w chmurze.
Nazwy haseł aplikacji
Nazwy haseł aplikacji powinny odzwierciedlać urządzenie, na którym są używane. Jeśli masz laptop, który ma aplikacje inne niż przeglądarki, takie jak Outlook, Word i Excel, utwórz jedno hasło aplikacji o nazwie Laptop dla tych aplikacji. Utwórz inne hasło aplikacji o nazwie Desktop dla tych samych aplikacji, które działają na komputerze stacjonarnym.
Zaleca się utworzenie jednego hasła aplikacji na urządzenie, a nie jednego hasła aplikacji na aplikację.
Hasła aplikacji federacyjnej lub logowania jednokrotnego
Usługa Microsoft Entra ID obsługuje federację lub logowanie jednokrotne (SSO) z usługami lokalna usługa Active Directory Domain Services (AD DS). Jeśli Twoja organizacja jest federacyjna z identyfikatorem Entra firmy Microsoft i korzystasz z uwierzytelniania wieloskładnikowego firmy Microsoft, obowiązują następujące zagadnienia dotyczące haseł aplikacji:
Uwaga
Poniższe punkty dotyczą tylko klientów federacyjnych (SSO).
- Hasła aplikacji są weryfikowane przez identyfikator Entra firmy Microsoft, a zatem pomijanie federacji. Federacja jest aktywnie używana tylko podczas konfigurowania haseł aplikacji.
- Dostawca tożsamości (IdP) nie jest kontaktowany z użytkownikami federacyjnym (SSO), w przeciwieństwie do przepływu pasywnego. Hasła aplikacji są przechowywane na koncie służbowym. Jeśli użytkownik opuści firmę, informacje o użytkowniku będą przepływać do konta służbowego przy użyciu narzędzia DirSync w czasie rzeczywistym. Synchronizacja wyłączenia/usunięcia konta może potrwać do trzech godzin, co może opóźnić wyłączenie/usunięcie hasła aplikacji w usłudze Microsoft Entra ID.
- Lokalne ustawienia kontroli dostępu klienta nie są honorowane przez funkcję haseł aplikacji.
- Funkcja haseł aplikacji nie jest dostępna w przypadku funkcji rejestrowania uwierzytelniania lokalnego ani inspekcji.
Niektóre zaawansowane architektury wymagają kombinacji poświadczeń na potrzeby uwierzytelniania wieloskładnikowego z klientami. Te poświadczenia mogą zawierać nazwę użytkownika i hasła konta służbowego oraz hasła aplikacji. Wymagania zależą od sposobu wykonywania uwierzytelniania. W przypadku klientów uwierzytelniających się w infrastrukturze lokalnej wymagana jest nazwa użytkownika konta służbowego i hasło. W przypadku klientów, którzy uwierzytelniają się względem identyfikatora Entra firmy Microsoft, wymagane jest hasło aplikacji.
Załóżmy na przykład, że masz następującą architekturę:
- Lokalne wystąpienie usługi Active Directory jest federacyjne z identyfikatorem Entra firmy Microsoft.
- Używasz usługi Exchange Online.
- Używasz Skype dla firm lokalnie.
- Używasz uwierzytelniania wieloskładnikowego firmy Microsoft.
W tym scenariuszu są używane następujące poświadczenia:
- Aby zalogować się do Skype dla firm, użyj nazwy użytkownika i hasła konta służbowego.
- Aby uzyskać dostęp do książki adresowej z klienta programu Outlook łączącego się z usługą Exchange Online, użyj hasła aplikacji.
Zezwalanie użytkownikom na tworzenie haseł aplikacji
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Domyślnie użytkownicy nie mogą tworzyć haseł aplikacji. Aby użytkownicy mogli z nich korzystać, należy włączyć funkcję haseł aplikacji. Aby umożliwić użytkownikom tworzenie haseł aplikacji, administrator musi wykonać następujące czynności:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
Przejdź do lokalizacji nazwanych dostępu>warunkowego.
Kliknij pozycję "Skonfiguruj zaufane adresy IP usługi MFA" na pasku u góry pozycji Dostęp warunkowy | Okno Nazwane lokalizacje .
Na stronie uwierzytelnianie wieloskładnikowe wybierz opcję Zezwalaj użytkownikom na tworzenie haseł aplikacji do logowania się do aplikacji innych niż przeglądarki.
Uwaga
Po wyłączeniu możliwości tworzenia haseł aplikacji przez użytkowników istniejące hasła aplikacji będą nadal działać. Jednak użytkownicy nie mogą zarządzać tymi istniejącymi hasłami aplikacji ani usuwać ich po wyłączeniu tej możliwości.
Po wyłączeniu możliwości tworzenia haseł aplikacji zaleca się również utworzenie zasad dostępu warunkowego w celu wyłączenia korzystania ze starszego uwierzytelniania. Takie podejście uniemożliwia działanie istniejących haseł aplikacji i wymusza korzystanie z nowoczesnych metod uwierzytelniania.
Tworzenie hasła aplikacji
Po zakończeniu początkowej rejestracji na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft istnieje możliwość utworzenia haseł aplikacji na końcu procesu rejestracji.
Użytkownicy mogą również tworzyć hasła aplikacji po rejestracji. Aby uzyskać więcej informacji i szczegółowe kroki dla użytkowników, zobacz następujący zasób:
Następne kroki
- Aby uzyskać więcej informacji na temat szybkiego rejestrowania użytkowników w celu uzyskania uwierzytelniania wieloskładnikowego firmy Microsoft, zobacz Omówienie rejestracji połączonych informacji o zabezpieczeniach.
- Aby uzyskać więcej informacji na temat stanów użytkowników z włączoną obsługą i wymuszonym uwierzytelnianiem wieloskładnikowym firmy Microsoft, zobacz Włączanie uwierzytelniania wieloskładnikowego firmy Microsoft entra w celu zabezpieczenia zdarzeń logowania