События
9 апр., 15 - 10 апр., 12
Закодируете будущее с помощью ИИ и подключитесь к одноранговым узлам и экспертам Java в JDConf 2025.
ЗарегистрироватьсяЭтот браузер больше не поддерживается.
Выполните обновление до Microsoft Edge, чтобы воспользоваться новейшими функциями, обновлениями для системы безопасности и технической поддержкой.
Некоторые старые приложения, не использующие браузер, такие как Office 2010 или более ранней версии и Apple Mail до iOS 11 не поддерживают паузы или перерывы в процессе проверки подлинности. Пользователь Многофакторной проверки подлинности Microsoft Entra (многофакторная проверка подлинности Microsoft Entra), который пытается войти в одно из этих старых приложений, отличных от браузера, не может успешно пройти проверку подлинности. Чтобы использовать эти приложения в безопасном режиме с многофакторной проверкой подлинности Microsoft Entra, применяемой для учетных записей пользователей, можно использовать пароли приложений. Эти пароли приложений заменили традиционный пароль, чтобы позволить приложению обойти многофакторную проверку подлинности и правильно работать.
Современная аутентификация поддерживается для клиентов Microsoft Office 2013 и более поздних версий. Все клиенты Office 2013, включая Outlook, поддерживают новые протоколы проверки подлинности и могут использовать двухфакторную проверку подлинности. После применения многофакторной проверки подлинности Microsoft Entra пароли приложений не требуются для клиента.
В этой статье показано, как использовать пароли приложений для устаревших приложений, которые не поддерживают запросы многофакторной проверки подлинности.
Примечание
Пароли приложений не работают для учетных записей, необходимых для использования современной проверки подлинности.
Если для учетной записи пользователя включена многофакторная проверка подлинности Microsoft Entra, обычный запрос на вход будет прерван запросом на дополнительную проверку. Некоторые старые приложения не понимают этот перерыв в процессе входа, поэтому проверка подлинности завершается неудачно. Чтобы обеспечить безопасность для учетной записи пользователя и не отключать многофакторную проверку подлинности Microsoft Entra, вместо обычных имени пользователя и пароля можно использовать пароли приложений. Если во время входа используется пароль приложения, запрос на проверку подлинности отсутствует, поэтому проверка подлинности выполнена успешно.
Пароли приложений создаются автоматически, а не задаются пользователем. Автоматически созданный пароль сложнее подобрать, поэтому он более безопасен. Пользователям не понадобится записывать пароли или вводить их каждый раз, поскольку пароли приложений нужно вводить для каждого приложения только один раз.
При использовании паролей приложения необходимо учитывать следующие рекомендации:
Предупреждение
Пароли приложений не работают в гибридных средах, где клиенты взаимодействуют одновременно с локальными и облачными конечными точками автообнаружения. Для проверки подлинности в локальной среде необходимы пароли доменов. Для проверки подлинности в облачной среде необходимы пароли приложений.
Имена паролей приложений должны указывать название устройства, на котором они будут использоваться. Если у вас есть ноутбук с такими внебраузерными приложениями, как Outlook, Word и Excel, создайте всего один пароль приложения с именем Ноутбук для этих приложений. На настольном компьютере создайте для этого приложения новый пароль приложения с именем Настольный компьютер.
Рекомендуется создавать один пароль приложения для каждого устройства, а не для каждого приложения.
Идентификатор Microsoft Entra поддерживает федерацию или единый вход (SSO) с локальная служба Active Directory доменными службами (AD DS). Если ваша организация федеративна с идентификатором Microsoft Entra и используется многофакторная проверка подлинности Microsoft Entra, примените следующие рекомендации по использованию пароля приложения:
Примечание
Следующие пункты относятся только к федеративным клиентам (единый вход).
Для некоторых расширенных архитектур требуется сочетание учетных данных для многофакторной проверки подлинности с клиентами. имя пользователя и пароли рабочей или учебной учетной записи и пароли приложения. Требования зависят от того, как выполняется проверка подлинности. Что касается клиентов, выполняющих проверку подлинности в локальной инфраструктуре, использование имени пользователя и пароля рабочей или учебной учетной записи обязательно. Для клиентов, прошедших проверку подлинности в идентификаторе Microsoft Entra, требуется пароль приложения.
Предположим, что у вас есть следующая архитектура:
В этом сценарии можно использовать следующие учетные данные:
По умолчанию пользователи не могут создавать пароли приложений. Чтобы пользователи могли использовать возможность паролей приложений, ее сначала необходимо включить. Чтобы разрешить пользователям создавать пароли приложений, администратор должен сделать следующее:
Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
Перейдите к именованным расположениям условного доступа>
Выберите "Настройка доверенных IP-адресов MFA" в верхней части условного доступа | именованные расположения окна.
На странице многофакторной проверки подлинности выберите параметр "Разрешить пользователям создавать пароли приложений для входа в приложения, отличные от браузера".
Примечание
Если отключить для пользователей возможность создавать пароли приложений, существующие пароли приложений продолжат работать. Однако, если это сделать, пользователи не смогут удалять существующие пароли приложений или управлять ими.
Если вы решили отключить возможность создавать пароли приложений, также рекомендуется создать политику условного доступа, чтобы отключить использование устаревшей проверки подлинности. Такой подход позволяет предотвратить использование существующих паролей приложений и принудительно применяет современные методы проверки подлинности.
Когда пользователи завершают начальную регистрацию для многофакторной проверки подлинности Microsoft Entra, можно создать пароли приложений в конце процесса регистрации.
Пользователи также могут создавать пароли приложений после регистрации, Дополнительные сведения и подробные инструкции для пользователей см. в следующем ресурсе:
События
9 апр., 15 - 10 апр., 12
Закодируете будущее с помощью ИИ и подключитесь к одноранговым узлам и экспертам Java в JDConf 2025.
ЗарегистрироватьсяОбучение
Модуль
Защита пользователей Microsoft Entra с многофакторной проверкой подлинности - Training
Узнайте, как использовать многофакторную проверку подлинности с идентификатором Microsoft Entra для защиты учетных записей пользователей.
Сертификация
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Продемонстрировать функции идентификатора Microsoft Entra для модернизации решений удостоверений, реализации гибридных решений и реализации управления удостоверениями.