分享方式:


使用應用程式密碼對舊版應用程式強制執行 Microsoft Entra 多重要素驗證

某些舊版的非瀏覽器應用程式 (例如 Office 2010 或更早版本和 iOS 11 之前的 Apple Mail) 無法理解驗證程序中的暫停或中斷。 若 Microsoft Entra 多重要素驗證 (Microsoft Entra 多重要素驗證) 使用者嘗試登入其中一個舊版非瀏覽器應用程式,則無法成功驗證。 若要強制使用者帳戶使用 Microsoft Entra 多重要素驗證,以安全方式使用這些應用程式,您可以使用應用程式密碼。 這些應用程式密碼會取代您的傳統密碼,讓應用程式略過多重要素驗證並正常運作。

Microsoft Office 2013 用戶端和更新版本支援新式驗證。 Office 2013 用戶端 (包括 Outlook) 支援新式驗證通訊協定,而且可搭配雙步驟驗證運作。 強制執行 Microsoft Entra 多重要素驗證之後,用戶端就不需要使用應用程式密碼。

本文說明如何針對不支援多重要素驗證提示的舊版應用程式,使用應用程式密碼。

注意

應用程式密碼不適用於使用新式驗證所需的帳戶。

概觀和考量

針對 Microsoft Entra 多重要素驗證強制執行使用者帳戶時,一般登入提示會因為要求其他驗證而中斷。 有些較舊的應用程式不了解此登入程式中斷,因而使驗證失敗。 若要維護使用者帳戶安全性並保留強制執行 Microsoft Entra 多重要素驗證,可使用應用程式密碼,而不是使用者的一般使用者名稱和密碼。 登入期間使用應用程式密碼時,沒有額外的驗證提示,因此驗證會成功。

系統會自動產生應用程式密碼,而不是任使用者指定。 自動產生的密碼較不容易被攻擊者猜中,因此更加安全。 使用者不需要追蹤密碼或每次都輸入密碼,因為每個應用程式只能輸入一次應用程式密碼。

當您使用應用程式密碼時,請注意下列考慮事項:

  • 每位使用者的應用程式密碼以 40 組為限。
  • 由於公司或學校帳戶以外的位置無法得知應用程式密碼,因此快取密碼並在內部部署案例中使用這些密碼的應用程式可能會失敗。 將 Exchange 電子郵件存放在內部部署設施,但是將封存郵件存放在雲端即是此案例的一個範例。 在此案例中,同樣的密碼無法適用於兩者。
  • 在使用者帳戶強制執行 Microsoft Entra 多重要素驗證之後,大部分非瀏覽器用戶端 (例如 Outlook 和 Microsoft 商務用 Skype) 就可以使用應用程式密碼。 然而,透過非瀏覽器的應用程式 (例如 Windows PowerShell) 使用應用程式密碼無法執行系統管理動作。 即使使用者具有系統管理員帳戶,仍無法執行動作。
    • 若要執行 PowerShell 指令碼,請使用強式密碼建立服務帳戶,且請勿對該帳戶強制執行雙步驟驗證。
  • 如果您懷疑使用者帳戶遭到入侵,並撤銷/重設帳戶密碼,同時也應該更新應用程式密碼。 撤銷/重設使用者帳戶密碼時,不會自動撤銷應用程式密碼。 使用者應刪除現有的應用程式密碼,並建立新的密碼。

警告

應用程式密碼無法在用戶端會同時與內部部署及雲端自動探索端點通訊的混合環境作用。 需要網域密碼才能驗證內部部署。 需要應用程式密碼才能向雲端驗證。

應用程式密碼名稱

應用程式密碼名稱應該反映出它們用在哪個裝置。 如果膝上型電腦有 Outlook、Word 及 Excel 之類的非瀏覽器應用程式,請針對這些應用程式建立一個名為 Laptop 的應用程式密碼。 接著,為在桌上型電腦上執行的同樣應用程式建立另一個應用程式密碼,名為 Desktop

建議為每部裝置各建立一個應用程式密碼,而不是為每個應用程式建立一個應用程式密碼。

同盟或單一登入應用程式密碼

Microsoft Entra ID 使用內部部署 Active Directory Domain Services (AD DS) 支援同盟或單一登入 (SSO)。 如果貴組織與 Microsoft Entra ID 同盟,且您是使用 Microsoft Entra 多重要素驗證,則需考慮以下應用程式密碼注意事項:

注意

下列各點僅適用於同盟 (SSO) 客戶。

  • 應用程式密碼由 Microsoft Entra ID 驗證,因此會略過同盟。 唯有在設定應用程式密碼時才會主動使用同盟。
  • 對於同盟 (SSO) 使用者,不會像被動流程一樣連絡識別提供者 (IdP)。 應用程式密碼會儲存在公司或學校帳戶中。 如果使用者離開公司,使用者的資訊就會即時使用 DirSync 流向公司或學校帳戶。 停用/刪除帳戶最多可能需要三小時的時間來同步處理,而這可能會使在 Microsoft Entra ID 中停用/刪除應用程式密碼有所延遲。
  • 應用程式密碼功能不會遵守內部部署用戶端存取控制設定。
  • 應用程式密碼功能不適用於內部部署驗證記錄或稽核功能。

某些進階的架構需要認證組合以對用戶端進行多重要素驗證。 這些認證可能包含公司或學校帳戶使用者名稱和密碼,以及應用程式密碼。 這些需求取決於執行驗證的方式。 對於根據內部部署基礎結構進行驗證的用戶端,需要公司或學校帳戶的使用者名稱和密碼。 對於根據 Microsoft Entra ID 進行驗證的用戶端,需要應用程式密碼。

例如,假設您有下列架構:

  • Active Directory 的內部部署執行個體與 Microsoft Entra ID 同盟。
  • 您使用 Exchange Online。
  • 您使用內部部署商務用 Skype。
  • 您使用 Microsoft Entra 多重要素驗證。

在此案例中,您要使用下列認證:

  • 若要登入商務用 Skype,請使用您公司或學校帳戶的使用者名稱和密碼。
  • 若要從連線至 Exchange Online 的 Outlook 用戶端存取通訊錄,請使用應用程式密碼。

允許使用者建立應用程式密碼

提示

根據您開始使用的入口網站,本文中的步驟可能會略有不同。

根據預設,使用者無法建立應用程式密碼。 必須先啟用應用程式密碼功能,使用者才能使用應用程式密碼。 若要讓使用者能夠建立應用程式密碼,管理員必須完成下列步驟:

  1. 至少以驗證原則系統管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [條件式存取]>[具名位置]

  3. 按一下 [條件式存取] | [具名位置] 視窗頂端列中的 [設定 MFA 信任的 IP]

  4. 在 [多重要素驗證] 頁面上,選取 [允許使用者建立應用程式密碼以登入非瀏覽器應用程式] 選項。

    螢幕擷取畫面:顯示多重要素驗證的服務設定,允許使用者建立應用程式密碼

注意

當您停用使用者建立應用程式密碼的能力時,現有的應用程式密碼仍可繼續使用。 但是,當您停用此功能之後,使用者便無法管理或刪除這些現有的應用程式密碼。

當您停用建立應用程式密碼的功能時,也建議您建立條件式存取原則以停用舊版驗證。 此方法可防止現有的應用程式密碼繼續運作,並強制使用新式驗證方法。

建立應用程式密碼

當使用者完成 Microsoft Entra 多重要素驗證的初始註冊時,可以在註冊程序結束時使用建立應用程式密碼的選項。

使用者也可以在註冊後建立應用程式密碼。 如需使用者的詳細資訊和詳細步驟,請參閱下列資源:

下一步