Wymuszanie uwierzytelniania wieloskładnikowego Microsoft Entra w starszych aplikacjach przy użyciu haseł aplikacji.

Niektóre starsze aplikacje niezwiązane z przeglądarkami, takie jak Office 2010 lub wcześniejsze wersje oraz Apple Mail przed iOS 11, nie rozumieją przerw ani zatrzymań w procesie uwierzytelniania. Użytkownik uwierzytelniania wieloskładnikowego firmy Microsoft (Microsoft Entra Multifactor Authentication), który próbuje zalogować się do jednej ze starszych aplikacji, innych niż przeglądarka, nie może pomyślnie uwierzytelnić się. Aby używać tych aplikacji w bezpieczny sposób z uwierzytelnianiem wieloskładnikowym firmy Microsoft wymuszanym dla kont użytkowników, możesz użyć haseł aplikacji. Te hasła aplikacji zastąpiły tradycyjne hasło, aby umożliwić aplikacji obejście uwierzytelniania wieloskładnikowego i poprawne działanie.

Nowoczesne uwierzytelnianie jest obsługiwane dla klientów pakietu Microsoft Office 2013 i nowszych. Klienci pakietu Office 2013, w tym outlook, obsługują nowoczesne protokoły uwierzytelniania i mogą pracować z weryfikacją dwuetapową. Po wymusieniu uwierzytelniania wieloskładnikowego firmy Microsoft hasła aplikacji nie są wymagane dla klienta.

W tym artykule pokazano, jak używać haseł aplikacji dla starszych aplikacji, które nie obsługują monitów uwierzytelniania wieloskładnikowego.

Uwaga

Hasła aplikacji nie działają w przypadku kont, które są wymagane do korzystania z nowoczesnego uwierzytelniania.

Omówienie i zagadnienia

Gdy na koncie użytkownika jest włączone uwierzytelnianie wieloskładnikowe Microsoft Entra, regularny monit logowania jest przerywany żądaniem dodatkowej weryfikacji. Niektóre starsze aplikacje nie rozumieją tego przerwania w procesie logowania, dlatego uwierzytelnianie kończy się niepowodzeniem. Aby zachować bezpieczeństwo konta użytkownika i pozostawić wymuszone uwierzytelnianie wieloskładnikowe Microsoft Entra, można używać haseł aplikacji zamiast regularnej nazwy użytkownika i hasła. Jeśli podczas logowania jest używane hasło aplikacji, nie ma dodatkowego monitu o weryfikację, więc uwierzytelnianie zakończy się pomyślnie.

Hasła aplikacji są generowane automatycznie, a nie określone przez użytkownika. To automatycznie wygenerowane hasło utrudnia atakującemu odgadnięcie, więc jest bezpieczniejsze. Użytkownicy nie muszą śledzić haseł ani wprowadzać ich za każdym razem, gdy hasła aplikacji są wprowadzane tylko raz na aplikację.

W przypadku korzystania z haseł aplikacji należy wziąć pod uwagę następujące kwestie:

• Istnieje limit 40 haseł aplikacji na użytkownika.
• Aplikacje buforujące hasła i korzystające z nich w scenariuszach lokalnych mogą zakończyć się niepowodzeniem, ponieważ hasło aplikacji nie jest znane poza kontem służbowym. Przykładem tego scenariusza są wiadomości e-mail programu Exchange, które są lokalne, ale zarchiwizowana poczta znajduje się w chmurze. W tym scenariuszu to samo hasło nie działa.
• Po wymusieniu uwierzytelniania wieloskładnikowego firmy Microsoft na koncie użytkownika hasła aplikacji mogą być używane z większością klientów innych niż przeglądarki, takich jak Outlook i Microsoft Skype dla firm. Nie można jednak wykonywać akcji administracyjnych przy użyciu haseł aplikacji za pośrednictwem aplikacji innych niż przeglądarki, takich jak program Windows PowerShell. Nie można wykonać akcji nawet wtedy, gdy użytkownik ma konto administracyjne.
  • Aby uruchomić skrypty programu PowerShell, utwórz konto usługi z silnym hasłem i nie wymuszaj konta na potrzeby weryfikacji dwuetapowej.
• Jeśli podejrzewasz, że konto użytkownika zostało naruszone i odwołujesz/zresetujesz hasło do konta, powinieneś również zaktualizować hasła do aplikacji. Hasła aplikacji nie są automatycznie odwołyne, gdy hasło konta użytkownika zostanie odwołane/zresetowane. Użytkownik powinien usunąć istniejące hasła aplikacji i utworzyć nowe.
  • Aby uzyskać więcej informacji, zobacz Tworzenie i usuwanie haseł aplikacji na stronie Dodatkowa weryfikacja zabezpieczeń.

Ostrzeżenie

Hasła aplikacji nie działają w środowiskach hybrydowych, w których klienci komunikują się zarówno z punktami końcowymi na miejscu, jak i z punktami końcowymi automatycznego odnajdywania w chmurze. Hasła domeny są wymagane do uwierzytelniania lokalnego. Hasła aplikacji są wymagane do uwierzytelniania w chmurze.

Nazwy haseł aplikacji

Nazwy haseł aplikacji powinny odzwierciedlać urządzenie, na którym są używane. Jeśli masz laptop, który ma aplikacje inne niż przeglądarki, takie jak Outlook, Word i Excel, utwórz jedno hasło aplikacji o nazwie Laptop dla tych aplikacji. Utwórz inne hasło aplikacji o nazwie Desktop dla tych samych aplikacji, które działają na komputerze stacjonarnym.

Zaleca się utworzenie jednego hasła aplikacji na urządzenie, a nie jednego hasła aplikacji na aplikację.

Hasła aplikacji do logowania federacyjnego lub jednokrotnego

Microsoft Entra ID obsługuje federację lub pojedyncze logowanie (SSO) z lokalnym Active Directory Domain Services (AD DS). Jeśli Twoja organizacja jest federacyjna z identyfikatorem Entra firmy Microsoft i korzystasz z uwierzytelniania wieloskładnikowego firmy Microsoft, obowiązują następujące zagadnienia dotyczące haseł aplikacji:

Uwaga

Poniższe punkty dotyczą tylko klientów federacyjnych (SSO).

• Hasła aplikacji są weryfikowane przez Microsoft Entra ID, dlatego pomijają federację. Federacja jest aktywnie używana tylko podczas konfigurowania haseł aplikacji.
• Dostawca tożsamości (IdP) nie jest kontaktowany z użytkownikami federacyjnym (SSO), w przeciwieństwie do przepływu pasywnego. Hasła aplikacji są przechowywane na koncie służbowym. Jeśli użytkownik opuści firmę, informacje o użytkowniku będą przepływać do konta służbowego przy użyciu narzędzia DirSync w czasie rzeczywistym. Synchronizacja wyłączenia/usunięcia konta może potrwać do trzech godzin, co może opóźnić wyłączenie/usunięcie hasła aplikacji w usłudze Microsoft Entra ID.
• Lokalne ustawienia kontroli dostępu klienta nie są honorowane przez funkcję haseł aplikacji.
• Funkcja haseł aplikacji nie obsługuje rejestrowania ani audytu uwierzytelniania w systemach lokalnych.

Niektóre zaawansowane architektury wymagają kombinacji poświadczeń na potrzeby uwierzytelniania wieloskładnikowego z klientami. Te poświadczenia mogą zawierać nazwę użytkownika i hasła konta służbowego oraz hasła aplikacji. Wymagania zależą od sposobu wykonywania uwierzytelniania. W przypadku klientów uwierzytelniających się przeciwko infrastrukturze lokalnej wymagana jest nazwa użytkownika konta służbowego lub szkolnego i hasło. W przypadku klientów, którzy uwierzytelniają się względem identyfikatora Entra firmy Microsoft, wymagane jest hasło aplikacji.

Załóżmy na przykład, że masz następującą architekturę:

• Twoje lokalne wystąpienie usługi Active Directory jest zafederowane z Microsoft Entra ID.
• Używasz usługi Exchange Online.
• Używasz Skype dla firm lokalnie.
• Używasz uwierzytelniania wieloskładnikowego firmy Microsoft.

W tym scenariuszu są używane następujące poświadczenia:

• Aby zalogować się do Skype dla firm, użyj nazwy użytkownika i hasła konta służbowego.
• Aby uzyskać dostęp do książki adresowej z klienta programu Outlook łączącego się z usługą Exchange Online, użyj hasła aplikacji.

Zezwalanie użytkownikom na tworzenie haseł aplikacji

Domyślnie użytkownicy nie mogą tworzyć haseł aplikacji. Aby użytkownicy mogli z nich korzystać, należy włączyć funkcję haseł aplikacji. Aby umożliwić użytkownikom tworzenie haseł aplikacji, administrator musi wykonać następujące czynności:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

2. Przejdź do lokalizacji nazwanych dostępu>warunkowego.

3. Wybierz "Konfigurowanie zaufanych adresów IP MFA" na pasku u góry okna Dostęp warunkowy | Nazwane lokalizacje.

4. Na stronie uwierzytelnianie wieloskładnikowe wybierz opcję Zezwalaj użytkownikom na tworzenie haseł aplikacji do logowania się do aplikacji innych niż przeglądarki.

   

Uwaga

Po wyłączeniu możliwości tworzenia haseł aplikacji przez użytkowników istniejące hasła aplikacji będą nadal działać. Jednak użytkownicy nie mogą zarządzać tymi istniejącymi hasłami aplikacji ani usuwać ich po wyłączeniu tej możliwości.

Po wyłączeniu możliwości tworzenia haseł aplikacji zaleca się również utworzenie zasad dostępu warunkowego w celu wyłączenia korzystania ze starszego uwierzytelniania. Takie podejście uniemożliwia działanie istniejących haseł aplikacji i wymusza korzystanie z nowoczesnych metod uwierzytelniania.

Tworzenie hasła aplikacji

Po zakończeniu początkowej rejestracji na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft istnieje możliwość utworzenia haseł aplikacji na końcu procesu rejestracji.

Użytkownicy mogą również tworzyć hasła aplikacji po rejestracji. Aby uzyskać więcej informacji i szczegółowe kroki dla użytkowników, zobacz następujący zasób:

• Tworzenie haseł aplikacji na stronie Informacje o zabezpieczeniach

Następne kroki

• Aby uzyskać więcej informacji na temat tego, jak umożliwić użytkownikom szybkie zarejestrowanie się do Microsoft Entra uwierzytelniania wieloskładnikowego, zobacz Omówienie rejestracji połączonych informacji o zabezpieczeniach.
• Aby uzyskać więcej informacji na temat stanów użytkowników z włączonym i wymuszonym uwierzytelnianiem wieloskładnikowym Microsoft Entra, zobacz Włączanie uwierzytelniania wieloskładnikowego Microsoft Entra w celu ochrony zdarzeń logowania