Принудительно применять многофакторную аутентификацию Microsoft Entra на устаревших приложениях с использованием паролей для приложений
Некоторые старые приложения, не использующие браузер, такие как Office 2010 или более ранней версии и Apple Mail до iOS 11 не поддерживают паузы или перерывы в процессе проверки подлинности. Пользователь Многофакторной проверки подлинности Microsoft Entra (многофакторная проверка подлинности Microsoft Entra), который пытается войти в одно из этих старых приложений, отличных от браузера, не может успешно пройти проверку подлинности. Чтобы использовать эти приложения в безопасном режиме с многофакторной проверкой подлинности Microsoft Entra, применяемой для учетных записей пользователей, можно использовать пароли приложений. Эти пароли приложений заменили традиционный пароль, чтобы позволить приложению обойти многофакторную проверку подлинности и правильно работать.
Современная аутентификация поддерживается для клиентов Microsoft Office 2013 и более поздних версий. Все клиенты Office 2013, включая Outlook, поддерживают новые протоколы проверки подлинности и могут использовать двухфакторную проверку подлинности. После применения многофакторной проверки подлинности Microsoft Entra пароли приложений не требуются для клиента.
В этой статье показано, как использовать пароли приложений для устаревших приложений, которые не поддерживают запросы многофакторной проверки подлинности.
Примечание.
Пароли приложений не работают для учетных записей, необходимых для использования современной проверки подлинности.
Общие сведения и рекомендации
Если для учетной записи пользователя включена многофакторная проверка подлинности Microsoft Entra, обычный запрос на вход будет прерван запросом на дополнительную проверку. Некоторые старые приложения не понимают этот перерыв в процессе входа, поэтому проверка подлинности завершается неудачно. Чтобы обеспечить безопасность для учетной записи пользователя и не отключать многофакторную проверку подлинности Microsoft Entra, вместо обычных имени пользователя и пароля можно использовать пароли приложений. Если во время входа используется пароль приложения, запрос на проверку подлинности отсутствует, поэтому проверка подлинности выполнена успешно.
Пароли приложений создаются автоматически, а не задаются пользователем. Автоматически созданный пароль сложнее подобрать, поэтому он более безопасен. Пользователям не понадобится записывать пароли или вводить их каждый раз, поскольку пароли приложений нужно вводить для каждого приложения только один раз.
При использовании паролей приложения необходимо учитывать следующие рекомендации:
- Максимальное количество паролей на пользователя — 40.
- Приложения, которые кэшируют пароли и используют их в локальных сценариях, могут не работать, потому что пароль приложения не известен за пределами рабочей или учебной учетной записи. Примером этого сценария являются сообщения электронной почты Exchange, которые хранятся локально, но архивируются в облаке. В этом сценарии один и тот же пароль работать не будет.
- После применения многофакторной проверки подлинности Microsoft Entra в учетной записи пользователя пароли приложений можно использовать с большинством клиентов, отличных от браузера, таких как Outlook и Microsoft Skype для бизнеса. Однако выполнить административные действия с помощью паролей приложений в приложениях, не использующих браузер, например Windows PowerShell, не удастся, Эти действия не могут быть выполнены, даже если у пользователя есть учетная запись администратора.
- Создайте учетную запись службы с надежным паролем для выполнения скриптов PowerShell и не применяйте для этой учетной записи двухфакторную проверку подлинности.
- Если вы подозреваете, что учетная запись пользователя скомпрометирована, и аннулируете или сбрасываете пароль учетной записи, необходимо также обновить пароли приложений. Пароли приложений не отменяются автоматически при аннуляции или сбросе пароля учетной записи пользователя. Пользователь должен удалить существующие пароли приложений и создать новые.
- Дополнительные сведения см. в разделе Создание и удаление паролей приложений на странице дополнительной проверки безопасности.
Предупреждение
Пароли приложений не работают в гибридных средах, где клиенты взаимодействуют одновременно с локальными и облачными конечными точками автообнаружения. Для проверки подлинности в локальной среде необходимы пароли доменов. Для проверки подлинности в облачной среде необходимы пароли приложений.
Имена паролей приложений
Имена паролей приложений должны указывать название устройства, на котором они будут использоваться. Если у вас есть ноутбук с такими внебраузерными приложениями, как Outlook, Word и Excel, создайте всего один пароль приложения с именем Ноутбук для этих приложений. Создайте другой пароль приложения с именем Desktop для тех же приложений, которые работают на вашем настольном компьютере.
Рекомендуется создавать один пароль приложения для каждого устройства, а не для каждого приложения.
Пароли приложений с федеративным или единым входом
Идентификатор Microsoft Entra поддерживает федерацию или единый вход (SSO) с локальными доменными службами Active Directory (AD DS). Если ваша организация интегрирована с Microsoft Entra ID и вы используете многофакторную аутентификацию Microsoft Entra, применяются следующие рекомендации по использованию паролей приложений:
Примечание.
Следующие пункты относятся только к клиентам, использующим единую систему входа (SSO).
- Пароли приложений проверяются идентификатором Microsoft Entra и поэтому обходят федерацию. Федерация активно используется только при настройке паролей приложений.
- В отличие от пассивного потока, для федеративных (SSO) пользователей не происходит обращения к поставщику удостоверений (IdP). Пароли приложений хранятся в рабочей или учебной учетной записи. Если пользователь покидает компанию, данные пользователя передаются в рабочую или учебную учетную запись с помощью DirSync в режиме реального времени. Отключение или удаление учетной записи может занять до трех часов для синхронизации, что может задержать отключение или удаление пароля приложения в системе Microsoft Entra ID.
- Параметры контроля доступа локальных клиентов не учитываются функцией использования паролей приложений.
- Для паролей приложений не предусмотрена возможность локального ведения журнала или аудита аутентификации.
Для некоторых расширенных архитектур требуется сочетание учетных данных для многофакторной проверки подлинности с клиентами. имя пользователя и пароли рабочей или учебной учетной записи и пароли приложения. Требования зависят от того, как выполняется проверка подлинности. Что касается клиентов, выполняющих проверку подлинности в локальной инфраструктуре, использование имени пользователя и пароля рабочей или учебной учетной записи обязательно. Для клиентов, аутентифицирующихся через Microsoft Entra ID, требуется пароль приложения.
Предположим, что у вас есть следующая архитектура:
- Локальный экземпляр Active Directory федеративно связан с идентификатором Microsoft Entra.
- Вы используете Exchange оnline.
- Вы используете Skype для бизнеса в локальной среде.
- Вы используете многофакторную проверку подлинности Microsoft Entra.
В этом сценарии можно использовать следующие учетные данные:
- Для входа в Skype для бизнеса используйте имя пользователя и пароль рабочей или учебной учетной записи.
- При доступе к адресной книге через клиент Outlook, который подключается к Exchange Online, используйте пароль приложения.
Предоставление пользователям разрешения создавать пароли приложений
По умолчанию пользователи не могут создавать пароли приложений. Чтобы пользователи могли использовать возможность паролей приложений, ее сначала необходимо включить. Чтобы разрешить пользователям создавать пароли приложений, администратор должен сделать следующее:
Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора политики проверки подлинности.
Перейдите к Условный доступ>Именованные расположения.
Выберите "Настройка доверенных IP-адресов MFA" в строке меню в верхней части окна Условного Доступа | Именованные Расположения.
На странице многофакторной проверки подлинности выберите параметр "Разрешить пользователям создавать пароли приложений для входа в приложения, отличные от браузера".
Примечание.
Если отключить для пользователей возможность создавать пароли приложений, существующие пароли приложений продолжат работать. Тем не менее, пользователи не смогут управлять существующими паролями приложений или удалять их, если вы отключите эту возможность.
Если вы решили отключить возможность создавать пароли приложений, также рекомендуется создать политику условного доступа, чтобы отключить использование устаревшей проверки подлинности. Такой подход позволяет предотвратить использование существующих паролей приложений и принудительно применяет современные методы проверки подлинности.
Создание пароля приложения
Когда пользователи завершают начальную регистрацию для многофакторной проверки подлинности Microsoft Entra, можно создать пароли приложений в конце процесса регистрации.
Пользователи также могут создавать пароли приложений после регистрации, Дополнительные сведения и подробные инструкции для пользователей см. в следующем ресурсе:
Следующие шаги
- Дополнительные сведения о том, как разрешить пользователям быстро подключиться к многофакторной аутентификации Microsoft Entra, см. в Обзоре объединенной регистрации сведений о безопасности.
- Дополнительные сведения об активации и принудительном включении состояний пользователей для многофакторной проверки подлинности Microsoft Entra см. в разделе "Включение многофакторной аутентификации Microsoft Entra для обеспечения безопасности событий входа"