Framtvinga Microsoft Entra-multifaktorautentisering med äldre program med hjälp av applösenord

Vissa äldre appar som inte är webbläsarappar som Office 2010 eller tidigare och Apple Mail före iOS 11 förstår inte pauser eller pauser i autentiseringsprocessen. En Microsoft Entra-multifaktorautentisering (Microsoft Entra multifaktorautentisering) som försöker logga in på någon av dessa äldre appar som inte är webbläsarappar kan inte autentiseras. Om du vill använda dessa program på ett säkert sätt med Microsoft Entra multifaktorautentisering som tillämpas för användarkonton kan du använda applösenord. Dessa applösenord ersatte ditt traditionella lösenord så att en app kan kringgå multifaktorautentisering och fungera korrekt.

Modern autentisering stöds för Microsoft Office 2013-klienter och senare. Office 2013-klienter, inklusive Outlook, stöder moderna autentiseringsprotokoll och kan fungera med tvåstegsverifiering. När Microsoft Entra multifaktorautentisering har tillämpats krävs inte applösenord för klienten.

Den här artikeln visar hur du använder applösenord för äldre program som inte stöder frågor om multifaktorautentisering.

Kommentar

Applösenord fungerar inte för konton som krävs för att använda modern autentisering.

Översikt och överväganden

När ett användarkonto tillämpas för Microsoft Entra multifaktorautentisering avbryts den vanliga inloggningsprompten av en begäran om ytterligare verifiering. Vissa äldre program förstår inte den här pausen i inloggningsprocessen, så autentiseringen misslyckas. För att upprätthålla säkerheten för användarkontot och låta Microsoft Entra multifaktorautentisering tillämpas kan applösenord användas i stället för användarens vanliga användarnamn och lösenord. När ett applösenord används under inloggningen finns det ingen ytterligare verifieringsprompt, så autentiseringen lyckas.

Applösenord genereras automatiskt och anges inte av användaren. Det här automatiskt genererade lösenordet gör det svårare för en angripare att gissa, så det är säkrare. Användare behöver inte hålla reda på lösenorden eller ange dem varje gång som applösenord endast anges en gång per program.

När du använder applösenord gäller följande överväganden:

• Det finns en gräns på 40 applösenord per användare.
• Program som cachelagrar lösenord och använder dem i lokala scenarier kan misslyckas eftersom applösenordet inte är känt utanför arbets- eller skolkontot. Ett exempel på det här scenariot är Exchange-e-postmeddelanden som finns lokalt, men den arkiverade e-posten finns i molnet. I det här scenariot fungerar inte samma lösenord.
• När Microsoft Entra multifaktorautentisering har tillämpats på ett användarkonto kan applösenord användas med de flesta klienter som inte är webbläsare, till exempel Outlook och Microsoft Skype för företag. Administrativa åtgärder kan dock inte utföras med hjälp av applösenord via program som inte är webbläsare, till exempel Windows PowerShell. Åtgärderna kan inte utföras även när användaren har ett administrativt konto.
  • Om du vill köra PowerShell-skript skapar du ett tjänstkonto med ett starkt lösenord och framtvingar inte kontot för tvåstegsverifiering.
• Om du misstänker att ett användarkonto har komprometterats och återkallar/återställer kontolösenordet bör även applösenord uppdateras. Applösenord återkallas inte automatiskt när ett användarkontolösenord återkallas/återställs. Användaren bör ta bort befintliga applösenord och skapa nya.
  • Mer information finns i Skapa och ta bort applösenord från sidan Ytterligare säkerhetsverifiering.

Varning

Applösenord fungerar inte i hybridmiljöer där klienter kommunicerar med både lokala och molnbaserade slutpunkter för automatisk identifiering. Domänlösenord krävs för att autentisera lokalt. Applösenord krävs för att autentisera med molnet.

Namn på applösenord

Applösenordsnamn bör återspegla den enhet som de används på. Om du har en bärbar dator som inte har webbläsarprogram som Outlook, Word och Excel skapar du ett applösenord med namnet Laptop för dessa appar. Skapa ett annat applösenord med namnet Desktop för samma program som körs på din stationära dator.

Vi rekommenderar att du skapar ett applösenord per enhet i stället för ett applösenord per program.

Federerade applösenord eller lösenord för enkel inloggning

Microsoft Entra ID stöder federation eller enkel inloggning (SSO) med lokal Active Directory Domain Services (AD DS). Om din organisation är federerad med Microsoft Entra-ID och du använder Microsoft Entra multifaktorautentisering gäller följande överväganden för applösenord:

Kommentar

Följande punkter gäller endast för federerade kunder (SSO).

• Applösenord verifieras av Microsoft Entra-ID och kringgår därför federation. Federation används endast aktivt när du konfigurerar applösenord.
• Identitetsprovidern (IdP) kontaktas inte för federerade användare (SSO), till skillnad från det passiva flödet. Applösenorden lagras i arbets- eller skolkontot. Om en användare lämnar företaget flödar användarens information till arbets- eller skolkontot med hjälp av DirSync i realtid. Det kan ta upp till tre timmar att synkronisera inaktivera/ta bort kontot, vilket kan fördröja inaktiveringen/borttagningen av applösenordet i Microsoft Entra-ID.
• Inställningar för lokal klientåtkomstkontroll respekteras inte av funktionen för applösenord.
• Ingen lokal autentiseringsloggning eller granskningsfunktion är tillgänglig med funktionen för applösenord.

Vissa avancerade arkitekturer kräver en kombination av autentiseringsuppgifter för multifaktorautentisering med klienter. Dessa autentiseringsuppgifter kan innehålla användarnamn och lösenord för ett arbets- eller skolkonto samt applösenord. Kraven beror på hur autentiseringen utförs. För klienter som autentiserar mot en lokal infrastruktur krävs användarnamn och lösenord för ett arbets- eller skolkonto. För klienter som autentiserar mot Microsoft Entra-ID krävs ett applösenord.

Anta till exempel att du har följande arkitektur:

• Din lokala instans av Active Directory är federerad med Microsoft Entra-ID.
• Du använder Exchange Online.
• Du använder Skype för företag lokalt.
• Du använder Microsoft Entra multifaktorautentisering.

I det här scenariot använder du följande autentiseringsuppgifter:

• Om du vill logga in på Skype för företag använder du användarnamnet och lösenordet för ditt arbets- eller skolkonto.
• Om du vill komma åt adressboken från en Outlook-klient som ansluter till Exchange Online använder du ett applösenord.

Tillåt användare att skapa applösenord

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Som standard kan användarna inte skapa applösenord. Funktionen för applösenord måste vara aktiverad innan användarna kan använda dem. För att ge användarna möjlighet att skapa applösenord måste administratören utföra följande steg:

1. Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.

2. Bläddra till Namngivna platser för villkorlig åtkomst>.

3. Klicka på "Konfigurera betrodda IP-adresser för MFA" i fältet överst i villkorlig åtkomst | Fönstret Namngivna platser .

4. På sidan Multifaktorautentisering väljer du alternativet Tillåt användare att skapa applösenord för att logga in på appar som inte är webbläsare.

   

Kommentar

När du inaktiverar möjligheten för användare att skapa applösenord fortsätter befintliga applösenord att fungera. Användarna kan dock inte hantera eller ta bort de befintliga applösenorden när du inaktiverar den här möjligheten.

När du inaktiverar möjligheten att skapa applösenord rekommenderar vi också att du skapar en princip för villkorsstyrd åtkomst för att inaktivera användningen av äldre autentisering. Den här metoden förhindrar att befintliga applösenord fungerar och tvingar fram användning av moderna autentiseringsmetoder.

Skapa ett applösenord

När användarna slutför sin första registrering för Microsoft Entra multifaktorautentisering finns det ett alternativ för att skapa applösenord i slutet av registreringsprocessen.

Användare kan också skapa applösenord efter registreringen. Mer information och detaljerade steg för användarna finns i följande resurs:

• Skapa applösenord från sidan Säkerhetsinformation

Nästa steg

• Mer information om hur du gör det möjligt för användare att snabbt registrera sig för Microsoft Entra multifaktorautentisering finns i Översikt över kombinerad registrering av säkerhetsinformation.
• Mer information om aktiverade och framtvingade användartillstånd för Microsoft Entra multifaktorautentisering finns i Aktivera multifaktorautentisering per användare i Microsoft Entra för att skydda inloggningshändelser