Planowanie uwierzytelniania wieloskładnikowego we wdrożeniach usługi Office 365

Uwierzytelnianie wieloskładnikowe (MFA) to metoda uwierzytelniania, która wymaga użycia więcej niż jednej metody weryfikacji i dodaje drugą warstwę zabezpieczeń do procesów logowania i transakcji użytkownika. Jej działanie polega na tym, że wymaga zastosowania co najmniej dwóch dowolnych spośród następujących metod weryfikacji:

  • Losowo generowany kod

  • Rozmowa telefoniczna

  • (Wirtualna lub fizyczna) karta inteligentna

  • Urządzenie biometryczne

Uwierzytelnianie wieloskładnikowe w usłudze Office 365

Usługa Office 365 używa uwierzytelniania wieloskładnikowego w celu zapewnienia dodatkowych zabezpieczeń. Zarządzanie usługą odbywa się za pomocą portalu centrum administracyjne usługi Office 365. W ramach subskrypcji usługa Office 365 oferuje następujący podzestaw funkcji uwierzytelniania wieloskładnikowego Azure:

  • Możliwość włączania i wymuszania uwierzytelniania wieloskładnikowego dla użytkowników końcowych

  • Korzystanie z aplikacji mobilnej (online i hasła jednorazowego [OTP]) jako drugiego składnika uwierzytelniania

  • Korzystanie z połączenia telefonicznego jako drugiego składnika uwierzytelniania

  • Korzystanie z wiadomości SMS jako drugiego składnika uwierzytelniania

  • Hasła aplikacji dla klientów, którzy nie korzystają z przeglądarek, a na przykład z oprogramowania komunikacyjnego Microsoft Lync 2013

  • Domyślne powitanie firmy Microsoft podczas połączeń telefonicznych uwierzytelniania

Aby uzyskać pełną listę dodanych funkcji, zobacz porównanie wersji usługi Azure Multi-Factor Authentication. Pełną funkcjonalność można uzyskać, kupując usługę Azure Multi-Factor Authentication.

W zależności od tego, czy używasz wdrożenia usługi Office 365 tylko w chmurze, czy konfiguracji hybrydowej z logowaniem jednokrotnym i usługami Usługi federacyjne Active Directory (AD FS), otrzymujesz inny podzestaw funkcji.

Gdzie zarządzasz dzierżawą usługi Office 365?

Opcje drugiego składnika uwierzytelniania wieloskładnikowego

Tylko w chmurze

Uwierzytelnianie wieloskładnikowe usługi Azure Active Directory (wiadomość SMS lub połączenie telefoniczne)

Konfiguracja hybrydowa zarządzana lokalnie

Jeśli zarządzasz tożsamością użytkownika lokalnie, masz następujące opcje do wyboru:

Możesz również używać jakichkolwiek innych rozwiązań uwierzytelniania wieloskładnikowego dostępnych w Twoim katalogu lokalnym. Na przykład inni dostawcy tożsamości zgodni z usługą federacyjną usług Azure AD mogą oferować różne rozwiązania uwierzytelniania wieloskładnikowego, którymi można zarządzać zgodnie ze specyfikacjami dostawcy tożsamości.

Na poniższej ilustracji pokazano, jak zaktualizowane aplikacje urządzeń pakietu Office 2013 (w systemie Windows) umożliwiają użytkownikom logowanie się przy użyciu uwierzytelniania wieloskładnikowego. Aplikacje urządzeń pakietu Office 2013 obsługują uwierzytelnianie wieloskładnikowe, używając biblioteki Active Directory Authentication Library (ADAL). Strona internetowa, na której użytkownicy mogą się logować, jest hostowana w usłudze Azure AD. Dostawcą tożsamości może być usługa Azure AD lub federacyjny dostawca tożsamości, taki jak usługi AD FS. Uwierzytelnianie w przypadku użytkowników federacyjnych składa się z następujących czynności:

  1. Usługa Azure AD przekierowuje użytkownika do strony internetowej logowania hostowanej przez dostawcę tożsamości rekordu dzierżawy usługi Office 365. Dostawca tożsamości jest ustalany na podstawie domeny określonej w nazwie logowania użytkownika.

  2. Użytkownik loguje się na stronie internetowej logowania na swoim urządzeniu.

  3. Po pomyślnym zalogowaniu się użytkownika dostawca tożsamości zwraca token do usługi Azure AD.

  4. Usługa Azure AD zwraca token sieci Web JSON (JWT) do aplikacji urządzenia Office, a aplikacja urządzenia jest uwierzytelniana przy użyciu tokenu JWT w usłudze Office 365.

Szczegółowo przedstawia to poniższy rysunek:

Nowoczesne uwierzytelnianie dla aplikacji urządzeń z pakietem Office 2013.

Wymagania dotyczące oprogramowania

Aby włączyć uwierzytelnianie wieloskładnikowe dla aplikacji klienckich pakietu Office 2013, musisz mieć zainstalowane poniższe oprogramowanie (w wersji podanej na liście lub nowszej), w zależności od używanego rodzaju instalacji: szybkiej instalacji lub instalacji opartej na instalatorze MSI.

Aby ustalić, czy Twoja instalacja pakietu Office jest instalacją szybką, czy opartą na instalatorze MSI:

  1. Uruchom program Outlook 2013.

  2. W menu Plik wybierz pozycję Konto pakietu Office.

  3. W przypadku szybkich instalacji programu Outlook 2013 jest wyświetlany element Opcje aktualizacji. W przypadku instalacji opartych na instalatorze MSI element Opcje aktualizacji nie jest wyświetlany.

    Grafika pokazująca, jak stwierdzić, czy instalacja pakietu Office 2013 jest oparta na technologii Szybka instalacja, czy na instalatorze MSI

Szybkie instalacje

W przypadku szybkich instalacji musisz mieć zainstalowane poniższe oprogramowanie w wersji pliku podanej na liście lub nowszej. Jeśli wersja Twojego pliku nie jest taka sama jak wersja pliku na liście (lub wyższa), zaktualizuj ją, wykonując poniższe czynności.

Nazwa pliku

Ścieżka instalacji na komputerze

Wersja pliku

MSO.DLL

C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\MSO.DLL

15.0.4753.1001

CSI.DLL

CSI.DLL C:\Program Files\Microsoft Office 15\root\office15\csi.dll

15.0.4753.1000

Groove.EXE

C:\Program Files\Microsoft Office 15\root\office15\GROOVE.exe

15.0.4763.1000

Outlook.exe

C:\Program Files\Microsoft Office 15\root\office15\OUTLOOK.exe

15.0.4753.1002

ADAL.DLL

C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\ADAL.DLL

1.0.2016.624

Iexplore.exe

C:\Program Files\Internet Explorer

różne

Instalacje oparte na instalatorze MSI

W przypadku instalacji opartych na instalatorze MSI musisz mieć zainstalowane poniższe oprogramowanie w wersji pliku podanej na liście lub nowszej. Jeśli wersja Twojego pliku nie jest taka sama jak wersja pliku na liście (lub wyższa), zaktualizuj ją, korzystając z linku w kolumnie zawierającej artykuły bazy wiedzy na temat aktualizacji.

Nazwa pliku

Ścieżka instalacji na komputerze

Gdzie uzyskać aktualizację

Wersja

MSO.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\MSO.DLL

KB3085480

15.0.4753.1001

CSI.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Csi.dll

KB3085504

15.0.4753.1000

Groove.exe

C:\Program Files\Microsoft Office\Office15\GROOVE.EXE

KB3085509

15.0.4763.1000

Outlook.exe

C:\Program Files\Microsoft Office\Office15\OUTLOOK.EXE

KB3085495

15.0.4753.1002

ADAL.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\ADAL.DLL

KB3055000

1.0.2016.624

Iexplore.exe

C:\Program Files\Internet Explorer

MS14-052

Nie dotyczy

Włączanie uwierzytelniania wieloskładnikowego

Aby włączyć uwierzytelnianie wieloskładnikowe, musisz wykonać następujące czynności:

  1. Włącz klientów nowoczesnego uwierzytelniania:

  2. Skonfiguruj uwierzytelnianie wieloskładnikowe dla usługi Office 365.

  3. Poinstruuj poszczególnych użytkowników, jak logować się za pomocą uwierzytelniania wieloskładnikowego: Logowanie się w usłudze Office 365 przy użyciu weryfikacji dwuetapowej

Ważne : Jeśli włączono uwierzytelnianie wieloskładnikowe usługi Azure AD, a użytkownicy mają jakiekolwiek urządzenia z pakietem Office 2013, na których nie włączono nowoczesnego uwierzytelniania, użytkownicy muszą używać na tych urządzeniach kodów AppPassword. Więcej informacji na temat kodów AppPassword oraz kiedy, gdzie i jak ich używać, można znaleźć tutaj: Kody App Password z usługą Azure Multi-Factor Authentication.

Często zadawane pytania

Często zadawane pytania dotyczące nowoczesnego uwierzytelniania — artykuł typu wiki

Znane problemy:   

Nowoczesne uwierzytelnianie w pakiecie Office 2013 i usłudze Office 365 ProPlus: co trzeba wiedzieć przed dołączeniem

Rozwiązywanie problemów z usługą Azure Multi-Factor Authentication   

Zobacz Rozwiązywanie problemów z uwierzytelnianiem wieloskładnikowym Azure.

Jak rozwiązywać problemy z logowaniem przy użyciu nowoczesnego uwierzytelniania w pakiecie Office 2013, gdy używasz usług AD FS

Gdy nie działają identyfikatory alternatywne:   

Jak rozwiązywać problemy ze zduplikowanymi nazwami UPN przy użyciu programu PowerShell

Skrypt umożliwiający naprawienie zduplikowanych głównych nazw użytkowników (UPN)

Filtrowanie dostępu klientów:   

Nowoczesne uwierzytelnianie w pakiecie Office 2013 i usłudze Office 365 ProPlus oraz zasady filtrowania dostępu klientów: co trzeba wiedzieć przed dołączeniem

Które aplikacje obsługują uwierzytelnianie wieloskładnikowe?   

Windows

Mac

iOS

Telefon z systemem Android

Tablet z systemem Android

Nowoczesne uwierzytelnianie dla programów Word 2013, Word 2016, Excel 2013, Excel 2016, PowerPoint 2013, PowerPoint 2016, OneNote 2013, OneNote 2016, Project 2013, Project 2016, Visio 2013, Visio 2016, Lync 2013 i Skype dla firm jest obsługiwane w tej wersji.

Nowoczesne uwierzytelnianie dla programów Word 2016 dla komputerów Mac, Excel 2016 dla komputerów Mac i PowerPoint 2016 dla komputerów Mac jest obsługiwane w tej wersji.

Nowoczesne uwierzytelnianie dla aplikacji Word dla tabletu iPad, Excel dla tabletu iPad i PowerPoint dla tabletu iPad jest obsługiwane w tej wersji.

Nowoczesne uwierzytelnianie dla aplikacji Word dla systemu Android, Excel dla systemu Android i PowerPoint dla systemu Android jest obsługiwane w tej wersji.

Nowoczesne uwierzytelnianie dla aplikacji Word dla systemu Android, Excel dla systemu Android i PowerPoint dla systemu Android jest obsługiwane w tej wersji.

Nowoczesne uwierzytelnianie dla programów Outlook 2013 i Outlook 2016 jest obsługiwane w tej wersji.

Nowoczesne uwierzytelnianie dla programu Outlook 2016 dla komputerów Mac jest obsługiwane w tej wersji.

Nowoczesne uwierzytelnianie dla aplikacji Outlook dla tabletu iPad jest obsługiwane w tej wersji.

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów pakietu Office

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×