Планирование многофакторной проверки подлинности для развертываний Office 365

Многофакторная проверка подлинности (MFA) — это проверка подлинности, выполняемая в несколько этапов и позволяющая реализовать дополнительный уровень защиты при входе пользователей и различных транзакциях. Эта служба подразумевает использование двух или нескольких из числа следующих способов проверки подлинности:

  • код доступа, сформированный случайным образом;

  • телефонный звонок;

  • смарт-карта (виртуальная или физическая);

  • биометрическое устройство.

Многофакторная проверка подлинности в Office 365

В Office 365 многофакторная проверка подлинности используется для дополнительной защиты и настраивается в Центре администрирования Office 365. В рамках подписки на Office 365 предлагаются перечисленные ниже возможности многофакторной проверки подлинности Azure.

  • Включение и принудительное использование многофакторной проверки подлинности для пользователей.

  • Использование мобильного приложения в качестве второго условия проверки подлинности (в Интернете и с помощью одноразового пароля).

  • Телефонный звонок в качестве второго условия проверки подлинности.

  • Использование SMS-сообщения в качестве второго условия проверки подлинности.

  • Пароли приложений для небраузерных клиентов (например, Microsoft Lync 2013).

  • Стандартное приветствие Майкрософт при проверке подлинности по телефону.

Полный список добавленных возможностей см. в статье Принципы работы службы Azure Multi-Factor Authentication (раздел "Сравнение функций в разных версиях"). Для реализации полноценной многофакторной проверки подлинности вы можете приобрести службу Azure Multi-Factor Authentication.

В зависимости от того, используете вы только облачную версию Office 365 или гибридную среду с единым входом и службами федерации Active Directory (AD FS), вам будут доступны разные возможности.

Где вы управляете своим клиентом Office 365?

Варианты второго условия многофакторной проверки подлинности

Только в облаке

Azure Active Directory MFA (текстовое сообщение или телефонный звонок)

Гибридная среда, управляемая локально

Если вы управляете удостоверениями пользователей локально, вам могут быть доступны следующие варианты:

  • физическая или виртуальная смарт-карта (AD FS);

  • Azure MFA (модуль для AD FS)

  • Azure AD MFA

Для многофакторной проверки подлинности также можно использовать любое другое решение, доступное в локальном каталоге. Например, поставщики удостоверений, поддерживающие федерацию Azure AD, могут предлагать различные решения для многофакторной проверки подлинности, управление которыми выполняется в соответствии со спецификациями поставщика.

На рисунке ниже показано, как многофакторная проверка подлинности реализована в обновленных приложениях Office 2013 для устройств (на базе Windows). Все приложения Office 2013 для устройств поддерживают многофакторную проверку подлинности с помощью библиотеки проверки подлинности Active Directory (ADAL). В Azure AD есть веб-страница, на которой пользователи могут выполнить вход. Удостоверения могут предоставляться Azure AD или федеративным поставщиком удостоверений, например AD FS. Для федеративных пользователей проверка подлинности выполняется описанным ниже образом.

  1. Azure AD перенаправляет пользователя на веб-страницу входа, размещенную поставщиком удостоверений для записи клиента Office 365. Поставщик удостоверений определяется доменом, указанным в учетном имени пользователя.

  2. Пользователь входит в систему на странице входа со своего устройства.

  3. Когда пользователь выполняет успешный вход, поставщик удостоверений возвращает маркер в Azure AD.

  4. Azure AD возвращает приложению Office для устройств веб-маркер JSON (JWT), и приложение проходит проверку подлинности, используя этот веб-маркер в Office 365.

Ниже показана подробная схема процесса.

Современная проверка подлинности для приложений Office 2013 на устройствах.

Требования к программному обеспечению

Чтобы включить многофакторную проверку подлинности для клиентских приложений Office 2013, должны быть установлены указанные ниже (или более поздние) версии программ. Требования к версиям зависят от того, как устанавливался Office: с помощью технологии нажми и работай или же с помощью MSI.

Чтобы определить, как был установлен Office:

  1. Запустите Outlook 2013.

  2. В меню Файл выберите Учетная запись Office.

  3. Если установка Outlook 2013 выполнялась по технологии "нажми и работай", вы увидите кнопку Параметры обновления. Если установка выполнялась с помощью MSI, кнопка Параметры обновления не отображается.

    Рисунок, позволяющий определить способ установки Office 2013: с помощью технологии "нажми и работай" или MSI-файла

Версии "нажми и работай"

Требуется программное обеспечение с указанными ниже или более поздними версиями файлов. Если версия файла старее указанной в списке, обновите программное обеспечение, выполнив приведенные ниже инструкции.

Имя файла

Путь установки на компьютере

Версия файла

MSO. DLL

C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\MSO.DLL

15.0.4753.1001

CSI.DLL

CSI.DLL C:\Program Files\Microsoft Office 15\root\office15\csi.dll

15.0.4753.1000

Groove.EXE

C:\Program Files\Microsoft Office 15\root\office15\GROOVE.exe

15.0.4763.1000

Outlook.exe

C:\Program Files\Microsoft Office 15\root\office15\OUTLOOK.exe

15.0.4753.1002

ADAL.DLL

C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\ADAL.DLL

1.0.2016.624

Iexplore.exe

C:\Program Files\Internet Explorer

различается

Версии MSI

Требуется программное обеспечение с указанными ниже или более поздними версиями файлов. Если версия файла старее указанной в списке, обновите программное обеспечение, как описано в соответствующей статье базы знаний.

Имя файла

Путь установки на компьютере

Ссылка на обновление

Версия

MSO. DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\MSO.DLL

KB3085480

15.0.4753.1001

CSI.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Csi.dll

KB3085504

15.0.4753.1000

Groove.exe

C:\Program Files\Microsoft Office\Office15\GROOVE.EXE

KB3085509

15.0.4763.1000

Outlook.exe

C:\Program Files\Microsoft Office\Office15\OUTLOOK.EXE

KB3085495

15.0.4753.1002

ADAL.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\ADAL.DLL

KB3055000

1.0.2016.624

Iexplore.exe

C:\Program Files\Internet Explorer

MS14-052

Неприменимо

Включение многофакторной проверки подлинности

Чтобы включить многофакторную проверку подлинности, выполните указанные ниже действия.

  1. Включите для своих клиентов современную проверку подлинности.

  2. Настройте многофакторную проверку подлинности в Office 365.

  3. Сообщите пользователям, как выполнить вход с помощью многофакторной проверки подлинности (Вход в Office 365 с помощью двухфакторной проверки подлинности).

Важно : Если вы включили для своих пользователей службу Azure AD MFA и они работают в Office 2013 на каких-либо устройствах, для которых не предусмотрена современная проверка подлинности, им потребуются пароли приложений. Дополнительные сведения о паролях приложений и их использовании см. в статье Пароли приложения в Azure Multi-Factor Authentication.

Вопросы и ответы

Ответы на вопросы о современной проверке подлинности (статья wiki).

Известные проблемы:   

Современная проверка подлинности в Office 2013 и Office 365 профессиональный плюс: что нужно знать перед внедрением (на английском языке).

Устранение неполадок со службой Azure Multi-Factor Authentication:   

См. раздел об устранении неполадок с Azure MFA.

Устранение неполадок с входом в Office 2013 с помощью современной проверки подлинности при использовании AD FS (на английском языке).

Не работают альтернативные идентификаторы:   

Устранение повторяющихся имен участников-пользователей с помощью PowerShell

Сценарий для устранения повторяющихся имен участников-пользователей

Фильтрация клиентского доступа:   

Современная проверка подлинности и политики фильтрации клиентского доступа в Office 2013 и Office 365 профессиональный плюс: что нужно знать перед внедрением (на английском языке)

Какие приложения поддерживают многофакторную проверку подлинности?   

Windows

Mac

iOS

Телефон с Android

Планшет с Android

В этом выпуске поддерживается современная проверка подлинности для Word 2013, Word 2016, Excel 2013, Excel 2016, PowerPoint 2013, PowerPoint 2016, OneNote 2013, OneNote 2016, Project 2013, Project 2016, Visio 2013, Visio 2016, Lync 2013 и Skype для бизнеса.

В этом выпуске поддерживается современная проверка подлинности для таких приложений: Word 2016 для Mac, Excel 2016 для Mac и PowerPoint 2016 для Mac.

В этом выпуске поддерживается современная проверка подлинности для таких приложений: Word для iPad, Excel для iPad и PowerPoint for iPad.

В этом выпуске поддерживается современная проверка подлинности для таких приложений: Word для Android, Excel для Android и PowerPoint для Android.

В этом выпуске поддерживается современная проверка подлинности для таких приложений: Word для Android, Excel для Android и PowerPoint для Android.

В этом выпуске поддерживается современная проверка подлинности для Outlook 2013 и Outlook 2016.

В этом выпуске поддерживается современная проверка подлинности для Outlook 2016 для Mac.

В этом выпуске поддерживается современная проверка подлинности для Outlook для iPad.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×