Планування багатофакторної автентифікації для розгортань Office 365

Багатофакторна автентифікація (MFA) – це спосіб автентифікації, що поєднує кілька способів перевірки та додає другий рівень безпеки для входу та інших операцій користувача. Вона працює на основі принаймні двох із таких способів перевірки:

  • випадково згенерований код доступу;

  • телефонний виклик;

  • смарт-картка (віртуальна або фізична);

  • біометричний пристрій.

Багатофакторна автентифікація в Office 365

Office 365 використовує багатофакторну автентифікацію для додаткового захисту, якою можна керувати з Центру адміністрування Office 365. В Office 365 у рамках передплати передбачено такий набір можливостей багатофакторної автентифікації Azure:

  • можливість активувати та застосувати багатофакторну автентифікацію для користувачів;

  • використання програми для мобільних пристроїв (онлайнової та з використанням одноразового пароля) як другого фактору автентифікації;

  • використання телефонного виклику як другого фактору автентифікації;

  • використання служби SMS як другого фактору автентифікації;

  • застосування паролів для клієнтів, запущених не в браузері (наприклад, програмного забезпечення для спілкування Microsoft Lync 2013);

  • стандартні привітання Microsoft під час телефонних викликів для автентифікації.

Повний список додаткових функцій див. в порівнянні версій багатофакторної автентифікації Azure. Ви завжди можете отримати повну функціональність, придбавши службу Azure Multi-Factor Authentication.

Набір можливостей, який ви отримуєте, залежить від вашого типу розгортання для Office 365: лише в хмарі чи гібридне з єдиним входом і Служба об’єднання AD FS.

Місце керування клієнтом Office 365

Параметри другого фактору багатофакторної автентифікації

Лише в хмарі

Багатофакторна автентифікація Azure Active Directory (текстове повідомлення або телефонний виклик)

Гібридне розгортання з локальним керуванням

Якщо ви керуєте ідентичностями користувачів локально, у вас є такі варіанти:

  • фізична або віртуальна смарт-картка (AD FS);

  • Azure MFA (модуль для AD FS);

  • Azure AD MFA.

Ви також можете скористатися будь-якими іншими рішеннями багатофакторної автентифікації, що надаються з локальним каталогом. Наприклад, інші постачальники ідентичностей, сумісні з федерацією Azure AD, можуть запропонувати відмінні рішення багатофакторної автентифікації, якими можна керувати відповідно до вимог постачальника ідентичностей.

На рисунку нижче показано, як оновлені програми пристрою Office 2013 (у Windows) дають користувачам змогу ввійти, використовуючи багатофакторну автентифікацію. Програми пристрою Office 2013 підтримують багатофакторну автентифікацію за допомогою використання бібліотеки автентифікації Active Directory (ADAL). Azure AD розміщує веб-сторінку, на якій можуть входити користувачі. Постачальником ідентичностей може бути Azure AD або зовнішній постачальник ідентичностей, як-от AD FS. Автентифікація для федеративних користувачів складається з таких кроків:

  1. Azure AD переспрямовує користувача на веб-сторінку входу, розміщену в постачальника ідентичностей запису для клієнта Office 365. Постачальника ідентичностей визначає домен, указаний в обліковому імені користувача.

  2. Користувач входить на веб-сторінці входу на мобільному пристрої.

  3. Постачальник ідентичностей повертає маркер до Azure AD, коли користувач успішно ввійде в систему.

  4. Azure AD повертає веб-маркер JSON Web Token (JWT) до пристрою програми Office, і програма пристрою проходить автентифікацію за допомогою JWT в Office 365.

Цей процес докладно показано на цьому рисунку:

Сучасна автентифікація для програм пристрою Office 2013

Вимоги до програмного забезпечення

Щоб активувати багатофакторну автентифікацію для клієнтських програм Office 2013, потрібно інсталювати програмне забезпечення наведених нижче або новіших версій залежно від того, як інстальовано Office: за допомогою технології "Office умить" або з використанням MSI-файлу.

Щоб визначити версію інсталяції Office:

  1. Запустіть програму Outlook 2013.

  2. У меню Файл виберіть Обліковий запис Office.

  3. Якщо Outlook 2013 інстальовано за допомогою технології "Office умить", відобразиться розділ Параметри оновлення. Якщо програму інстальовано з MSI-файлу, розділ Параметри оновлення буде відсутній.

    Схема визначення типу інсталяції Office 2013: за технологією "Office умить" або MSI

Інсталяція за допомогою технології "Office умить"

Має бути інстальовано програмне забезпечення з указаними нижче або пізнішими версіями файлів. Якщо версія файлу відрізняється від указаної в списку, оновіть програмне забезпечення, дотримуючись наведених нижче інструкцій.

Ім’я файлу

Шлях для інсталяції на комп’ютері

Версія файлу

MSO.DLL

C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\MSO.DLL

15.0.4753.1001

CSI.DLL

CSI.DLL C:\Program Files\Microsoft Office 15\root\office15\csi.dll

15.0.4753.1000

Groove.EXE

C:\Program Files\Microsoft Office 15\root\office15\GROOVE.exe

15.0.4763.1000

Outlook.exe

C:\Program Files\Microsoft Office 15\root\office15\OUTLOOK.exe

15.0.4753.1002

ADAL.DLL

C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\ADAL.DLL

1.0.2016.624

Iexplore.exe

C:\Program Files\Internet Explorer

різні версії

Інсталяція з MSI-файлу

Має бути інстальовано програмне забезпечення з указаними нижче або пізнішими версіями файлів. Якщо версія файлу відрізняється від указаної в списку, оновіть програмне забезпечення. Щоб отримати вказівки, клацніть посилання на відповідну статтю бази знань у стовпці "Посилання на оновлення".

Ім’я файлу

Шлях для інсталяції на комп’ютері

Посилання на оновлення

Версія

MSO.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\MSO.DLL

KB3085480

15.0.4753.1001

CSI.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Csi.dll

KB3085504

15.0.4753.1000

Groove.exe

C:\Program Files\Microsoft Office\Office15\GROOVE.EXE

KB3085509

15.0.4763.1000

Outlook.exe

C:\Program Files\Microsoft Office\Office15\OUTLOOK.EXE

KB3085495

15.0.4753.1002

ADAL.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\ADAL.DLL

KB3055000

1.0.2016.624

Iexplore.exe

C:\Program Files\Internet Explorer

MS14-052

Не застосовується

Активація багатофакторної автентифікації

Щоб активувати багатофакторну автентифікацію, потрібно виконати такі дії:

  1. Увімкніть клієнти для сучасної автентифікації.

  2. Налаштуйте багатофакторну автентифікацію для Office 365.

  3. Повідомте окремих користувачів, як увійти за допомогою багатофакторної автентифікації: Вхід в Office 365 за допомогою двоетапної перевірки.

Увага! : Якщо ви активували Azure AD MFA для своїх користувачів і на їхніх пристроях, на яких не активовано сучасну автентифікацію, працює Office 2013, їм знадобиться використовувати AppPasswords на цих пристроях. Докладні відомості про паролі AppPasswords, а також коли, де та як їх слід використовувати, див. тут: Паролі програм з Azure Multi_Factor Authentication.

Запитання й відповіді

Вікі-стаття "Запитання й відповіді про сучасну автентифікацію"

Відомі проблеми:   

Сучасна автентифікація Office 2013 і Office 365 ProPlus: що потрібно знати перед приєднанням

Виправлення неполадок з Azure Multi-Factor Authentication:   

Див. статтю Виправлення неполадок з Azure MFA.

Способи вирішення проблем із входом за допомогою сучасної автентифікації Office 2013, якщо використовується AD FS

Коли додаткові ідентифікатори не працюють:   

Використання оболонки PowerShell для усунення повторів імен UPN

Сценарій для усунення повторів імен учасників-користувачів

Фільтрація клієнтського доступу:   

Сучасна автентифікація та політики фільтрації клієнтського доступу в Office 2013 і Office 365 ProPlus: що потрібно знати перед приєднанням

Програми, що підтримують багатофакторну автентифікацію   

Windows

Mac

iOS

Телефон з Android

Планшет з Android

У цьому випуску підтримується сучасна автентифікація для Word 2013, Word 2016, Excel 2013, Excel 2016, NetworkSolutionsBP-Підтвердження-1-3, PowerPoint 2016, OneNote 2013, OneNote 2016, Project 2013, Project 2016, Visio 2013, Visio 2016, Lync 2013 і Skype для бізнесу.

У цьому випуску підтримується сучасна автентифікація для Word 2016 для Mac, Excel 2016 для Mac і PowerPoint 2016 для Mac.

У цьому випуску підтримується сучасна автентифікація для Word для iPad, Excel для iPad і PowerPoint для iPad.

У цьому випуску підтримується сучасна автентифікація для Word для Android, Excel для Android і PowerPoint для Android.

У цьому випуску підтримується сучасна автентифікація для Word для Android, Excel для Android і PowerPoint для Android.

У цьому випуску підтримується сучасна автентифікація для Outlook 2013 і Outlook 2016 .

У цьому випуску підтримується сучасна автентифікація для Outlook 2016 для Mac.

У цьому випуску підтримується сучасна автентифікація для Outlook для iPad.

Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×