Lập kế hoạch xác thực đa yếu tố cho Triển khai Office 365

Xác thực đa yếu tố (MFA) là phương pháp xác thực yêu cầu sử dụng nhiều phương pháp xác minh và thêm lớp bảo mật thứ hai cho đăng nhập và giao dịch của người dùng. Phương pháp xác thực này hoạt động bằng cách yêu cầu hai hay nhiều phương pháp xác minh sau:

  • Mật mã được tạo ngẫu nhiên

  • Cuộc gọi điện thoại

  • Thẻ thông minh (ảo hoặc thực)

  • Thiết bị sinh trắc

Xác thực đa yếu tố trong Office 365

Office 365 sử dụng xác thực đa yếu tố để giúp cung cấp bảo mật bổ sung và được quản lý từ Trung tâm quản trị Office 365. Office 365 cung cấp tập hợp con các chức năng xác thực đa yếu tố Azure sau như một phần trong đăng ký:

  • Khả năng bật và thực thi xác thực đa yếu tố cho người dùng cuối

  • Sử dụng ứng dụng dành cho thiết bị di động (mật khẩu trực tuyến và mật khẩu dùng một lần [OTP]) làm yếu tố xác thực thứ hai

  • Sử dụng cuộc gọi điện thoại làm yếu tố xác thực thứ hai

  • Sử dụng tin nhắn Dịch vụ Tin nhắn Ngắn (SMS) làm yếu tố xác thực thứ hai

  • Mật khẩu ứng dụng cho máy khách không phải trình duyệt (ví dụ: phần mềm truyền thông Microsoft Lync 2013)

  • Lời chào mặc định của Microsoft trong cuộc gọi điện thoại xác thực

Để biết danh sách đầy đủ các tính năng bổ sung, hãy xem so sánh phiên bản Azure Multi-Factor Authentication. Bạn luôn có thể nhận được chức năng đầy đủ khi mua dịch vụ Azure Multi-Factor Authentication.

Bạn sẽ nhận được tập hợp con các chức năng khác tùy thuộc vào việc bạn có triển khai chỉ trên đám mây cho Office 365 hay thiết lập kết hợp với đăng nhập đơn và Dịch vụ Liên kết Active Directory (AD FS).

Bạn quản lý đối tượng thuê Office 365 của mình ở đâu?

Các tùy chọn yếu tố thứ hai trong MFA

Chỉ đám mây

Azure Active Directory MFA (tin nhắn hoặc cuộc gọi điện thoại)

Thiết lập kết hợp, tại chỗ có quản lý

Nếu bạn quản lý nhận dạng người dùng tại chỗ, bạn có các lựa chọn sau:

  • Thẻ thông minh thực hoặc ảo (AD FS)

  • Azure MFA (mô-đun cho AD FS)

  • Azure AD MFA

Bạn cũng có thể sử dụng bất kỳ giải pháp MFA nào khác đã được cung cấp trong thư mục tại chỗ của bạn. Ví dụ: nhà cung cấp nhận dạng khác tương thích với liên kết Azure AD có thể cung cấp các giải pháp MFA khác mà bạn có thể quản lý theo đặc tả về nhà cung cấp nhận dạng.

Hình sau đây cho thấy cách các ứng dụng Office 2013 dành cho thiết bị đã cập nhật (trên Windows) cho phép người dùng đăng nhập bằng MFA. Ứng dụngOffice 2013 dành cho thiết bị hỗ trợ xác thực đa yếu tố thông qua việc sử dụng Thư viện Xác thực Active Directory (ADAL). Azure AD lưu trữ trang web mà người dùng có thể đăng nhập. Nhà cung cấp nhận dạng có thể là Azure AD hoặc một nhà cung cấp nhận dạng được liên kết như AD FS. Hoạt động xác thực người dùng được liên kết tuân theo các bước sau:

  1. Azure AD chuyển hướng người dùng đến trang web đăng nhập do nhà cung cấp nhận dạng trong hồ sơ của đối tượng thuê Office 365 lưu trữ. Nhà cung cấp nhận dạng được xác định theo miền được chỉ định trong tên đăng nhập của người dùng.

  2. Người dùng đăng nhập trên trang web đăng nhập từ thiết bị của mình.

  3. Nhà cung cấp nhận dạng trả về mã thông báo cho Azure AD khi người dùng đăng nhập thành công.

  4. Azure AD trả về Mã thông báo Web JSON (JWT) cho ứng dụng Office dành cho thiết bị và ứng dụng thiết bị được xác thực bằng cách sử dụng JWT với Office 365.

Chi tiết được nêu trong hình sau:

Xác thực hiện đại cho các ứng dụng Office 2013 trên thiết bị.

Yêu cầu phần mềm

Để bật MFA cho ứng dụng máy khách Office 2013, bạn phải cài đặt phần mềm sau (phiên bản được liệt kê bên dưới hoặc phiên bản mới hơn) dựa trên việc bạn có bản cài đặt dựa trên Click-to-run hay bản cài đặt dựa trên MSI.

Để xác định xem bản cài đặt Office của bạn dựa trên Click-to-run hay MSI:

  1. Bắt đầu Outlook 2013.

  2. Trên menu Tệp, hãy chọn Tài khoản Office.

  3. Đối với Bản cài đặt Click-to-Run của Outlook 2013, mục Tùy chọn Cập nhật sẽ được hiển thị. Đối với Bản cài đặt dựa trên MSI, mục Tùy chọn Cập nhật không được hiển thị.

    Đồ họa cho biết cách bạn nhận biết bản cài đặt Office 2013 là click-to-run hoặc trên nền MSI

Bản cài đặt dựa trên click-to-run

Đối với bản cài đặt dựa trên Click-to-run, bạn phải cài đặt phần mềm sau với phiên bản tệp được liệt kê bên dưới hoặc phiên bản tệp mới hơn. Nếu phiên bản tệp của bạn không bằng hoặc lớn hơn phiên bản tệp được liệt kê, hãy cập nhật phiên bản bằng các bước dưới đây.

Tên tệp

Đường dẫn cài đặt trên máy tính của bạn

Phiên bản tệp

MSO.DLL

C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\MSO. DLL

15.0.4753.1001

CSI.DLL

CSI.DLL C:\Program Files\Microsoft Office 15\root\office15\csi.dll

15.0.4753.1000

Groove.EXE

C:\Program Files\Microsoft Office 15\root\office15\GROOVE.exe

15.0.4763.1000

Outlook.exe

C:\Program Files\Microsoft Office 15\root\office15\OUTLOOK.exe

15.0.4753.1002

ADAL.DLL

C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\ADAL.DLL

1.0.2016.624

Iexplore.exe

C:\Program Files\Internet Explorer

thay đổi

Bản cài đặt trên nền MSI

Đối với bản cài đặt dựa trên MSI, bạn phải cài đặt phần mềm sau với phiên bản tệp được liệt kê bên dưới hoặc phiên bản tệp mới hơn. Nếu phiên bản tệp của bạn không bằng hoặc lớn hơn phiên bản tệp được liệt kê, hãy cập nhật phiên bản bằng liên kết trong cột Cập nhật Bài KB.

Tên tệp

Đường dẫn cài đặt trên máy tính của bạn

Nơi tải bản cập nhật

Phiên bản

MSO.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\MSO.DLL

KB3085480

15.0.4753.1001

CSI.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Csi.dll

KB3085504

15.0.4753.1000

Groove.exe

C:\Program Files\Microsoft Office\Office15\GROOVE.EXE

KB3085509

15.0.4763.1000

Outlook.exe

C:\Program Files\Microsoft Office\Office15\OUTLOOK.EXE

KB3085495

15.0.4753.1002

ADAL.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\ADAL.DLL

KB3055000

1.0.2016.624

Iexplore.exe

C:\Program Files\Internet Explorer

MS14-052

Không áp dụng

Bật MFA

Để bật MFA, bạn cần hoàn thành các thao tác sau:

  1. Bật xác thực hiện đại cho máy khách:

  2. Thiết lập xác thực đa yếu tố cho Office 365

  3. Hướng dẫn người dùng cá nhân cách đăng nhập bằng MFA: Đăng nhập vào Office 365 bằng xác thực 2 bước.

Quan trọng: Nếu bạn đã bật Azure AD MFA cho người dùng và họ có bất cứ thiết bị nào đang chạy Office 2013 chưa được bật Xác thực Hiện đại thì họ sẽ cần sử dụng AppPasswords trên các thiết bị đó. Các thông tin khác về AppPasswords cũng như thời điểm/địa điểm/cách thức sử dụng AppPasswords có tại: Mật khẩu Ứng dụng với Azure Multi_Factor Authentication.

Câu hỏi thường gặp

Câu hỏi thường gặp về bài viết wiki Xác thực Hiện đại

Sự cố đã biết:   

Xác thực hiện đại cho Office 2013 và Office 365 ProPlus: Những điều cần biết trước khi triển khai

Khắc phục sự cố Azure Multi-Factor Authentication:   

Xem mục Khắc phục sự cố Azure MFA.

Cách khắc phục sự cố đăng nhập với xác thực hiện đại Office 2013 khi bạn sử dụng AD FS

Khi các ID thay thế không hoạt động:   

Cách sử dụng PowerShell để khắc phục vấn đề UPN trùng lặp

Tập lệnh có tác dụng khắc phục vấn đề tên chính của người dùng bị trùng lặp

Lọc truy nhập máy khách:   

Tính năng xác thực hiện đại và chính sách lọc truy nhập máy khách trong Office 2013 và Office 365 ProPlus: Những điều cần biết trước khi triển khai

Ứng dụng nào hỗ trợ MFA?   

Windows

Máy Mac

iOS

Điện thoại Android

Máy tính bảng chạy Android

Bản phát hành này hỗ trợ xác thực hiện đại cho Word 2013, Word 2016, Excel 2013, Excel 2016, PowerPoint 2013, PowerPoint 2016, OneNote 2013, OneNote 2016, Project 2013, Project 2016, Visio 2013, Visio 2016, Lync 2013 và Skype for Business.

Bản phát hành này hỗ trợ xác thực hiện đại cho Word 2016 cho Mac, Excel 2016 cho Mac và PowerPoint 2016 cho Mac.

Bản phát hành này hỗ trợ xác thực hiện đại cho Word cho iPad, Excel cho iPad và PowerPoint cho iPad.

Bản phát hành này hỗ trợ xác thực hiện đại cho Word for Android, Excel for Android và PowerPoint for Android.

Bản phát hành này hỗ trợ xác thực hiện đại cho Word for Android, Excel for Android và PowerPoint for Android.

Bản phát hành này hỗ trợ xác thực hiện đại cho Outlook 2013 và Outlook 2016 .

Bản phát hành này hỗ trợ xác thực cho Outlook 2016 cho Mac.

Bản phát hành này hỗ trợ xác thực cho Outlook for iPad.

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Người dùng nội bộ Office

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×