Implementar a autenticação multifator do Microsoft Entra com aplicativos herdados usando senhas de aplicativo

Alguns aplicativos não usados em navegador mais antigos, como o Office 2010 ou anterior e o Apple Mail antes do iOS 11, não reconhecem pausas ou interrupções no processo de autenticação. Um usuário da autenticação multifator do Microsoft Entra (autenticação multifator do Microsoft Entra) que tenta entrar em um desses aplicativos mais antigos que não seja um navegador não consegue se autenticar com sucesso. Para usar esses aplicativos de maneira segura com a autenticação multifator do Microsoft Entra implementada para contas de usuário, você pode usar senhas de aplicativo. Essas senhas de aplicativo substituíram a sua senha tradicional para permitir que um aplicativo ignore a autenticação multifator e funcione corretamente.

Autenticação moderna fornece suporte ao clientes do Microsoft Office 2013 e posteriores. Os clientes do Office 2013, incluindo o Outlook, dão suporte a protocolos de autenticação modernos e podem trabalhar com a verificação em duas etapas. Após a autenticação multifator do Microsoft Entra ser implementada, não serão necessárias senhas do aplicativo para o cliente.

Esse artigo mostra como usar senhas de aplicativo para aplicativos herdados que não são compatíveis com prompts de autenticação multifator.

Observação

As senhas de aplicativo não funcionam em contas que devem usar a autenticação moderna.

Visão geral e considerações

Quando a autenticação multifator do Microsoft Entra é implementada em uma conta de usuário, o prompt de entrada usual é interrompido por uma solicitação de verificação adicional. Alguns aplicativos mais antigos não entendem essa interrupção no processo de entrada e por isso a autenticação falha. Para manter a segurança da conta de usuário e deixar a autenticação multifator do Microsoft Entra implementada, as senhas de aplicativo podem ser usadas em vez do nome de usuário e senha usuais de um usuário. Quando uma senha de aplicativo é usada durante a entrada, não há nenhum prompt de verificação adicional, por isso a autenticação é bem-sucedida.

As senhas de aplicativo são geradas automaticamente, não especificadas pelo usuário. Essa senha gerada automaticamente torna mais difícil para um invasor adivinhar a senha, portanto ela é mais segura. Os usuários não precisam rastrear as senhas ou inseri-las sempre, pois as senhas de aplicativo são inseridas apenas uma vez por aplicativo.

Ao usar senhas de aplicativo, as considerações a seguir são aplicáveis:

  • Há um limite de 40 senhas de aplicativo por usuário.
  • Os aplicativos que armazenam as senhas em cache e as usam em cenários locais podem falhar porque a senha de aplicativo não é conhecida fora da conta corporativa ou de estudante. Um exemplo dessa situação é o dos emails do Exchange que estão locais, mas os emails arquivado que estão na nuvem. Nessa situação, a mesma senha não funciona.
  • Após a autenticação multifator do Microsoft Entra ser implementada na conta de um usuário, as senhas de aplicativo podem ser usadas com a maioria dos clientes que não são um navegador, como o Outlook e o Skype for Business da Microsoft. No entanto, ações administrativas não podem ser executadas com o uso de senhas de aplicativo por meio de aplicativos não usados em navegador, como o Windows PowerShell. As ações não podem ser executadas, mesmo que o usuário tenha uma conta administrativa.
    • Para executar scripts do PowerShell, crie uma conta de serviço com uma senha forte e não imponha a verificação em duas etapas na conta.
  • Se você suspeitar que uma conta de usuário está comprometida e revogar/redefinir a senha da conta, as senhas de aplicativo também devem ser atualizadas. As senhas de aplicativo não são revogadas automaticamente quando uma senha de conta de usuário é revogada/redefinida. O usuário deve excluir as senhas de aplicativo existentes e criar novas.

Aviso

As senhas de aplicativo não funcionam em ambientes híbridos onde os clientes se comunicam com pontos de extremidade de descoberta automática local e na nuvem. As senhas de domínio são necessárias para autenticar localmente. As senhas de aplicativo são necessárias para autenticar na nuvem.

Nomes de senha de aplicativo

Os nomes das senhas de aplicativo devem refletir o dispositivo em que elas serão usadas. Se você tem um laptop que tem aplicativos não usados em navegador, como o Outlook, o Word e o Excel, crie uma senha de aplicativo chamada Laptop para esses aplicativos. Crie outra senha de aplicativo chamada Desktop para os mesmos aplicativos que são executados em um computador desktop.

É recomendável criar uma senha de aplicativo por dispositivo, em vez de uma senha de aplicativo por aplicativo.

Senhas de aplicativo federado ou de logon único

O Microsoft Entra ID é compatível com a federação, ou logon único (SSO), e com os Active Directory Domain Services (AD DS) locais. Se a sua organização for federada com o Microsoft Entra ID e você estiver usando a autenticação multifator do Microsoft Entra, as seguintes considerações relativas à senha de aplicativo devem se aplicar:

Observação

Os pontos a seguir se aplicam somente a clientes federados (SSO).

  • As senhas de aplicativo são verificadas pelo Microsoft Entra ID e, portanto, ignoram a federação. A federação é usada ativamente apenas na configuração das senhas de aplicativo.
  • O IdP (Provedor de Identidade) não é contatado para usuários federados (SSO), diferentemente do fluxo passivo. As senhas de aplicativo são armazenadas na conta corporativa ou de estudante. Se um usuário sai da empresa, as informações do usuário fluem para a conta corporativa ou de estudante usando o DirSync em tempo real. A desativação/exclusão da conta pode levar até três horas para ser sincronizada, o que pode atrasar o processo de desativação/exclusão da senha de aplicativo no Microsoft Entra ID.
  • As configurações do Controle de Acesso de cliente local não são respeitadas pelo recurso senhas de aplicativo.
  • Nenhuma funcionalidade de registro ou auditoria de autenticação local está disponível para ser usada com o recurso de senhas de aplicativo.

Algumas arquiteturas avançadas requerem uma combinação de credenciais para a autenticação multifator com clientes. Essas credenciais podem incluir um nome de usuário e senhas de conta corporativa ou de estudante, além das senhas de aplicativo. Os requisitos dependem de como a autenticação é realizada. Para clientes que se autenticam em uma infraestrutura local, um nome de usuário e uma senha de conta corporativa ou de estudante são necessários. Para clientes que se autenticam no Microsoft Entra ID, uma senha de aplicativo é necessária.

Por exemplo, suponha que você tem a seguinte arquitetura:

  • Sua instância local do Active Directory é federada com o Microsoft Entra ID.
  • Você usa o Exchange Online.
  • Você usa o Skype for Business local.
  • Você usa a autenticação multifator do Microsoft Entra.

Nesse cenário, você usa as seguintes credenciais:

  • Para entrar no Skype for Business, use seu nome de usuário e senha da conta corporativa ou de estudante.
  • Para acessar o catálogo de endereços de um cliente Outlook que se conecta com o Exchange online, use uma senha de aplicativo.

Permitir que os usuários criem senhas de aplicativo

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Por padrão, os usuários não podem criar senhas de aplicativo. O recurso de senhas de aplicativo deve ser habilitado para que os usuários possam usá-los. Para permitir que os usuários criem senhas de aplicativo, o administrador precisa concluir as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.

  2. Navegue até Acesso condicional>Localizações nomeadas.

  3. Clique em "Configurar IPs confiáveis de MFA" na barra na parte superior do Acesso Condicional | janela Localizações Nomeadas.

  4. Na página da autenticação multifator, selecione a opção Permitir que usuários criem senhas de aplicativo para entrarem em aplicativos que não são navegadores.

    Captura de tela mostrando as configurações do serviço para que a autenticação multifator dê acesso ao usuário de senhas de aplicativo

Observação

Quando você desabilita a capacidade de os usuários criarem senhas de aplicativo, as senhas de aplicativo existentes continuam funcionando. No entanto, os usuários não podem gerenciar nem excluir as senhas de aplicativo existentes depois de desabilitar essa capacidade.

Quando você desabilita a capacidade de criar senhas de aplicativo, também é recomendável criar uma política de acesso condicional para desabilitar o uso da autenticação herdada. Essa abordagem impede que as senhas de aplicativo existentes funcionem e força o uso de métodos de autenticação modernos.

Criar uma senha de aplicativo

Ao preencherem seu registro inicial na autenticação multifator do Microsoft Entra, os usuários terão a opção de criar senhas de aplicativo no final do processo de registro.

Os usuários também podem criar senhas de aplicativo após o registro. Para obter mais informações e as etapas detalhadas para seus usuários, consulte o seguinte recurso:

Próximas etapas