Konfigurace dočasného přístupového passu pro registraci metod ověřování bez hesla

  • Článek

Metody ověřování bez hesla, jako je FIDO2 a přihlášení k telefonu bez hesla prostřednictvím aplikace Microsoft Authenticator, umožňují uživatelům bezpečně se přihlásit bez hesla.

Uživatelé mohou metodu bez hesla spustit jedním ze dvou způsobů:

  • Použití existujících metod vícefaktorového ověřování Microsoft Entra
  • Použití dočasného přístupového passu

Dočasné přístupové heslo (TAP) je časově omezené heslo, které lze nakonfigurovat pro jedno použití nebo více. Uživatelé se můžou přihlásit pomocí TAP a připojit k dalším metodám ověřování bez hesla, jako je Microsoft Authenticator, FIDO2 a Windows Hello pro firmy.

Tap také usnadňuje obnovení, když uživatel ztratil nebo zapomněl svůj silný ověřovací faktor, jako je klíč zabezpečení FIDO2 nebo aplikace Microsoft Authenticator, ale musí se přihlásit, aby zaregistroval nové metody silného ověřování.

V tomto článku se dozvíte, jak povolit a používat TAP pomocí Centra pro správu Microsoft Entra. Tyto akce můžete provádět také pomocí rozhraní REST API.

Povolení zásad dočasného přístupu

Zásada TAP definuje nastavení, jako je doba života průchodů vytvořená v tenantovi, nebo uživatelé a skupiny, kteří můžou k přihlášení použít TAP.

Než se uživatelé můžou přihlásit pomocí tap, musíte tuto metodu povolit v zásadách metody ověřování a zvolit, kteří uživatelé a skupiny se můžou přihlásit pomocí tap.

I když můžete vytvořit TAP pro libovolného uživatele, můžou se k němu přihlásit jenom uživatelé zahrnutí v zásadách. Zásady ověřování můžou aktualizovat pouze role globálních Správa a zásad ověřování Správa.

Konfigurace zásad metody ověřování TAP:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.

  2. Přejděte do zásad ověřování>ochrany.>

  3. V seznamu dostupných metod ověřování vyberte Dočasné přístupové heslo.

    Screenshot of how to manage Temporary Access Pass within the authentication method policy experience.

  4. Klikněte na Povolit a pak vyberte uživatele, kteří mají zásadu zahrnout nebo vyloučit.

    Screenshot of how to enable the Temporary Access Pass authentication method policy.

  5. (Volitelné) Vyberte Konfigurovat , chcete-li upravit výchozí nastavení dočasného průchodu, například nastavení maximální životnosti nebo délky, a klikněte na tlačítko Aktualizovat.

    Screenshot of how to customize the settings for Temporary Access Pass.

  6. Chcete-li zásadu použít, vyberte Uložit .

    Výchozí hodnota a rozsah povolených hodnot jsou popsány v následující tabulce.

    Nastavení Výchozí hodnoty Povolené hodnoty Komentáře
    Minimální životnost 1 hodina 10 – 43 200 minut (30 dní) Minimální počet minut, po které je tap platný.
    Maximální životnost 8 hodin 10 – 43 200 minut (30 dní) Maximální počet minut, po které je klepnutí platné.
    Výchozí životnost 1 hodina 10 – 43 200 minut (30 dní) Individuální průchod v rámci minimální a maximální doby životnosti nakonfigurované zásadou může přepsat výchozí hodnotu.
    Jednorázové použití False True/false Pokud je zásada nastavená na false, můžete během platnosti použít průchody v tenantovi buď jednou nebo vícekrát (maximální životnost). Vynucením jednorázového použití v zásadách TAP jsou všechny průchody vytvořené v tenantovi jednorázové použití.
    Délka 8 8–48 znaků Definuje délku hesla.

Vytvoření dočasného přístupového passu

Po povolení zásad TAP můžete vytvořit technické poradce pro uživatele v Microsoft Entra ID. Tyto následující role můžou provádět různé akce související s klepnutím.

  • Globální Správa istrátory můžou vytvářet, odstraňovat a zobrazovat tap pro libovolného uživatele (kromě sebe).
  • Privilegované ověřování Správa istrátory můžou vytvářet, odstraňovat a zobrazovat tap pro správce a členy (kromě sebe).
  • Ověřovací Správa istrátory můžou vytvářet, odstraňovat a zobrazovat tap pro členy (kromě sebe).
  • Globální čtenáři můžou zobrazit podrobnosti tap pro uživatele (bez čtení samotného kódu).

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.

  2. Přejděte na Uživatele identity>.

  3. Vyberte uživatele, pro který chcete vytvořit tap.

  4. Vyberte metody ověřování a klikněte na Přidat metodu ověřování.

    Screenshot of how to create a Temporary Access Pass.

  5. Vyberte Dočasné přístupové heslo.

  6. Definujte vlastní dobu aktivace nebo dobu trvání a vyberte Přidat.

    Screenshot of adding a method - Temporary Access Pass.

  7. Po přidání se zobrazí podrobnosti o klepnutí.

    Důležité

    Poznamenejte si skutečnou hodnotu TAP, protože tuto hodnotu zadáte uživateli. Tuto hodnotu nelze zobrazit po výběru ok.

    Screenshot of Temporary Access Pass details.

  8. Až budete hotovi, vyberte OK .

Následující příkazy ukazují, jak vytvořit a získat TAP pomocí PowerShellu.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Další informace naleznete v tématu New-MgUserAuthenticationTemporaryAccessPassMethod a Get-MgUserAuthenticationTemporaryAccessPassMethod.

Použití dočasného přístupového passu

Nejběžnějším použitím tap je, že uživatel během prvního nastavení přihlášení nebo zařízení zaregistruje podrobnosti o ověřování, aniž by bylo nutné provádět další výzvy k zabezpečení. Metody ověřování jsou registrovány na adrese https://aka.ms/mysecurityinfo. Uživatelé mohou zde také aktualizovat existující metody ověřování.

  1. Otevřete webový prohlížeč na https://aka.ms/mysecurityinfo.

  2. Zadejte hlavní název uživatele (UPN) účtu, pro který jste vytvořili TAP, například tapuser@contoso.com.

  3. Pokud je uživatel zahrnutý v zásadách TAP, zobrazí se mu obrazovka pro zadání tap.

  4. Zadejte TAP, který se zobrazil v Centru pro správu Microsoft Entra.

    Screenshot of how to enter a Temporary Access Pass.

Poznámka:

U federovaných domén se upřednostní tap před federací. Uživatel s klepnutím dokončí ověřování v Microsoft Entra ID a nepřesměruje se na federovaného zprostředkovatele identity (IdP).

Uživatel je teď přihlášený a může aktualizovat nebo zaregistrovat metodu, jako je klíč zabezpečení FIDO2.

Uživatelé, kteří aktualizují své metody ověřování kvůli ztrátě přihlašovacích údajů nebo zařízení, by měli zajistit, aby odebrali staré metody ověřování.

Uživatelé se můžou i nadále přihlašovat pomocí svého hesla; tap nenahrazuje heslo uživatele.

Správa uživatelů dočasného přístupového passu

Uživatelé, kteří spravují informace o zabezpečení, https://aka.ms/mysecurityinfo uvidí položku dočasného přístupového passu. Pokud uživatel nemá žádné další registrované metody, zobrazí se v horní části obrazovky banner s oznámením, že chcete přidat novou metodu přihlášení. Uživatelé můžou také zobrazit čas vypršení platnosti tap a odstranit KLEPNUTÍM, pokud už není potřeba.

Screenshot of how users can manage a Temporary Access Pass in My Security Info..

Nastavení zařízení s Windows

Uživatelé s klepnutím můžou procházet proces nastavení ve Windows 10 a 11 a provádět operace připojení zařízení a konfigurovat Windows Hello pro firmy. Využití TAP pro nastavení Windows Hello pro firmy se liší v závislosti na stavu připojeném k zařízením.

Připojená zařízení k Microsoft Entra ID:

  • Během procesu nastavení připojení k doméně se uživatelé můžou ověřit pomocí tap (nevyžaduje se heslo), aby se připojili k zařízení a zaregistrovali Windows Hello pro firmy.
  • Na zařízeních, která už jsou připojená, musí se uživatelé nejdřív ověřit pomocí jiné metody, jako je heslo, čipová karta nebo klíč FIDO2, a teprve potom pomocí TAP nastavit Windows Hello pro firmy.
  • Pokud je ve Windows povolená i funkce webového přihlašování , může se uživatel pomocí TAP přihlásit k zařízení. Toto nastavení je určené jenom pro dokončení počátečního nastavení zařízení nebo obnovení, pokud uživatel nezná nebo nemá heslo.

V případě zařízení připojených k hybridnímu připojení se uživatelé musí nejdřív ověřit pomocí jiné metody, jako je heslo, čipová karta nebo klíč FIDO2, a teprve potom pomocí tap nastavit Windows Hello pro firmy.

Screenshot of how to enter Temporary Access Pass when setting up Windows.

Přihlašování telefonem bez hesla

Uživatelé můžou také pomocí funkce TAP zaregistrovat přihlášení k telefonu bez hesla přímo z aplikace Authenticator.

Další informace najdete v tématu Přidání pracovního nebo školního účtu do aplikace Microsoft Authenticator.

Screenshot of how to enter a Temporary Access Pass using work or school account.

Přístup hosta

Uživatelé typu host se můžou přihlásit k tenantovi prostředku pomocí tap, který vydal jejich domovský tenant, pokud tap splňuje požadavek na ověření domácího tenanta.

Pokud je pro tenanta prostředku vyžadováno vícefaktorové ověřování (MFA), musí uživatel typu host provést vícefaktorové ověřování, aby získal přístup k prostředku.

Vypršení platnosti

Pro interaktivní nebo neinteraktivní ověřování se nedá použít vypršení platnosti nebo odstranění TAP.

Po vypršení platnosti nebo odstranění tap musí uživatelé znovu ověřit různé metody ověřování.

Životnost tokenu (token relace, obnovovací token, přístupový token atd.) získaná pomocí přihlášení TAP je omezená na dobu životnosti TAP. Když vyprší platnost klepnutí, dojde k vypršení platnosti přidruženého tokenu.

Odstranění dočasného přístupového passu s vypršenou platností

V části Metody ověřování pro uživatele se ve sloupci Podrobnosti zobrazí, když vypršela platnost klepnutí. Klepnutím na konec platnosti můžete odstranit následujícím postupem:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.
  2. Přejděte do části Uživatelé identity>, vyberte uživatele, například Klepněte na Uživatele, a pak zvolte Metody ověřování.
  3. Na pravé straně metody ověřování dočasného přístupového passu zobrazeného v seznamu vyberte Odstranit.

Můžete také použít PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Další informace naleznete v tématu Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Nahrazení dočasného přístupového passu

  • Každý uživatel může mít pouze jeden klepnutí. Heslo lze použít během počátečního a koncového času tap.
  • Pokud uživatel vyžaduje nové klepnutí:
    • Pokud je stávající tap platný, může správce vytvořit nový TAP, který přepíše stávající platný TAP.
    • Pokud platnost existujícího klepnutí vypršela, přepíše se stávající tap novým klepnutím.

Další informace o standardech NIST pro onboarding a obnovení naleznete v tématu Speciální publikace NIST 800-63A.

Omezení

Mějte na paměti tato omezení:

  • Při použití jednorázového klepnutí k registraci metody bez hesla, jako je FIDO2 nebo Telefon přihlášení, musí uživatel registraci dokončit do 10 minut od přihlášení pomocí jednorázového klepnutí. Toto omezení se nevztahuje na tap, který lze použít více než jednou.
  • Uživatelé v oboru zásad registrace samoobslužného resetování hesla (SSPR) nebozásady registrace vícefaktorového ověřování Identity Protection se vyžadují k registraci metod ověřování po přihlášení pomocí TAP v prohlížeči. Uživatelé v rozsahu těchto zásad se přesměrují do režimu přerušení kombinované registrace. Toto prostředí v současné době nepodporuje registraci FIDO2 a Telefon přihlášení.
  • S rozšířením NPS (Network Policy Server) a adaptérem Active Directory Federation Services (AD FS) (AD FS) není možné použít TAP.
  • Replikace změn může trvat několik minut. Z tohoto důvodu může po přidání klepnutí na účet chvíli trvat, než se zobrazí výzva. Z stejného důvodu se uživatelům po vypršení platnosti klepnutí může zobrazit výzva k klepnutí.

Řešení problému

  • Pokud se uživateli během přihlašování nenabízí TAP:
    • Ujistěte se, že je uživatel v oboru pro zásady metody ověřování TAP.
    • Ujistěte se, že má uživatel platný tap a jestli se používá jednorázově, ještě se nepoužil.
  • Pokud se při přihlašování pomocí TAP zablokovalo přihlášení pomocí dočasného přístupového passu kvůli zásadám přihlašovacích údajů uživatele:
    • Ujistěte se, že uživatel nemá více použití TAP, zatímco zásady metody ověřování vyžadují jednorázové klepnutí.
    • Zkontrolujte, jestli už byl jednorázový klepnutím použit.
  • Pokud se přihlášení TAP zablokovalo kvůli zásadám přihlašovacích údajů uživatele, zkontrolujte, jestli je uživatel v oboru zásad TAP.

Další kroky