Konfigurieren eines befristeten Zugriffspasses in Azure AD für die Registrierung von kennwortlosen Authentifizierungsmethoden

Kennwortlose Authentifizierungsmethoden (wie z. B. FIDO2 und die kennwortlose Anmeldung per Telefon über die Microsoft Authenticator-App) ermöglichen Benutzern die sichere Anmeldung ohne Kennwort. Für das Bootstrapping kennwortloser Methoden stehen Benutzern zwei Möglichkeiten zur Verfügung:

  • Verwenden vorhandener Azure AD Multi-Factor Authentication-Methoden
  • Verwenden eines befristeten Zugriffspasses (Temporary Access Pass, TAP)

Ein befristeter Zugriffspass ist ein zeitlich begrenzter Passcode, der für mehrmalige oder einmalige Verwendung konfiguriert werden kann, um Benutzern das Onboarding anderer Authentifizierungsmethoden zu ermöglichen, einschließlich kennwortloser Methoden wie Microsoft Authenticator, FIDO2 oder Windows Hello for Business.

Ein befristeter Zugriffspass erleichtert auch die Wiederherstellung, wenn ein Benutzer seinen Faktor für die strenge Authentifizierung (z. B. FIDO2-Sicherheitsschlüssel oder Microsoft Authenticator-App) verloren oder vergessen hat, sich jedoch anmelden muss, um neue strenge Authentifizierungsmethoden zu registrieren.

In diesem Artikel wird beschrieben, wie Sie in Azure AD mit dem Azure-Portal einen befristeten Zugriffspass aktivieren und verwenden. Sie können diese Aktionen auch mithilfe der REST-APIs ausführen.

Aktivieren der TAP-Richtlinie

In einer TAP-Richtlinie werden Einstellungen definiert, wie z. B. die Gültigkeitsdauer von im Mandanten erstellten Pässen oder die Benutzer und Gruppen, die einen befristeten Zugriffspass für die Anmeldung verwenden können. Bevor sich Benutzer mit einem befristeten Zugriffspass anmelden können, müssen Sie den befristeten Zugriffspass in der Richtlinie für die Authentifizierungsmethode aktivieren und auswählen, welche Benutzer und Gruppen sich mit einem befristeten Zugriffspass anmelden können. Sie können zwar einen befristeten Zugriffspass für jeden Benutzer erstellen, es können sich aber nur die in der TAP-Richtlinie enthaltenen Benutzer damit anmelden.

Benutzer mit den Rollen „Globaler Administrator“ oder „Authentifizierungsmethodenrichtlinien-Administrator“ können die Authentifizierungsmethodenrichtlinie für den befristeten Zugriffspass aktualisieren. So konfigurieren Sie die Authentifizierungsmethodenrichtlinie für den befristeten Zugriffspass

  1. Melden Sie sich mit dem Konto mit den Berechtigungen vom Typ Globaler Administrator beim Azure-Portal an.

  2. Suchen Sie nach Azure Active Directory, wählen Sie den Eintrag aus, und wählen Sie anschließend im Menü auf der linken Seite die Option Sicherheit aus.

  3. Wählen Sie unter der Menüüberschrift Verwalten die Option Authentifizierungsmethoden>Richtlinien aus.

  4. Wählen Sie in der Liste der verfügbaren Authentifizierungsmodi Befristeter Zugriffspass aus.

    Screenshot: Verwaltung des befristeten Zugriffspasses im Rahmen der Authentifizierungsmethoden-Richtlinie

  5. Legen Sie Aktivieren auf Ja fest, um die Richtlinie zu aktivieren. Wählen Sie dann die Zielbenutzer aus.

    Screenshot: Aktivieren der Authentifizierungsmethodenrichtlinie zum befristeten Zugriffspass

  6. (Optional) Wählen Sie Konfigurieren aus, und ändern Sie die Standardeinstellungen für den temporären Zugriffspass, indem Sie beispielsweise die maximale Lebensdauer oder eine Länge festlegen. Screenshot: Anpassen der Einstellungen für den befristeten Zugriffspass

  7. Wählen Sie Speichern aus, um die Richtlinie anzuwenden.

    Die Standardwerte und der Bereich der zulässigen Werte werden in der folgenden Tabelle beschrieben.

    Einstellung Standardwerte Zulässige Werte Kommentare
    Mindestlebensdauer 1 Stunde 10 – 43.200 Minuten (30 Tage) Die Mindestanzahl von Minuten, die der befristete Zugriffspass gültig ist.
    Maximale Lebensdauer 8 Stunden 10 – 43.200 Minuten (30 Tage) Die Höchstzahl von Minuten, die der befristete Zugriffspass gültig ist.
    Standardlebensdauer 1 Stunde 10 – 43.200 Minuten (30 Tage) Die Standardwerte können von den einzelnen Pässen innerhalb der minimalen und maximalen Lebensdauer überschrieben werden, die von der Richtlinie konfiguriert wurde.
    Einmalige Verwendung False True/False Wenn die Richtlinie auf „False“ festgelegt ist, können Pässe im Mandanten entweder einmal oder mehrmals während der jeweiligen Gültigkeitsdauer (maximalen Lebensdauer) verwendet werden. Durch Erzwingen der einmaligen Verwendung in der TAP-Richtlinie werden alle im Mandanten erstellten befristeten Zugriffspässe zur einmaligen Verwendung erstellt.
    Länge 8 8 – 48 Zeichen Definiert die Länge des Passcodes.

Erstellen eines befristeten Zugriffspasses

Nachdem Sie eine TAP-Richtlinie aktiviert haben, können Sie in Azure AD einen befristeten Zugriffspass für einen Benutzer erstellen. Folgende Rollen können in Bezug auf den befristeten Zugriffspass die folgenden Aktionen ausführen:

  • Globale Administratoren können einen befristeten Zugriffspass für jeden Benutzer (außer für sich selbst) erstellen, löschen und anzeigen.
  • Privilegierte Authentifizierungsadministratoren können einen befristeten Zugriffspass für Administratoren und Mitglieder (außer für sich selbst) erstellen, löschen und anzeigen.
  • Authentifizierungsadministratoren können einen befristeten Zugriffspass für Mitglieder (außer für sich selbst) erstellen, löschen und anzeigen.
  • Globale Leser können die Details des befristeten Zugriffspasses für den Benutzer anzeigen (ohne den Code selbst zu lesen).
  1. Melden Sie sich als globaler Administrator, als privilegierter Authentifizierungsadministrator oder als Authentifizierungsadministrator beim Azure-Portal an.

  2. Wählen Sie Azure Active Directory aus, navigieren Sie zu „Benutzer“, wählen Sie einen Benutzer (z. B. Chris Green) und dann Authentifizierungsmethoden aus.

  3. Wählen Sie ggf. die Option zum Testen der neuen Oberfläche für Benutzerauthentifizierungsmethoden aus.

  4. Wählen Sie die Option Authentifizierungsmethoden hinzufügen aus.

  5. Wählen Sie unter Methode auswählen die Option Befristeter Zugriffspass aus.

  6. Definieren Sie eine benutzerdefinierte Aktivierungszeit oder -dauer, und wählen Sie Hinzufügen aus.

    Screenshot: Erstellen eines befristeten Zugriffspasses

  7. Nach dem Hinzufügen werden die Details des befristeten Zugriffspasses angezeigt. Notieren Sie sich den tatsächlichen Wert für den befristeten Zugriffspass. Diesen Wert stellen Sie für den Benutzer bereit. Nach Auswahl von OK können Sie diesen Wert nicht mehr anzeigen.

    Screenshot: Details zum befristeten Zugriffspass

Die folgenden Befehle zeigen, wie man mit PowerShell einen befristeten Zugriffspass erstellt und abruft.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Weitere Informationen finden Sie unter New-MgUserAuthenticationTemporaryAccessPassMethod und Get-MgUserAuthenticationTemporaryAccessPassMethod.

Verwenden eines befristeten Zugriffspasses

Benutzer verwenden am häufigsten einen befristeten Zugriffspass, um bei der ersten Anmeldung oder Geräteeinrichtung Authentifizierungsdaten zu registrieren, ohne zusätzliche Sicherheitsabfragen durchlaufen zu müssen. Authentifizierungsmethoden werden unter https://aka.ms/mysecurityinfo registriert. Dort können Benutzer auch vorhandene Authentifizierungsmethoden aktualisieren.

  1. Öffnen Sie einen Webbrowser, und navigieren Sie zu https://aka.ms/mysecurityinfo.

  2. Geben Sie den UPN des Kontos ein, für das Sie den befristeten Zugriffspass erstellt haben, beispielsweise tapuser@contoso.com.

  3. Wenn der Benutzer in der TAP-Richtlinie enthalten ist, wird ein Bildschirm zum Eingeben des befristeten Zugriffspasses angezeigt.

  4. Geben Sie den befristeten Zugriffspass ein, der im Azure-Portal angezeigt wurde.

    Screenshot: Eingabe eines befristeten Zugriffspasses

Hinweis

Bei Verbunddomänen wird ein befristeter Zugriffspass gegenüber dem Verbund bevorzugt. Ein Benutzer mit einem befristeten Zugriffspass führt die Authentifizierung in Azure AD durch und wird nicht an den Verbundidentitätsanbieter (Identity Provider, IdP) umgeleitet.

Der Benutzer ist jetzt angemeldet und kann eine Methode (z. B. den FIDO2-Sicherheitsschlüssel) aktualisieren oder registrieren. Benutzer, die ihre Authentifizierungsmethoden aktualisieren, weil Sie ihre Anmeldeinformationen oder ihr Gerät verloren haben, sollten sicherstellen, dass sie die alten Authentifizierungsmethoden entfernen. Benutzer können sich auch weiterhin mit ihrem Kennwort anmelden; ein TAP ersetzt nicht das Kennwort eines Benutzers.

Benutzerverwaltung des temporären Zugriffspasses

Benutzer, die ihre Sicherheitsinformationen unter https://aka.ms/mysecurityinfo verwalten, sehen einen Eintrag für den temporären Zugriffspass. Besitzt ein Benutzer keine anderen registrierten Methoden, wird oben auf dem Bildschirm ein Banner angezeigt, über das er zum Hinzufügen einer neuen Anmeldemethode aufgefordert wird. Benutzer können darüber hinaus die TAP-Ablaufzeit anzeigen und den TAP löschen, wenn er nicht mehr benötigt wird.

Screenshot: Verwalten eines befristeten Zugriffspasses unter „Meine Sicherheitsinformationen“

Windows-Geräteeinrichtung

Benutzer mit einem befristeten Zugriffspass können den Setupprozess unter Windows 10 und 11 durchlaufen, um Geräteeinbindungsvorgänge auszuführen und Windows Hello for Business zu konfigurieren. Die Verwendung des befristeten Zugriffspasses zum Einrichten von Windows Hello for Business variiert je nach dem Einbindungsstatus des Geräts.

Über Azure AD eingebundene Geräte:

  • Während die Azure AD-Einbindung eingerichtet wird, können sich Benutzer mit einem TAP (kein Kennwort erforderlich) authentifizieren, um das Gerät einzubinden und Windows Hello for Business zu registrieren.
  • Auf bereits eingebundenen Geräten müssen sich Benutzer zuerst mit einer anderen Methode (Kennwort, Smartcard oder FIDO2-Schlüssel) authentifizieren, bevor Sie den TAP zum Einrichten von Windows Hello for Business verwenden können.
  • Wenn die Webanmeldefunktion unter Windows ebenfalls aktiviert ist, kann der Benutzer den TAP verwenden, um sich beim Gerät anzumelden. Diese Funktion ist nur für die Ersteinrichtung des Geräts oder die Wiederherstellung vorgesehen, wenn der Benutzer sein Kennwort nicht kennt oder keins besitzt.

Über Azure AD Hybrid eingebundene Geräte:

  • Benutzer müssen sich zuerst mit einer anderen Methode (Kennwort, Smartcard oder FIDO2-Schlüssel) authentifizieren, bevor Sie den TAP zum Einrichten von Windows Hello for Business verwenden können.

Screenshot: Eingabe eines befristeten Zugriffspasses bei der Einrichtung von Windows 10

Kennwortlose Anmeldung per Telefon

Benutzer können ihren befristeten Zugriffspass auch verwenden, um sich direkt über die Authenticator-App für die kennwortlose Anmeldung per Telefon zu registrieren. Weitere Informationen finden Sie unter Hinzufügen Ihres Geschäfts-, Schul- oder Unikontos in der Microsoft Authenticator-App.

Screenshot: Eingeben eines befristeten Zugriffspasses mit einem Geschäfts-, Schul- oder Unikonto

Gastzugriff

Gastbenutzer können sich bei einem Ressourcenmandanten mit einer befristeter Zugriffspass anmelden, der von ihrem eigenen Mandanten ausgestellt wurde, wenn der befristeter Zugriffspass die Authentifizierungsanforderung des eigenen Mandanten erfüllt. Wenn eine mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) für den Ressourcenmandanten erforderlich ist, muss der Gastbenutzer diese ausführen, um Zugriff auf die Ressource zu erhalten.

Ablauf

Ein abgelaufener oder gelöschter befristeter Zugriffspass kann für die interaktive oder nicht interaktive Authentifizierung nicht verwendet werden. Benutzer müssen sich mit anderen Authentifizierungsmethoden erneut authentifizieren, nachdem ein befristeter Zugriffspass abgelaufen ist oder gelöscht wurde.

Die Tokenlebensdauer (Sitzungstoken, Aktualisierungstoken, Zugriffstoken usw.), die über eine Anmeldung mit einem befristeten Zugriffspass abgerufen wird, ist auf die Lebensdauer des befristeten Zugriffspasses beschränkt. Infolgedessen führt der Ablauf eines befristeten Zugriffspasses zum Ablauf des zugeordneten Tokens.

Löschen eines abgelaufenen befristeten Zugriffspasses

Unter den Authentifizierungsmethoden für einen Benutzer wird in der Spalte Details angezeigt, wann der befristete Zugriffspass abgelaufen ist. Sie können einen abgelaufenen befristeten Zugriffspass löschen, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie im Azure AD-Portal zu Benutzer, wählen Sie einen Benutzer (z. B. TAP-Benutzer) aus, und wählen Sie dann Authentifizierungsmethoden aus.
  2. Wählen Sie auf der rechten Seite der in der Liste angezeigten Authentifizierungsmethode Befristeter Zugriffspass die Option Löschen aus.

Sie können auch PowerShell verwenden:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Weitere Informationen finden Sie unter Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Ersetzen eines befristeten Zugriffspasses

  • Ein Benutzer kann nur über einen befristeten Zugriffspass verfügen. Der Passcode kann innerhalb der Start- und Endzeit des befristeten Zugriffspasses verwendet werden.
  • Wenn der Benutzer einen neuen befristeten Zugriffspass benötigt, passiert Folgendes:
    • Wenn der vorhandene temporäre Zugriffspass gültig ist, kann der Administrator einen neuen temporären Zugriffspass erstellen, der den vorhandenen gültigen temporären Zugriffspass außer Kraft setzt.
    • Wenn der vorhandene befristete Zugriffspass abgelaufen ist, wird der vorhandene befristete Zugriffspass durch einen neuen befristeten Zugriffspass überschrieben.

Weitere Informationen zu NIST-Standards für das Onboarding und die Wiederherstellung finden Sie unter NIST SP 800-63A.

Einschränkungen

Beachten Sie die folgenden Einschränkungen:

  • Bei Verwendung eines einmaligen befristeten Zugriffspasses zum Registrieren einer kennwortlosen Methode wie FIDO2 oder die Anmeldung per Telefon muss der Benutzer die Registrierung innerhalb von 10 Minuten nach der Anmeldung mit dem einmaligen befristeten Zugriffspass abschließen. Diese Einschränkung gilt nicht für einen befristeten Zugriffspass, der mehrmals verwendet werden kann.
  • Benutzer im Geltungsbereich der Richtlinie für die Self-Service-Kennwortzurücksetzung (SSPR) oderMFA-Registrierungsrichtlinie für den Identitätsschutz müssen eine der Authentifizierungsmethoden registrieren, nachdem sie sich mit einem befristeten Zugriffspass angemeldet haben. Benutzer im Gültigkeitsbereich für diese Richtlinien werden an den Interruptmodus der kombinierten Registrierung umgeleitet. Diese Vorgehensweise unterstützt derzeit keine FIDO2-Registrierung und keine Registrierung mit Anmeldung per Telefon.
  • Ein befristeter Zugriffspass kann nicht mit der NPS-Erweiterung (Network Policy Server) und dem AD FS-Adapter (Active Directory Federation Services) verwendet werden.
  • Nachdem ein befristeter Zugriffspass zu einem Konto hinzugefügt wurde oder abläuft, kann es einige Minuten dauern, bis die Änderungen repliziert werden. Während dieser Zeit wird möglicherweise eine Aufforderung zur Eingabe eines befristeten Zugriffspasses angezeigt.

Problembehandlung

  • Wenn einem Benutzer die Verwendung eines befristeten Zugriffspasses bei der Anmeldung nicht angeboten wird, überprüfen Sie Folgendes:
    • Der Benutzer befindet sich im Geltungsbereich der TAP-Authentifizierungsmethodenrichtlinie.
    • Der Benutzer verfügt über einen gültigen befristeten Zugriffspass, und wenn es sich um einen einmaligen befristeten Zugriffspass handelt, wurde er noch nicht verwendet.
  • Wenn bei der Anmeldung mit einem befristeten Zugriffspass die Meldung angezeigt wird, dass die Anmeldung mit befristetem Zugriffspass aufgrund der Richtlinie für Benutzeranmeldeinformationen blockiert wurde, überprüfen Sie Folgendes:
    • Der Benutzer hat einen befristeten Zugriffspass für die Mehrfachverwendung, während die Authentifizierungsmethodenrichtlinie einen einmaligen befristeten Zugriffspass erfordert.
    • Ein einmaliger befristeter Zugriffspass wurde bereits verwendet.
  • Wenn die Anmeldung mit befristetem Zugriffspass aufgrund der Richtlinie für Benutzeranmeldeinformationen blockiert wurde, überprüfen Sie, ob sich der Benutzer im Bereich für die TAP-Richtlinie befindet.

Nächste Schritte