Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Kennwortlose Authentifizierungsmethoden wie ein Passkey (FIDO2) ermöglichen Benutzern die sichere Anmeldung ohne Kennwort. Für das Bootstrapping kennwortloser Methoden stehen Benutzern zwei Möglichkeiten zur Verfügung:
- Verwenden vorhandener Microsoft Entra-Multi-Faktor-Authentifizierungsmethoden
- Verwenden eines befristeten Zugriffspasses
Bei einem Temporären Zugriffspass (Temporary Access Pass, TAP) handelt es sich um eine zeitlich begrenzte Kennung, die für einmalige Verwendung oder mehrere Anmeldungen konfiguriert werden kann. Benutzer können sich mit einem TAP anmelden, um andere kennwortlose Authentifizierungsmethoden zu aktivieren. Eine TAP erleichtert auch die Wiederherstellung, wenn ein Benutzer eine starke Authentifizierungsmethode verliert oder vergisst.
In diesem Artikel erfahren Sie, wie Sie mithilfe des Microsoft Entra Admin Centers ein TAP aktivieren und verwenden. Sie können diese Aktionen auch mithilfe von REST-APIs ausführen.
Aktivieren der TAP-Richtlinie
In einer TAP-Richtlinie werden Einstellungen definiert, wie z. B. die Gültigkeitsdauer von im Mandanten erstellten Pässen oder die Benutzer und Gruppen, die einen TAP für die Anmeldung verwenden können.
Bevor Sich Benutzer mit einem TAP anmelden können, müssen Sie diese Methode in der Richtlinie für Authentifizierungsmethoden aktivieren und auswählen, welche Benutzer und Gruppen sich mit einem TAP anmelden können.
Sie können einen TAP zwar für beliebige Benutzer erstellen, es können sich aber nur die in der Richtlinie enthaltenen Benutzer damit anmelden. Sie benötigen die Rolle " Authentifizierungsrichtlinienadministrator ", um die Richtlinie für TAP-Authentifizierungsmethoden zu aktualisieren.
So konfigurieren Sie TAP in der Richtlinie für Authentifizierungsmethoden:
Melden Sie sich mindestens als Authentifizierungsrichtlinienadministrator beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra ID>Authentifizierungsmethoden>Richtlinien.
Wählen Sie in der Liste der verfügbaren Authentifizierungsmethoden Temporärer Zugriffspass aus.
Wählen Sie "Aktivieren" aus, und wählen Sie dann Benutzer aus, die aus der Richtlinie eingeschlossen oder ausgeschlossen werden sollen.
(Optional) Wählen Sie "Konfigurieren" aus, um die Standardeinstellungen für den temporären Zugriffsdurchlauf zu ändern, z. B. maximale Lebensdauer oder Länge festzulegen, und wählen Sie "Aktualisieren" aus.
Wählen Sie "Speichern " aus, um die Richtlinie anzuwenden.
Die Standardwerte und der Bereich der zulässigen Werte werden in der folgenden Tabelle beschrieben.
Einstellung Standardwerte Zulässige Werte Kommentare Mindestlebensdauer 1 Stunde 10 – 43.200 Minuten (30 Tage) Die minimale Anzahl von Minuten, die der TAP gültig ist. Maximale Lebensdauer 8 Stunden 10 – 43.200 Minuten (30 Tage) Die maximale Anzahl von Minuten, die der TAP gültig ist. Standardlebensdauer 1 Stunde 10 – 43.200 Minuten (30 Tage) Einzelne Pässen, die innerhalb der in der Richtlinie konfigurierten minimalen und maximalen Lebensdauer liegen, können den Standardwert außer Kraft setzen. Einmalige Verwendung Falsch Wahr/falsch Wenn die Richtlinie auf „False“ festgelegt ist, können Pässe im Mandanten entweder einmal oder mehrmals während der jeweiligen Gültigkeitsdauer (maximalen Lebensdauer) verwendet werden. Durch Erzwingen der einmaligen Verwendung in der TAP-Richtlinie sind alle im Mandanten erstellten Pässe für die einmalige Verwendung ausgelegt. Länge 8 8 – 48 Zeichen Definiert die Länge des Passcodes.
Erstellen eines befristeten Zugriffspasses
Nachdem Sie eine TAP-Richtlinie aktiviert haben, können Sie eine TAP-Richtlinie für Benutzer in Microsoft Entra ID erstellen. Die folgenden Rollen können verschiedene TAP-bezogene Aktionen ausführen.
- Privilegierte Authentifizierungsadministratoren können ein TAP für Administratoren und Mitglieder erstellen, löschen und anzeigen (außer für sich selbst).
- Authentifizierungsadministratoren können ein TAP für Mitglieder erstellen, löschen und anzeigen (außer für sich selbst).
- Authentifizierungsrichtlinienadministratoren können TAP aktivieren, Gruppen einschließen oder ausschließen und die Richtlinie für Authentifizierungsmethoden bearbeiten.
- Globale Leser können TAP-Details für den Benutzer anzeigen (ohne den Code selbst zu lesen).
Melden Sie sich mindestens als Authentifizierungsadministrator beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra-ID-Benutzern>.
Wählen Sie die Benutzer aus, für die Sie einen TAP erstellen möchten.
Wählen Sie Authentifizierungsmethoden und dann "Authentifizierungsmethode hinzufügen" aus.
Wählen Sie Temporärer Zugangspass aus.
Definieren Sie eine benutzerdefinierte Aktivierungszeit oder Dauer, und wählen Sie "Hinzufügen" aus.
Nach dem Hinzufügen werden die Details des TAPs angezeigt.
Wichtig
Notieren Sie sich den tatsächlichen TAP-Wert, da Sie diesen Wert für den Benutzer angeben. Sie können diesen Wert nicht anzeigen, nachdem Sie "OK" ausgewählt haben.
Wählen Sie "OK " aus, wenn Sie fertig sind.
Die folgenden Befehle zeigen, wie Sie mit PowerShell einen TAP erstellen und abrufen.
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
Weitere Informationen finden Sie unter New-MgUserAuthenticationTemporaryAccessPassMethod und Get-MgUserAuthenticationTemporaryAccessPassMethod.
Verwenden eines befristeten Zugriffspasses
Benutzer verwenden einen TAP am häufigsten, um bei der ersten Anmeldung oder Geräteeinrichtung Authentifizierungsdaten zu registrieren, ohne zusätzliche Sicherheitsabfragen durchlaufen zu müssen. Authentifizierungsmethoden werden unter https://aka.ms/mysecurityinfo registriert. Dort können Benutzer auch vorhandene Authentifizierungsmethoden aktualisieren.
Öffnen Sie einen Webbrowser, und navigieren Sie zu https://aka.ms/mysecurityinfo.
Geben Sie den UPN des Kontos ein, für das Sie den TAP erstellt haben, beispielsweise tapuser@contoso.com.
Wenn der Benutzer in der TAP-Richtlinie enthalten ist, wird ein Bildschirm zum Eingeben des TAP angezeigt.
Geben Sie den TAP ein, der im Microsoft Entra Admin Center angezeigt wurde.
Hinweis
Für Verbunddomänen wird ein TAP gegenüber dem Verbund bevorzugt. Benutzer mit einem TAP führen die Authentifizierung in Microsoft Entra ID durch und werden nicht an den Verbundidentitätsanbieter (IdP) umgeleitet.
Der Benutzer ist jetzt angemeldet und kann eine Methode (z. B. den FIDO2-Sicherheitsschlüssel) aktualisieren oder registrieren. Benutzer, die ihre Authentifizierungsmethoden aktualisieren, weil Sie ihre Anmeldeinformationen oder ihr Gerät verloren haben, sollten sicherstellen, dass sie die alten Authentifizierungsmethoden entfernen. Benutzer können sich auch weiterhin mit ihrem Kennwort anmelden; ein TAP ersetzt nicht das Kennwort eines Benutzers.
Benutzerverwaltung des temporären Zugriffspasses
Benutzer, die ihre Sicherheitsinformationen unter https://aka.ms/mysecurityinfo verwalten, sehen einen Eintrag für den befristeten Zugriffspass. Wenn ein Benutzer keine anderen registrierten Methoden hat, erhält er oben auf dem Bildschirm ein Banner, das besagt, dass eine neue Anmeldemethode hinzugefügt wird. Benutzer können auch die TAP-Ablaufzeit anzeigen und den TAP löschen, wenn er nicht mehr benötigt wird.
Windows-Geräteeinrichtung
Benutzer mit einem TAP können den Setupprozess unter Windows 10 und 11 durchlaufen, um Geräteeinbindungsvorgänge auszuführen und Windows Hello for Business zu konfigurieren. Die Verwendung des TAP zum Einrichten von Windows Hello for Business variiert entsprechend dem Einbindungsstatus des Geräts.
Für mit Microsoft Entra ID verbundene Geräte:
- Während des domain-join-Einrichtungsprozesses können sich Benutzer mit einem TAP (kein Kennwort erforderlich) authentifizieren, um das Gerät einzubinden und Windows Hello for Business zu registrieren.
- Auf bereits verbundenen Geräten müssen sich Die Benutzer zuerst mit einer anderen Methode wie einem Kennwort, einer Smartcard oder einem FIDO2-Schlüssel authentifizieren, bevor Sie mit TAP Windows Hello for Business einrichten.
- Wenn das Webanmeldungsfeature unter Windows ebenfalls aktiviert ist, kann der Benutzer TAP verwenden, um sich beim Gerät anzumelden. Diese Funktion ist nur für die Ersteinrichtung des Geräts oder die Wiederherstellung vorgesehen, wenn der Benutzer sein Kennwort nicht kennt oder keines besitzt.
Bei hybrid eingebundenen Geräten müssen sich Benutzer zuerst mit einer anderen Methode (Kennwort, Smartcard oder FIDO2-Schlüssel) authentifizieren, bevor Sie den TAP zum Einrichten von Windows Hello for Business verwenden können.
Verwenden des TAP mit Microsoft Authenticator
Benutzer können auch ihre TAP verwenden, um Microsoft Authenticator mit ihrem Konto zu registrieren. Indem Sie ein Geschäfts-, Schul- oder Unikonto hinzufügen und sich mit einem TAP anmelden, können Benutzer*innen sowohl Passkeys als auch kennwortlose telefonische Anmeldung direkt über die Authenticator-App registrieren.
Weitere Informationen finden Sie unter Hinzufügen Ihres Geschäfts-, Schul- oder Unikontos zur Microsoft Authenticator-App.
Gastzugriff
Sie können einem internen Gast einen TAP als Anmeldemethode hinzufügen, aber nicht anderen Arten von Gästen. Ein interner Gast hat das Benutzerobjekt UserType auf "Gast" festgelegt. Sie verfügen über Authentifizierungsmethoden, die in der Microsoft Entra-ID registriert sind. Weitere Informationen zu internen Gästen und anderen Gastkonten finden Sie unter B2B-Gastbenutzereigenschaften.
Wenn Sie versuchen, ein TAP zu einem externen Gastkonto im Microsoft Entra Admin Center oder in Microsoft Graph hinzuzufügen, wird eine Fehlermeldung angezeigt, die besagt, dass der temporäre Zugriffspass einem externen Gastbenutzer nicht hinzugefügt werden kann.
Externe Gastbenutzer können sich bei einem Ressourcenmandanten mit einem von ihrem Heimmandanten ausgestellten TIPP anmelden, wenn das TIPP die Authentifizierungsanforderungen des Heimmandanten erfüllt. Außerdem müssen die Richtlinien für den mandantenübergreifenden Zugriff so konfiguriert sein, dass die MFA des Heimmandanten des Benutzers als vertrauenswürdig eingestuft wird. Weitere Informationen finden Sie unter Verwalten mandantenübergreifender Zugriffseinstellungen für die B2B-Zusammenarbeit.
Ablauf
Ein abgelaufener oder gelöschter TAP kann nicht für die interaktive oder die nicht interaktive Authentifizierung verwendet werden.
Benutzer müssen sich mit anderen Authentifizierungsmethoden erneut authentifizieren, nachdem ein TAP abgelaufen ist oder gelöscht wurde.
Die Tokenlebensdauer (Sitzungstoken, Aktualisierungstoken, Zugriffstoken usw.), die mit einer TAP-Anmeldung abgerufen werden, ist auf die TAP-Lebensdauer beschränkt. Wenn ein TAP abläuft, führt dies auch zum Ablauf des zugeordneten Tokens.
Löschen eines abgelaufenen befristeten Zugriffspasses
Unter den Authentifizierungsmethoden für einen Benutzer wird in der Spalte "Detail " angezeigt, wann die TAP abgelaufen ist. Sie können abgelaufene TAPs über die folgenden Schritte löschen:
- Melden Sie sich mindestens als Authentifizierungsadministrator beim Microsoft Entra Admin Center an.
- Navigieren Sie zu Entra ID>Benutzer, wählen Sie einen Benutzer aus, z. B. Tap User, und wählen Sie dann Authentifizierungsmethoden aus.
- Wählen Sie auf der rechten Seite der in der Liste angezeigten Authentifizierungsmethode für den temporären Zugangspassdie Option "Löschen" aus.
Sie können auch PowerShell verwenden:
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Weitere Informationen finden Sie unter Remove-MgUserAuthenticationTemporaryAccessPassMethod.
Ersetzen eines befristeten Zugriffspasses
- Jeder Benutzer kann nur über einen TAP verfügen. Der Passcode kann während der Start- und Endzeit des TAPs verwendet werden.
- Wenn ein Benutzer einen neuen TAP benötigt, gilt Folgendes:
- Wenn der vorhandene TAP gültig ist, kann der Administrator einen neuen erstellen, um den vorhandenen gültigen TAP außer Kraft zu setzen.
- Wenn die vorhandene TAP abgelaufen ist, setzt ein neuer TAP die vorhandene TAP außer Kraft.
Weitere Informationen zu NIST-Standards für Onboarding und Wiederherstellung finden Sie unter NIST Special Publication 800-63A.
Einschränkungen
Beachten Sie die folgenden Einschränkungen:
- Wenn Sie eine einmalige TAP-Methode verwenden, um eine kennwortlose Methode wie einen FIDO2-Sicherheitsschlüssel oder eine Telefonanmeldung zu registrieren, muss der Benutzer die Registrierung innerhalb von 10 Minuten nach der einmaligen TAP-Anmeldung abschließen. Diese Einschränkung gilt nicht für TAPs, die mehrmals verwendet werden können.
- Benutzer, die von der Self-Service-Passwortrücksetzung (Self Service Password Reset, SSPR) oderder Richtlinie zur Registrierung der mehrstufigen Authentifizierung von Microsoft Entra ID Protection betroffen sind, müssen Authentifizierungsmethoden registrieren, nachdem sie mithilfe eines TAPs über einen Browser angemeldet sind. Benutzer, die für diese Richtlinien gelten, werden in den Unterbrechungsmodus der kombinierten Registrierung weitergeleitet. Diese Vorgehensweise unterstützt derzeit keine FIDO2-Registrierung und keine Registrierung mit Anmeldung per Telefon.
- TAPs können nicht mit der Erweiterung für den Netzwerkrichtlinienserver (Network Policy Server, NPS) oder dem Adapter für Active Directory-Verbunddienste (AD FS) verwendet werden.
- Die Replizierung von Änderungen kann einige Minuten dauern. Daher kann es nach dem Hinzufügen eines TAP zu einem Konto eine Weile dauern, bis die Eingabeaufforderung angezeigt wird. Aus dem gleichen Grund wird Benutzern nach Ablauf eines TAP möglicherweise weiterhin eine TAP-Eingabeaufforderung angezeigt.
Problembehandlung
- Wenn einem Benutzer die Verwendung eines TAP bei der Anmeldung nicht angeboten wird, gehen Sie folgendermaßen vor:
- Stellen Sie sicher, dass die Benutzer*innen im Geltungsbereich für die Nutzung von TAP in der Richtlinie für Authentifizierungsmethoden sind.
- Stellen Sie sicher, dass der Benutzer über einen gültigen TAP verfügt und dieser noch nicht verwendet wurde, wenn es sich um einen einmaligen TAP handelt.
- Wenn die Anmeldung mit einem temporären Zugriffspass aufgrund der Benutzerdatenrichtlinie während der Anmeldung mit einem TAP blockiert wurde:
- Überprüfen Sie, ob der Benutzer im Geltungsbereich der TAP-Richtlinie liegt.
- Stellen Sie sicher, dass der Benutzer nicht über ein mehrfach verwendbares TAP verfügt, während die Richtlinie für Authentifizierungsmethoden ein einmaliges TAP erfordert.
- Überprüfen Sie, ob ein einmaliger TAP bereits verwendet wurde.
- Wenn der temporäre Zugriffspass einem externen Gastbenutzer nicht hinzugefügt werden kann , wenn Sie versuchen, einem Konto als Authentifizierungsmethode eine TAP-Methode hinzuzufügen, ist das Konto ein externer Gast. Sowohl interne als auch externe Gastkonten haben die Möglichkeit, TAPs für die Anmeldung im Microsoft Entra Admin Center und Microsoft Graph-APIs hinzuzufügen. Es kann jedoch nur internen Gastkonten ein TAP zugewiesen werden.