Configuración de un pase de acceso temporal para registrar métodos de autenticación sin contraseña

  • Artículo

Los métodos de autenticación sin contraseña, como FIDO2 y el inicio de sesión telefónico sin contraseña mediante la aplicación Microsoft Authenticator, permiten a los usuarios iniciar sesión de manera segura sin una contraseña.

Los usuarios pueden arrancar métodos sin contraseña de una de dos maneras:

  • Uso de métodos de autenticación multifactor de Microsoft Entra existentes
  • Uso de un Pase de acceso temporal

El pase de acceso temporal (TAP) es un código de acceso de tiempo limitado que puede configurarse para usarse una o varias veces. Los usuarios pueden iniciar sesión con un TAP para incorporar otros métodos de autenticación sin contraseña, como Microsoft Authenticator, FIDO2 y Windows Hello para empresas.

Además, un TAP facilita la recuperación cuando un usuario ha perdido u olvidado su factor de autenticación sólida, como una llave de seguridad FIDO2 o la aplicación Microsoft Authenticator, pero debe iniciar sesión para registrar nuevos métodos de autenticación sólida.

En este artículo se muestra cómo habilitar y usar un TAP con el Centro de administración de Microsoft Entra. También puede realizar estas acciones con API de REST.

Habilitación de la directiva del Pase de acceso temporal

Una directiva de TAP define la configuración, como la duración de los pases creados en el inquilino, o los usuarios y grupos que pueden usar un TAP para iniciar sesión.

Para que los usuarios puedan iniciar sesión con un TAP, debe habilitar este método en la directiva de método de autenticación y elegir qué usuarios y grupos pueden iniciar sesión mediante un TAP.

Aunque puede crear un TAP para cualquier usuario, solo aquellos incluidos en la directiva pueden iniciar sesión con él. Solo los roles Administrador global y Administrador de directivas de autenticación pueden actualizar la directiva del método de autenticación TAP.

Para configurar la directiva de método de autenticación TAP:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

  2. Vaya a Protección>Métodos de autenticación>Directivas.

  3. En la lista de métodos de autenticación disponibles, seleccione Pase de acceso temporal.

    Screenshot of how to manage Temporary Access Pass within the authentication method policy experience.

  4. Haga clic en Habilitar y, después, seleccione los usuarios que incluir o excluir de la directiva.

    Screenshot of how to enable the Temporary Access Pass authentication method policy.

  5. (Opcional) Seleccione Configurar para modificar la configuración predeterminada del pase de acceso temporal, como la duración máxima o la longitud, y haga clic en Actualizar.

    Screenshot of how to customize the settings for Temporary Access Pass.

  6. Seleccione Guardar para aplicar la directiva.

    En la tabla siguiente se describen el valor predeterminado y el intervalo de valores permitidos.

    Configuración Valores predeterminados Valores permitidos Comentarios
    Duración mínima 1 hora De 10 a 43,200 minutos (30 días) Número mínimo de minutos que TAP es válido.
    Duración máxima 8 horas De 10 a 43,200 minutos (30 días) Número máximo de minutos que TAP es válido.
    Duración predeterminada 1 hora De 10 a 43,200 minutos (30 días) Los pases individuales, dentro de la vigencia mínima y máxima configurada por la directiva, pueden invalidar el valor predeterminado.
    Uso único False Verdadero/Falso Cuando la directiva se establece en False, se pueden usar los pases en el inquilino una vez o más de una vez durante su validez (vigencia máxima). Al aplicar un uso único en la directiva TAP, todos los pases creados en el inquilino son de un solo uso.
    Length 8 De 8 a 48 caracteres Define la longitud del código de acceso.

Creación de un Pase de acceso temporal

Después de habilitar una directiva TAP, puede crear un TAP para los usuarios en Microsoft Entra ID. Los siguientes roles pueden realizar varias acciones relacionadas con un TAP.

  • Los administradores globales pueden crear, eliminar y ver un TAP para cualquier usuario (excepto ellos mismos).
  • Los administradores de autenticación con privilegios pueden crear, eliminar y ver un TAP para administradores y miembros (excepto ellos mismos).
  • Los administradores de autenticación pueden crear, eliminar y ver un TAP para los miembros (excepto ellos mismos).
  • Los lectores globales pueden ver los detalles de TAP del usuario (sin leer el propio código).

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

  2. Vaya a Identidad>Usuarios.

  3. Seleccione el usuario para el que desea crear un TAP.

  4. Seleccione Métodos de autenticación y haga clic en Agregar método de autenticación.

    Screenshot of how to create a Temporary Access Pass.

  5. Seleccione Pase de acceso temporal.

  6. Defina una duración o una hora de activación personalizada y seleccione Agregar.

    Screenshot of adding a method - Temporary Access Pass.

  7. Una vez que se agregue, se muestran los detalles del TAP.

    Importante

    Anote el valor del TAP real, ya que proporcionará este valor al usuario. No puede ver este valor después de seleccionar Aceptar.

    Screenshot of Temporary Access Pass details.

  8. Seleccione Aceptar cuando termine.

Los siguientes comandos muestran cómo crear y obtener un TAP mediante PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Para obtener más información, vea New-MgUserAuthenticationTemporaryAccessPassMethod y Get-MgUserAuthenticationTemporaryAccessPassMethod.

Uso de un Pase de acceso temporal

El uso más común de un TAP es permitir al usuario registrar los detalles de autenticación durante el primer inicio de sesión o configuración del dispositivo, sin necesidad de completar mensajes de seguridad adicionales. Los métodos de autenticación se registran en https://aka.ms/mysecurityinfo. Los usuarios también pueden actualizar los métodos de autenticación existentes aquí.

  1. Abra un explorador web en https://aka.ms/mysecurityinfo.

  2. Escriba el nombre principal de usuario de la cuenta para la que ha creado el TAP, como tapuser@contoso.com.

  3. Si el usuario está incluido en la directiva de TAP, ve una pantalla para escribir su TAP.

  4. Escriba el TAP que se muestra en el centro de administración de Microsoft Entra.

    Screenshot of how to enter a Temporary Access Pass.

Nota:

En el caso de los dominios federados, se prefiere un TAP frente a la federación. Un usuario con un TAP completa la autenticación en Id. de Microsoft Entra y no se le redirige al proveedor de identidades federado (IdP).

El usuario ahora ha iniciado sesión y puede actualizar o registrar un método, como una llave de seguridad FIDO2.

Los usuarios que actualicen sus métodos de autenticación debido a la pérdida de sus credenciales o dispositivos deben asegurarse de que quitan los métodos de autenticación antiguos.

Los usuarios también pueden seguir iniciando sesión con su contraseña. Un pase TAP no reemplaza la contraseña de un usuario.

Administración de usuarios para un pase de acceso temporal

Los usuarios que administran su información de seguridad en https://aka.ms/mysecurityinfo, ven una entrada para el pase de acceso temporal. Si un usuario no registra ningún otro método, se muestra un banner en la parte superior de la pantalla que indica que se agregue un nuevo método de inicio de sesión. Los usuarios también pueden ver la hora de expiración de TAP y eliminarlo si ya no es necesario.

Screenshot of how users can manage a Temporary Access Pass in My Security Info..

Configuración del dispositivo Windows

Los usuarios con un TAP pueden navegar por el proceso de configuración en Windows 10 y 11 para efectuar operaciones de unión a dispositivos y configurar Windows Hello para empresas. El uso de un TAP para configurar Windows Hello para empresas difiere en función del estado de unión de los dispositivos.

Para los dispositivos unidos a Id. de Microsoft Entra:

  • Durante el proceso de configuración de unión de dominios, los usuarios pueden autenticarse con un TAP (no se requiere contraseña) para unirse al dispositivo y registrarse en Windows Hello para empresas.
  • En dispositivos ya unidos, los usuarios deben autenticarse primero con otro método, como una contraseña, una tarjeta inteligente o una clave FIDO2, para poder usar el TAP para configurar Windows Hello para empresas.
  • Si la característica de inicio de sesión web en Windows también está habilitada, el usuario puede usar TAP para iniciar sesión en el dispositivo. Esto está pensado solo para completar la configuración inicial del dispositivo o la recuperación cuando el usuario no conoce o tiene una contraseña.

En el caso de dispositivos híbridos unidos, los usuarios deben autenticarse primero con otro método, como una contraseña, una tarjeta inteligente o una clave FIDO2, para poder usar el TAP para configurar Windows Hello para empresas.

Screenshot of how to enter Temporary Access Pass when setting up Windows.

Inicio de sesión telefónico sin contraseña

Los usuarios también pueden usar su TAP para registrarse en el inicio de sesión telefónico sin contraseña directamente desde la aplicación Authenticator.

Para obtener más información, consulte Agregar la cuenta profesional o educativa a la aplicación Microsoft Authenticator.

Screenshot of how to enter a Temporary Access Pass using work or school account.

Acceso de invitado

Los usuarios invitados pueden iniciar sesión en un inquilino de recursos con un TAP emitido por su inquilino principal si el TAP cumple el requisito de autenticación del inquilino principal.

Si se requiere la autenticación multifactor (MFA) para el inquilino de recursos, el usuario invitado debe realizar la MFA para obtener acceso al recurso.

Expiración

No se puede usar un TAP expirado o eliminado para la autenticación interactiva o no interactiva.

Los usuarios tendrán que volver a autenticarse con otros métodos de autenticación después de que el TAP haya expirado o se haya eliminado.

La duración del token (token de sesión, token de actualización, token de acceso, etc.) obtenido con un inicio de sesión de TAP se limita a la duración de este. Cuando expira un TAP, esto da lugar a la expiración del token asociado.

Eliminación de un Pase de acceso temporal expirado

Debajo de Métodos de autenticación de un usuario, la columna Detalle muestra cuándo expiró el TAP. Puede eliminar un TAP caducado mediante los siguientes pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
  2. Vaya a Identidad>Usuarios, seleccione un usuario, como Pulsar usuario, y a continuación, elija Métodos de autenticación.
  3. En el lado derecho del método de autenticación Pase de acceso temporal que se muestra en la lista, seleccione Eliminar.

También puede usar PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Para más información, consulte Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Reemplazo de un Pase de acceso temporal

  • Cada usuario solo puede tener un TAP. El código de acceso se puede usar durante las horas de inicio y finalización del TAP.
  • Si un usuario requiere un nuevo TAP:
    • Si el TAP existente es válido, el administrador puede crear un nuevo TAP para invalidar el TAP válido existente.
    • Si el TAP existente ha expirado, un nuevo TAP invalidará el TAP existente.

Para obtener más información sobre los estándares de NIST para la incorporación y la recuperación, consulte la publicación especial de NIST 800-63A.

Limitaciones

Tenga en cuenta las limitaciones siguientes:

  • Cuando se usa un TAP de un uso para registrar un método sin contraseña, como FIDO2 o el inicio de sesión telefónico, el usuario debe completar el registro en un plazo de 10 minutos a partir del inicio de sesión con el TAP de único uso. Esta limitación no se aplica a un TAP que se puede usar más de una vez.
  • Los usuarios en el ámbito de la directiva de registro de autoservicio de restablecimiento de contraseña (SSPR) o la directiva de registro de autenticación multifactor de protección de identidades deben registrar los métodos de autenticación después de que han iniciado sesión con un TAP mediante un explorador. Los usuarios sujetos a estas directivas se redirigen al modo de interrupción del registro combinado. Esta experiencia no admite actualmente el registro con FIDO2 e inicio de sesión telefónico.
  • Un TAP no se puede usar con la extensión del servidor de directivas de redes (NPS) y el adaptador de Servicios de federación de Active Directory (AD FS).
  • Los cambios pueden tardar unos minutos en replicarse. Por este motivo, después de agregar un TAP a una cuenta, puede tardar un tiempo en aparecer el mensaje. Por el mismo motivo, después de que expire un TAP, es posible que los usuarios sigan viendo una solicitud de TAP.

Solución de problemas

  • Si no se ofrece un TAP a un usuario durante el inicio de sesión:
    • Asegúrese de que el usuario está en el ámbito de la directiva del método de autenticación TAP.
    • Asegúrese de que el usuario tiene un TAP válido y, si se usa una sola vez, aún no se usó.
  • Si aparece la opción El inicio de sesión con el TAP se bloqueó debido a la directiva de credenciales de usuario durante el inicio de sesión con un pase de acceso temporal:
    • Asegúrese de que el usuario no tiene un TAP de uso múltiple mientras que la directiva del método de autenticación requiere un TAP de un solo uso.
    • Compruebe si ya se usó un TAP de una sola vez.
  • Si el inicio de sesión con un TAP se bloqueó debido a la directiva de credenciales de usuario, compruebe que el usuario está en el ámbito de la directiva TAP.

Pasos siguientes