Compartir a través de


Configuración de un pase de acceso temporal para registrar métodos de autenticación sin contraseña

Los métodos de autenticación sin contraseña, como FIDO2 y el inicio de sesión telefónico sin contraseña mediante la aplicación Microsoft Authenticator, permiten a los usuarios iniciar sesión de manera segura sin una contraseña.

Los usuarios pueden arrancar métodos sin contraseña de una de dos maneras:

  • Uso de métodos de autenticación multifactor de Microsoft Entra existentes
  • Uso de un pase de acceso temporal

El pase de acceso temporal (TAP) es un código de acceso de tiempo limitado que puede configurarse para usarse una o varias veces. Los usuarios pueden iniciar sesión con un TAP para incorporar otros métodos de autenticación sin contraseña, como Microsoft Authenticator, FIDO2 y Windows Hello para empresas.

Además, un TAP facilita la recuperación cuando un usuario ha perdido u olvidado su factor de autenticación sólida, como una clave de seguridad FIDO2 o la aplicación Microsoft Authenticator, pero debe iniciar sesión para registrar nuevos métodos de autenticación sólida.

En este artículo se muestra cómo habilitar y usar un TAP con el Centro de administración Microsoft Entra. También puede realizar estas acciones con API de REST.

Habilitación de la directiva del pase de acceso temporal

Una directiva de TAP define la configuración, como la duración de los pases creados en el inquilino, o los usuarios y grupos que pueden usar un TAP para iniciar sesión.

Para que los usuarios puedan iniciar sesión con un TAP, debe habilitar este método en la directiva de método de autenticación y elegir qué usuarios y grupos pueden iniciar sesión mediante un TAP.

Aunque puede crear un TAP para cualquier usuario, solo aquellos incluidos en la directiva pueden iniciar sesión con él. Los que tengan al menos el rol Administrador de directivas de autenticación pueden actualizar la directiva del método de autenticación TAP.

Para configurar la directiva de método de autenticación TAP:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

  2. Vaya a Protección>Métodos de autenticación>Directivas.

  3. En la lista de métodos de autenticación disponibles, seleccione Pase de acceso temporal.

    Captura de pantalla que muestra cómo administrar el pase de acceso temporal en la experiencia de la directiva del método de autenticación.

  4. Haga clic en Habilitar y, después, seleccione los usuarios que incluir o excluir de la directiva.

    Captura de pantalla que muestra cómo habilitar la directiva del método de autenticación del pase de acceso temporal.

  5. (Opcional) Seleccione Configurar para modificar la configuración predeterminada del pase de acceso temporal, como la duración máxima o la longitud, y haga clic en Actualizar.

    Captura de pantalla sobre cómo personalizar la configuración del Pase de acceso temporal.

  6. Seleccione Guardar para aplicar la directiva.

    En la tabla siguiente se describen el valor predeterminado y el intervalo de valores permitidos.

    Configuración Valores predeterminados Valores permitidos Comentarios
    Duración mínima 1 hora De 10 a 43.200 minutos (30 días) Número mínimo de minutos que TAP es válido.
    Duración máxima 8 horas De 10 a 43.200 minutos (30 días) Número máximo de minutos que TAP es válido.
    Duración predeterminada 1 hora De 10 a 43.200 minutos (30 días) Los pases individuales, dentro de la vigencia mínima y máxima configurada por la directiva, pueden invalidar el valor predeterminado.
    Uso único Falso Verdadero/Falso Cuando la directiva se establece en Falso, se pueden usar los pases en el inquilino una vez o más de una vez durante su validez (vigencia máxima). Al aplicar un uso único en la directiva TAP, todos los pases creados en el inquilino son de un solo uso.
    Longitud 8 De 8 a 48 caracteres Define la longitud del código de acceso.

Creación de un pase de acceso temporal

Después de habilitar una directiva TAP, puede crear un TAP para los usuarios en Microsoft Entra ID. Los siguientes roles pueden realizar varias acciones relacionadas con un TAP.

  • Las personas que tienen asignadas como mínimo el rol de Administrador de autenticación con privilegios pueden crear, eliminar y ver un TAP para administradores y miembros (excepto ellos mismos).
  • Las personas con el rol de administradores de autenticación pueden crear, eliminar y ver un TAP para los miembros (excepto ellos mismos).
  • Las personas con el rol de lectores globales pueden ver los detalles de TAP del usuario (sin leer el propio código).
  1. Inicia sesión en el Centro de administración Microsoft Entra como Administrador de autenticación como mínimo.

  2. Vaya a Identidad>Usuarios.

  3. Seleccione el usuario para el que desea crear un TAP.

  4. Seleccione Métodos de autenticación y haga clic en Agregar método de autenticación.

    Captura de pantalla sobre cómo crear un pase de acceso temporal.

  5. Seleccione Pase de acceso temporal.

  6. Defina una duración o una hora de activación personalizada y seleccione Agregar.

    Captura de pantalla de cómo agregar un método: Pase de acceso temporal.

  7. Una vez que se agregue, se muestran los detalles del TAP.

    Importante

    Anote el valor del TAP real, ya que proporcionará este valor al usuario. No puede ver este valor después de seleccionar Aceptar.

    Captura de pantalla de los detalles del pase de acceso temporal.

  8. Seleccione Aceptar cuando termine.

Los siguientes comandos muestran cómo crear y obtener un TAP mediante PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Para obtener más información, vea New-MgUserAuthenticationTemporaryAccessPassMethod y Get-MgUserAuthenticationTemporaryAccessPassMethod.

Uso de un pase de acceso temporal

El uso más común de un TAP es permitir al usuario registrar los detalles de autenticación durante el primer inicio de sesión o configuración del dispositivo, sin necesidad de completar mensajes de seguridad adicionales. Los métodos de autenticación se registran en https://aka.ms/mysecurityinfo. Los usuarios también pueden actualizar los métodos de autenticación existentes aquí.

  1. Abra un navegador web en https://aka.ms/mysecurityinfo.

  2. Escriba el nombre principal de usuario de la cuenta para la que ha creado el TAP, como tapuser@contoso.com.

  3. Si el usuario está incluido en la directiva de TAP, ve una pantalla para escribir su TAP.

  4. Escriba el TAP que se muestra en el centro de administración Microsoft Entra.

    Captura de pantalla sobre cómo introducir un pase de acceso temporal.

Nota:

En el caso de los dominios federados, se prefiere un TAP frente a la federación. Un usuario con un TAP completa la autenticación en Microsoft Entra ID y no se le redirige al proveedor de identidades federado (IdP).

El usuario ahora ha iniciado sesión y puede actualizar o registrar un método, como una clave de seguridad FIDO2.

Los usuarios que actualicen sus métodos de autenticación debido a la pérdida de sus credenciales o dispositivos deben asegurarse de que quitan los métodos de autenticación antiguos.

Los usuarios también pueden seguir iniciando sesión con su contraseña. Un pase TAP no reemplaza la contraseña de un usuario.

Administración de usuarios para un pase de acceso temporal

Los usuarios que administran su información de seguridad en https://aka.ms/mysecurityinfo, ven una entrada para el pase de acceso temporal. Si un usuario no registra ningún otro método, se muestra un banner en la parte superior de la pantalla que indica que se agregue un nuevo método de inicio de sesión. Los usuarios también pueden ver la hora de expiración de TAP y eliminarlo si ya no es necesario.

Captura de pantalla sobre cómo pueden administrar los usuarios un Pase de acceso temporal en Mi información de seguridad.

Configuración del dispositivo Windows

Los usuarios con un TAP pueden navegar por el proceso de configuración en Windows 10 y 11 para efectuar operaciones de unión a dispositivos y configurar Windows Hello para empresas. El uso de un TAP para configurar Windows Hello para empresas difiere en función del estado de unión de los dispositivos.

Para los dispositivos unidos a Microsoft Entra ID:

  • Durante el proceso de configuración de unión de dominios, los usuarios pueden autenticarse con un TAP (no se requiere contraseña) para unirse al dispositivo y registrarse en Windows Hello para empresas.
  • En dispositivos ya unidos, los usuarios deben autenticarse primero con otro método, como una contraseña, una tarjeta inteligente o una clave FIDO2, para poder usar el TAP para configurar Windows Hello para empresas.
  • Si la característica de inicio de sesión web en Windows también está habilitada, el usuario puede usar TAP para iniciar sesión en el dispositivo. Esto está pensado solo para completar la configuración inicial del dispositivo o la recuperación cuando el usuario no conoce o tiene una contraseña.

En el caso de dispositivos híbridos unidos, los usuarios deben autenticarse primero con otro método, como una contraseña, una tarjeta inteligente o una clave FIDO2, para poder usar el TAP para configurar Windows Hello para empresas.

Captura de pantalla sobre cómo introducir un pase de acceso temporal cuando se configura Windows.

Inicio de sesión telefónico sin contraseña

Los usuarios también pueden usar su TAP para registrarse en el inicio de sesión telefónico sin contraseña directamente desde la aplicación Authenticator.

Para obtener más información, consulte Agregar la cuenta profesional o educativa a la aplicación Microsoft Authenticator.

Captura de pantalla de cómo introducir un pase de acceso temporal mediante una cuenta profesional o educativa.

Acceso de invitado

Los usuarios invitados pueden iniciar sesión en un inquilino de recursos con un TAP emitido por su inquilino principal si el TAP cumple el requisito de autenticación del inquilino principal.

Si se requiere la autenticación multifactor (MFA) para el inquilino de recursos, el usuario invitado debe realizar la MFA para obtener acceso al recurso.

Expiración

No se puede usar un TAP expirado o eliminado para la autenticación interactiva o no interactiva.

Los usuarios tendrán que volver a autenticarse con otros métodos de autenticación después de que el TAP haya expirado o se haya eliminado.

La duración del token (token de sesión, token de actualización, token de acceso, etc.) obtenido con un inicio de sesión de TAP se limita a la duración de este. Cuando expira un TAP, esto da lugar a la expiración del token asociado.

Eliminación de un pase de acceso temporal expirado

Debajo de Métodos de autenticación de un usuario, la columna Detalle muestra cuándo expiró el TAP. Puede eliminar un TAP caducado mediante los siguientes pasos:

  1. Inicia sesión en el Centro de administración Microsoft Entra como Administrador de autenticación como mínimo.
  2. Vaya a Identidad>Usuarios, seleccione un usuario, como Pulsar usuario, y a continuación, elija Métodos de autenticación.
  3. En el lado derecho del método de autenticación Pase de acceso temporal que se muestra en la lista, seleccione Eliminar.

También puede usar PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Para más información, consulte Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Reemplazo de un pase de acceso temporal

  • Cada usuario solo puede tener un TAP. El código de acceso se puede usar durante las horas de inicio y finalización del TAP.
  • Si un usuario requiere un nuevo TAP:
    • Si el TAP existente es válido, la persona con rol de administrador puede crear un nuevo TAP para invalidar el TAP válido existente.
    • Si el TAP existente ha expirado, un nuevo TAP invalidará el TAP existente.

Para obtener más información sobre los estándares de NIST para la incorporación y la recuperación, consulte la publicación especial de NIST 800-63A.

Limitaciones

Tenga en cuenta las limitaciones siguientes:

  • Cuando se usa un TAP de un uso para registrar un método sin contraseña, como una clave de seguridad FIDO2 o el inicio de sesión telefónico, el usuario debe completar el registro en un plazo de 10 minutos a partir del inicio de sesión con el TAP de único uso. Esta limitación no se aplica a un TAP que se puede usar más de una vez.
  • Los usuarios en el ámbito de la directiva de registro de autoservicio de restablecimiento de contraseña (SSPR) o la directiva de registro de MFA de Protección de id. de Microsoft Entra deben registrar los métodos de autenticación después de que han iniciado sesión con un TAP mediante un navegador. Los usuarios sujetos a estas directivas se redirigen al modo de interrupción del registro combinado. Esta experiencia no admite actualmente el registro con FIDO2 e inicio de sesión telefónico.
  • Un TAP no se puede usar con la extensión del servidor de directivas de redes (NPS) y el adaptador de Servicios de federación de Active Directory (AD FS).
  • Los cambios pueden tardar unos minutos en replicarse. Por este motivo, después de agregar un TAP a una cuenta, puede tardar un tiempo en aparecer el mensaje. Por el mismo motivo, después de que expire un TAP, es posible que los usuarios sigan viendo una solicitud de TAP.

Solución de problemas

  • Si no se ofrece un TAP a un usuario durante el inicio de sesión:
    • Asegúrese de que el usuario está en el ámbito de la directiva del método de autenticación TAP.
    • Asegúrese de que el usuario tiene un TAP válido y, si se usa una sola vez, aún no se usó.
  • Si aparece la opción El inicio de sesión con el TAP se bloqueó debido a la directiva de credenciales de usuario durante el inicio de sesión con un pase de acceso temporal:
    • Asegúrese de que el usuario no tiene un TAP de uso múltiple mientras que la directiva del método de autenticación requiere un TAP de un solo uso.
    • Compruebe si ya se usó un TAP de una sola vez.
  • Si el inicio de sesión con un TAP se bloqueó debido a la directiva de credenciales de usuario, compruebe que el usuario está en el ámbito de la directiva TAP.

Pasos siguientes