Configurer un passe d’accès temporaire pour inscrire des méthodes d’authentification sans mot de passe

Les méthodes d’authentification sans mot de passe, telles que FIDO2 et la connexion par téléphone sans mot de passe par le biais de l’application Microsoft Authenticator, permettent aux utilisateurs de se connecter en toute sécurité sans mot de passe.

Les utilisateurs peuvent amorcer des méthodes sans mot de passe de l’une des deux manières suivantes :

• Utiliser des méthodes d’authentification multifacteur Microsoft Entra existantes
• Utiliser un passe d’accès temporaire

Un passe d’accès temporaire (TAP) est un code secret limité dans le temps qui peut être configuré pour une ou plusieurs utilisations. Les utilisateurs peuvent se connecter avec un TAP pour intégrer d’autres méthodes d’authentification sans mot de passe, telles que Microsoft Authenticator, FIDO2 et Windows Hello Entreprise.

Un TAP facilite également la récupération lorsqu’un utilisateur a perdu ou oublié son facteur d’authentification fort comme une clé de sécurité FIDO2 ou l’application Microsoft Authenticator, mais qu’il doit se connecter pour inscrire de nouvelles méthodes d’authentification fortes.

Cet article vous montre comment activer et utiliser un TAP à l’aide du centre d’administration Microsoft Entra. Vous pouvez également effectuer ces actions à l’aide des API REST.

Activer la stratégie de passe d’accès temporaire

Une stratégie de passe d’accès temporaire définit des paramètres, tels que la durée de vie des passes créés dans le locataire ou les utilisateurs et les groupes qui peuvent utiliser un passe d’accès temporaire pour se connecter.

Avant que les utilisateurs puissent se connecter avec un passe d’accès temporaire, vous devez activer cette méthode dans la stratégie de méthode d’authentification et choisir les utilisateurs et les groupes qui peuvent se connecter à l’aide d’un passe d’accès temporaire.

Bien que vous puissiez créer un passe d’accès temporaire pour n’importe quel utilisateur, seuls les utilisateurs inclus dans la stratégie peuvent l’utiliser pour se connecter. Seuls les rôles Administrateur général et Administrateur de stratégie d’authentification peuvent mettre à jour la stratégie de méthode d’authentification TAP.

Pour configurer la stratégie de méthode d’authentification par passe d’accès temporaire :

1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

2. Accédez à Protection>Méthodes d’authentification>Stratégies.

3. Dans la liste des méthodes d’authentification disponibles, sélectionnez Passe d'accès temporaire.

   

4. Cliquez sur Activer, puis sélectionnez les utilisateurs à inclure ou à exclure de la stratégie.

   

5. (Facultatif) Sélectionnez Configurer pour modifier les paramètres de passe d’accès temporaire par défaut, tels que la définition de la durée de vie maximale ou de la longueur, puis cliquez sur Mettre à jour.

   

6. Sélectionnez Enregistrer pour appliquer la stratégie.

   La valeur par défaut et la plage de valeurs autorisées sont décrites dans le tableau suivant.

   Paramètre	Valeurs par défaut	Valeurs autorisées	Commentaires
   Durée de vie minimale	1 heure	10 à 43 200 minutes (30 jours)	Nombre minimal de minutes pendant lesquelles le passe d’accès temporaire est valide.
   Durée de vie maximale	8 heures	10 à 43 200 minutes (30 jours)	Nombre maximal de minutes pendant lesquelles le passe d’accès temporaire est valide.
   Durée de vie par défaut	1 heure	10 à 43 200 minutes (30 jours)	Chaque passe, dans le cadre de la durée de vie minimale et maximale configurée par la stratégie, peut remplacer la valeur par défaut.
   Utilisation unique	False	Vrai/Faux	Lorsque la stratégie est définie sur false, les passes du locataire peuvent être utilisés une fois ou plusieurs fois pendant leur validité (durée de vie maximale). En appliquant une utilisation ponctuelle dans la stratégie de passe d’accès temporaire, tous les passes créés dans le locataire sont à usage unique.
   Longueur	8	8 à 48 caractères	Définit la longueur du code secret.

Créer un passe d’accès temporaire

Après avoir activé une stratégie TAP, vous pouvez créer des TAPS pour les utilisateurs dans Microsoft Entra ID. Ces rôles suivants peuvent effectuer différentes actions liées à un TAP.

• Les administrateurs généraux peuvent créer, supprimer et afficher un TAP pour n’importe quel utilisateur (sauf eux-mêmes).
• Les administrateurs d’authentification privilégié peuvent créer, supprimer et afficher un TAP pour les administrateurs et les membres (sauf eux-mêmes).
• Les administrateurs d’authentification peuvent créer, supprimer et afficher un TAP pour les membres (sauf eux-mêmes).
• Les lecteurs globaux peuvent afficher les détails TAP de l’utilisateur (sans lire le code lui-même).

1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

2. Accédez à Identité>Utilisateurs.

3. Sélectionnez l’utilisateur pour lequel vous souhaitez créer un TAP.

4. Sélectionnez Méthodes d’authentification, puis cliquez sur Ajouter une méthode d’authentification.

   

5. Sélectionnez Passe d’accès temporaire.

6. Définissez une heure ou une durée d’activation personnalisée, puis sélectionnez Ajouter.

   

7. Une fois ajouté, les détails du passe d’accès temporaire sont affichés.

   Important

   Notez la valeur TAP réelle, car vous fournirez cette valeur à l’utilisateur. Vous ne pouvez pas afficher cette valeur après avoir sélectionné OK.

   

8. Sélectionnez OK lorsque vous avez terminé.

Les commandes suivantes montrent comment créer et obtenir un TAP à l’aide de PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Pour plus d’informations, consultez New-MgUserAuthenticationTemporaryAccessPassMethod et Get-MgUserAuthenticationTemporaryAccessPassMethod.

Utiliser un passe d’accès temporaire

L’utilisation la plus courante d’un TAP consiste pour un utilisateur à inscrire les détails d’authentification lors de la première connexion ou de la configuration de l’appareil, sans devoir répondre à d’autres invites de sécurité. Les méthodes d’authentification sont inscrites à l’adresse https://aka.ms/mysecurityinfo. Les utilisateurs peuvent également mettre à jour les méthodes d’authentification existantes ici.

1. Ouvrez un navigateur web à l’adresse https://aka.ms/mysecurityinfo.

2. Entrez l’UPN du compte pour lequel vous avez créé le passe d’accès temporaire, par exemple tapuser@contoso.com.

3. Si l’utilisateur est inclus dans la stratégie de passe d’accès temporaire, un écran s’affiche pour qu’il entre son passe d’accès temporaire.

4. Entrez le TAP affiché dans le centre d’administration Microsoft Entra.

   

Remarque

Pour les domaines fédérés, un passe d’accès temporaire est préférable à une fédération. Un utilisateur disposant d’un TAP s’authentifie dans Microsoft Entra ID et n’est pas redirigé vers le fournisseur d’identité (IdP) fédérée.

L’utilisateur est maintenant connecté et peut mettre à jour ou inscrire une méthode telle que la clé de sécurité FIDO2.

Les utilisateurs qui mettent à jour leurs méthodes d’authentification en raison de la perte de leurs informations d’identification ou de leur appareil doivent veiller à supprimer les anciennes méthodes d’authentification.

Les utilisateurs peuvent également continuer à se connecter à l’aide de leur mot de passe. Un passe d’accès temporaire ne remplace pas le mot de passe d’un utilisateur.

Gestion des utilisateurs des Passes d’accès temporaire

Les utilisateurs qui gèrent leurs informations de sécurité sur la page https://aka.ms/mysecurityinfo constatent qu’il existe une entrée pour le passe d’accès temporaire. Si un utilisateur n’a pas d’autres méthodes inscrites, une bannière s’affiche en haut de l’écran pour lui demander d’ajouter une nouvelle méthode de connexion. Les utilisateurs peuvent également afficher le délai d’expiration du TAP et supprimer le TAP si ce n’est plus nécessaire.

Configuration de l’appareil Windows

Les utilisateurs disposant d’un TAP peuvent naviguer dans le processus d’installation sur Windows 10 et 11 pour effectuer des opérations de jonction d’appareil et configurer Windows Hello Entreprise. L’utilisation du TAP pour la configuration de Windows Hello Entreprise varie en fonction de l’état de jonction des appareils.

Pour joindre des appareils à Microsoft Entra ID :

• Lors du processus de configuration de la jonction à un domaine, les utilisateurs peuvent s’authentifier avec un passe d’accès temporaire (aucun mot de passe obligatoire) pour joindre l’appareil et inscrire Windows Hello Entreprise.
• Sur les appareils déjà joints, les utilisateurs doivent d’abord s’authentifier avec une autre méthode, comme un mot de passe, une carte à puce ou une clé FIDO2, avant d’utiliser un passe d’accès temporaire pour configurer Windows Hello Entreprise.
• Si la fonctionnalité Connexion Web sur Windows est également activée, l’utilisateur peut utiliser un Passe d’accès temporaire pour se connecter à l’appareil. C’est juste pour effectuer la configuration initiale de l’appareil ou une récupération quand l’utilisateur ne connaît pas le mot de passe ou n’en a pas.

Pour les appareils hybrides, les utilisateurs doivent d’abord s’authentifier avec une autre méthode, comme un mot de passe, une carte à puce ou une clé FIDO2, avant d’utiliser un passe d’accès temporaire pour configurer Windows Hello Entreprise.

Connexion par téléphone sans mot de passe

Les utilisateurs peuvent également utiliser leur passe d’accès temporaire pour s’inscrire à une connexion par téléphone sans mot de passe directement à partir de l’application Microsoft Authenticator.

Pour plus d’informations, consultez Ajouter votre compte professionnel ou scolaire dans l’application Microsoft Authenticator.

Accès invité

Les utilisateurs invités peuvent se connecter à un locataire de ressource avec un TAP émis par leur locataire domestique si le TAP répond à la condition d’authentification du locataire domestique.

Si l’authentification multifacteur (MFA) est requise pour le locataire de ressources, l’utilisateur invité doit effectuer une MFA pour accéder à la ressource.

Expiration

Un TAP expiré ou supprimé ne peut pas être utilisé pour une authentification interactive ou non interactive.

Les utilisateurs doivent se réauthentifier avec d’autres méthodes d’authentification après l’expiration ou la suppression du TAP.

La durée de vie du jeton (jeton d’actualisation, jeton d’actualisation, jeton d’accès, et ainsi de suite) obtenue à l’aide d’une connexion TAP est limitée à la durée de vie du TAP. Lorsqu’un TAP expire, il entraîne l’expiration du jeton associé.

Supprimer un passe d’accès temporaire expiré

Sous les méthodes d’authentification d’un utilisateur, la colonne Détails indique quand le passe d’accès temporaire a expiré. Vous pouvez supprimer un TAP expiré en procédant comme suit :

1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.
2. Accédez à Identité>Utilisateurs, sélectionnez un utilisateur, par exemple Utilisateur avec passe d’accès temporaire, puis choisissez Méthodes d’authentification.
3. Sur le côté droit de la méthode d’authentification Passe d’accès temporaire présentée dans la liste, sélectionnez Supprimer.

Vous pouvez également utiliser PowerShell :

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Pour plus d’informations, consultez Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Remplacer un passe d’accès temporaire

• Chaque utilisateur ne peut avoir qu’un seul TAP. Le code secret peut être utilisé entre les heures de début et de fin du passe d’accès temporaire.
• Si un utilisateur a besoin d’un nouveau TAP :
  • Si le TAP existant est valide, l’administrateur peut créer un nouveau TAP pour remplacer le TAP valide existant.
  • Si le TAP existant a expiré, un nouveau TAP remplace le TAP existant.

Pour plus d’informations sur les normes NIST pour l’intégration et la récupération, consultez la publication spéciale 800-63 du NIST.

Limites

Gardez ces limites à l’esprit :

• Lors de l’utilisation d’un passe d’accès temporaire à usage unique pour inscrire une méthode sans mot de passe telle que FIDO2 ou la connexion par téléphone, l’utilisateur doit terminer l’inscription dans les 10 minutes suivant la connexion avec le passe. Cette limitation ne s’applique pas à un TAP qui peut être utilisé plusieurs fois.
• Les utilisateurs concernés par la stratégie d’inscription Réinitialisation de mot de passe en libre-service (SSPR) ou par la stratégie d’inscription de l’authentification multifacteur Identity Protection sont tenus d’inscrire des méthodes d’authentification après s’être connectés avec un TAP à partir d’un navigateur. Les utilisateurs concernés par ces stratégies sont redirigés vers le mode d’interruption de l’inscription combinée. Cette expérience ne prend actuellement pas en charge l’inscription de FIDO2 et de la connexion par téléphone.
• Un TAP ne peut pas être utilisé avec l’extension Network Policy Server (NPS) et l’adaptateur Services de fédération Active Directory (AD FS).
• La réplication des modifications peut prendre quelques minutes. Pour cette raison, une fois qu’un TAP est ajouté à un compte, l’affichage de l’invite peut prendre un certain temps. Pour la même raison, une fois qu’un TAP expire, les utilisateurs peuvent toujours voir une invite de TAP.

Dépannage

• Si un TAP n’est pas proposé à un utilisateur lors de la connexion :
  • Veillez à ce que l’utilisateur soit inclus par la stratégie de méthode d’authentification par passe d’accès temporaire.
  • Veillez à ce que l’utilisateur dispose d’un TAP valide et, si ce dernier est à usage unique, il n’a pas encore été utilisé.
• Si le message La connexion du droit d’accès temporaire a été bloquée en raison de la stratégie relative aux informations d’identification de l’utilisateur s’affiche lors de la connexion à l’aide d’un TAP :
  • Veillez à ce que l’utilisateur ne dispose pas d’un TAP à usage multiples, tandis que la stratégie de méthode d’authentification requiert un passe d’accès temporaire à usage unique.
  • Vérifiez si un TAP à usage unique a déjà été utilisé.
• Si la connexion par TAP a été bloquée en raison de la stratégie des informations d’identification de l’utilisateur, vérifiez que l’utilisateur fait partie de l’étendue de la stratégie du passe d’accès temporaire.

Étapes suivantes

• Planifier un déploiement d’authentification sans mot de passe dans Microsoft Entra ID