Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les méthodes d’authentification sans mot de passe comme une clé d’accès (FIDO2) permettent aux utilisateurs de se connecter en toute sécurité sans mot de passe. Les utilisateurs peuvent amorcer des méthodes sans mot de passe de l’une des deux manières suivantes :
- Utiliser des méthodes d’authentification multifacteur Microsoft Entra existantes
- Utiliser un passe d’accès temporaire
Un passe d’accès temporaire (TAP) est un code secret limité dans le temps qui peut être configuré pour une utilisation unique ou plusieurs connexions. Les utilisateurs peuvent se connecter avec un TAP pour intégrer d’autres méthodes d’authentification sans mot de passe. Un TAP facilite également la récupération lorsqu’un utilisateur perd ou oublie une méthode d’authentification forte.
Cet article vous montre comment activer et utiliser un TAP à l’aide du Centre d’administration Microsoft Entra. Vous pouvez également effectuer ces actions à l’aide des API REST.
Activer la stratégie de passe d’accès temporaire
Une stratégie de passe d’accès temporaire définit des paramètres, tels que la durée de vie des passes créés dans le locataire ou les utilisateurs et les groupes qui peuvent utiliser un passe d’accès temporaire pour se connecter.
Avant que les utilisateurs puissent se connecter avec un TAP, vous devez activer cette méthode dans la stratégie méthodes d’authentification et choisir les utilisateurs et groupes qui peuvent se connecter à l’aide d’un TAP.
Bien que vous puissiez créer un passe d’accès temporaire pour n’importe quel utilisateur, seuls les utilisateurs inclus dans la stratégie peuvent l’utiliser pour se connecter. Vous avez besoin du rôle Administrateur de stratégie d’authentification pour mettre à jour la stratégie de méthodes d’authentification TAP.
Pour configurer TAP dans la stratégie de méthodes d’authentification :
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de stratégie d’authentification au moins.
Accédez à Entra ID>Méthodes d'authentification>Stratégies.
Dans la liste des méthodes d’authentification disponibles, sélectionnez Passe d’accès temporaire.
Sélectionnez Activer , puis sélectionnez utilisateurs à inclure ou exclure de la stratégie.
(Facultatif) Sélectionnez Configurer pour modifier les paramètres de passe d’accès temporaire par défaut, tels que la définition de la durée de vie maximale ou de la longueur, puis sélectionnez Mettre à jour.
Sélectionnez Enregistrer pour appliquer la stratégie.
La valeur par défaut et la plage de valeurs autorisées sont décrites dans le tableau suivant.
Paramètre Valeurs par défaut Valeurs autorisées Commentaires Durée de vie minimale 1 heure 10 à 43 200 minutes (30 jours) Nombre minimal de minutes pendant lesquelles le passe d’accès temporaire est valide. Durée de vie maximale 8 heures 10 à 43 200 minutes (30 jours) Nombre maximal de minutes pendant lesquelles le passe d’accès temporaire est valide. Durée de vie par défaut 1 heure 10 à 43 200 minutes (30 jours) Chaque passe, dans le cadre de la durée de vie minimale et maximale configurée par la stratégie, peut remplacer la valeur par défaut. Utilisation unique Faux Vrai/Faux Lorsque la stratégie est définie sur false, les passes du locataire peuvent être utilisés une fois ou plusieurs fois pendant leur validité (durée de vie maximale). En appliquant une utilisation ponctuelle dans la stratégie de passe d’accès temporaire, tous les passes créés dans le locataire sont à usage unique. Longueur 8 8 à 48 caractères Définit la longueur du code secret.
Créer un passe d’accès temporaire
Après avoir activé une stratégie TAP, vous pouvez créer une stratégie TAP pour les utilisateurs dans Microsoft Entra ID. Les rôles suivants peuvent effectuer différentes actions liées à un TAP.
- Les administrateurs d’authentification privilégiée peuvent créer, supprimer et afficher un TAP pour les administrateurs et les membres (sauf eux-mêmes).
- Les administrateurs d’authentification peuvent créer, supprimer et afficher un TAP pour les membres (sauf eux-mêmes).
- Les administrateurs de stratégie d’authentification peuvent activer TAP, inclure ou exclure des groupes et modifier la stratégie de méthodes d’authentification.
- Global Readers peuvent afficher les détails TAP de l’utilisateur (sans lire le code lui-même).
Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur d’authentification .
Accédez à Entra ID>Users.
Sélectionnez l’utilisateur pour lequel vous souhaitez créer un TAP.
Sélectionnez Méthodes d’authentification et sélectionnez Ajouter une méthode d’authentification.
Sélectionnez Pass d’accès temporaire.
Définissez une durée ou une durée d’activation personnalisée, puis sélectionnez Ajouter.
Une fois ajouté, les détails du passe d’accès temporaire sont affichés.
Important
Notez la valeur TAP réelle, car vous fournissez cette valeur à l’utilisateur. Vous ne pouvez pas afficher cette valeur après avoir sélectionné Ok.
Sélectionnez OK lorsque vous avez terminé.
Les commandes suivantes montrent comment créer et obtenir un TAP à l’aide de PowerShell.
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
Pour plus d’informations, consultez New-MgUserAuthenticationTemporaryAccessPassMethod et Get-MgUserAuthenticationTemporaryAccessPassMethod.
Utiliser un passe d’accès temporaire
L’utilisation la plus courante d’un TAP consiste pour un utilisateur à inscrire les détails d’authentification lors de la première connexion ou de la configuration de l’appareil, sans devoir répondre à d’autres invites de sécurité. Les méthodes d’authentification sont inscrites à l’adresse https://aka.ms/mysecurityinfo. Les utilisateurs peuvent également mettre à jour les méthodes d’authentification existantes ici.
Ouvrez un navigateur web à l’adresse https://aka.ms/mysecurityinfo.
Entrez l’UPN du compte pour lequel vous avez créé le passe d’accès temporaire, par exemple tapuser@contoso.com.
Si l’utilisateur est inclus dans la stratégie de passe d’accès temporaire, un écran s’affiche pour qu’il entre son passe d’accès temporaire.
Entrez le TAP affiché dans le centre d’administration Microsoft Entra.
Remarque
Pour les domaines fédérés, un passe d’accès temporaire est préférable à une fédération. Un utilisateur disposant d’un TAP s’authentifie dans Microsoft Entra ID et n’est pas redirigé vers le fournisseur d’identité (IdP) fédérée.
L’utilisateur est maintenant connecté et peut mettre à jour ou inscrire une méthode telle que la clé de sécurité FIDO2. Les utilisateurs qui mettent à jour leurs méthodes d’authentification en raison de la perte de leurs informations d’identification ou de leur appareil doivent veiller à supprimer les anciennes méthodes d’authentification. Les utilisateurs peuvent également continuer à se connecter à l’aide de leur mot de passe. Un passe d’accès temporaire ne remplace pas le mot de passe d’un utilisateur.
Gestion des utilisateurs des Passes d’accès temporaire
Les utilisateurs qui gèrent leurs informations de sécurité sur la page https://aka.ms/mysecurityinfo constatent qu’il existe une entrée pour le passe d’accès temporaire. Si un utilisateur n’a pas d’autres méthodes inscrites, il obtient une bannière en haut de l’écran qui indique d’ajouter une nouvelle méthode de connexion. Les utilisateurs peuvent également afficher le délai d’expiration du TAP et supprimer le TAP si ce n’est plus nécessaire.
Configuration de l’appareil Windows
Les utilisateurs disposant d’un TAP peuvent naviguer dans le processus d’installation sur Windows 10 et 11 pour effectuer des opérations de jonction d’appareil et configurer Windows Hello Entreprise. L’utilisation du TAP pour la configuration de Windows Hello Entreprise varie en fonction de l’état de jonction des appareils.
Pour joindre des appareils à Microsoft Entra ID :
- Lors du processus de configuration de la jonction à un domaine, les utilisateurs peuvent s’authentifier avec un passe d’accès temporaire (aucun mot de passe obligatoire) pour joindre l’appareil et inscrire Windows Hello Entreprise.
- Sur les appareils déjà joints, les utilisateurs doivent d’abord s’authentifier avec une autre méthode, comme un mot de passe, une carte à puce ou une clé FIDO2, avant d’utiliser TAP pour configurer Windows Hello Entreprise.
- Si la fonctionnalité de connexion web sur Windows est également activée, l’utilisateur peut utiliser TAP pour se connecter à l’appareil. C’est juste pour effectuer la configuration initiale de l’appareil ou une récupération quand l’utilisateur ne connaît pas le mot de passe ou n’en a pas.
Pour les appareils hybrides, les utilisateurs doivent d’abord s’authentifier avec une autre méthode, comme un mot de passe, une carte à puce ou une clé FIDO2, avant d’utiliser un passe d’accès temporaire pour configurer Windows Hello Entreprise.
Utilisation de TAP avec Microsoft Authenticator
Les utilisateurs peuvent également utiliser leur TAP pour associer Microsoft Authenticator à leur compte. En ajoutant un compte professionnel ou scolaire et en vous connectant via TAP, vous pouvez enregistrer des clés d'accès ainsi qu'une connexion téléphonique sans mot de passe directement depuis l'application Authenticator.
Pour plus d’informations, consultez Ajouter votre compte professionnel ou scolaire à l’application Microsoft Authenticator.
Accès invité
Vous pouvez ajouter un TAP en tant que méthode de connexion à un invité interne, mais pas à d’autres types d’invités. Un invité interne a l’objet utilisateur UserType défini sur Guest. Ils ont des méthodes d’authentification inscrites dans l’ID Microsoft Entra. Pour plus d'informations sur les invités internes et d'autres comptes invités, consultez les propriétés de l'utilisateur invité B2B
Si vous essayez d’ajouter un TAP à un compte invité externe dans le Centre d’administration Microsoft Entra ou dans Microsoft Graph, vous recevez une erreur indiquant que le pass d’accès temporaire ne peut pas être ajouté à un utilisateur invité externe.
Les utilisateurs invités externes peuvent se connecter à un locataire de ressource avec un TAP émis par leur locataire d’accueil si le TAP répond aux exigences d’authentification du locataire d’accueil et que les stratégies d’accès entre locataires ont été configurées pour approuver l’authentification MFA à partir du locataire d’accueil des utilisateurs. Consultez Gérer les paramètres d’accès entre locataires pour B2B Collaboration.
Date d'expiration
Un TAP expiré ou supprimé ne peut pas être utilisé pour une authentification interactive ou non interactive.
Les utilisateurs doivent se réauthentifier avec d’autres méthodes d’authentification après l’expiration ou la suppression du TAP.
La durée de vie du jeton (jeton de session, jeton d’actualisation, jeton d’accès, etc.) obtenue à l’aide d’une connexion TAP est limitée à la durée de vie du TAP. Lorsqu’un TAP expire, il entraîne l’expiration du jeton associé.
Supprimer un passe d’accès temporaire expiré
Sous les méthodes d’authentification d’un utilisateur, la colonne Détails indique quand le TAP a expiré. Vous pouvez supprimer un TAP expiré en procédant comme suit :
- Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur d’authentification .
- Accédez à Entra ID>Utilisateurs, sélectionnez un utilisateur, tel que Tap User, puis choisissez Méthodes d’authentification.
- Sur le côté droit de la méthode d’authentification passe d’accès temporaire affichée dans la liste, sélectionnez Supprimer.
Vous pouvez également utiliser PowerShell :
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Pour plus d’informations, consultez Remove-MgUserAuthenticationTemporaryAccessPassMethod.
Remplacer un passe d’accès temporaire
- Chaque utilisateur ne peut avoir qu’un seul TAP. Le code secret peut être utilisé entre les heures de début et de fin du passe d’accès temporaire.
- Si un utilisateur a besoin d’un nouveau TAP :
- Si le TAP existant est valide, l’administrateur peut créer un nouveau TAP pour remplacer le TAP valide existant.
- Si le TAP existant a expiré, un nouveau TAP remplace le TAP existant.
Pour plus d’informations sur les normes NIST pour l’intégration et la récupération, consultez la publication spéciale NIST 800-63A.
Limites
Gardez ces limites à l’esprit :
- Lors de l’utilisation d’un passe d’accès temporaire à usage unique pour inscrire une méthode sans mot de passe telle qu’une clé de sécurité FIDO2 ou la connexion par téléphone, l’utilisateur doit terminer l’inscription dans les 10 minutes suivant la connexion avec le passe. Cette limitation ne s’applique pas à un TAP qui peut être utilisé plusieurs fois.
- Les utilisateurs soumis à la stratégie d’inscription de réinitialisation de mot de passe en libre-service (SSPR) ou à la stratégie d’inscription à l’authentification multifacteur Microsoft Entra ID Protection doivent enregistrer des méthodes d’authentification après s’être connectés avec un TAP à l’aide d’un navigateur. Les utilisateurs concernés par ces politiques sont redirigés vers le mode Interruption de l'enregistrement combiné. Cette expérience ne prend actuellement pas en charge l’inscription de FIDO2 et de la connexion par téléphone.
- Un TAP ne peut pas être utilisé avec l’extension Network Policy Server (NPS) et l’adaptateur Services de fédération Active Directory (AD FS).
- La réplication des modifications peut prendre quelques minutes. Pour cette raison, une fois qu’un TAP est ajouté à un compte, l’affichage de l’invite peut prendre un certain temps. Pour la même raison, une fois qu’un TAP expire, les utilisateurs peuvent toujours voir une invite de TAP.
Dépannage
- Si un TAP n’est pas proposé à un utilisateur lors de la connexion :
- Veillez à ce que l’utilisateur soit inclus dans la stratégie de méthodes d’authentification pour l’utilisation de TAP.
- Veillez à ce que l’utilisateur dispose d’un TAP valide et, si ce dernier est à usage unique, il n’a pas encore été utilisé.
- Si la connexion du Passe d’Accès Temporaire a été bloquée en raison de la politique des informations d'identification utilisateur s’affiche lors de la connexion avec un TAP :
- Vérifier que l’utilisateur est concerné par la stratégie TAP
- Assurez-vous que l’utilisateur n’a pas de TAP pour plusieurs utilisations, tandis que la stratégie de méthodes d’authentification nécessite un TAP unique.
- Vérifiez si un TAP à usage unique a déjà été utilisé.
- Si la passe d’accès temporaire ne peut pas être ajoutée à un utilisateur invité externe s’affiche lorsque vous essayez d’ajouter un TAP à un compte en tant que méthode d’authentification, le compte est un invité externe. Les comptes invités internes et externes ont la possibilité d’ajouter un TAP pour la connexion au Centre d’administration Microsoft Entra et aux API Microsoft Graph. Toutefois, seuls les comptes invités internes peuvent se voir attribuer un TAP.