Az ideiglenes hozzáférési jogosultság konfigurálása jelszó nélküli hitelesítési módszerek regisztrálásához

  • Cikk

A jelszó nélküli hitelesítési módszerek, például a FIDO2 és a jelszó nélküli telefonos bejelentkezés a Microsoft Authenticator alkalmazáson keresztül lehetővé teszik a felhasználók számára, hogy jelszó nélkül, biztonságosan jelentkezzenek be.

A felhasználók kétféleképpen indíthatják el a jelszó nélküli metódusokat:

  • Meglévő Microsoft Entra többtényezős hitelesítési módszerek használata
  • Ideiglenes hozzáférési engedély használata

Az ideiglenes hozzáférési bérlet (TAP) egy időkorlátos pin-kód, amely konfigurálható egyszeri vagy több használatra. A felhasználók a TAP használatával bejelentkezhetnek más jelszó nélküli hitelesítési módszerek, például a Microsoft Authenticator, a FIDO2 és a Vállalati Windows Hello előkészítéséhez.

A TAP akkor is megkönnyíti a helyreállítást, ha egy felhasználó elvesztette vagy elfelejtette az erős hitelesítési tényezőt, például a FIDO2 biztonsági kulcsot vagy a Microsoft Authenticator alkalmazást, de új erős hitelesítési módszerek regisztrálásához be kell jelentkeznie.

Ez a cikk bemutatja, hogyan engedélyezheti és használhatja a TAP-t a Microsoft Entra felügyeleti központ használatával. Ezeket a műveleteket REST API-k használatával is végrehajthatja.

Az ideiglenes hozzáférési hozzáférési szabályzat engedélyezése

A TAP-házirendek olyan beállításokat határoznak meg, mint a bérlőben létrehozott bérletek élettartama, vagy azokat a felhasználókat és csoportokat, akik a TAP használatával bejelentkezhetnek.

Mielőtt a felhasználók bejelentkezhetnek a TAP használatával, engedélyeznie kell ezt a módszert a hitelesítési módszer szabályzatában, és meg kell adnia, hogy mely felhasználók és csoportok jelentkezhetnek be a TAP használatával.

Bár bármilyen felhasználó számára létrehozhat TAP-t, csak a szabályzatban szereplő felhasználók jelentkezhetnek be vele. Csak a globális Rendszergazda és a hitelesítési házirend Rendszergazda szerepkörök frissíthetik a TAP hitelesítési módszer szabályzatát.

A TAP hitelesítési módszer házirendjének konfigurálása:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.

  2. Keresse meg a védelmi>hitelesítési módszerek szabályzatát.>

  3. Az elérhető hitelesítési módszerek listájában válassza az Ideiglenes hozzáférési bérlet lehetőséget.

    Screenshot of how to manage Temporary Access Pass within the authentication method policy experience.

  4. Kattintson az Engedélyezés gombra, majd válassza ki a házirendbe felvenni vagy kizárni kívánt felhasználókat.

    Screenshot of how to enable the Temporary Access Pass authentication method policy.

  5. (Nem kötelező) Válassza a Konfigurálás lehetőséget az ideiglenes hozzáférési jogosultság alapértelmezett beállításainak (például a maximális élettartam vagy a hossz beállításának) módosításához, majd kattintson a Frissítés gombra.

    Screenshot of how to customize the settings for Temporary Access Pass.

  6. A házirend alkalmazásához válassza a Mentés lehetőséget.

    Az alapértelmezett értéket és az engedélyezett értékek tartományát az alábbi táblázat ismerteti.

    Beállítás Alapértelmezett értékek Megengedett értékek Megjegyzések
    Minimális élettartam 1 óra 10 – 43 200 perc (30 nap) A TAP érvényességének minimális száma.
    Maximális élettartam 8 óra 10 – 43 200 perc (30 nap) A TAP érvényességi perceinek maximális száma.
    Alapértelmezett élettartam 1 óra 10 – 43 200 perc (30 nap) A szabályzat által konfigurált minimális és maximális élettartamon belüli egyes bérletek felülbírálhatják az alapértelmezett értéket.
    Egyszeri használat Hamis True/false Ha a szabályzat értéke hamis, a bérlőn belüli áthaladásokat az érvényességi ideje (maximális élettartama) során egyszer vagy többször is használhatja. Az egyszeri használat a TAP-szabályzatban való kényszerítésével a bérlőben létrehozott összes bérlet egyszeri használat.
    Hossz 8 8-48 karakter Meghatározza a pin-kód hosszát.

Ideiglenes hozzáférési igazolvány létrehozása

Miután engedélyezte a TAP-szabályzatot, a Microsoft Entra ID-ban létrehozhat TAP-ket a felhasználók számára. Ezek a következő szerepkörök különböző műveleteket hajthatnak végre a TAP-hoz kapcsolódóan.

  • A globális Rendszergazda istratorok létrehozhatnak, törölhetnek és megtekinthetik a TAP-t bármely felhasználó számára (kivéve magukat).
  • A privileged Authentication Rendszergazda istratorok létrehozhatnak, törölhetnek és megtekinthetnek egy TAP-t a rendszergazdák és a tagok számára (kivéve magukat).
  • A hitelesítési Rendszergazda istratorok létrehozhatnak, törölhetnek és megtekinthetnek egy TAP-t a tagok számára (kivéve magukat).
  • A globális olvasók megtekinthetik a felhasználó TAP-adatait (a kód elolvasása nélkül).

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.

  2. Tallózással keresse meg az Identitásfelhasználók elemet>.

  3. Válassza ki azt a felhasználót, akihez TAP-t szeretne létrehozni.

  4. Válassza a Hitelesítési módszerek lehetőséget, és kattintson a Hitelesítési módszer hozzáadása elemre.

    Screenshot of how to create a Temporary Access Pass.

  5. Válassza az Ideiglenes hozzáférési bérlet lehetőséget.

  6. Adjon meg egy egyéni aktiválási időt vagy időtartamot, és válassza a Hozzáadás lehetőséget.

    Screenshot of adding a method - Temporary Access Pass.

  7. A hozzáadás után megjelennek a TAP részletei.

    Fontos

    Jegyezze fel a TAP tényleges értékét, mivel ezt az értéket adja meg a felhasználónak. Ezt az értéket az OK gombot választva nem tekintheti meg.

    Screenshot of Temporary Access Pass details.

  8. Ha végzett, válassza az OK gombot.

Az alábbi parancsok bemutatják, hogyan hozhat létre és kérhet le TAP-t a PowerShell használatával.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

További információ: New-MgUserAuthenticationTemporaryAccessPassMethod és Get-MgUserAuthenticationTemporaryAccessPassMethod.

Ideiglenes hozzáférési engedély használata

A TAP leggyakrabban arra használható, hogy a felhasználó regisztrálja a hitelesítési adatokat az első bejelentkezés vagy eszközbeállítás során anélkül, hogy további biztonsági kéréseket kellene végrehajtania. A hitelesítési módszerek a következő helyen https://aka.ms/mysecurityinfovannak regisztrálva: . A felhasználók itt is frissíthetik a meglévő hitelesítési módszereket.

  1. Nyisson meg egy webböngészőt.https://aka.ms/mysecurityinfo

  2. Adja meg annak a fióknak az UPN-ét, amelyhez a TAP-t hozta létre, például tapuser@contoso.com.

  3. Ha a felhasználó szerepel a TAP-szabályzatban, megjelenik egy képernyő, amely beírja a TAP-t.

  4. Adja meg a Microsoft Entra felügyeleti központban megjelenő TAP-t.

    Screenshot of how to enter a Temporary Access Pass.

Feljegyzés

Összevont tartományok esetén a TAP használata előnyben részesítve az összevonást. A TAP-val rendelkező felhasználók elvégzik a hitelesítést a Microsoft Entra-azonosítóban, és nem lesznek átirányítva az összevont identitásszolgáltatóhoz (IDP).

A felhasználó most már bejelentkezett, és frissíthet vagy regisztrálhat egy olyan módszert, mint a FIDO2 biztonsági kulcs.

Azok a felhasználók, akik hitelesítő adataik vagy eszközük elvesztése miatt frissítik hitelesítési módszereiket, gondoskodniuk kell arról, hogy eltávolítsák a régi hitelesítési módszereket.

A felhasználók továbbra is bejelentkezhetnek a jelszavukkal; A TAP nem helyettesíti a felhasználó jelszavát.

Az ideiglenes hozzáférési bérlet felhasználói kezelése

A biztonsági adatokat kezelő felhasználók az https://aka.ms/mysecurityinfo ideiglenes hozzáférési bérlet bejegyzését láthatják. Ha a felhasználó nem rendelkezik más regisztrált metódussal, a képernyő tetején egy szalagcímet kap, amely egy új bejelentkezési módszer hozzáadását jelzi. A felhasználók megtekinthetik a TAP lejárati idejét is, és törölhetik a TAP-t, ha már nincs rá szükség.

Screenshot of how users can manage a Temporary Access Pass in My Security Info..

Windows-eszköz beállítása

A TAP-val rendelkező felhasználók navigálhatnak a telepítési folyamaton a Windows 10-ben és 11-ben az eszközcsatlakozási műveletek végrehajtásához és a Vállalati Windows Hello konfigurálásához. A TAP használata a Vállalati Windows Hello beállításához az eszközök csatlakoztatott állapotától függően változik.

A Microsoft Entra-azonosítóhoz csatlakoztatott eszközök esetén:

  • A tartományhoz való csatlakozás beállításának folyamata során a felhasználók a TAP használatával (jelszó nélkül) hitelesíthetik magukat az eszközhöz való csatlakozáshoz és a Vállalati Windows Hello regisztrálásához.
  • A már csatlakoztatott eszközökön a felhasználóknak először hitelesítést kell végeznie egy másik módszerrel, például jelszóval, intelligens kártyával vagy FIDO2 kulccsal, mielőtt a TAP használatával beállítanák a Vállalati Windows Hello.
  • Ha a Windows webes bejelentkezési funkciója is engedélyezve van, a felhasználó a TAP használatával bejelentkezhet az eszközre. Ez csak az eszköz kezdeti beállításának vagy helyreállításának befejezésére szolgál, ha a felhasználó nem tud vagy rendelkezik jelszóval.

Hibrid csatlakoztatott eszközök esetén a felhasználóknak először egy másik módszerrel, például jelszóval, intelligens kártyával vagy FIDO2-kulccsal kell hitelesíteni a hitelesítést, mielőtt a TAP használatával beállítanák Vállalati Windows Hello.

Screenshot of how to enter Temporary Access Pass when setting up Windows.

Jelszó nélküli telefonos bejelentkezés

A felhasználók a TAP használatával közvetlenül az Authenticator alkalmazásból is regisztrálhatnak jelszó nélküli telefonos bejelentkezésre.

További információ: Munkahelyi vagy iskolai fiók hozzáadása a Microsoft Authenticator alkalmazáshoz.

Screenshot of how to enter a Temporary Access Pass using work or school account.

Vendéghozzáférés

A vendégfelhasználók az otthoni bérlő által kiadott TAP-val jelentkezhetnek be egy erőforrás-bérlőbe, ha a TAP megfelel az otthoni bérlő hitelesítési követelményének.

Ha többtényezős hitelesítésre (MFA) van szükség az erőforrás-bérlőhöz, a vendégfelhasználónak MFA-t kell végrehajtania az erőforráshoz való hozzáféréshez.

Lejárat

A lejárt vagy törölt TAP nem használható interaktív vagy nem interaktív hitelesítéshez.

A tap lejárta vagy törlése után a felhasználóknak különböző hitelesítési módszerekkel kell újrahitelesíteni őket.

A TAP-bejelentkezéssel beszerzett jogkivonat élettartama (munkamenet-jogkivonat, frissítési jogkivonat, hozzáférési jogkivonat stb.) a TAP-bejelentkezés élettartamára korlátozódik. Ha egy TAP lejár, az a társított jogkivonat lejáratához vezet.

Lejárt ideiglenes hozzáférési igazolvány törlése

A felhasználó hitelesítési módszerei alatt a Részletek oszlopban látható, hogy mikor járt le a TAP. Lejárt TAP-t az alábbi lépésekkel törölhet:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
  2. Keresse meg az Identitásfelhasználók> lehetőséget, válasszon ki egy felhasználót( például Koppintson a felhasználóra), majd válassza a Hitelesítési módszerek lehetőséget.
  3. A listában látható ideiglenes hozzáférés-hozzáférési hitelesítési módszer jobb oldalán válassza a Törlés lehetőséget.

A PowerShellt is használhatja:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

További információ: Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Ideiglenes hozzáférési igazolvány cseréje

  • Minden felhasználó csak egy KOPPINTÁSSAL rendelkezhet. A pin-kód a TAP kezdő és befejező ideje alatt használható.
  • Ha egy felhasználó új TAP-t igényel:
    • Ha a meglévő TAP érvényes, a rendszergazda létrehozhat egy új TAP-t a meglévő érvényes TAP felülbírálásához.
    • Ha a meglévő TAP lejárt, egy új TAP felülírja a meglévő TAP-t.

További információ a NIST előkészítési és helyreállítási szabványairól: NIST Special Publication 800-63A.

Korlátozások

Tartsa szem előtt az alábbi korlátozásokat:

  • Ha egyszeri KOPPINTással regisztrál egy jelszó nélküli metódust, például a FIDO2-t vagy Telefon bejelentkezést, a felhasználónak a regisztrációt a bejelentkezést követő 10 percen belül be kell fejeznie az egyszeri KOPPINTással. Ez a korlátozás nem vonatkozik olyan TAP-ra, amely többször is használható.
  • Az önkiszolgáló jelszó-visszaállítási (SSPR) regisztrációs szabályzat vagyaz Identity Protection többtényezős hitelesítési regisztrációs szabályzat hatókörébe tartozó felhasználóknak a hitelesítési módszerek regisztrálásához kell regisztrálniuk a hitelesítési módszereket, miután böngésző használatával bejelentkeztek a TAP használatával. A szabályzatok hatókörébe tartozó felhasználók a kombinált regisztráció megszakítási módjára lesznek átirányítva. Ez a felület jelenleg nem támogatja a FIDO2 és Telefon bejelentkezési regisztrációt.
  • A TAP nem használható a Hálózati házirend-kiszolgáló (NPS) bővítménnyel és Active Directory összevonási szolgáltatások (AD FS) (AD FS) adapterrel.
  • A módosítások replikálása eltarthat néhány percig. Emiatt a TAP fiókhoz való hozzáadása után eltarthat egy ideig, amíg a kérés megjelenik. Ugyanezen okból előfordulhat, hogy a TAP lejárta után a felhasználók továbbra is a TAP kérését látják.

Hibaelhárítás

  • Ha a bejelentkezés során nem kínál fel TAP-t a felhasználónak:
    • Győződjön meg arról, hogy a felhasználó hatókörében van a TAP hitelesítési módszer szabályzata.
    • Győződjön meg arról, hogy a felhasználó rendelkezik érvényes TAP-sal, és ha egyszeri használatról van szó, akkor még nem volt használatban.
  • Ha a felhasználói hitelesítő adatokra vonatkozó szabályzat miatt letiltották az ideiglenes hozzáférés-továbbítási bejelentkezést, akkor a bejelentkezés során a KÖVETKEZŐ TAP-nal jelenik meg:
    • Győződjön meg arról, hogy a felhasználó nem rendelkezik többfelhasználós TAP-tal, miközben a hitelesítési módszer házirendje egyszeri TAP-t igényel.
    • Ellenőrizze, hogy már használták-e az egyszeri TAP-t.
  • Ha a TAP-bejelentkezés a felhasználói hitelesítő adatokra vonatkozó szabályzat miatt le lett tiltva, ellenőrizze, hogy a felhasználó rendelkezik-e a TAP-szabályzat hatókörével.

Következő lépések