Az ideiglenes hozzáférési jogosultság konfigurálása jelszó nélküli hitelesítési módszerek regisztrálásához
A jelszó nélküli hitelesítési módszerek, például a FIDO2 és a jelszó nélküli telefonos bejelentkezés a Microsoft Authenticator alkalmazáson keresztül lehetővé teszik a felhasználók számára, hogy jelszó nélkül, biztonságosan jelentkezzenek be.
A felhasználók kétféleképpen indíthatják el a jelszó nélküli metódusokat:
- Meglévő Microsoft Entra többtényezős hitelesítési módszerek használata
- Ideiglenes hozzáférési engedély használata
Az ideiglenes hozzáférési bérlet (TAP) egy időkorlátos pin-kód, amely konfigurálható egyszeri vagy több használatra. A felhasználók a TAP használatával bejelentkezhetnek más jelszó nélküli hitelesítési módszerek, például a Microsoft Authenticator, a FIDO2 és a Vállalati Windows Hello előkészítéséhez.
A TAP akkor is megkönnyíti a helyreállítást, ha egy felhasználó elvesztette vagy elfelejtette az erős hitelesítési tényezőt, például a FIDO2 biztonsági kulcsot vagy a Microsoft Authenticator alkalmazást, de új erős hitelesítési módszerek regisztrálásához be kell jelentkeznie.
Ez a cikk bemutatja, hogyan engedélyezheti és használhatja a TAP-t a Microsoft Entra felügyeleti központ használatával. Ezeket a műveleteket REST API-k használatával is végrehajthatja.
Az ideiglenes hozzáférési hozzáférési szabályzat engedélyezése
A TAP-házirendek olyan beállításokat határoznak meg, mint a bérlőben létrehozott bérletek élettartama, vagy azokat a felhasználókat és csoportokat, akik a TAP használatával bejelentkezhetnek.
Mielőtt a felhasználók bejelentkezhetnek a TAP használatával, engedélyeznie kell ezt a módszert a hitelesítési módszer szabályzatában, és meg kell adnia, hogy mely felhasználók és csoportok jelentkezhetnek be a TAP használatával.
Bár bármilyen felhasználó számára létrehozhat TAP-t, csak a szabályzatban szereplő felhasználók jelentkezhetnek be vele. Azok, akik legalább hitelesítési házirend-rendszergazdai szerepkörrel vannak elszámolva, frissíthetik a TAP hitelesítési módszer szabályzatát.
A TAP hitelesítési módszer házirendjének konfigurálása:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.
Keresse meg a védelmi>hitelesítési módszerek szabályzatát.>
Az elérhető hitelesítési módszerek listájában válassza az Ideiglenes hozzáférési bérlet lehetőséget.
Kattintson az Engedélyezés gombra, majd válassza ki a házirendbe felvenni vagy kizárni kívánt felhasználókat.
(Nem kötelező) Válassza a Konfigurálás lehetőséget az ideiglenes hozzáférési jogosultság alapértelmezett beállításainak (például a maximális élettartam vagy a hossz beállításának) módosításához, majd kattintson a Frissítés gombra.
A házirend alkalmazásához válassza a Mentés lehetőséget.
Az alapértelmezett értéket és az engedélyezett értékek tartományát az alábbi táblázat ismerteti.
Beállítás Alapértelmezett értékek Megengedett értékek Megjegyzések Minimális élettartam 1 óra 10 – 43 200 perc (30 nap) A TAP érvényességének minimális száma. Maximális élettartam 8 óra 10 – 43 200 perc (30 nap) A TAP érvényességi perceinek maximális száma. Alapértelmezett élettartam 1 óra 10 – 43 200 perc (30 nap) A szabályzat által konfigurált minimális és maximális élettartamon belüli egyes bérletek felülbírálhatják az alapértelmezett értéket. Egyszeri használat Hamis True/false Ha a szabályzat értéke hamis, a bérlőn belüli áthaladásokat az érvényességi ideje (maximális élettartama) során egyszer vagy többször is használhatja. Az egyszeri használat a TAP-szabályzatban való kényszerítésével a bérlőben létrehozott összes bérlet egyszeri használat. Hossz 8 8-48 karakter Meghatározza a pin-kód hosszát.
Ideiglenes hozzáférési igazolvány létrehozása
Miután engedélyezte a TAP-szabályzatot, a Microsoft Entra ID-ban létrehozhat TAP-ket a felhasználók számára. Ezek a következő szerepkörök különböző műveleteket hajthatnak végre a TAP-hoz kapcsolódóan.
- A globális rendszergazdák létrehozhatnak, törölhetnek és megtekinthetnek egy TAP-t bármely felhasználó számára (kivéve magukat).
- A kiemelt hitelesítés rendszergazdái létrehozhatnak, törölhetnek és megtekinthetnek egy TAP-t a rendszergazdák és a tagok számára (kivéve magukat).
- A hitelesítésgazdák létrehozhatnak, törölhetnek és megtekinthetnek egy TAP-t a tagok számára (kivéve magukat).
- A globális olvasók megtekinthetik a felhasználó TAP-adatait (a kód elolvasása nélkül).
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési rendszergazdaként.
Tallózással keresse meg az Identitásfelhasználók elemet>.
Válassza ki azt a felhasználót, akihez TAP-t szeretne létrehozni.
Válassza a Hitelesítési módszerek lehetőséget, és kattintson a Hitelesítési módszer hozzáadása elemre.
Válassza az Ideiglenes hozzáférési bérlet lehetőséget.
Adjon meg egy egyéni aktiválási időt vagy időtartamot, és válassza a Hozzáadás lehetőséget.
A hozzáadás után megjelennek a TAP részletei.
Fontos
Jegyezze fel a TAP tényleges értékét, mivel ezt az értéket adja meg a felhasználónak. Ezt az értéket az OK gombot választva nem tekintheti meg.
Ha végzett, válassza az OK gombot.
Az alábbi parancsok bemutatják, hogyan hozhat létre és kérhet le TAP-t a PowerShell használatával.
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
További információ: New-MgUserAuthenticationTemporaryAccessPassMethod és Get-MgUserAuthenticationTemporaryAccessPassMethod.
Ideiglenes hozzáférési engedély használata
A TAP leggyakrabban arra használható, hogy a felhasználó regisztrálja a hitelesítési adatokat az első bejelentkezés vagy eszközbeállítás során anélkül, hogy további biztonsági kéréseket kellene végrehajtania. A hitelesítési módszerek a következő helyen https://aka.ms/mysecurityinfovannak regisztrálva: . A felhasználók itt is frissíthetik a meglévő hitelesítési módszereket.
Nyisson meg egy webböngészőt.https://aka.ms/mysecurityinfo
Adja meg annak a fióknak az UPN-ét, amelyhez a TAP-t hozta létre, például tapuser@contoso.com.
Ha a felhasználó szerepel a TAP-szabályzatban, megjelenik egy képernyő, amely beírja a TAP-t.
Adja meg a Microsoft Entra felügyeleti központban megjelenő TAP-t.
Feljegyzés
Összevont tartományok esetén a TAP használata előnyben részesítve az összevonást. A TAP-val rendelkező felhasználók elvégzik a hitelesítést a Microsoft Entra-azonosítóban, és nem lesznek átirányítva az összevont identitásszolgáltatóhoz (IDP).
A felhasználó most már bejelentkezett, és frissíthet vagy regisztrálhat egy olyan módszert, mint a FIDO2 biztonsági kulcs.
Azok a felhasználók, akik hitelesítő adataik vagy eszközük elvesztése miatt frissítik hitelesítési módszereiket, gondoskodniuk kell arról, hogy eltávolítsák a régi hitelesítési módszereket.
A felhasználók továbbra is bejelentkezhetnek a jelszavukkal; A TAP nem helyettesíti a felhasználó jelszavát.
Az ideiglenes hozzáférési bérlet felhasználói kezelése
A biztonsági adatokat kezelő felhasználók az https://aka.ms/mysecurityinfo ideiglenes hozzáférési bérlet bejegyzését láthatják. Ha a felhasználó nem rendelkezik más regisztrált metódussal, a képernyő tetején egy szalagcímet kap, amely egy új bejelentkezési módszer hozzáadását jelzi. A felhasználók megtekinthetik a TAP lejárati idejét is, és törölhetik a TAP-t, ha már nincs rá szükség.
Windows-eszköz beállítása
A TAP-val rendelkező felhasználók navigálhatnak a telepítési folyamaton a Windows 10-ben és 11-ben az eszközcsatlakozási műveletek végrehajtásához és a Vállalati Windows Hello konfigurálásához. A TAP használata a Vállalati Windows Hello beállításához az eszközök csatlakoztatott állapotától függően változik.
A Microsoft Entra-azonosítóhoz csatlakoztatott eszközök esetén:
- A tartományhoz való csatlakozás beállításának folyamata során a felhasználók a TAP használatával (jelszó nélkül) hitelesíthetik magukat az eszközhöz való csatlakozáshoz és a Vállalati Windows Hello regisztrálásához.
- A már csatlakoztatott eszközökön a felhasználóknak először hitelesítést kell végeznie egy másik módszerrel, például jelszóval, intelligens kártyával vagy FIDO2 kulccsal, mielőtt a TAP használatával beállítanák a Vállalati Windows Hello.
- Ha a Windows webes bejelentkezési funkciója is engedélyezve van, a felhasználó a TAP használatával bejelentkezhet az eszközre. Ez csak az eszköz kezdeti beállításának vagy helyreállításának befejezésére szolgál, ha a felhasználó nem tud vagy rendelkezik jelszóval.
Hibrid csatlakoztatott eszközök esetén a felhasználóknak először egy másik módszerrel, például jelszóval, intelligens kártyával vagy FIDO2-kulccsal kell hitelesíteni a hitelesítést, mielőtt a TAP használatával beállítanák Vállalati Windows Hello.
Jelszó nélküli telefonos bejelentkezés
A felhasználók a TAP használatával közvetlenül az Authenticator alkalmazásból is regisztrálhatnak jelszó nélküli telefonos bejelentkezésre.
További információ: Munkahelyi vagy iskolai fiók hozzáadása a Microsoft Authenticator alkalmazáshoz.
Vendéghozzáférés
A vendégfelhasználók az otthoni bérlő által kiadott TAP-val jelentkezhetnek be egy erőforrás-bérlőbe, ha a TAP megfelel az otthoni bérlő hitelesítési követelményének.
Ha többtényezős hitelesítésre (MFA) van szükség az erőforrás-bérlőhöz, a vendégfelhasználónak MFA-t kell végrehajtania az erőforráshoz való hozzáféréshez.
Lejárat
A lejárt vagy törölt TAP nem használható interaktív vagy nem interaktív hitelesítéshez.
A tap lejárta vagy törlése után a felhasználóknak különböző hitelesítési módszerekkel kell újrahitelesíteni őket.
A TAP-bejelentkezéssel beszerzett jogkivonat élettartama (munkamenet-jogkivonat, frissítési jogkivonat, hozzáférési jogkivonat stb.) a TAP-bejelentkezés élettartamára korlátozódik. Ha egy TAP lejár, az a társított jogkivonat lejáratához vezet.
Lejárt ideiglenes hozzáférési igazolvány törlése
A felhasználó hitelesítési módszerei alatt a Részletek oszlopban látható, hogy mikor járt le a TAP. Lejárt TAP-t az alábbi lépésekkel törölhet:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési rendszergazdaként.
- Keresse meg az Identitásfelhasználók> lehetőséget, válasszon ki egy felhasználót( például Koppintson a felhasználóra), majd válassza a Hitelesítési módszerek lehetőséget.
- A listában látható ideiglenes hozzáférés-hozzáférési hitelesítési módszer jobb oldalán válassza a Törlés lehetőséget.
A PowerShellt is használhatja:
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
További információ: Remove-MgUserAuthenticationTemporaryAccessPassMethod.
Ideiglenes hozzáférési igazolvány cseréje
- Minden felhasználó csak egy KOPPINTÁSSAL rendelkezhet. A pin-kód a TAP kezdő és befejező ideje alatt használható.
- Ha egy felhasználó új TAP-t igényel:
- Ha a meglévő TAP érvényes, a rendszergazda létrehozhat egy új TAP-t a meglévő érvényes TAP felülbírálásához.
- Ha a meglévő TAP lejárt, egy új TAP felülírja a meglévő TAP-t.
További információ a NIST előkészítési és helyreállítási szabványairól: NIST Special Publication 800-63A.
Korlátozások
Tartsa szem előtt az alábbi korlátozásokat:
- Ha egyszeri KOPPINTással regisztrál egy jelszó nélküli módszert, például egy FIDO2 biztonsági kulcsot vagy egy telefonos bejelentkezést, a felhasználónak a bejelentkezést követő 10 percen belül be kell fejeznie az egyszeri KOPPINTással. Ez a korlátozás nem vonatkozik olyan TAP-ra, amely többször is használható.
- Az önkiszolgáló jelszó-visszaállítási (SSPR) regisztrációs szabályzat vagy az Identity Protection többtényezős hitelesítési regisztrációs szabályzat hatókörébe tartozó felhasználóknak a hitelesítési módszerek regisztrálásához kell regisztrálniuk a hitelesítési módszereket, miután böngésző használatával bejelentkeztek a TAP használatával. A szabályzatok hatókörébe tartozó felhasználók a kombinált regisztráció megszakítási módjára lesznek átirányítva. Ez a felület jelenleg nem támogatja a FIDO2 és a telefonos bejelentkezés regisztrációját.
- A TAP nem használható a Hálózati házirend-kiszolgáló (NPS) bővítménnyel és Active Directory összevonási szolgáltatások (AD FS) (AD FS) adapterrel.
- A módosítások replikálása eltarthat néhány percig. Emiatt a TAP fiókhoz való hozzáadása után eltarthat egy ideig, amíg a kérés megjelenik. Ugyanezen okból előfordulhat, hogy a TAP lejárta után a felhasználók továbbra is a TAP kérését látják.
Hibaelhárítás
- Ha a bejelentkezés során nem kínál fel TAP-t a felhasználónak:
- Győződjön meg arról, hogy a felhasználó hatókörében van a TAP hitelesítési módszer szabályzata.
- Győződjön meg arról, hogy a felhasználó rendelkezik érvényes TAP-sal, és ha egyszeri használatról van szó, akkor még nem volt használatban.
- Ha a felhasználói hitelesítő adatokra vonatkozó szabályzat miatt letiltották az ideiglenes hozzáférés-továbbítási bejelentkezést, akkor a bejelentkezés során a KÖVETKEZŐ TAP-nal jelenik meg:
- Győződjön meg arról, hogy a felhasználó nem rendelkezik többfelhasználós TAP-tal, miközben a hitelesítési módszer házirendje egyszeri TAP-t igényel.
- Ellenőrizze, hogy már használták-e az egyszeri TAP-t.
- Ha a TAP-bejelentkezés a felhasználói hitelesítő adatokra vonatkozó szabályzat miatt le lett tiltva, ellenőrizze, hogy a felhasználó rendelkezik-e a TAP-szabályzat hatókörével.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: