Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Metode autentikasi tanpa kata sandi seperti kode akses (FIDO2) memungkinkan pengguna masuk dengan aman tanpa kata sandi. Pengguna dapat melakukan bootstrap metode tanpa kata sandi dengan salah satu dari dua cara:
- Menggunakan metode autentikasi multifaktor Microsoft Entra yang sudah ada
- Menggunakan Kode Akses Sementara
Kode Akses Sementara (TAP) adalah kode sandi yang dibatasi waktu yang dapat dikonfigurasi untuk penggunaan tunggal atau beberapa kali masuk. Pengguna dapat masuk dengan TAP untuk memperkenalkan metode autentikasi tanpa kata sandi lainnya. TAP juga mempermudah pemulihan saat pengguna kehilangan atau lupa metode autentikasi yang kuat.
Artikel ini memperlihatkan kepada Anda cara mengaktifkan dan menggunakan TAP menggunakan pusat admin Microsoft Entra. Anda juga dapat melakukan tindakan ini menggunakan REST API.
Mengaktifkan kebijakan Kode Akses Sementara
Kebijakan TAP menentukan pengaturan, seperti masa pakai pass yang dibuat di penyewa, atau pengguna dan grup yang dapat menggunakan TAP untuk masuk.
Sebelum pengguna dapat masuk dengan TAP, Anda perlu mengaktifkan metode ini dalam kebijakan Metode autentikasi dan memilih pengguna dan grup mana yang dapat masuk dengan menggunakan TAP.
Meskipun Anda dapat membuat TAP untuk pengguna mana pun, hanya pengguna yang disertakan dalam kebijakan yang dapat masuk dengannya. Anda memerlukan peran Administrator Kebijakan Autentikasi
Untuk mengonfigurasi TAP dalam kebijakan Metode autentikasi:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.
Telusuri ke Entra ID>Metode Autentikasi>Kebijakan.
Dari daftar metode autentikasi yang tersedia, pilih Kode Akses Sementara.
Pilih Aktifkan lalu pilih pengguna untuk menyertakan atau mengecualikan dari kebijakan.
(Opsional) Pilih Konfigurasikan untuk mengubah pengaturan Kode Akses Sementara default, seperti mengatur masa pakai maksimum, atau panjang, dan pilih Perbarui.
Pilih Simpan untuk menerapkan kebijakan.
Nilai default dan rentang nilai yang diizinkan diuraikan dalam tabel berikut.
Pengaturan Nilai default Nilai yang diizinkan Komentar Masa pakai minimum 1 jam 10 – 43.200 Menit (30 hari) Jumlah menit minimum masa berlaku TAP. Masa pakai maksimum 8 jam 10 – 43.200 Menit (30 hari) Jumlah menit maksimum TAP berlaku. Masa berlaku default 1 jam 10 – 43.200 Menit (30 hari) Setiap izin dalam rentang masa pakai minimum dan maksimum yang dikonfigurasi oleh kebijakan dapat menggantikan nilai default. Penggunaan satu kali Tidak benar Benar/Salah Ketika kebijakan diatur ke false, kode di penyewa dapat digunakan baik sekali maupun lebih dari sekali selama masa berlakunya (masa pakai maksimum). Dengan memberlakukan penggunaan satu kali dalam kebijakan TAP, semua pass yang dibuat dalam penyewa hanya dapat digunakan satu kali. Panjang 8 8-48 karakter Tentukan panjang kode sandi.
Membuat Kode Akses Sementara
Setelah mengaktifkan kebijakan TAP, Anda dapat membuat kebijakan TAP untuk pengguna di ID Microsoft Entra. Peran-peran berikut dapat melakukan berbagai macam tindakan terkait TAP.
- Administrator Autentikasi Istimewa dapat membuat, menghapus, dan melihat TAP untuk admin dan anggota (kecuali diri mereka sendiri).
- Administrator Autentikasi dapat membuat, menghapus, dan melihat TAP untuk anggota (kecuali diri mereka sendiri).
- Administrator Kebijakan Autentikasi dapat mengaktifkan TAP, menyertakan atau mengecualikan grup, dan mengedit kebijakan Metode autentikasi.
- Pembaca Global dapat melihat detail TAP milik pengguna (tanpa membaca kodenya).
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Autentikasi.
Telusuri ke Entra ID>Pengguna.
Pilih pengguna yang ingin Anda buat TAP-nya.
Pilih Metode autentikasi dan pilih Tambahkan metode autentikasi.
Pilih Kode Akses Sementara.
Tentukan waktu atau durasi aktivasi kustom dan pilih Tambahkan.
Setelah ditambahkan, detail TAP akan ditampilkan.
Penting
Catat nilai TAP aktual, karena Anda memberikan nilai ini kepada pengguna. Anda tidak dapat melihat nilai ini setelah memilih Ok.
Pilih OK saat Anda selesai.
Perintah berikut menunjukkan cara membuat dan mendapatkan TAP menggunakan PowerShell.
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
Untuk informasi selengkapnya, lihat New-MgUserAuthenticationTemporaryAccessPassMethod dan Get-MgUserAuthenticationTemporaryAccessPassMethod.
Menggunakan Kode Akses Sementara
Penggunaan yang paling umum untuk TAP adalah bagi pengguna untuk mendaftarkan detail autentikasi selama masuk atau pengaturan perangkat pertama, tanpa perlu menyelesaikan permintaan keamanan tambahan. Metode autentikasi terdaftar di https://aka.ms/mysecurityinfo. Pengguna juga dapat memperbarui metode autentikasi yang ada di sini.
Buka browser web ke https://aka.ms/mysecurityinfo.
Masukkan UPN akun tempat Anda membuat TAP, seperti tapuser@contoso.com.
Jika pengguna disertakan dalam kebijakan TAP, mereka akan melihat layar untuk memasukkan TAP mereka.
Masukkan TAP yang ditampilkan di pusat admin Microsoft Entra.
Catatan
Untuk domain terfederasi, TAP lebih disukai daripada federasi. Pengguna dengan TAP menyelesaikan autentikasi di ID Microsoft Entra dan tidak dialihkan ke Penyedia Identitas federasi (IdP).
Pengguna sekarang telah masuk dan dapat memperbarui atau mendaftarkan metode seperti kunci keamanan FIDO2. Pengguna yang memperbarui metode autentikasi karena kehilangan kredensial atau perangkat mereka harus memastikan telah menghapus metode autentikasi lama. Pengguna juga dapat melanjutkan masuk dengan menggunakan kata sandi mereka; TAP tidak menggantikan kata sandi pengguna.
Manajemen pengguna Kode Akses Sementara
Pengguna yang mengelola informasi keamanan mereka di https://aka.ms/mysecurityinfo melihat entri untuk Kode Akses Sementara. Jika pengguna tidak memiliki metode terdaftar lainnya, mereka mendapatkan banner di bagian atas layar yang mengatakan untuk menambahkan metode masuk baru. Pengguna juga dapat melihat waktu kedaluwarsa TAP, dan menghapus TAP jika tidak lagi diperlukan.
Setup perangkat Windows
Pengguna dengan TAP dapat menavigasi proses penyiapan pada Windows 10 dan 11 untuk melakukan operasi gabungan perangkat dan mengonfigurasi Windows Hello untuk Bisnis. Penggunaan TAP untuk menyiapkan Windows Hello untuk Bisnis bervariasi berdasarkan status perangkat yang terhubung.
Untuk perangkat yang bergabung ke ID Microsoft Entra:
- Selama proses penyiapan gabungan domain, pengguna dapat mengautentikasi dengan TAP (tidak diperlukan kata sandi) untuk bergabung dengan perangkat dan mendaftarkan Windows Hello untuk Bisnis.
- Pada perangkat yang sudah bergabung, pengguna harus terlebih dahulu mengautentikasi dengan metode lain seperti kata sandi, kartu pintar, atau kunci FIDO2, sebelum menggunakan TAP untuk menyiapkan Windows Hello untuk Bisnis.
- Jika fitur masuk Web di Windows juga diaktifkan, pengguna dapat menggunakan TAP untuk masuk ke perangkat. Ini hanya ditujukan untuk menyelesaikan penyiapan perangkat awal, atau pemulihan saat pengguna tidak tahu atau memiliki kata sandi.
Untuk perangkat yang bergabung dengan hibrid, pengguna harus terlebih dahulu mengautentikasi dengan metode lain seperti kata sandi, kartu pintar, atau kunci FIDO2, sebelum menggunakan TAP untuk menyiapkan Windows Hello untuk Bisnis.
Catatan
Untuk domain federasi tempat federatedIdpMfaBehavior diatur ke enforceMfaByFederatedIdp, pengguna tidak akan diminta untuk melakukan TAP guna memenuhi autentikasi multifaktor (MFA) untuk menyiapkan Windows Hello for Business. Sebagai gantinya, mereka dialihkan ke Penyedia Identitas federasi (IdP) untuk autentikasi multifaktor (MFA).
Menggunakan TAP dengan Microsoft Authenticator
Pengguna juga dapat menggunakan TAP mereka untuk mendaftarkan Microsoft Authenticator dengan akun mereka. Dengan menambahkan akun kerja atau sekolah dan masuk menggunakan TAP, pengguna dapat mendaftarkan kunci sandi dan masuk telepon tanpa kata sandi langsung dari aplikasi Authenticator.
Untuk informasi selengkapnya, lihat Menambahkan akun kerja atau sekolah Anda ke aplikasi Microsoft Authenticator.
Akses tamu
Anda dapat menambahkan TAP sebagai metode masuk untuk tamu internal, tetapi tidak untuk tamu jenis lainnya. Tamu yang merupakan pengguna internal memiliki objek UserType yang diatur ke Tamu. Mereka memiliki metode autentikasi yang terdaftar di ID Microsoft Entra. Untuk informasi selengkapnya tentang tamu internal dan akun tamu lainnya, lihat Properti pengguna tamu B2B.
Jika Anda mencoba menambahkan TAP ke akun tamu eksternal di pusat admin Microsoft Entra atau di Microsoft Graph, Anda akan menerima kesalahan yang menyatakan Kode Akses Sementara tidak dapat ditambahkan ke pengguna tamu eksternal.
Pengguna tamu eksternal dapat masuk ke penyewa sumber daya dengan TAP yang dikeluarkan oleh penyewa asal mereka jika TAP memenuhi persyaratan autentikasi penyewa asal dan kebijakan Akses Lintas Penyewa telah dikonfigurasi untuk mempercayai MFA dari penyewa asal pengguna, lihat Mengelola pengaturan akses lintas penyewa untuk kolaborasi B2B.
kedaluwarsa
TAP yang kedaluwarsa atau dihapus tidak dapat digunakan untuk autentikasi interaktif atau non-interaktif.
Pengguna perlu mengautentikasi ulang dengan metode autentikasi yang berbeda setelah TAP kedaluwarsa atau dihapus.
Masa pakai token (token sesi, token refresh, token akses, dan sebagainya) yang diperoleh dengan menggunakan masuk TAP terbatas pada masa pakai TAP. Ketika TAP kedaluwarsa, ini menyebabkan token terkait juga kedaluwarsa.
Menghapus Kode Akses Sementara yang kedaluwarsa
Di bawah metode Autentikasi untuk pengguna, kolom Detail ditampilkan saat TAP kedaluwarsa. Anda dapat menghapus TAP yang kedaluwarsa menggunakan langkah-langkah berikut:
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Autentikasi.
- Telusuri ke Entra ID>Pengguna, pilih pengguna, seperti Tap User, lalu pilih Metode autentikasi.
- Di sisi kanan metode autentikasi Kode Akses Sementara yang diperlihatkan dalam daftar, pilih Hapus.
Anda juga dapat menggunakan PowerShell:
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Untuk informasi selengkapnya, lihat Remove-MgUserAuthenticationTemporaryAccessPassMethod.
Mengganti Kode Akses Sementara
- Setiap pengguna hanya dapat memiliki satu TAP. Kode sandi dapat digunakan selama waktu mulai dan berakhir TAP.
- Jika pengguna memerlukan TAP baru:
- Jika TAP yang ada valid, admin dapat membuat TAP baru untuk mengambil alih TAP yang valid yang ada.
- Jika TAP yang ada telah kedaluwarsa, TAP baru akan mengambil alih TAP yang ada.
Untuk informasi selengkapnya tentang standar NIST untuk orientasi dan pemulihan, lihat Publikasi Khusus NIST 800-63A.
Batasan
Ingatlah batasan berikut ini:
- Saat menggunakan TAP satu kali untuk mendaftarkan metode tanpa kata sandi seperti kunci keamanan FIDO2 atau masuk melalui telepon, pengguna harus menyelesaikan pendaftaran dalam waktu 10 menit setelah masuk dengan TAP satu kali. Batasan ini tidak berlaku untuk TAP yang dapat digunakan lebih dari sekali.
- Pengguna yang berada dalam cakupan kebijakan pendaftaran pengaturan ulang kata sandi mandiri (SSPR) atau kebijakan pendaftaran autentikasi multifaktor Microsoft Entra ID Protection diharuskan untuk mendaftarkan metode autentikasi setelah mereka masuk melalui TAP menggunakan browser. Pengguna yang tercakup dalam kebijakan ini dialihkan ke modus interupsi pendaftaran gabungan. Pengalaman ini saat ini tidak mendukung FIDO2 dan registrasi masuk melalui telepon.
- TAP tidak dapat digunakan dengan ekstensi Network Policy Server (NPS) dan adaptor Layanan Federasi Direktori Aktif (AD FS).
- Dibutuhkan beberapa menit agar perubahan dapat direplikasi. Karena itu, setelah TAP ditambahkan ke akun, diperlukan waktu beberapa saat agar perintah muncul. Untuk alasan yang sama, setelah TAP kedaluwarsa, pengguna mungkin masih melihat notifikasi TAP.
Pemecahan Masalah
- Jika TAP tidak ditawarkan bagi pengguna selama proses masuk:
- Pastikan pengguna berada dalam cakupan penggunaan TAP dalam kebijakan Metode autentikasi.
- Pastikan pengguna memiliki TAP yang valid, dan jika itu untuk sekali pakai, pastikan belum digunakan.
- Jika login Kode Akses Sementara diblokir karena kebijakan Kredensial Pengguna muncul selama masuk dengan TAP:
- Periksa apakah pengguna berada dalam cakupan untuk kebijakan TAP
- Pastikan pengguna tidak memiliki TAP untuk penggunaan berulang sedangkan kebijakan metode autentikasi memerlukan TAP satu kali.
- Periksa apakah TAP sekali pakai sudah digunakan.
- Jika Kode Akses Sementara tidak dapat ditambahkan ke pengguna tamu eksternal muncul saat Anda mencoba menambahkan TAP ke akun sebagai metode autentikasi, akun tersebut adalah tamu eksternal. Akun tamu internal dan eksternal memiliki opsi untuk menambahkan TAP untuk masuk di pusat admin Microsoft Entra dan API Microsoft Graph. Namun, hanya akun tamu internal yang dapat diberikan TAP.