Configurare il pass di accesso temporaneo per registrare i metodi di autenticazione senza password

  • Articolo

I metodi di autenticazione senza password, ad esempio FIDO2 e l'accesso tramite telefono senza password tramite l'app Microsoft Authenticator, consentono agli utenti di accedere in modo sicuro senza password.

Gli utenti possono avviare metodi senza password in uno dei due modi seguenti:

  • Usare i metodi di autenticazione a più fattori Microsoft Entra esistenti
  • Usare un pass di accesso temporaneo

Un pass di accesso temporaneo (TAP) è un passcode limitato a tempo che può essere configurato per uso singolo o multiplo. Gli utenti possono accedere con un TAP per caricare altri metodi di autenticazione senza password, ad esempio Microsoft Authenticator, FIDO2 e Windows Hello for Business.

Un TAP semplifica anche il ripristino quando un utente ha perso o dimenticato il fattore di autenticazione avanzata, ad esempio una chiave di sicurezza FIDO2 o un'app Microsoft Authenticator, ma deve accedere per registrare nuovi metodi di autenticazione avanzata.

Questo articolo illustra come abilitare e usare un TAP usando l'interfaccia di amministrazione di Microsoft Entra. È anche possibile eseguire queste azioni usando le API REST.

Abilitare i criteri pass di accesso temporaneo

Un criterio TAP definisce le impostazioni, ad esempio la durata dei passaggi creati nel tenant, o gli utenti e i gruppi che possono usare un TAP per accedere.

Prima che gli utenti possano accedere con un TAP, è necessario abilitare questo metodo nei criteri del metodo di autenticazione e scegliere quali utenti e gruppi possono accedere usando un TAP.

Anche se è possibile creare un TAP per qualsiasi utente, solo gli utenti inclusi nei criteri possono accedervi. Solo i ruoli Amministrazione globali e dei criteri di autenticazione Amministrazione possono aggiornare i criteri del metodo di autenticazione TAP.

Per configurare i criteri del metodo di autenticazione TAP:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.

  2. Passare a Criteri dei metodi> di autenticazione di protezione.>

  3. Nell'elenco dei metodi di autenticazione disponibili selezionare Pass di accesso temporaneo.

    Screenshot of how to manage Temporary Access Pass within the authentication method policy experience.

  4. Fare clic su Abilita e quindi selezionare gli utenti da includere o escludere dai criteri.

    Screenshot of how to enable the Temporary Access Pass authentication method policy.

  5. (Facoltativo) Selezionare Configura per modificare le impostazioni predefinite del pass di accesso temporaneo, ad esempio l'impostazione della durata massima o la lunghezza, e fare clic su Aggiorna.

    Screenshot of how to customize the settings for Temporary Access Pass.

  6. Selezionare Salva per applicare il criterio.

    Il valore predefinito e l'intervallo di valori consentiti sono descritti nella tabella seguente.

    Impostazione Valori predefiniti Valori consentiti Commenti
    Durata minima 1 ora 10 – 43.200 minuti (30 giorni) Numero minimo di minuti validi per tap.
    Durata massima 8 ore 10 – 43.200 minuti (30 giorni) Numero massimo di minuti validi per tap.
    Durata predefinita 1 ora 10 – 43.200 minuti (30 giorni) I singoli passaggi entro la durata minima e massima configurata dai criteri possono sostituire il valore predefinito.
    Uso monouso Falso Vero/falso Quando il criterio è impostato su false, i passaggi nel tenant possono essere usati una o più volte durante la validità (durata massima). Applicando un uso monouso nei criteri TAP, tutti i passaggi creati nel tenant sono monouso.
    Length 8 8-48 caratteri Definisce la lunghezza del passcode.

Creare un pass di accesso temporaneo

Dopo aver abilitato un criterio TAP, è possibile creare TAP per gli utenti in Microsoft Entra ID. Questi ruoli seguenti possono eseguire varie azioni correlate a un TAP.

  • I Amministrazione istrator globali possono creare, eliminare e visualizzare un TAP per qualsiasi utente (ad eccezione di se stessi).
  • L'autenticazione con privilegi Amministrazione istrator può creare, eliminare e visualizzare un TAP per amministratori e membri (ad eccezione di se stessi).
  • Gli Amministrazione istratori di autenticazione possono creare, eliminare e visualizzare un TAP per i membri (ad eccezione di se stessi).
  • I lettori globali possono visualizzare i dettagli TAP per l'utente (senza leggere il codice stesso).

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.

  2. Passare a Utenti identità>.

  3. Selezionare l'utente per cui si vuole creare un TAP.

  4. Selezionare Metodi di autenticazione e fare clic su Aggiungi metodo di autenticazione.

    Screenshot of how to create a Temporary Access Pass.

  5. Selezionare Pass di accesso temporaneo.

  6. Definire un'ora o una durata di attivazione personalizzata e selezionare Aggiungi.

    Screenshot of adding a method - Temporary Access Pass.

  7. Una volta aggiunti, vengono visualizzati i dettagli del TAP.

    Importante

    Prendere nota del valore TAP effettivo, in quanto si fornirà questo valore all'utente. Non è possibile visualizzare questo valore dopo aver selezionato OK.

    Screenshot of Temporary Access Pass details.

  8. Al termine, scegliere OK.

I comandi seguenti illustrano come creare e ottenere un TAP usando PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Per altre informazioni, vedere New-MgUserAuthenticationTemporaryAccessPassMethod e Get-MgUserAuthenticationTemporaryAccessPassMethod.

Usare un pass di accesso temporaneo

L'uso più comune per un TAP è che un utente registri i dettagli di autenticazione durante la configurazione del primo accesso o del dispositivo, senza dover completare richieste di sicurezza aggiuntive. I metodi di autenticazione vengono registrati in https://aka.ms/mysecurityinfo. Gli utenti possono anche aggiornare i metodi di autenticazione esistenti qui.

  1. Aprire un Web browser su https://aka.ms/mysecurityinfo.

  2. Immettere l'UPN dell'account per cui è stato creato il TAP, ad esempio tapuser@contoso.com.

  3. Se l'utente è incluso nei criteri TAP, viene visualizzata una schermata per immettere il tap.

  4. Immettere il TAP visualizzato nell'interfaccia di amministrazione di Microsoft Entra.

    Screenshot of how to enter a Temporary Access Pass.

Nota

Per i domini federati, un TAP è preferibile rispetto alla federazione. Un utente con tap completa l'autenticazione in Microsoft Entra ID e non viene reindirizzato al provider di identità federato (IdP).

L'utente è ora connesso e può aggiornare o registrare un metodo, ad esempio FIDO2 security key.

Gli utenti che aggiornano i metodi di autenticazione a causa della perdita delle credenziali o del dispositivo devono assicurarsi di rimuovere i metodi di autenticazione precedenti.

Gli utenti possono anche continuare ad accedere usando la password; un TAP non sostituisce la password di un utente.

Gestione utenti del pass di accesso temporaneo

Gli utenti che gestiscono le informazioni di sicurezza in vedere https://aka.ms/mysecurityinfo una voce per il pass di accesso temporaneo. Se un utente non dispone di altri metodi registrati, ottiene un banner nella parte superiore della schermata che indica di aggiungere un nuovo metodo di accesso. Gli utenti possono anche visualizzare l'ora di scadenza tap ed eliminare il TAP se non è più necessario.

Screenshot of how users can manage a Temporary Access Pass in My Security Info..

Configurazione del dispositivo Windows

Gli utenti con un TAP possono esplorare il processo di installazione in Windows 10 e 11 per eseguire operazioni di aggiunta al dispositivo e configurare Windows Hello for Business. L'utilizzo tap per la configurazione di Windows Hello for Business varia in base allo stato aggiunto ai dispositivi.

Per i dispositivi aggiunti a Microsoft Entra ID:

  • Durante il processo di installazione dell'aggiunta a un dominio, gli utenti possono eseguire l'autenticazione con un TAP (nessuna password necessaria) per aggiungere il dispositivo e registrare Windows Hello for Business.
  • Nei dispositivi già aggiunti, gli utenti devono prima eseguire l'autenticazione con un altro metodo, ad esempio una password, una smart card o una chiave FIDO2, prima di usare TAP per configurare Windows Hello for Business.
  • Se è abilitata anche la funzionalità di accesso Web in Windows, l'utente può usare TAP per accedere al dispositivo. Questa operazione è destinata solo al completamento della configurazione iniziale del dispositivo o al ripristino quando l'utente non conosce o ha una password.

Per i dispositivi aggiunti all'ambiente ibrido, gli utenti devono prima eseguire l'autenticazione con un altro metodo, ad esempio una password, una smart card o una chiave FIDO2, prima di usare TAP per configurare Windows Hello for Business.

Screenshot of how to enter Temporary Access Pass when setting up Windows.

Accesso tramite telefono senza password

Gli utenti possono anche usare il tap per registrarsi per l'accesso tramite telefono senza password direttamente dall'app Authenticator.

Per altre informazioni, vedere Aggiungere l'account aziendale o dell'istituto di istruzione all'app Microsoft Authenticator.

Screenshot of how to enter a Temporary Access Pass using work or school account.

Accesso guest

Gli utenti guest possono accedere a un tenant di risorse con un TAP rilasciato dal tenant principale se tap soddisfa il requisito di autenticazione del tenant principale.

Se l'autenticazione a più fattori (MFA) è necessaria per il tenant delle risorse, l'utente guest deve eseguire l'autenticazione a più fattori per ottenere l'accesso alla risorsa.

Scadenza

Non è possibile usare un TAP scaduto o eliminato per l'autenticazione interattiva o non interattiva.

Gli utenti devono ripetere l'autenticazione con metodi di autenticazione diversi dopo la scadenza o l'eliminazione del TAP.

La durata del token (token di sessione, token di aggiornamento, token di accesso e così via) ottenuta usando un account di accesso TAP è limitata alla durata tap. Quando un TAP scade, porta alla scadenza del token associato.

Eliminare un pass di accesso temporaneo scaduto

In Metodi di autenticazione per un utente la colonna Dettagli viene visualizzata quando il TAP è scaduto. È possibile eliminare un TAP scaduto seguendo questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
  2. Passare a Utenti identità>, selezionare un utente, ad esempio Toccare Utente, quindi scegliere Metodi di autenticazione.
  3. Sul lato destro del metodo di autenticazione pass di accesso temporaneo visualizzato nell'elenco selezionare Elimina.

È anche possibile usare PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Per altre informazioni, vedere Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Sostituire un pass di accesso temporaneo

  • Ogni utente può avere un solo TAP. Il passcode può essere usato durante l'ora di inizio e di fine del TAP.
  • Se un utente richiede un nuovo TAP:
    • Se il TAP esistente è valido, l'amministratore può creare un nuovo TAP per eseguire l'override del TAP valido esistente.
    • Se il TAP esistente è scaduto, un nuovo TAP sostituirà il TAP esistente.

Per altre informazioni sugli standard NIST per l'onboarding e il ripristino, vedere Pubblicazione speciale NIST 800-63A.

Limiti

Tenere presenti queste limitazioni:

  • Quando si usa un TAP monouso per registrare un metodo senza password, ad esempio FIDO2 o Telefono l'accesso, l'utente deve completare la registrazione entro 10 minuti dall'accesso con il TAP monouso. Questa limitazione non si applica a un TAP che può essere usato più volte.
  • Gli utenti nell'ambito per i criteri di registrazione della reimpostazione della password self-service oi criteri di registrazione dell'autenticazione a più fattori di Identity Protection sono necessari per registrare i metodi di autenticazione dopo aver eseguito l'accesso con un TAP usando un browser. Gli utenti nell'ambito di questi criteri vengono reindirizzati alla modalità interrupt della registrazione combinata. Questa esperienza attualmente non supporta FIDO2 e Telefono registrazione di accesso.
  • Un TAP non può essere usato con l'estensione Server dei criteri di rete e la scheda Active Directory Federation Services (AD FS).
  • La replica delle modifiche può richiedere alcuni minuti. Per questo motivo, dopo l'aggiunta di un TAP a un account, la visualizzazione della richiesta può richiedere del tempo. Per lo stesso motivo, dopo la scadenza di un TAP, gli utenti potrebbero comunque visualizzare una richiesta di TOCCO.

Risoluzione dei problemi

  • Se un TAP non viene offerto a un utente durante l'accesso:
    • Assicurarsi che l'utente sia nell'ambito dei criteri del metodo di autenticazione TAP.
    • Assicurarsi che l'utente abbia un TAP valido e, se è un uso monouso, non è ancora stato usato.
  • Se l'accesso temporaneo al pass di accesso è stato bloccato a causa di Criteri credenziali utente viene visualizzato durante l'accesso con un TAP:
    • Assicurarsi che l'utente non abbia un TAP multiuso mentre i criteri del metodo di autenticazione richiedono un TAP una tantum.
    • Controllare se è già stato usato un TAP monouso.
  • Se l'accesso TAP è stato bloccato a causa di Criteri credenziali utente, verificare che l'utente sia nell'ambito del criterio TAP.

Passaggi successivi