Configurare il pass di accesso temporaneo per registrare i metodi di autenticazione senza password

I metodi di autenticazione senza password, ad esempio FIDO2 e l'accesso tramite telefono senza password tramite l'app Microsoft Authenticator, consentono agli utenti di accedere in modo sicuro senza password.

Gli utenti possono avviare metodi senza password in uno dei due modi seguenti:

• Usare i metodi di autenticazione a più fattori Microsoft Entra esistenti
• Usare un pass di accesso temporaneo

Un pass di accesso temporaneo (TAP) è un passcode limitato a tempo che può essere configurato per uso singolo o multiplo. Gli utenti possono accedere con un TAP per caricare altri metodi di autenticazione senza password, ad esempio Microsoft Authenticator, FIDO2 e Windows Hello for Business.

Un TAP semplifica anche il ripristino quando un utente ha perso o dimenticato il fattore di autenticazione avanzata, ad esempio una chiave di sicurezza FIDO2 o un'app Microsoft Authenticator, ma deve accedere per registrare nuovi metodi di autenticazione avanzata.

Questo articolo illustra come abilitare e usare un TAP usando l'interfaccia di amministrazione di Microsoft Entra. È anche possibile eseguire queste azioni usando le API REST.

Abilitare i criteri pass di accesso temporaneo

Un criterio TAP definisce le impostazioni, ad esempio la durata dei passaggi creati nel tenant, o gli utenti e i gruppi che possono usare un TAP per accedere.

Prima che gli utenti possano accedere con un TAP, è necessario abilitare questo metodo nei criteri del metodo di autenticazione e scegliere quali utenti e gruppi possono accedere usando un TAP.

Anche se è possibile creare un TAP per qualsiasi utente, solo gli utenti inclusi nei criteri possono accedervi. Quelli con almeno il ruolo Di amministratore criteri di autenticazione possono aggiornare i criteri del metodo di autenticazione TAP.

Per configurare i criteri del metodo di autenticazione TAP:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.

2. Passare a Protezione>Metodi di autenticazione>Criteri.

3. Nell'elenco dei metodi di autenticazione disponibili selezionare Pass di accesso temporaneo.

   

4. Fare clic su Abilita e quindi selezionare gli utenti da includere o escludere dai criteri.

   

5. (Facoltativo) Selezionare Configura per modificare le impostazioni predefinite del pass di accesso temporaneo, ad esempio l'impostazione della durata massima o la lunghezza, e fare clic su Aggiorna.

   

6. Selezionare Salva per applicare il criterio.

   Il valore predefinito e l'intervallo di valori consentiti sono descritti nella tabella seguente.

   Impostazione	Valori predefiniti	Valori consentiti	Commenti
   Durata minima	1 ora	10 – 43.200 minuti (30 giorni)	Numero minimo di minuti validi per tap.
   Durata massima	8 ore	10 – 43.200 minuti (30 giorni)	Numero massimo di minuti validi per tap.
   Durata predefinita	1 ora	10 – 43.200 minuti (30 giorni)	I singoli passaggi entro la durata minima e massima configurata dai criteri possono sostituire il valore predefinito.
   Uso monouso	Falso	Vero/falso	Quando il criterio è impostato su false, i passaggi nel tenant possono essere usati una o più volte durante la validità (durata massima). Applicando un uso monouso nei criteri TAP, tutti i passaggi creati nel tenant sono monouso.
   Lunghezza	8	8-48 caratteri	Definisce la lunghezza del passcode.

Creare un pass di accesso temporaneo

Dopo aver abilitato un criterio TAP, è possibile creare TAP per gli utenti in Microsoft Entra ID. Questi ruoli seguenti possono eseguire varie azioni correlate a un TAP.

• Gli amministratori globali possono creare, eliminare e visualizzare un TAP per qualsiasi utente (ad eccezione di se stessi).
• Gli amministratori di autenticazione con privilegi possono creare, eliminare e visualizzare un TAP per amministratori e membri (ad eccezione di se stessi).
• Gli amministratori di autenticazione possono creare, eliminare e visualizzare un TAP per i membri ,ad eccezione di se stessi.
• I lettori globali possono visualizzare i dettagli TAP per l'utente (senza leggere il codice stesso).

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore autenticazione.

2. Passa a Identità>Utenti.

3. Selezionare l'utente per cui si vuole creare un TAP.

4. Selezionare Metodi di autenticazione e fare clic su Aggiungi metodo di autenticazione.

   

5. Selezionare Pass di accesso temporaneo.

6. Definire un'ora o una durata di attivazione personalizzata e selezionare Aggiungi.

   

7. Una volta aggiunti, vengono visualizzati i dettagli del TAP.

   Importante

   Prendere nota del valore TAP effettivo, in quanto si fornirà questo valore all'utente. Non è possibile visualizzare questo valore dopo aver selezionato OK.

   

8. Al termine, scegliere OK.

I comandi seguenti illustrano come creare e ottenere un TAP usando PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Per altre informazioni, vedere New-MgUserAuthenticationTemporaryAccessPassMethod e Get-MgUserAuthenticationTemporaryAccessPassMethod.

Usare un pass di accesso temporaneo

L'uso più comune per un TAP è che un utente registri i dettagli di autenticazione durante la configurazione del primo accesso o del dispositivo, senza dover completare richieste di sicurezza aggiuntive. I metodi di autenticazione vengono registrati in https://aka.ms/mysecurityinfo. Gli utenti possono anche aggiornare i metodi di autenticazione esistenti qui.

1. Aprire un Web browser su https://aka.ms/mysecurityinfo.

2. Immettere l'UPN dell'account per cui è stato creato il TAP, ad esempio tapuser@contoso.com.

3. Se l'utente è incluso nei criteri TAP, viene visualizzata una schermata per immettere il tap.

4. Immettere il TAP visualizzato nell'interfaccia di amministrazione di Microsoft Entra.

   

Nota

Per i domini federati, un TAP è preferibile rispetto alla federazione. Un utente con tap completa l'autenticazione in Microsoft Entra ID e non viene reindirizzato al provider di identità federato (IdP).

L'utente è ora connesso e può aggiornare o registrare un metodo, ad esempio FIDO2 security key.

Gli utenti che aggiornano i metodi di autenticazione a causa della perdita delle credenziali o del dispositivo devono assicurarsi di rimuovere i metodi di autenticazione precedenti.

Gli utenti possono anche continuare ad accedere usando la password; un TAP non sostituisce la password di un utente.

Gestione utenti del pass di accesso temporaneo

Gli utenti che gestiscono le informazioni di sicurezza in vedere https://aka.ms/mysecurityinfo una voce per il pass di accesso temporaneo. Se un utente non dispone di altri metodi registrati, ottiene un banner nella parte superiore della schermata che indica di aggiungere un nuovo metodo di accesso. Gli utenti possono anche visualizzare l'ora di scadenza tap ed eliminare il TAP se non è più necessario.

Configurazione del dispositivo Windows

Gli utenti con un TAP possono esplorare il processo di installazione in Windows 10 e 11 per eseguire operazioni di aggiunta al dispositivo e configurare Windows Hello for Business. L'utilizzo tap per la configurazione di Windows Hello for Business varia in base allo stato aggiunto ai dispositivi.

Per i dispositivi aggiunti a Microsoft Entra ID:

• Durante il processo di installazione dell'aggiunta a un dominio, gli utenti possono eseguire l'autenticazione con un TAP (nessuna password necessaria) per aggiungere il dispositivo e registrare Windows Hello for Business.
• Nei dispositivi già aggiunti, gli utenti devono prima eseguire l'autenticazione con un altro metodo, ad esempio una password, una smart card o una chiave FIDO2, prima di usare TAP per configurare Windows Hello for Business.
• Se è abilitata anche la funzionalità di accesso Web in Windows, l'utente può usare TAP per accedere al dispositivo. Questa operazione è destinata solo al completamento della configurazione iniziale del dispositivo o al ripristino quando l'utente non conosce o ha una password.

Per i dispositivi aggiunti all'ambiente ibrido, gli utenti devono prima eseguire l'autenticazione con un altro metodo, ad esempio una password, una smart card o una chiave FIDO2, prima di usare TAP per configurare Windows Hello for Business.

Accesso tramite telefono senza password

Gli utenti possono anche usare il tap per registrarsi per l'accesso tramite telefono senza password direttamente dall'app Authenticator.

Per altre informazioni, vedere Aggiungere l'account aziendale o dell'istituto di istruzione all'app Microsoft Authenticator.

Accesso guest

Gli utenti guest possono accedere a un tenant di risorse con un TAP rilasciato dal tenant principale se tap soddisfa il requisito di autenticazione del tenant principale.

Se l'autenticazione a più fattori (MFA) è necessaria per il tenant delle risorse, l'utente guest deve eseguire l'autenticazione a più fattori per ottenere l'accesso alla risorsa.

Scadenza

Non è possibile usare un TAP scaduto o eliminato per l'autenticazione interattiva o non interattiva.

Gli utenti devono ripetere l'autenticazione con metodi di autenticazione diversi dopo la scadenza o l'eliminazione del TAP.

La durata del token (token di sessione, token di aggiornamento, token di accesso e così via) ottenuta usando un account di accesso TAP è limitata alla durata tap. Quando un TAP scade, porta alla scadenza del token associato.

Eliminare un pass di accesso temporaneo scaduto

In Metodi di autenticazione per un utente la colonna Dettagli viene visualizzata quando il TAP è scaduto. È possibile eliminare un TAP scaduto seguendo questa procedura:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore autenticazione.
2. Passare a Utenti identità>, selezionare un utente, ad esempio Toccare Utente, quindi scegliere Metodi di autenticazione.
3. Sul lato destro del metodo di autenticazione pass di accesso temporaneo visualizzato nell'elenco selezionare Elimina.

È anche possibile usare PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Per altre informazioni, vedere Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Sostituire un pass di accesso temporaneo

• Ogni utente può avere un solo TAP. Il passcode può essere usato durante l'ora di inizio e di fine del TAP.
• Se un utente richiede un nuovo TAP:
  • Se il TAP esistente è valido, l'amministratore può creare un nuovo TAP per eseguire l'override del TAP valido esistente.
  • Se il TAP esistente è scaduto, un nuovo TAP sostituirà il TAP esistente.

Per altre informazioni sugli standard NIST per l'onboarding e il ripristino, vedere Pubblicazione speciale NIST 800-63A.

Limiti

Tenere presenti queste limitazioni:

• Quando si usa un tap monouso per registrare un metodo senza password, ad esempio una chiave di sicurezza FIDO2 o l'accesso tramite telefono, l'utente deve completare la registrazione entro 10 minuti dall'accesso con il TAP monouso. Questa limitazione non si applica a un TAP che può essere usato più volte.
• Gli utenti nell'ambito per i criteri di registrazione della reimpostazione della password self-service o i criteri di registrazione dell'autenticazione a più fattori di Identity Protection sono necessari per registrare i metodi di autenticazione dopo aver eseguito l'accesso con un TAP usando un browser. Gli utenti nell'ambito di questi criteri vengono reindirizzati alla modalità interrupt della registrazione combinata. Questa esperienza non supporta attualmente FIDO2 e la registrazione dell'accesso tramite telefono.
• Un TAP non può essere usato con l'estensione Server dei criteri di rete e la scheda Active Directory Federation Services (AD FS).
• La replica delle modifiche può richiedere alcuni minuti. Per questo motivo, dopo l'aggiunta di un TAP a un account, la visualizzazione della richiesta può richiedere alcuni minuti. Per lo stesso motivo, dopo la scadenza di un TAP, gli utenti potrebbero comunque visualizzare una richiesta di TOCCO.

Risoluzione dei problemi

• Se un TAP non viene offerto a un utente durante l'accesso:
  • Assicurarsi che l'utente sia nell'ambito dei criteri del metodo di autenticazione TAP.
  • Assicurarsi che l'utente abbia un TAP valido e, se è un uso monouso, non è ancora stato usato.
• Se l'accesso temporaneo al pass di accesso è stato bloccato a causa di Criteri credenziali utente viene visualizzato durante l'accesso con un TAP:
  • Assicurarsi che l'utente non abbia un TAP multiuso mentre i criteri del metodo di autenticazione richiedono un TAP una tantum.
  • Controllare se è già stato usato un TAP monouso.
• Se l'accesso TAP è stato bloccato a causa di Criteri credenziali utente, verificare che l'utente sia nell'ambito del criterio TAP.

Passaggi successivi

• Pianificare una distribuzione dell'autenticazione senza password in Microsoft Entra ID