Tijdelijke toegangspas configureren in Azure AD om verificatiemethoden zonder wachtwoord te registreren

Met verificatiemethoden zonder wachtwoord, zoals FIDO2 en Telefoon zonder wachtwoord aanmelden via de Microsoft Authenticator-app, kunnen gebruikers zich veilig aanmelden zonder wachtwoord. Gebruikers kunnen methoden zonder wachtwoord op twee manieren opstarten:

  • Bestaande Azure AD Multi-Factor Authentication-methoden gebruiken
  • Een tijdelijke toegangspas gebruiken (TAP)

Een tijdelijke toegangspas is een tijdelijke wachtwoordcode die kan worden geconfigureerd voor meervoudig of eenmalig gebruik, zodat gebruikers andere verificatiemethoden kunnen onboarden, waaronder methoden zonder wachtwoord, zoals Microsoft Authenticator, FIDO2 of Windows Hello voor Bedrijven.

Een tijdelijke toegangspas maakt het herstel ook eenvoudiger wanneer een gebruiker zijn sterke verificatiefactor, zoals een FIDO2-beveiligingssleutel of Microsoft Authenticator-app, is kwijtgeraakt of vergeten, maar zich moet aanmelden om nieuwe sterke verificatiemethoden te registreren.

In dit artikel leest u hoe u een tijdelijke toegangspas inschakelt en gebruikt in Azure AD met behulp van de Azure Portal. U kunt deze acties ook uitvoeren met behulp van de REST API's.

Het beleid voor tijdelijke toegangspas inschakelen

Een beleid voor tijdelijke toegangspassen definieert instellingen, zoals de levensduur van passen die zijn gemaakt in de tenant of de gebruikers en groepen die een tijdelijke toegangspas kunnen gebruiken om zich aan te melden. Voordat iemand zich kan aanmelden met een tijdelijke toegangspas, moet u tijdelijke toegangspas inschakelen in het verificatiemethodebeleid en kiezen welke gebruikers en groepen zich kunnen aanmelden met behulp van een tijdelijke toegangspas. Hoewel u een tijdelijke toegangspas kunt maken voor elke gebruiker, kunnen alleen de gebruikers die deel uitmaken van het beleid zich hiermee aanmelden.

houders van Globale beheerder- en verificatiebeleidsrollen kunnen het verificatiebeleid voor tijdelijke toegangspas bijwerken. Het beleid voor de verificatiemethode voor tijdelijke toegangspas configureren:

  1. Meld u aan bij Azure Portal met een account met machtigingen op het niveau van globale beheerder.

  2. Zoek en selecteer Azure Active Directory en kies in het menu aan de linkerkant Beveiliging.

  3. Selecteer onder het kopje Beheren de optie Verificatiemethoden>Beleid.

  4. Selecteer tijdelijke toegangspas in de lijst met beschikbare verificatiemethoden.

    Schermopname van het beheren van tijdelijke toegangspas binnen de verificatiemethodebeleidservaring.

  5. Stel Inschakelen in op Ja om het beleid in te schakelen. Selecteer vervolgens de doelgebruikers .

    Schermopname van het inschakelen van het verificatiebeleid voor tijdelijke toegangspas.

  6. (Optioneel) Selecteer De standaardinstellingen voor tijdelijke toegangspas configureren en wijzigen, zoals het instellen van de maximale levensduur of lengte. Schermopname van het aanpassen van de instellingen voor tijdelijke toegangspas.

  7. Selecteer Opslaan om het beleid toe te passen.

    De standaardwaarde en het bereik van toegestane waarden worden beschreven in de volgende tabel.

    Instelling Standaardwaarden Toegestane waarden Opmerkingen
    Minimale levensduur 1 uur 10 – 43.200 minuten (30 dagen) Minimum aantal minuten dat de tijdelijke toegangspas geldig is.
    Maximale levensduur 8 uur 10 – 43.200 minuten (30 dagen) Maximum aantal minuten dat de tijdelijke toegangspas geldig is.
    Standaardlevensduur 1 uur 10 – 43.200 minuten (30 dagen) Standaardwaarden kunnen worden overschreven door de afzonderlijke passen, binnen de minimale en maximale levensduur die door het beleid is geconfigureerd.
    Eenmalig gebruik False Waar/onwaar Wanneer het beleid is ingesteld op false, kunnen passes in de tenant één keer of meer dan één keer worden gebruikt tijdens de geldigheid ervan (maximale levensduur). Door eenmalig gebruik af te dwingen in het beleid voor tijdelijke toegangspassen, worden alle passen die in de tenant zijn gemaakt, als eenmalig gebruik gemaakt.
    Lengte 8 8-48 tekens Hiermee definieert u de lengte van de wachtwoordcode.

Een tijdelijke toegangspas maken

Nadat u een beleid hebt ingeschakeld, kunt u een tijdelijke toegangspas maken voor een gebruiker in Azure AD. Deze rollen kunnen de volgende acties uitvoeren met betrekking tot een tijdelijke toegangspas.

  • Globale beheerders kunnen een tijdelijke toegangspas maken, verwijderen en weergeven voor elke gebruiker (behalve zichzelf)
  • Bevoegde verificatiebeheerders kunnen een tijdelijke toegangspas maken, verwijderen en weergeven voor beheerders en leden (behalve zichzelf)
  • Verificatiebeheerders kunnen een tijdelijke toegangspas maken, verwijderen en weergeven voor leden (behalve zichzelf)
  • Globale lezer kan de details van de tijdelijke toegangspas van de gebruiker bekijken (zonder de code zelf te lezen).
  1. Meld u aan bij de Azure Portal als een Globale beheerder, beheerder van bevoegde verificatie of verificatiebeheerder.

  2. Selecteer Azure Active Directory, blader naar Gebruikers, selecteer een gebruiker, zoals Chris Green, en kies vervolgens Verificatiemethoden.

  3. Selecteer indien nodig de optie De nieuwe gebruikersverificatiemethoden uitproberen.

  4. Selecteer de optie Verificatiemethoden toevoegen.

  5. Selecteer onder Methode kiezende optie Tijdelijke toegangspas.

  6. Definieer een aangepaste activeringstijd of -duur en selecteer Toevoegen.

    Schermopname van het maken van een tijdelijke toegangspas.

  7. Na toevoeging worden de details van de tijdelijke toegangspas weergegeven. Noteer de werkelijke waarde van de tijdelijke toegangspas. U geeft deze waarde op aan de gebruiker. U kunt deze waarde niet weergeven nadat u OK hebt geselecteerd.

    Schermopname van details van tijdelijke toegangspas.

De volgende opdrachten laten zien hoe u een tijdelijke toegangspas maakt en krijgt met behulp van PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Zie New-MgUserAuthenticationTemporaryAccessPassMethod en Get-MgUserAuthenticationTemporaryAccessPassMethod voor meer informatie.

Een tijdelijke toegangspas gebruiken

Het meest voorkomende gebruik voor een tijdelijke toegangspas is dat een gebruiker verificatiegegevens registreert tijdens de eerste aanmelding of apparaatinstallatie, zonder dat extra beveiligingsprompts hoeven te worden uitgevoerd. Verificatiemethoden worden geregistreerd op https://aka.ms/mysecurityinfo. Gebruikers kunnen hier ook bestaande verificatiemethoden bijwerken.

  1. Open een webbrowser naar https://aka.ms/mysecurityinfo.

  2. Voer de UPN in van het account waarvoor u de tijdelijke toegangspas hebt gemaakt, zoals tapuser@contoso.com.

  3. Als de gebruiker is opgenomen in het beleid voor tijdelijke toegangspas, ziet deze een scherm om de tijdelijke toegangspas in te voeren.

  4. Voer de tijdelijke toegangspas in die is weergegeven in de Azure Portal.

    Schermopname van het invoeren van een tijdelijke toegangspas.

Notitie

Voor federatieve domeinen heeft een tijdelijke toegangspas de voorkeur boven federatie. Een gebruiker met een tijdelijke toegangspas voltooit de verificatie in Azure AD en wordt niet omgeleid naar de federatieve id-provider (IdP).

De gebruiker is nu aangemeld en kan een methode zoals fido2-beveiligingssleutel bijwerken of registreren. Gebruikers die hun verificatiemethoden bijwerken omdat ze hun referenties of apparaat verliezen, moeten ervoor zorgen dat ze de oude verificatiemethoden verwijderen. Gebruikers kunnen zich ook blijven aanmelden met hun wachtwoord; een TAP vervangt het wachtwoord van een gebruiker niet.

Gebruikersbeheer van tijdelijke toegangspas

Gebruikers die hun beveiligingsgegevens op https://aka.ms/mysecurityinfo beheren, zien een vermelding voor de tijdelijke toegangspas. Als een gebruiker geen andere geregistreerde methoden heeft, wordt boven aan het scherm een banner weergegeven met het verzoek om een nieuwe aanmeldingsmethode toe te voegen. Gebruikers kunnen bovendien de TAP-verlooptijd bekijken en de TAP verwijderen als ze deze niet meer nodig hebben.

Schermopname van hoe gebruikers een tijdelijke toegangspas kunnen beheren in Mijn beveiligingsgegevens.

Windows-apparaat instellen

Gebruikers met een tijdelijke toegangspas kunnen door het installatieproces op Windows 10 en 11 navigeren om apparaatdeelnamebewerkingen uit te voeren en Windows Hello voor Bedrijven te configureren. Het gebruik van tijdelijke toegangspas voor het instellen van Windows Hello voor Bedrijven varieert op basis van de status van de gekoppelde apparaten.

Voor Azure AD gekoppelde apparaten:

  • Tijdens het installatieproces van Azure AD Deelnemen kunnen gebruikers zich verifiëren met een TAP (geen wachtwoord vereist) om lid te worden van het apparaat en Windows Hello voor Bedrijven te registreren.
  • Op al gekoppelde apparaten moeten gebruikers zich eerst verifiëren met een andere methode, zoals een wachtwoord, smartcard of FIDO2-sleutel, voordat ze TAP gebruiken om Windows Hello voor Bedrijven in te stellen.
  • Als de functie Voor aanmelden via het web in Windows ook is ingeschakeld, kan de gebruiker TAP gebruiken om zich aan te melden bij het apparaat. Dit is alleen bedoeld voor het voltooien van de eerste installatie van het apparaat of herstel wanneer de gebruiker geen wachtwoord weet of heeft.

Voor hybride Azure AD gekoppelde apparaten:

  • Gebruikers moeten zich eerst verifiëren met een andere methode, zoals een wachtwoord, smartcard of FIDO2-sleutel, voordat ze TAP gebruiken om Windows Hello voor Bedrijven in te stellen.

Schermopname van het invoeren van een tijdelijke toegangspas bij het instellen van Windows 10.

Zonder wachtwoord aanmelden via telefoon

Gebruikers kunnen ook hun tijdelijke toegangspas gebruiken om zich rechtstreeks vanuit de Authenticator-app te registreren voor aanmelding zonder wachtwoord. Zie Uw werk- of schoolaccount toevoegen aan de Microsoft Authenticator-app voor meer informatie.

Schermopname van het invoeren van een tijdelijke toegangspas met een werk- of schoolaccount.

Toegang voor gasten

Gastgebruikers kunnen zich aanmelden bij een resourcetenant met een tijdelijke toegangspas die is uitgegeven door hun thuistenant als de tijdelijke toegangspas voldoet aan de verificatievereiste voor de thuistenant. Als MFA vereist is voor de resourcetenant, moet de gastgebruiker MFA uitvoeren om toegang te krijgen tot de resource.

Verloopdatum

Een verlopen of verwijderde tijdelijke toegangspas kan niet worden gebruikt voor interactieve of niet-interactieve verificatie. Gebruikers moeten zich opnieuw verifiëren met verschillende verificatiemethoden nadat de tijdelijke toegangspas is verlopen of verwijderd.

De levensduur van het token (sessietoken, vernieuwingstoken, toegangstoken, enzovoort) die is verkregen via een tijdelijke toegangspasaanmelding, wordt beperkt tot de levensduur van de tijdelijke toegangspas. Als gevolg hiervan leidt een tijdelijke toegangspas tot het verlopen van het bijbehorende token.

Een verlopen tijdelijke toegangspas verwijderen

Onder verificatiemethoden voor een gebruiker wordt in de kolom Detail weergegeven wanneer de tijdelijke toegangspas is verlopen. U kunt een verlopen tijdelijke toegangspas verwijderen door de volgende stappen uit te voeren:

  1. Blader in de Azure AD-portal naar Gebruikers, selecteer een gebruiker, zoals Tik op Gebruiker en kies vervolgens Verificatiemethoden.
  2. Selecteer verwijderen aan de rechterkant van de verificatiemethode Voor tijdelijke toegangspas die in de lijst wordt weergegeven.

U kunt ook PowerShell gebruiken:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Zie Remove-MgUserAuthenticationTemporaryAccessPassMethod voor meer informatie.

Een tijdelijke toegangspas vervangen

  • Een gebruiker kan slechts één tijdelijke toegangspas hebben. De wachtwoordcode kan worden gebruikt tijdens de begin- en eindtijd van de tijdelijke toegangspas.
  • Als de gebruiker een nieuwe tijdelijke toegangspas nodig heeft:
    • Als de bestaande tijdelijke toegangspas geldig is, kan de beheerder een nieuwe tijdelijke toegangspas maken waarmee de bestaande geldige tijdelijke toegangspas wordt overschreven.
    • Als de bestaande tijdelijke toegangspas is verlopen, overschrijft een nieuwe tijdelijke toegangspas de bestaande tijdelijke toegangspas.

Zie NIST Special Publication 800-63A voor meer informatie over NIST-standaarden voor onboarding en herstel.

Beperkingen

Houd rekening met deze beperkingen:

  • Wanneer u een eenmalige tijdelijke toegangspas gebruikt om een methode zonder wachtwoord te registreren, zoals FIDO2 of telefoonaanmelding, moet de gebruiker de registratie binnen 10 minuten na aanmelding met de eenmalige tijdelijke toegangspas voltooien. Deze beperking is niet van toepassing op een tijdelijke toegangspas die meer dan één keer kan worden gebruikt.
  • Gebruikers binnen het bereik van het selfservicebeleid voor wachtwoordherstel (SSPR) ofhet registratiebeleid voor meervoudige verificatie van Identiteitsbeveiliging moeten verificatiemethoden registreren nadat ze zich hebben aangemeld met een tijdelijke toegangspas. Gebruikers binnen het bereik van dit beleid worden omgeleid naar de Interrupt-modus van de gecombineerde registratie. Deze ervaring biedt momenteel geen ondersteuning voor FIDO2- en telefonische aanmeldingsregistratie.
  • Een tijdelijke toegangspas kan niet worden gebruikt met de NPS-extensie (Network Policy Server) en Active Directory Federation Services (AD FS)-adapter.
  • Nadat een tijdelijke toegangspas is toegevoegd aan een account of verloopt, kan het enkele minuten duren voordat de wijzigingen zijn gerepliceerd. Gebruikers zien mogelijk nog steeds een prompt voor tijdelijke toegangspas gedurende deze tijd.

Problemen oplossen

  • Als een tijdelijke toegangspas niet wordt aangeboden aan een gebruiker tijdens het aanmelden, controleert u het volgende:
    • De gebruiker valt binnen het bereik van het beleid voor de verificatiemethode tijdelijke Toegangspas.
    • De gebruiker heeft een geldige tijdelijke toegangspas en als deze eenmalig wordt gebruikt, is deze nog niet gebruikt.
  • Als tijdelijke toegangspas-aanmelding is geblokkeerd vanwege gebruikersreferentiebeleid wordt weergegeven tijdens het aanmelden met een tijdelijke toegangspas, controleert u het volgende:
    • De gebruiker heeft een tijdelijke toegangspas voor meerdere gebruik, terwijl voor het verificatiemethodebeleid een eenmalige tijdelijke toegangspas is vereist.
    • Er is al een eenmalige tijdelijke toegangspas gebruikt.
  • Als tijdelijke aanmelding bij Access Pass is geblokkeerd vanwege het gebruikersreferentiebeleid, controleert u of de gebruiker binnen het bereik van het TAP-beleid valt.

Volgende stappen