Konfigurowanie dostępu tymczasowego — przekazywanie w celu zarejestrowania metod uwierzytelniania bez hasła

  • Artykuł

Metody uwierzytelniania bez hasła, takie jak FIDO2 i logowanie bez hasła za pośrednictwem aplikacji Microsoft Authenticator, umożliwiają użytkownikom bezpieczne logowanie bez hasła.

Użytkownicy mogą uruchamiać metody bez hasła na jeden z dwóch sposobów:

  • Korzystanie z istniejących metod uwierzytelniania wieloskładnikowego firmy Microsoft
  • Używanie tymczasowego dostępu — dostęp

Dostęp tymczasowy (TAP) to ograniczony czasowo kod dostępu, który można skonfigurować do pojedynczego użycia lub wielu. Użytkownicy mogą zalogować się przy użyciu interfejsu TAP, aby dołączyć inne metody uwierzytelniania bez hasła, takie jak Microsoft Authenticator, FIDO2 i Windows Hello dla firm.

Funkcja TAP ułatwia również odzyskiwanie, gdy użytkownik utracił lub zapomniał silnego czynnika uwierzytelniania, takiego jak klucz zabezpieczeń FIDO2 lub aplikacja Microsoft Authenticator, ale musi zalogować się w celu zarejestrowania nowych silnych metod uwierzytelniania.

W tym artykule przedstawiono sposób włączania i używania interfejsu TAP przy użyciu centrum administracyjnego firmy Microsoft Entra. Możesz również wykonać te akcje przy użyciu interfejsów API REST.

Włączanie zasad dostępu tymczasowego — dostęp próbny

Zasady tap definiują ustawienia, takie jak okres istnienia przebiegów utworzonych w dzierżawie, lub użytkowników i grup, którzy mogą logować się przy użyciu interfejsu TAP.

Aby użytkownicy mogli zalogować się przy użyciu interfejsu TAP, należy włączyć tę metodę w zasadach metody uwierzytelniania i wybrać, którzy użytkownicy i grupy mogą się zalogować przy użyciu interfejsu TAP.

Chociaż możesz utworzyć interfejs TAP dla dowolnego użytkownika, tylko użytkownicy uwzględnieni w zasadach mogą się z nim zalogować. Tylko role globalnych Administracja i zasad uwierzytelniania Administracja mogą aktualizować zasady metody uwierzytelniania TAP.

Aby skonfigurować zasady metody uwierzytelniania TAP:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.

  2. Przejdź do strony Zasady metod> uwierzytelniania ochrony.>

  3. Z listy dostępnych metod uwierzytelniania wybierz pozycję Dostęp tymczasowy — dostęp próbny.

    Screenshot of how to manage Temporary Access Pass within the authentication method policy experience.

  4. Kliknij przycisk Włącz , a następnie wybierz użytkowników, którzy mają dołączać lub wykluczać z zasad.

    Screenshot of how to enable the Temporary Access Pass authentication method policy.

  5. (Opcjonalnie) Wybierz pozycję Konfiguruj , aby zmodyfikować domyślne ustawienia dostępu tymczasowego dostępu, takie jak ustawienie maksymalnego okresu istnienia lub długości, a następnie kliknij przycisk Aktualizuj.

    Screenshot of how to customize the settings for Temporary Access Pass.

  6. Wybierz pozycję Zapisz , aby zastosować zasady.

    Wartość domyślna i zakres dozwolonych wartości są opisane w poniższej tabeli.

    Ustawienie Wartości domyślne Dozwolone wartości Komentarze
    Minimalny okres istnienia 1 godzina 10 – 43 200 Minut (30 dni) Minimalna liczba minut, przez które naciśnięcie przycisku TAP jest prawidłowe.
    Maksymalny okres istnienia 8 godzin 10 – 43 200 Minut (30 dni) Maksymalna liczba minut, przez które naciśnięcie przycisku TAP jest prawidłowe.
    Domyślny okres istnienia 1 godzina 10 – 43 200 Minut (30 dni) Poszczególne przechodzi w ramach minimalnego i maksymalnego okresu istnienia skonfigurowanego przez zasady mogą zastąpić wartość domyślną.
    Jednorazowe użycie Fałsz Prawda/fałsz Gdy zasady są ustawione na wartość false, przekazywanie w dzierżawie może być używane raz lub więcej niż raz w czasie jego ważności (maksymalny okres istnienia). Wymuszając jednorazowe użycie w zasadach TAP, wszystkie przebiegi utworzone w dzierżawie są jednorazowe.
    Długość 8 8–48 znaków Definiuje długość kodu dostępu.

Tworzenie tymczasowego dostępu — dostęp

Po włączeniu zasad tap można utworzyć taps dla użytkowników w identyfikatorze Entra firmy Microsoft. Poniższe role mogą wykonywać różne akcje związane z interfejsem TAP.

  • Globalne Administracja istratory mogą tworzyć, usuwać i wyświetlać tap dla dowolnego użytkownika (z wyjątkiem siebie).
  • Uprzywilejowane Administracja istratory uwierzytelniania mogą tworzyć, usuwać i wyświetlać tap dla administratorów i członków (z wyjątkiem siebie).
  • Administracja istratory uwierzytelniania mogą tworzyć, usuwać i wyświetlać tap dla członków (z wyjątkiem samych siebie).
  • Czytelnicy globalni mogą wyświetlać szczegóły tap dla użytkownika (bez odczytywania samego kodu).

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.

  2. Przejdź do pozycji Użytkownicy tożsamości>.

  3. Wybierz użytkownika, dla którego chcesz utworzyć pozycję TAP.

  4. Wybierz pozycję Metody uwierzytelniania i kliknij pozycję Dodaj metodę uwierzytelniania.

    Screenshot of how to create a Temporary Access Pass.

  5. Wybierz pozycję Dostęp tymczasowy — dostęp próbny.

  6. Zdefiniuj niestandardowy czas aktywacji lub czas trwania i wybierz pozycję Dodaj.

    Screenshot of adding a method - Temporary Access Pass.

  7. Po dodaniu zostaną wyświetlone szczegóły interfejsu TAP.

    Ważne

    Zanotuj rzeczywistą wartość tap, ponieważ podasz tę wartość użytkownikowi. Nie można wyświetlić tej wartości po wybraniu przycisku OK.

    Screenshot of Temporary Access Pass details.

  8. Po zakończeniu wybierz przycisk OK .

Poniższe polecenia pokazują, jak utworzyć i uzyskać interfejs TAP przy użyciu programu PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Aby uzyskać więcej informacji, zobacz New-MgUserAuthenticationTemporaryAccessPassMethod i Get-MgUserAuthenticationTemporaryAccessPassMethod.

Używanie tymczasowego dostępu — dostęp

Najczęstszym zastosowaniem interfejsu TAP jest zarejestrowanie szczegółów uwierzytelniania przez użytkownika podczas pierwszej konfiguracji logowania lub urządzenia bez konieczności wykonywania dodatkowych monitów o zabezpieczenia. Metody uwierzytelniania są rejestrowane pod adresem https://aka.ms/mysecurityinfo. Użytkownicy mogą również aktualizować istniejące metody uwierzytelniania tutaj.

  1. Otwórz przeglądarkę internetową w witrynie https://aka.ms/mysecurityinfo.

  2. Wprowadź nazwę UPN konta, dla którego utworzono interfejs TAP, na przykład tapuser@contoso.com.

  3. Jeśli użytkownik jest uwzględniony w zasadach TAP, zobaczy ekran umożliwiający wprowadzenie funkcji TAP.

  4. Wprowadź tap, który został wyświetlony w centrum administracyjnym firmy Microsoft Entra.

    Screenshot of how to enter a Temporary Access Pass.

Uwaga

W przypadku domen federacyjnych preferowany jest interfejs TAP w federacji. Użytkownik z interfejsem TAP kończy uwierzytelnianie w identyfikatorze Entra firmy Microsoft i nie jest przekierowywany do federacyjnego dostawcy tożsamości (IdP).

Użytkownik jest teraz zalogowany i może zaktualizować lub zarejestrować metodę, taką jak klucz zabezpieczeń FIDO2.

Użytkownicy, którzy aktualizują swoje metody uwierzytelniania z powodu utraty poświadczeń lub urządzenia, powinni upewnić się, że usuwają stare metody uwierzytelniania.

Użytkownicy mogą również nadal logować się przy użyciu hasła; naciśnięcie przycisku TAP nie zastępuje hasła użytkownika.

Zarządzanie użytkownikami tymczasowego dostępu — dostęp próbny

Użytkownicy zarządzający informacjami o zabezpieczeniach zobaczą https://aka.ms/mysecurityinfo wpis dotyczący dostępu tymczasowego. Jeśli użytkownik nie ma żadnych innych zarejestrowanych metod, otrzyma baner w górnej części ekranu z informacją o dodaniu nowej metody logowania. Użytkownicy mogą również zobaczyć czas wygaśnięcia tap i usunąć tap, jeśli nie jest już potrzebny.

Screenshot of how users can manage a Temporary Access Pass in My Security Info..

Konfiguracja urządzenia z systemem Windows

Użytkownicy z interfejsem TAP mogą nawigować po procesie instalacji w systemie Windows 10 i 11, aby wykonywać operacje dołączania urządzeń i konfigurować Windows Hello dla firm. Użycie funkcji TAP do konfigurowania Windows Hello dla firm różni się w zależności od stanu przyłączonego urządzeń.

W przypadku urządzeń przyłączonych do identyfikatora Entra firmy Microsoft:

  • Podczas procesu konfigurowania przyłączania do domeny użytkownicy mogą uwierzytelniać się przy użyciu interfejsu TAP (bez hasła wymaganego) w celu dołączenia urządzenia i zarejestrowania Windows Hello dla firm.
  • Na już dołączonych urządzeniach użytkownicy muszą najpierw uwierzytelniać się przy użyciu innej metody, takiej jak hasło, karta inteligentna lub klucz FIDO2, przed użyciem funkcji TAP w celu skonfigurowania Windows Hello dla firm.
  • Jeśli funkcja logowania do sieci Web w systemie Windows jest również włączona, użytkownik może użyć funkcji TAP, aby zalogować się na urządzeniu. Jest to przeznaczone tylko do ukończenia początkowej konfiguracji urządzenia lub odzyskiwania, gdy użytkownik nie wie lub nie ma hasła.

W przypadku urządzeń przyłączonych hybrydowo użytkownicy muszą najpierw uwierzytelnić się przy użyciu innej metody, takiej jak hasło, karta inteligentna lub klucz FIDO2, przed użyciem funkcji TAP w celu skonfigurowania Windows Hello dla firm.

Screenshot of how to enter Temporary Access Pass when setting up Windows.

Logowanie za pomocą telefonu bez hasła

Użytkownicy mogą również użyć swojego interfejsu TAP, aby zarejestrować się w celu logowania bez hasła bezpośrednio z aplikacji Authenticator.

Aby uzyskać więcej informacji, zobacz Dodawanie konta służbowego do aplikacji Microsoft Authenticator.

Screenshot of how to enter a Temporary Access Pass using work or school account.

Dostęp gościa

Użytkownicy-goście mogą zalogować się do dzierżawy zasobów przy użyciu interfejsu TAP wystawionego przez dzierżawę domową, jeśli interfejs TAP spełnia wymaganie uwierzytelniania dzierżawy głównej.

Jeśli uwierzytelnianie wieloskładnikowe (MFA) jest wymagane dla dzierżawy zasobów, użytkownik-gość musi wykonać uwierzytelnianie wieloskładnikowe, aby uzyskać dostęp do zasobu.

Wygaśnięcie

Nie można użyć wygasłego lub usuniętego interfejsu TAP na potrzeby uwierzytelniania interakcyjnego ani nieinterakcyjnego.

Użytkownicy muszą ponownie uwierzytelniać się przy użyciu różnych metod uwierzytelniania po wygaśnięciu lub usunięciu interfejsu TAP.

Okres istnienia tokenu (token sesji, token odświeżania, token dostępu itd.) uzyskany przy użyciu logowania tap jest ograniczony do okresu istnienia interfejsu TAP. Po wygaśnięciu interfejsu TAP prowadzi do wygaśnięcia skojarzonego tokenu.

Usuwanie wygasłego tymczasowego dostępu — dostęp próbny

W obszarze Metody uwierzytelniania użytkownika kolumna Detail jest wyświetlana po wygaśnięciu naciśnięcia przycisku TAP. Możesz usunąć wygasły interfejs TAP, wykonując następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.
  2. Przejdź do pozycji Użytkownicy tożsamości>, wybierz użytkownika, takiego jak Naciśnij użytkownika, a następnie wybierz pozycję Metody uwierzytelniania.
  3. Po prawej stronie metody uwierzytelniania Dostępu tymczasowego dostępu, która jest wyświetlana na liście, wybierz pozycję Usuń.

Możesz również użyć programu PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Aby uzyskać więcej informacji, zobacz Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Zastępowanie tymczasowego dostępu — dostęp

  • Każdy użytkownik może mieć tylko jeden interfejs TAP. Kod dostępu może być używany w czasie rozpoczęcia i zakończenia interfejsu TAP.
  • Jeśli użytkownik wymaga nowego interfejsu TAP:
    • Jeśli istniejący interfejs TAP jest prawidłowy, administrator może utworzyć nowy interfejs TAP, aby zastąpić istniejący prawidłowy interfejs TAP.
    • Jeśli istniejący interfejs TAP wygasł, nowy interfejs TAP zastąpi istniejący interfejs TAP.

Aby uzyskać więcej informacji na temat standardów NIST dotyczących dołączania i odzyskiwania, zobacz Specjalna publikacja NIST 800-63A.

Ograniczenia

Należy pamiętać o następujących ograniczeniach:

  • W przypadku używania jednorazowego naciśnięcia tap do zarejestrowania metody bez hasła, takiej jak FIDO2 lub Telefon logowania, użytkownik musi ukończyć rejestrację w ciągu 10 minut od zalogowania się przy użyciu jednorazowego interfejsu TAP. To ograniczenie nie ma zastosowania do interfejsu TAP, którego można używać więcej niż raz.
  • Użytkownicy w zakresie zasad rejestracji samoobsługowego resetowania hasła (SSPR) lubzasad rejestracji uwierzytelniania wieloskładnikowego usługi Identity Protection są zobowiązani do zarejestrowania metod uwierzytelniania po zalogowaniu się przy użyciu interfejsu TAP przy użyciu przeglądarki. Użytkownicy w zakresie tych zasad są przekierowywani do trybu przerwania połączonej rejestracji. To środowisko nie obsługuje obecnie funkcji FIDO2 i Telefon rejestracji logowania.
  • Nie można użyć interfejsu TAP z rozszerzeniem serwera zasad sieciowych (NPS) i adapterem usług Active Directory Federation Services (AD FS).
  • Replikacja zmian może potrwać kilka minut. W związku z tym po dodaniu interfejsu TAP do konta może upłynąć trochę czasu na wyświetlenie monitu. Z tego samego powodu po wygaśnięciu interfejsu TAP użytkownicy mogą nadal widzieć monit o naciśnięcie przycisku TAP.

Rozwiązywanie problemów

  • Jeśli interfejs TAP nie jest oferowany użytkownikowi podczas logowania:
    • Upewnij się, że użytkownik jest w zakresie zasad metody uwierzytelniania TAP.
    • Upewnij się, że użytkownik ma prawidłowy interfejs TAP i jeśli jest używany jednorazowo, nie został jeszcze użyty.
  • Jeśli logowanie dostępu tymczasowego dostępu zostało zablokowane z powodu zasad poświadczeń użytkownika jest wyświetlane podczas logowania przy użyciu tap:
    • Upewnij się, że użytkownik nie ma funkcji TAP z wieloma użyciemi, podczas gdy zasady metody uwierzytelniania wymagają jednorazowego naciśnięcia tap.
    • Sprawdź, czy jednorazowy interfejs TAP był już używany.
  • Jeśli logowanie tap zostało zablokowane z powodu zasad poświadczeń użytkownika, sprawdź, czy użytkownik jest w zakresie zasad TAP.

Następne kroki