Configurar o Passe de Acesso Temporário para registrar métodos de autenticação sem senha

Os métodos de autenticação sem senha, como FIDO2 e entrada por telefone sem senha por meio do aplicativo Microsoft Authenticator, permitem que os usuários entrem com segurança sem uma senha.

Os usuários podem inicializar métodos sem senha de duas maneiras:

• Usar métodos de autenticação multifator existentes do Microsoft Entra
• Usar um passe de acesso temporário

Um Passe de Acesso Temporário (TAP) é uma senha por tempo limitado que pode ser configurada para uso único ou múltiplo. Os utilizadores podem iniciar sessão com uma TAP para integrar outros métodos de autenticação sem palavra-passe, como o Microsoft Authenticator, FIDO2 e Windows Hello para Empresas.

Um TAP também facilita a recuperação quando um usuário perdeu ou esqueceu seu fator de autenticação forte, como uma chave de segurança FIDO2 ou um aplicativo Microsoft Authenticator, mas precisa entrar para registrar novos métodos de autenticação forte.

Este artigo mostra como habilitar e usar um TAP usando o centro de administração do Microsoft Entra. Você também pode executar essas ações usando APIs REST.

Ativar a política de Passe de Acesso Temporário

Uma política TAP define configurações, como o tempo de vida dos passes criados no locatário ou os usuários e grupos que podem usar uma TAP para entrar.

Antes que os usuários possam entrar com um TAP, você precisa habilitar esse método na política de método de autenticação e escolher quais usuários e grupos podem entrar usando um TAP.

Embora possa criar uma TAP para qualquer utilizador, apenas os utilizadores incluídos na política podem iniciar sessão com ela. Apenas as funções de Administrador Global e Administrador da Política de Autenticação podem atualizar a política do método de autenticação TAP.

Para configurar a política do método de autenticação TAP:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

2. Navegue até Políticas de métodos>de autenticação de proteção>.

3. Na lista de métodos de autenticação disponíveis, selecione Temporary Access Pass.

   

4. Clique em Ativar e selecione os usuários a serem incluídos ou excluídos da política.

   

5. (Opcional) Selecione Configurar para modificar as configurações padrão do Passo de Acesso Temporário, como definir o tempo de vida máximo ou o comprimento, e clique em Atualizar.

   

6. Selecione Salvar para aplicar a política.

   O valor padrão e o intervalo de valores permitidos são descritos na tabela a seguir.

   Definição	Valores predefinidos	Valores permitidos	Comentários
   Vida útil mínima	Uma hora	10 – 43.200 Minutos (30 dias)	Número mínimo de minutos em que a TAP é válida.
   Vida útil máxima	8 horas	10 – 43.200 Minutos (30 dias)	Número máximo de minutos em que a TAP é válida.
   Tempo de vida padrão	Uma hora	10 – 43.200 Minutos (30 dias)	Passes individuais dentro do tempo de vida mínimo e máximo configurado pela política podem substituir o valor padrão.
   Utilização única	False	True/False	Quando a política é definida como false, as passagens no locatário podem ser usadas uma ou mais de uma vez durante sua validade (tempo de vida máximo). Ao impor o uso único na política TAP, todos os passes criados no locatário são de uso único.
   Duração	8	8-48 caracteres	Define o comprimento da senha.

Criar um Passe de Acesso Temporário

Depois de habilitar uma política TAP, você pode criar TAPs para usuários no Microsoft Entra ID. Essas funções a seguir podem executar várias ações relacionadas a um TAP.

• Os Administradores Globais podem criar, eliminar e visualizar uma TAP para qualquer utilizador (exceto eles próprios).
• Autenticação privilegiada Os administradores podem criar, excluir e exibir uma TAP para administradores e membros (exceto eles mesmos).
• Autenticação Os administradores podem criar, excluir e exibir um TAP para membros (exceto eles mesmos).
• Os Leitores Globais podem visualizar os detalhes da TAP para o utilizador (sem ler o código em si).

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

2. Navegue até Identidade>de usuários.

3. Selecione o utilizador para o qual pretende criar uma TAP.

4. Selecione Métodos de autenticação e clique em Adicionar método de autenticação.

   

5. Selecione Passe de acesso temporário.

6. Defina um tempo ou duração de ativação personalizada e selecione Adicionar.

   

7. Uma vez adicionados, os detalhes da TAP são mostrados.

   Importante

   Anote o valor real da TAP, pois irá fornecer esse valor ao utilizador. Não é possível visualizar esse valor depois de selecionar Ok.

   

8. Selecione OK quando terminar.

Os comandos a seguir mostram como criar e obter um TAP usando o PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Para obter mais informações, consulte New-MgUserAuthenticationTemporaryAccessPassMethod e Get-MgUserAuthenticationTemporaryAccessPassMethod.

Usar um passe de acesso temporário

A utilização mais comum de uma TAP é que um utilizador registe os detalhes de autenticação durante o primeiro início de sessão ou configuração do dispositivo, sem a necessidade de completar pedidos de segurança adicionais. Os métodos de autenticação são registrados em https://aka.ms/mysecurityinfo. Os usuários também podem atualizar os métodos de autenticação existentes aqui.

1. Abra um navegador da Web para https://aka.ms/mysecurityinfo.

2. Insira o UPN da conta para a qual você criou a TAP, como tapuser@contoso.com.

3. Se o utilizador estiver incluído na política TAP, verá um ecrã para introduzir o seu TAP.

4. Insira a TAP que foi exibida no centro de administração do Microsoft Entra.

   

Nota

Para domínios federados, uma TAP é preferível à federação. Um usuário com um TAP conclui a autenticação no Microsoft Entra ID e não é redirecionado para o Provedor de Identidade federado (IdP).

O usuário agora está conectado e pode atualizar ou registrar um método como a chave de segurança FIDO2.

Os usuários que atualizam seus métodos de autenticação devido à perda de suas credenciais ou dispositivo devem certificar-se de remover os métodos de autenticação antigos.

Os utilizadores também podem continuar a iniciar sessão utilizando a respetiva palavra-passe; uma TAP não substitui a palavra-passe de um utilizador.

Gestão de utilizadores do Passe de Acesso Temporário

Os usuários que gerenciam suas informações de segurança veem https://aka.ms/mysecurityinfo uma entrada para o Passe de Acesso Temporário. Se um usuário não tiver nenhum outro método registrado, ele receberá um banner na parte superior da tela que diz para adicionar um novo método de login. Os utilizadores também podem ver o tempo de expiração do TAP e eliminar o TAP se já não for necessário.

Configuração do dispositivo Windows

Os utilizadores com um TAP podem navegar no processo de configuração no Windows 10 e 11 para executar operações de adesão de dispositivos e configurar o Windows Hello para Empresas. O uso da TAP para configurar o Windows Hello for Business varia de acordo com o estado associado dos dispositivos.

Para dispositivos associados ao Microsoft Entra ID:

• Durante o processo de configuração de ingresso no domínio, os usuários podem se autenticar com um TAP (sem necessidade de senha) para ingressar no dispositivo e registrar o Windows Hello for Business.
• Em dispositivos já associados, os utilizadores devem primeiro autenticar-se com outro método, como uma palavra-passe, cartão inteligente ou chave FIDO2, antes de utilizarem a TAP para configurar o Windows Hello para Empresas.
• Se a funcionalidade de início de sessão na Web no Windows também estiver ativada, o utilizador pode utilizar a TAP para iniciar sessão no dispositivo. Destina-se apenas a concluir a configuração inicial do dispositivo ou a recuperação quando o utilizador não sabe ou não tem uma palavra-passe.

Para dispositivos híbridos, os usuários devem primeiro se autenticar com outro método, como senha, cartão inteligente ou chave FIDO2, antes de usar a TAP para configurar o Windows Hello for Business.

Início de sessão no telefone sem palavra-passe

Os utilizadores também podem utilizar a sua TAP para se registarem no início de sessão por telemóvel sem palavra-passe diretamente a partir da aplicação Authenticator.

Para obter mais informações, consulte Adicionar sua conta corporativa ou de estudante ao aplicativo Microsoft Authenticator.

Acesso de convidado

Os utilizadores convidados podem iniciar sessão num inquilino de recursos com uma TAP emitida pelo seu inquilino doméstico se a TAP cumprir o requisito de autenticação do inquilino doméstico.

Se a autenticação multifator (MFA) for necessária para o locatário do recurso, o usuário convidado precisará executar a MFA para obter acesso ao recurso.

Expiração

Uma TAP expirada ou excluída não pode ser usada para autenticação interativa ou não interativa.

Os usuários precisam se autenticar novamente com diferentes métodos de autenticação depois que a TAP expira ou é excluída.

O tempo de vida do token (token de sessão, token de atualização, token de acesso e assim por diante) obtido usando um login TAP é limitado ao tempo de vida TAP. Quando uma TAP expira, leva à expiração do token associado.

Excluir um Passe de Acesso Temporário expirado

Em Métodos de autenticação para um usuário, a coluna Detalhe mostra quando a TAP expirou. Pode eliminar uma TAP expirada utilizando os seguintes passos:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
2. Navegue até Usuários de identidade, selecione um usuário, como Toque em Usuário, e escolha Métodos de> autenticação.
3. No lado direito do método de autenticação do Passe de Acesso Temporário mostrado na lista, selecione Excluir.

Você também pode usar o PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Para obter mais informações, consulte Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Substitua um passe de acesso temporário

• Cada utilizador só pode ter uma TAP. O código de acesso pode ser utilizado durante a hora de início e de fim da TAP.
• Se um utilizador necessitar de um novo TAP:
  • Se a TAP existente for válida, o administrador pode criar uma nova TAP para substituir a TAP válida existente.
  • Se a TAP existente tiver expirado, uma nova TAP substituirá a TAP existente.

Para obter mais informações sobre os padrões NIST para integração e recuperação, consulte Publicação especial do NIST 800-63A.

Limitações

Tenha estas limitações em mente:

• Ao utilizar uma TAP única para registar um método sem palavra-passe como FIDO2 ou início de sessão por telefone, o utilizador deve concluir o registo no prazo de 10 minutos após iniciar sessão com a TAP única. Esta limitação não se aplica a uma TAP que possa ser utilizada mais do que uma vez.
• Os usuários no escopo da política de registro de redefinição de senha de autoatendimento (SSPR) ouda política de registro de autenticação multifator da Proteção de Identidade precisam registrar métodos de autenticação depois de entrarem com um TAP usando um navegador. Os usuários no escopo dessas políticas são redirecionados para o modo Interrupção do registro combinado. Atualmente, esta experiência não suporta FIDO2 e registo de início de sessão por telefone.
• Uma TAP não pode ser usada com a extensão NPS (Servidor de Diretivas de Rede) e o adaptador dos Serviços de Federação do Ative Directory (AD FS).
• Pode levar alguns minutos para que as alterações sejam replicadas. Por isso, depois que uma TAP é adicionada a uma conta, pode demorar um pouco para que o prompt apareça. Pela mesma razão, depois de uma TAP expirar, os utilizadores ainda poderão ver um pedido para a TAP.

Resolução de Problemas

• Se uma TAP não for oferecida a um utilizador durante o início de sessão:
  • Verifique se o usuário está no escopo da política do método de autenticação TAP.
  • Certifique-se de que o utilizador tem uma TAP válida e, se for uma utilização única, ainda não foi utilizada.
• Se o início de sessão do Passe de Acesso Temporário tiver sido bloqueado devido à Política de Credenciais de Utilizador aparecer durante o início de sessão com um TAP:
  • Certifique-se de que o utilizador não tem um TAP multiusos enquanto a política do método de autenticação requer um TAP único.
  • Verifique se já foi utilizada uma TAP única.
• Se o início de sessão TAP tiver sido bloqueado devido à Política de Credenciais de Utilizador, verifique se o utilizador está no âmbito da política TAP.

Próximos passos

• Planejar uma implantação de autenticação sem senha no Microsoft Entra ID