Configurar senha de acesso temporária no Azure AD para registrar métodos de autenticação sem senha

Os métodos de autenticação sem senha, como FIDO2 e entrada por telefone sem senha por meio do aplicativo Microsoft Authenticator, permitem que os usuários se conectem de forma segura com uma senha. Os usuários podem inicializar métodos com senha de uma das duas maneiras:

  • Usando métodos existentes de autenticação multifator do Azure AD
  • Usar uma Senha de Acesso Temporária (TAP)

Uma Senha de Acesso Temporária é uma senha com limite de tempo que pode ser configurada para uso múltiplo ou único a fim de permitir que os usuários integrem outros métodos de autenticação, incluindo métodos sem senha, como o Microsoft Authenticator, o FIDO2 ou o Windows Hello para Empresas.

Uma aprovação de acesso temporária também facilita a recuperação quando um usuário perde ou esqueceu seu fator de autenticação forte, como uma chave de segurança FIDO2 ou um aplicativo Microsoft Authenticator, mas precisa entrar para registrar novos métodos de autenticação forte.

Este artigo mostra como habilitar e usar uma passagem de acesso temporária no Azure AD usando o portal do Azure. Você também pode executar essas ações usando as APIs REST.

Habilitar a política de aprovação de acesso temporário

Uma política de aprovação de acesso temporária define as configurações, como o tempo de vida de passagens criadas no locatário ou os usuários e grupos que podem usar uma passagem de acesso temporária para entrar. Antes que qualquer pessoa possa entrar com uma senha de acesso temporária, você precisa habilitar a senha de acesso temporária na política do método de autenticação que os usuários e os grupos podem entrar usando uma senha de acesso temporária. Embora você possa criar um passo de acesso temporário para qualquer usuário, somente aqueles incluídos na política podem entrar com ele.

Os detentores de função de administrador global e de política de autenticação podem atualizar a política de método de autenticação de Senha de Acesso Temporária. Para configurar a política de método de autenticação do Pass Access temporário:

  1. Entre no portal do Azure usando uma conta com permissões de administrador global.

  2. Procure e selecione Azure Active Directory. Em seguida, escolha Segurança no menu no lado esquerdo.

  3. No cabeçalho do menu Gerenciar, selecione Métodos de autenticação>Políticas.

  4. Na lista de métodos de autenticação disponíveis, selecione Senha de Acesso Temporária.

    Captura de tela de como gerenciar a Senha de Acesso Temporária dentro da experiência de política do método de autenticação.

  5. Defina Habilitar como Sim para habilitar a política. Em seguida, selecione os usuários de destino.

    Captura de tela de como habilitar a política do método de autenticação de Senha de Acesso Temporária.

  6. (Opcional) Selecione Configurar e modifique as configurações padrão da Senha de Acesso Temporária, como definir o tempo de vida máximo ou o comprimento. Captura de tela de como personalizar as configurações da Senha de Acesso Temporária.

  7. Selecione Salvar para aplicar a política.

    O valor padrão e o intervalo de valores permitidos são descritos na tabela a seguir.

    Configuração Valores padrão Valores permitidos Comentários
    Tempo de vida mínimo 1 hora 10 – 43.200 minutos (30 dias) Número mínimo de minutos durante os quais a passagem de acesso temporária é válida.
    Tempo de vida máximo 8 horas 10 – 43.200 minutos (30 dias) Número máximo de minutos durante os quais a passagem de acesso temporária é válida.
    Tempo de vida padrão 1 hora 10 – 43.200 minutos (30 dias) Os valores padrão podem ser substituídos por passagens individuais, dentro do tempo de vida mínimo e máximo configurado pela política.
    Uso único Falso Verdadeiro/Falso Quando a política é definida como false, as passagens no locatário podem ser usadas uma ou mais de uma vez durante sua validade (tempo de vida máximo). Ao impor o uso único na política de aprovação de acesso temporário, todas as passagens criadas no locatário serão criadas como um único uso.
    Comprimento 8 8-48 caracteres Define o comprimento da senha.

Criar uma Senha de Acesso Temporária

Depois de habilitar uma política, você pode criar uma passagem de acesso temporária para um usuário no Azure AD. Essas funções podem executar as seguintes ações relacionadas a uma aprovação temporária de acesso.

  • Os administradores globais podem criar, excluir e exibir uma Senha de Acesso Temporária de qualquer usuário (com exceção de si mesmos)
  • Os Administradores de Autenticação Privilegiada podem criar, excluir e ver uma Senha de Acesso Temporária dos administradores e membros (com exceção de si mesmos)
  • Os Administradores de Autenticação podem criar, excluir e ver um Senha de Acesso Temporária dos membros (com exceção de si mesmos)
  • O Leitor global pode exibir os detalhes de aprovação de acesso temporário no usuário (sem ler o próprio código).
  1. Faça login no Portal do Azure tanto como administrador global, administrador de Autenticação Privilegiada ou administrador de autenticação.

  2. Selecione Azure Active Directory, navegue até usuários, selecione um usuário, como Chris Green, e escolha métodos de autenticação.

  3. Se necessário, selecione a opção para experimentar a nova experiência de métodos de autenticação de usuário.

  4. Selecione a opção para Adicionar métodos de autenticação.

  5. Abaixo, Escolha o método e selecione Senha de Acesso Temporária.

  6. Defina uma hora ou duração de ativação personalizada e selecione Adicionar.

    Captura de tela de como criar uma Senha de Acesso Temporária.

  7. Depois de adicionados, os detalhes da aprovação de acesso temporário são mostrados. Anote o valor real de aprovação de acesso temporário. Você fornece esse valor para o usuário. Você não pode exibir esse valor depois de clicar em OK.

    Captura de tela de detalhes da Senha de Acesso Temporária.

Os comandos a seguir mostram como criar e obter uma senha de acesso temporária pelo PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Para obter mais informações, consulte New-MgUserAuthenticationTemporaryAccessPassMethod e Get-MgUserAuthenticationTemporaryAccessPassMethod.

Use uma Senha de Acesso Temporária

O uso mais comum de uma Senha de Acesso Temporária é para um usuário registrar detalhes de autenticação durante a primeira entrada e a configuração do dispositivo, sem a necessidade de concluir prompts de segurança adicionais. Os métodos de autenticação são registrados em https://aka.ms/mysecurityinfo. Os usuários também podem atualizar os métodos de autenticação existentes aqui.

  1. Abra um navegador da Web para https://aka.ms/mysecurityinfo.

  2. Insira o UPN da conta para a qual você criou a aprovação de acesso temporário, como tapuser@contoso.com .

  3. Se o usuário estiver incluído na política de aprovação de acesso temporário, ele verá uma tela para inserir sua Senha de Acesso Temporária.

  4. Insira a aprovação de acesso temporária que foi exibida no portal do Azure.

    Captura de tela de como inserir uma Senha de Acesso Temporária.

Observação

Para domínios federados, uma passagem de acesso temporária é preferida sobre a Federação. Um usuário com uma passagem de acesso temporária concluirá a autenticação no Azure AD e não será redirecionado para o IdP (provedor de identidade federada).

O usuário agora está conectado e pode atualizar ou registrar um método como a chave de segurança FIDO2. Os usuários que atualizam seus métodos de autenticação devido à perda de suas credenciais ou dispositivo devem se certificar de remover os métodos de autenticação antigos. Os usuários também podem continuar a entrar usando sua senha. Um TAP não substitui a senha de um usuário.

Gerenciamento de usuário da Senha de Acesso Temporária

Os usuários que gerenciam as próprias informações de segurança em https://aka.ms/mysecurityinfo verão uma entrada para a Senha de Acesso Temporária. Se um usuário não tiver outros métodos registrados, será apresentada a ele uma faixa na parte superior da tela solicitando que adicione um novo método de entrada. Além disso, os usuários podem exibir o tempo de expiração da TAP e excluir a TAP, se não for mais necessário.

Captura de tela de como usuários podem gerenciar uma Senha de Acesso Temporária em Minhas Informações de Segurança.

Configuração do dispositivo Windows

Os usuários com uma Senha de Acesso Temporária podem navegar pelo processo de instalação no Windows 10 e 11 para executar operações de junção de dispositivo e configurar o Windows Hello para Empresas. O uso da Senha de Acesso Temporária para configurar o Windows Hello para Empresas varia de acordo com o estado de ingresso dos dispositivos.

Para dispositivos ingressados no Azure AD:

  • Durante o processo de instalação do Ingresso no Azure AD, os usuários podem se autenticar com uma TAP (nenhuma senha necessária) e ingressar o dispositivo e registrar no Windows Hello para Empresas.
  • Em dispositivos já ingressados, os usuários devem primeiro autenticar com outro método, como senha, cartão inteligente ou chave FIDO2, antes de usar a TAP para configurar o Windows Hello para Empresas.
  • Se o recurso de entrada da Web no Windows também estiver habilitado, o usuário poderá usar a TAP para entrar no dispositivo. Isso se destina apenas à conclusão da instalação inicial do dispositivo ou à recuperação quando o usuário não tem uma senha ou não sabe qual é a senha.

Para dispositivos ingressados no Azure AD híbrido:

  • Os usuários precisam primeiro autenticar com outro método, como senha, cartão inteligente ou chave FIDO2, antes de usar a TAP para configurar o Windows Hello para Empresas.

Captura de tela de como inserir uma Senha de Acesso Temporária ao configurar o Windows 10.

Entrada por telefone sem senha

Os usuários também podem usar sua aprovação de acesso temporário para registrar-se para entrar no telefone sem senha diretamente do aplicativo autenticador. Para mais informações, consulte Adicionar sua conta corporativa ou de estudante ao aplicativo Microsoft Authenticator.

Captura de tela de como inserir uma Senha de Acesso Temporária usando uma conta corporativa ou de estudante.

Acesso de convidado

Os usuários convidados podem entrar em um locatário de recursos com uma Senha de Acesso Temporária que foi emitida por seu locatário inicial se a Senha de Acesso Temporária atender ao requisito de autenticação de locatário inicial. Se a MFA for necessária para o locatário do recurso, o usuário convidado precisará executar a MFA para obter acesso ao recurso.

Expiração

Uma Senha de Acesso Temporária expirada ou excluída não pode ser usada para autenticação interativa ou não interativa. Os usuários precisam autenticar novamente com métodos de autenticação diferentes depois que a Senha de Acesso Temporária estiver expirada ou excluída.

O tempo de vida do token (token de sessão, token de atualização, token de acesso etc.) obtido por meio de um logon da Senha de Acesso Temporária será limitado ao tempo de vida da Senha de Acesso Temporária. Como resultado, uma expiração da Senha de Acesso Temporária levará à expiração do token associado.

Excluir uma Senha de Acesso Temporária expirada

Nos métodos de autenticação para um usuário, a coluna de detalhes mostra quando a aprovação de acesso temporário expirou. Você pode excluir uma aprovação de acesso temporário expirada usando as seguintes etapas:

  1. No portal do AD do Azure, navegue até usuários, selecione um usuário, como toque em usuárioe, em seguida, escolha métodos de autenticação.
  2. No lado direito do método de autenticação da Senha de Acesso Temporária mostrado na lista, selecione Excluir.

Você também pode usar o PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Para obter mais informações Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Substituir uma Senha de Acesso Temporária

  • Um usuário só pode ter uma passagem de acesso temporária. A senha pode ser usada durante a hora de início e de término da aprovação de acesso temporária.
  • Se o usuário exigir uma nova passagem de acesso temporário:
    • Se a Senha de Acesso Temporária existente for válida, o administrador poderá criar uma Senha de Acesso Temporária que substituirá a Senha de Acesso Temporária válida existente.
    • Se a Senha de Acesso Temporária existente tiver expirado, uma nova Senha de Acesso Temporária substituirá a Senha de Acesso Temporária existente.

Para obter mais informações sobre os padrões NIST para integração e recuperação, consulte publicação especial do NIST 800-63A.

Limitações

Mantenha essas limitações em mente:

  • Ao usar uma passagem de acesso temporário única para registrar um método sem senha, como FIDO2 ou entrada no telefone, o usuário deve concluir o registro dentro de 10 minutos de entrada com a passagem de acesso temporário única. Essa limitação não se aplica a uma Senha de Acesso Temporária que pode ser usada mais de uma vez.
  • Os usuários no escopo da política de registro de redefinição de senha de autoatendimento (SSPR) ouda política de registro da autenticação multifator do Identity Protection serão necessários para registrar os métodos de autenticação depois que tiverem entrado com uma Senha de Acesso Temporária. Os usuários no escopo dessas políticas serão redirecionados para o modo de interrupção do registro combinado. Atualmente, essa experiência não dá suporte ao registro de entrada do FIDO2 e do telefone.
  • Uma Senha de Acesso Temporária não pode ser usada com a extensão do NPS (Servidor de Política de Rede) e o adaptador de AD FS (Serviços de Federação do Active Directory).
  • Depois que uma Senha de Acesso Temporária é adicionada a uma conta ou expira, pode levar alguns minutos para que as alterações sejam replicadas. Os usuários ainda podem ver um prompt para a Senha de Acesso Temporária durante esse tempo.

Solução de problemas

  • Se uma Senha de Acesso Temporária não for oferecida a um usuário durante a entrada, verifique o seguinte:
    • O usuário está no escopo da política do método de autenticação de passagem de acesso temporário.
    • O usuário tem uma Senha de Acesso Temporária e, se for um único uso, ele ainda não foi usado.
  • Se a conexão de passagem de acesso temporária foi bloqueada devido à política de credenciais do usuário aparecer durante a entrada com uma aprovação de acesso temporária, verifique o seguinte:
    • O usuário tem uma aprovação de acesso temporário de vários uso, enquanto a política do método de autenticação requer uma passagem de acesso temporário única.
    • Uma passagem de acesso temporário única já foi usada.
  • Se as credenciais da Senha de Acesso Temporária foram bloqueadas devido à Política de Credencial do Usuário, verifique se o usuário está no escopo da política de TAP.

Próximas etapas