Konfigurera temporärt åtkomstpass för att registrera lösenordslösa autentiseringsmetoder

  • Artikel

Med metoder för lösenordslös autentisering, till exempel FIDO2 och lösenordslös inloggning via Microsoft Authenticator-appen, kan användarna logga in säkert utan lösenord.

Användare kan starta lösenordslösa metoder på något av två sätt:

  • Använda befintliga autentiseringsmetoder för Microsoft Entra-multifaktor
  • Använda ett tillfälligt åtkomstpass

Ett tillfälligt åtkomstpass (TAP) är ett tidsbegränsat lösenord som kan konfigureras för enkel användning eller flera. Användare kan logga in med en TAP för att registrera andra lösenordslösa autentiseringsmetoder, till exempel Microsoft Authenticator, FIDO2 och Windows Hello för företag.

En TAP gör också återställningen enklare när en användare har förlorat eller glömt sin starka autentiseringsfaktor som en FIDO2-säkerhetsnyckel eller Microsoft Authenticator-app, men måste logga in för att registrera nya starka autentiseringsmetoder.

Den här artikeln visar hur du aktiverar och använder en TAP med hjälp av administrationscentret för Microsoft Entra. Du kan också utföra dessa åtgärder med hjälp av REST-API:er.

Aktivera principen för tillfälligt åtkomstpass

En TAP-princip definierar inställningar, till exempel livslängden för pass som skapats i klientorganisationen, eller de användare och grupper som kan använda en TAP för att logga in.

Innan användarna kan logga in med en TAP måste du aktivera den här metoden i autentiseringsmetodprincipen och välja vilka användare och grupper som ska kunna logga in med hjälp av en TAP.

Även om du kan skapa en TAP för alla användare kan endast användare som ingår i principen logga in med den. Endast roller som global administratör och autentiseringsprincipadministratör kan uppdatera PRINCIPEN FÖR TAP-autentiseringsmetod.

Så här konfigurerar du PRINCIPEN FÖR TAP-autentiseringsmetod:

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.

  2. Bläddra till Principer för skyddsautentiseringsmetoder>>.

  3. I listan över tillgängliga autentiseringsmetoder väljer du Tillfälligt åtkomstpass.

    Screenshot of how to manage Temporary Access Pass within the authentication method policy experience.

  4. Klicka på Aktivera och välj sedan användare som ska inkluderas eller exkluderas från principen.

    Screenshot of how to enable the Temporary Access Pass authentication method policy.

  5. (Valfritt) Välj Konfigurera för att ändra standardinställningarna för tillfälligt åtkomstpass, till exempel att ange maximal livslängd eller längd, och klicka på Uppdatera.

    Screenshot of how to customize the settings for Temporary Access Pass.

  6. Välj Spara för att tillämpa principen.

    Standardvärdet och intervallet med tillåtna värden beskrivs i följande tabell.

    Inställning Standardvärden Tillåtna värden Kommentarer
    Minsta livslängd 1 timme 10 – 43 200 minuter (30 dagar) Minsta antal minuter som TAP är giltigt.
    Maximal livslängd 8 timmar 10 – 43 200 minuter (30 dagar) Maximalt antal minuter som TAP är giltigt.
    Standardlivslängd 1 timme 10 – 43 200 minuter (30 dagar) Enskilda pass inom den minsta och högsta livslängd som konfigurerats av principen kan åsidosätta standardvärdet.
    Engångsanvändning Falsk Sant/falskt När principen är inställd på false kan pass i klientorganisationen användas antingen en eller flera gånger under dess giltighet (maximal livslängd). Genom att framtvinga engångsanvändning i TAP-principen används alla pass som skapats i klientorganisationen en gång.
    Längd 8 8–48 tecken Definierar längden på lösenordet.

Skapa ett tillfälligt åtkomstpass

När du har aktiverat en TAP-princip kan du skapa TAP:er för användare i Microsoft Entra-ID. Följande roller kan utföra olika åtgärder relaterade till en TAP.

  • Globala administratörer kan skapa, ta bort och visa en TAP för alla användare (utom sig själva).
  • Administratörer för privilegierad autentisering kan skapa, ta bort och visa en TAP för administratörer och medlemmar (utom sig själva).
  • Autentiseringsadministratörer kan skapa, ta bort och visa en TAP för medlemmar (utom sig själva).
  • Globala läsare kan visa TAP-information för användaren (utan att läsa själva koden).

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.

  2. Bläddra till Identitetsanvändare>.

  3. Välj den användare som du vill skapa en TAP för.

  4. Välj Autentiseringsmetoder och klicka på Lägg till autentiseringsmetod.

    Screenshot of how to create a Temporary Access Pass.

  5. Välj Tillfälligt åtkomstpass.

  6. Definiera en anpassad aktiveringstid eller varaktighet och välj Lägg till.

    Screenshot of adding a method - Temporary Access Pass.

  7. När du har lagt till informationen om TAP visas.

    Viktigt!

    Anteckna det faktiska TAP-värdet eftersom du anger det här värdet för användaren. Du kan inte visa det här värdet när du har valt Ok.

    Screenshot of Temporary Access Pass details.

  8. Välj OK när du är klar.

Följande kommandon visar hur du skapar och hämtar en TAP med hjälp av PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Mer information finns i New-MgUserAuthenticationTemporaryAccessPassMethod och Get-MgUserAuthenticationTemporaryAccessPassMethod.

Använda ett tillfälligt åtkomstpass

Den vanligaste användningen för en TAP är att en användare registrerar autentiseringsinformation under den första inloggningen eller enhetskonfigurationen, utan att behöva slutföra extra säkerhetsanvisningarna. Autentiseringsmetoder registreras på https://aka.ms/mysecurityinfo. Användare kan också uppdatera befintliga autentiseringsmetoder här.

  1. Öppna en webbläsare för https://aka.ms/mysecurityinfo.

  2. Ange UPN för det konto som du skapade TAP för, till exempel tapuser@contoso.com.

  3. Om användaren ingår i TAP-principen ser de en skärm för att ange sin TAP.

  4. Ange den TAP som visades i administrationscentret för Microsoft Entra.

    Screenshot of how to enter a Temporary Access Pass.

Kommentar

För federerade domäner föredras en TAP framför federation. En användare med tap slutför autentiseringen i Microsoft Entra-ID och omdirigeras inte till den federerade identitetsprovidern (IdP).

Användaren är nu inloggad och kan uppdatera eller registrera en metod som FIDO2-säkerhetsnyckel.

Användare som uppdaterar sina autentiseringsmetoder på grund av att de förlorar sina autentiseringsuppgifter eller sin enhet bör se till att de tar bort de gamla autentiseringsmetoderna.

Användare kan också fortsätta att logga in med sitt lösenord. tap ersätter inte en användares lösenord.

Användarhantering av tillfälligt åtkomstpass

Användare som hanterar sin säkerhetsinformation på https://aka.ms/mysecurityinfo ser en post för det tillfälliga åtkomstpasset. Om en användare inte har några andra registrerade metoder får de en banderoll överst på skärmen där det står att lägga till en ny inloggningsmetod. Användarna kan också se TAP-förfallotiden och ta bort TAP om den inte längre behövs.

Screenshot of how users can manage a Temporary Access Pass in My Security Info..

Installation av Windows-enhet

Användare med en TAP kan navigera i installationsprocessen i Windows 10 och 11 för att utföra enhetsanslutningsåtgärder och konfigurera Windows Hello för företag. TAP-användning för att konfigurera Windows Hello för företag varierar beroende på enhetens anslutna tillstånd.

För anslutna enheter till Microsoft Entra-ID:

  • Under konfigurationsprocessen för domänanslutning kan användarna autentisera med en TAP (inget lösenord krävs) för att ansluta till enheten och registrera Windows Hello för företag.
  • På redan anslutna enheter måste användarna först autentisera med en annan metod, till exempel lösenord, smartkort eller FIDO2-nyckel, innan de använder TAP för att konfigurera Windows Hello för företag.
  • Om funktionen för webbinloggning i Windows också är aktiverad kan användaren använda TAP för att logga in på enheten. Detta är endast avsett för att slutföra den inledande enhetskonfigurationen eller återställningen när användaren inte känner till eller har ett lösenord.

För hybrid-anslutna enheter måste användarna först autentisera med en annan metod, till exempel ett lösenord, smartkort eller FIDO2-nyckel, innan de använder TAP för att konfigurera Windows Hello för företag.

Screenshot of how to enter Temporary Access Pass when setting up Windows.

Lösenordslös inloggning via telefon

Användare kan också använda sin TAP för att registrera sig för lösenordslös telefoninloggning direkt från Authenticator-appen.

Mer information finns i Lägga till ditt arbets- eller skolkonto i Microsoft Authenticator-appen.

Screenshot of how to enter a Temporary Access Pass using work or school account.

Gäståtkomst

Gästanvändare kan logga in på en resursklientorganisation med en TAP som har utfärdats av deras hemklientorganisation om TAP uppfyller autentiseringskravet för hemklientorganisationen.

Om multifaktorautentisering (MFA) krävs för resursklientorganisationen måste gästanvändaren utföra MFA för att få åtkomst till resursen.

Förfallodatum

En förfallen eller borttagen TAP kan inte användas för interaktiv eller icke-interaktiv autentisering.

Användarna måste autentisera igen med olika autentiseringsmetoder när TAP har upphört att gälla eller tagits bort.

Den tokenlivslängd (sessionstoken, uppdateringstoken, åtkomsttoken och så vidare) som erhålls med hjälp av en TAP-inloggning är begränsad till TAP-livslängden. När en TAP upphör att gälla leder det till att den associerade token upphör att gälla.

Ta bort ett tillfälligt åtkomstpass som har upphört att gälla

Under Autentiseringsmetoder för en användare visas kolumnen Information när TAP har upphört att gälla. Du kan ta bort en TAP som har upphört att gälla med hjälp av följande steg:

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
  2. Bläddra till Identitetsanvändare>, välj en användare, till exempel Tryck på Användare och välj sedan Autentiseringsmetoder.
  3. Välj Ta bort till höger i autentiseringsmetoden för tillfälligt åtkomstpass som visas i listan.

Du kan också använda PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Mer information finns i Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Ersätt ett tillfälligt åtkomstpass

  • Varje användare kan bara ha en TAP. Lösenordet kan användas under start- och sluttiden för TAP.
  • Om en användare behöver en ny TAP:
    • Om den befintliga TAP är giltig kan administratören skapa en ny TAP för att åsidosätta den befintliga giltiga TAP.
    • Om den befintliga TAP har upphört att gälla åsidosätter en ny TAP den befintliga TAP.

Mer information om NIST-standarder för registrering och återställning finns i NIST Special Publication 800-63A.

Begränsningar

Tänk på följande begränsningar:

  • När du använder en engångs-TAP för att registrera en lösenordslös metod, till exempel FIDO2 eller Telefon inloggning, måste användaren slutföra registreringen inom 10 minuter efter inloggningen med engångs-TAP. Den här begränsningen gäller inte för en TAP som kan användas mer än en gång.
  • Användare i omfånget för registreringsprincipen för lösenordsåterställning via självbetjäning (SSPR) ellerregistreringsprincipen för Identity Protection-multifaktorautentisering krävs för att registrera autentiseringsmetoder när de har loggat in med en TAP med hjälp av en webbläsare. Användare i omfånget för dessa principer omdirigeras till avbrottsläget för den kombinerade registreringen. Den här upplevelsen stöder för närvarande inte FIDO2 och Telefon inloggningsregistrering.
  • En TAP kan inte användas med NPS-tillägget (Network Policy Server) och Active Directory Federation Services (AD FS)(AD FS) adapter.
  • Det kan ta några minuter innan ändringar replikeras. På grund av detta kan det ta en stund innan uppmaningen visas när en TAP har lagts till i ett konto. Av samma anledning, när en TAP upphör att gälla, kan användarna fortfarande se en uppmaning om TAP.

Felsökning

  • Om en TAP inte erbjuds till en användare under inloggningen:
    • Kontrollera att användaren är i omfånget för TAP-autentiseringsmetodprincipen.
    • Kontrollera att användaren har en giltig TAP och om den används en gång har den inte använts ännu.
  • Om inloggningen för tillfälligt åtkomstpass har blockerats på grund av principen för användarautentiseringsuppgifter visas under inloggningen med en TAP:
    • Kontrollera att användaren inte har en TAP med flera användningsområden medan principen för autentiseringsmetod kräver en engångs-TAP.
    • Kontrollera om en engångs-TAP redan har använts.
  • Om TAP-inloggningen har blockerats på grund av principen för användarautentiseringsuppgifter kontrollerar du att användaren är i omfånget för TAP-principen.

Nästa steg