Konfigurera tillfällig åtkomstkod för att registrera lösenordsfria autentiseringsmetoder

Med metoder för lösenordslös autentisering, till exempel FIDO2 och lösenordslös inloggning via Microsoft Authenticator-appen, kan användarna logga in säkert utan lösenord.

Användare kan starta lösenordslösa metoder på något av två sätt:

• Använda befintliga autentiseringsmetoder för Microsoft Entra-multifaktor
• Använda ett tillfälligt åtkomstpass

Ett tillfälligt åtkomstpass (TAP) är ett tidsbegränsat lösenord som kan konfigureras för enkel användning eller flera. Användare kan logga in med en TAP för att registrera andra lösenordsfria autentiseringsmetoder, till exempel Microsoft Authenticator, FIDO2 och Windows Hello för företag.

En TAP gör också återställningen enklare när en användare har förlorat eller glömt sin starka autentiseringsfaktor som en FIDO2-säkerhetsnyckel eller Microsoft Authenticator-app, men måste logga in för att registrera nya starka autentiseringsmetoder.

Den här artikeln visar hur du aktiverar och använder en TAP med hjälp av administrationscentret för Microsoft Entra. Du kan också utföra dessa åtgärder med hjälp av REST-API:er.

Aktivera principen för tillfälligt åtkomstpass

En TAP-princip definierar inställningar, till exempel livslängden för pass som skapats i klientorganisationen, eller de användare och grupper som kan använda en TAP för att logga in.

Innan användarna kan logga in med en TAP måste du aktivera den här metoden i autentiseringsmetodprincipen och välja vilka användare och grupper som ska kunna logga in med hjälp av en TAP.

Även om du kan skapa en TAP för alla användare kan endast användare som ingår i principen logga in med den. De som har minst rollen Administratör för autentiseringsprincip kan uppdatera PRINCIPEN FÖR TAP-autentiseringsmetod.

Så här konfigurerar du PRINCIPEN FÖR TAP-autentiseringsmetod:

1. Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.

2. Bläddra till Principer för skyddsautentiseringsmetoder>>.

3. I listan över tillgängliga autentiseringsmetoder väljer du Tillfälligt åtkomstpass.

   

4. Klicka på Aktivera och välj sedan användare som ska inkluderas eller exkluderas från principen.

   

5. (Valfritt) Välj Konfigurera för att ändra standardinställningarna för tillfälligt åtkomstpass, till exempel att ange maximal livslängd eller längd, och klicka på Uppdatera.

   

6. Välj Spara för att tillämpa principen.

   Standardvärdet och intervallet med tillåtna värden beskrivs i följande tabell.

   Inställning	Standardvärden	Tillåtna värden	Kommentarer
   Minsta livslängd	1 timme	10 – 43 200 minuter (30 dagar)	Minsta antal minuter som TAP är giltigt.
   Maximal livslängd	8 timmar	10 – 43 200 minuter (30 dagar)	Maximalt antal minuter som TAP är giltigt.
   Standardlivslängd	1 timme	10 – 43 200 minuter (30 dagar)	Enskilda pass inom den minsta och högsta livslängd som konfigurerats av principen kan åsidosätta standardvärdet.
   Engångsanvändning	Falsk	Sant/falskt	När principen är inställd på false kan pass i klientorganisationen användas antingen en eller flera gånger under dess giltighet (maximal livslängd). Genom att framtvinga engångsanvändning i TAP-principen används alla pass som skapats i klientorganisationen en gång.
   Längd	8	8–48 tecken	Definierar längden på lösenordet.

Skapa ett tillfälligt åtkomstpass

När du har aktiverat en TAP-princip kan du skapa TAP:er för användare i Microsoft Entra-ID. Följande roller kan utföra olika åtgärder relaterade till en TAP.

• Globala administratörer kan skapa, ta bort och visa en TAP för alla användare (utom sig själva).
• Administratörer för privilegierad autentisering kan skapa, ta bort och visa en TAP för administratörer och medlemmar (utom sig själva).
• Autentiseringsadministratörer kan skapa, ta bort och visa en TAP för medlemmar (utom sig själva).
• Globala läsare kan visa TAP-information för användaren (utan att läsa själva koden).

1. Logga in på administrationscentret för Microsoft Entra som minst autentiseringsadministratör.

2. Bläddra till Identitetsanvändare>.

3. Välj den användare som du vill skapa en TAP för.

4. Välj Autentiseringsmetoder och klicka på Lägg till autentiseringsmetod.

   

5. Välj Tillfälligt åtkomstpass.

6. Definiera en anpassad aktiveringstid eller varaktighet och välj Lägg till.

   

7. När du har lagt till informationen om TAP visas.

   Viktigt!

   Anteckna det faktiska TAP-värdet eftersom du anger det här värdet för användaren. Du kan inte visa det här värdet när du har valt Ok.

   

8. Välj OK när du är klar.

Följande kommandon visar hur du skapar och hämtar en TAP med hjälp av PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Mer information finns i New-MgUserAuthenticationTemporaryAccessPassMethod och Get-MgUserAuthenticationTemporaryAccessPassMethod.

Använda ett tillfälligt åtkomstpass

Den vanligaste användningen för en TAP är att en användare registrerar autentiseringsinformation under den första inloggningen eller enhetskonfigurationen, utan att behöva slutföra extra säkerhetsanvisningarna. Autentiseringsmetoder registreras på https://aka.ms/mysecurityinfo. Användare kan också uppdatera befintliga autentiseringsmetoder här.

1. Öppna en webbläsare för https://aka.ms/mysecurityinfo.

2. Ange UPN för det konto som du skapade TAP för, till exempel tapuser@contoso.com.

3. Om användaren ingår i TAP-principen ser de en skärm för att ange sin TAP.

4. Ange den TAP som visades i administrationscentret för Microsoft Entra.

   

Kommentar

För federerade domäner föredras en TAP framför federation. En användare med tap slutför autentiseringen i Microsoft Entra-ID och omdirigeras inte till den federerade identitetsprovidern (IdP).

Användaren är nu inloggad och kan uppdatera eller registrera en metod som FIDO2-säkerhetsnyckel.

Användare som uppdaterar sina autentiseringsmetoder på grund av att de förlorar sina autentiseringsuppgifter eller sin enhet bör se till att de tar bort de gamla autentiseringsmetoderna.

Användare kan också fortsätta att logga in med sitt lösenord. tap ersätter inte en användares lösenord.

Användarhantering av tillfälligt åtkomstpass

Användare som hanterar sin säkerhetsinformation på https://aka.ms/mysecurityinfo ser en post för det tillfälliga åtkomstpasset. Om en användare inte har några andra registrerade metoder får de en banderoll överst på skärmen där det står att lägga till en ny inloggningsmetod. Användarna kan också se TAP-förfallotiden och ta bort TAP om den inte längre behövs.

Installation av Windows-enhet

Användare med en TAP kan navigera i installationsprocessen i Windows 10 och 11 för att utföra enhetsanslutningsåtgärder och konfigurera Windows Hello za posao. TAP-användning för att konfigurera Windows Hello za posao varierar beroende på enhetens anslutna tillstånd.

För anslutna enheter till Microsoft Entra-ID:

• Under konfigurationsprocessen för domänanslutning kan användarna autentisera med en TAP (inget lösenord krävs) för att ansluta till enheten och registrera Windows Hello za posao.
• På redan anslutna enheter måste användarna först autentisera med en annan metod, till exempel lösenord, smartkort eller FIDO2-nyckel, innan de använder TAP för att konfigurera Windows Hello za posao.
• Om funktionen för webbinloggning i Windows också är aktiverad kan användaren använda TAP för att logga in på enheten. Detta är endast avsett för att slutföra den inledande enhetskonfigurationen eller återställningen när användaren inte känner till eller har ett lösenord.

För hybrid-anslutna enheter måste användarna först autentisera med en annan metod, till exempel ett lösenord, smartkort eller FIDO2-nyckel, innan de använder TAP för att konfigurera Windows Hello za posao.

Lösenordslös inloggning via telefon

Användare kan också använda sin TAP för att registrera sig för lösenordslös telefoninloggning direkt från Authenticator-appen.

Mer information finns i Lägga till ditt arbets- eller skolkonto i Microsoft Authenticator-appen.

Gäståtkomst

Gästanvändare kan logga in på en resursklientorganisation med en TAP som har utfärdats av deras hemklientorganisation om TAP uppfyller autentiseringskravet för hemklientorganisationen.

Om multifaktorautentisering (MFA) krävs för resursklientorganisationen måste gästanvändaren utföra MFA för att få åtkomst till resursen.

Förfallodatum

En förfallen eller borttagen TAP kan inte användas för interaktiv eller icke-interaktiv autentisering.

Användarna måste autentisera igen med olika autentiseringsmetoder när TAP har upphört att gälla eller tagits bort.

Den tokenlivslängd (sessionstoken, uppdateringstoken, åtkomsttoken och så vidare) som erhålls med hjälp av en TAP-inloggning är begränsad till TAP-livslängden. När en TAP upphör att gälla leder det till att den associerade token upphör att gälla.

Ta bort ett tillfälligt åtkomstpass som har upphört att gälla

Under Autentiseringsmetoder för en användare visas kolumnen Information när TAP har upphört att gälla. Du kan ta bort en TAP som har upphört att gälla med hjälp av följande steg:

1. Logga in på administrationscentret för Microsoft Entra som minst autentiseringsadministratör.
2. Bläddra till Identitetsanvändare>, välj en användare, till exempel Tryck på Användare och välj sedan Autentiseringsmetoder.
3. Välj Ta bort till höger i autentiseringsmetoden för tillfälligt åtkomstpass som visas i listan.

Du kan också använda PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Mer information finns i Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Ersätt ett tillfälligt åtkomstpass

• Varje användare kan bara ha en TAP. Lösenordet kan användas under start- och sluttiden för TAP.
• Om en användare behöver en ny TAP:
  • Om den befintliga TAP är giltig kan administratören skapa en ny TAP för att åsidosätta den befintliga giltiga TAP.
  • Om den befintliga TAP har upphört att gälla åsidosätter en ny TAP den befintliga TAP.

Mer information om NIST-standarder för registrering och återställning finns i NIST Special Publication 800-63A.

Begränsningar

Tänk på följande begränsningar:

• När du använder en engångs-TAP för att registrera en lösenordslös metod, till exempel en FIDO2-säkerhetsnyckel eller telefoninloggning, måste användaren slutföra registreringen inom 10 minuter efter inloggningen med engångs-TAP. Den här begränsningen gäller inte för en TAP som kan användas mer än en gång.
• Användare i omfånget för registreringsprincipen för lösenordsåterställning via självbetjäning (SSPR) eller registreringsprincipen för Identity Protection-multifaktorautentisering krävs för att registrera autentiseringsmetoder när de har loggat in med en TAP med hjälp av en webbläsare. Användare i omfånget för dessa principer omdirigeras till avbrottsläget för den kombinerade registreringen. Den här upplevelsen stöder för närvarande inte FIDO2- och telefoninloggningsregistrering.
• En TAP kan inte användas med NPS-tillägget (Network Policy Server) och Active Directory usluge za ujedinjavanje(AD FS) adapter.
• Det kan ta några minuter innan ändringar replikeras. På grund av detta kan det ta en stund innan kommandotolken visas när en TAP har lagts till i ett konto. Av samma anledning, när en TAP upphör att gälla, kan användarna fortfarande se en uppmaning om TAP.

Felsökning

• Om en TAP inte erbjuds till en användare under inloggningen:
  • Kontrollera att användaren är i omfånget för TAP-autentiseringsmetodprincipen.
  • Kontrollera att användaren har en giltig TAP och om den används en gång har den inte använts ännu.
• Om inloggningen för tillfälligt åtkomstpass har blockerats på grund av principen för användarautentiseringsuppgifter visas under inloggningen med en TAP:
  • Kontrollera att användaren inte har en TAP med flera användningsområden medan principen för autentiseringsmetod kräver en engångs-TAP.
  • Kontrollera om en engångs-TAP redan har använts.
• Om TAP-inloggningen har blockerats på grund av principen för användarautentiseringsuppgifter kontrollerar du att användaren är i omfånget för TAP-principen.

Nästa steg

• Planera en distribution av lösenordslös autentisering i Microsoft Entra-ID