設定暫時存取傳遞以註冊無密碼驗證方法
無密碼驗證方法,例如 FIDO2 和透過 Microsoft Authenticator 應用程式進行無密碼電話登入,可讓使用者在沒有密碼的情況下安全地登入。
用戶可以透過下列兩種方式之一啟動無密碼方法:
- 使用現有的 Microsoft Entra 多重要素驗證方法
- 使用暫時存取通行證
暫時存取通行證 (TAP) 是限時密碼,可設定為單一使用或多個密碼。 使用者可以使用 TAP 登入,以將其他無密碼驗證方法上線,例如 Microsoft Authenticator、FIDO2 和 Windows Hello 企業版。
當使用者遺失或忘記其強身份驗證要素,例如 FIDO2 安全性密鑰或 Microsoft Authenticator 應用程式,但需要登入以註冊新的強式驗證方法時,TAP 也可讓復原變得更容易。
本文說明如何使用 Microsoft Entra 系統管理中心來啟用和使用 TAP。 您也可以使用 REST API 來執行這些動作。
啟用暫時存取傳遞原則
TAP 原則會定義設定,例如租使用者中建立的傳遞存留期,或是可以使用 TAP 登入的使用者和群組。
用戶必須先在驗證方法原則中啟用此方法,然後選擇哪些使用者和群組可以使用 TAP 登入,才能使用 TAP 登入。
雖然您可以為任何使用者建立 TAP,但原則中包含的使用者只能使用它登入。 只有全域 管理員 和驗證原則 管理員 角色可以更新 TAP 驗證方法原則。
若要設定 TAP 驗證方法原則:
以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [保護>驗證方法>原則]。
從可用的驗證方法清單中,選取 [ 暫時存取傳遞]。
按兩下 [ 啟用 ],然後選取要包含或排除原則的使用者。
(選擇性)選取 [ 設定 ] 以修改預設的暫時存取傳遞設定,例如設定存留期上限或長度,然後按兩下 [ 更新]。
選取 [ 儲存 ] 以套用原則。
下表說明預設值和允許值的範圍。
設定 預設值 允許的值 註解 最小存留期 1 小時 10 – 43,200 分鐘 (30 天) TAP 的有效分鐘數下限。 存留期上限 8 小時 10 – 43,200 分鐘 (30 天) TAP 有效的最大分鐘數。 默認存留期 1 小時 10 – 43,200 分鐘 (30 天) 在原則所設定的最小和最大存留期內,個別傳遞可以覆寫預設值。 一次性使用 False True/False 當原則設定為 false 時,傳入租用戶可在有效期間使用一次或多次 (最長存留期)。 藉由在 TAP 原則中強制執行一次性使用,租使用者中建立的所有傳遞都是一次性使用。 長度 8 8-48 個字元 定義密碼的長度。
建立暫時存取通行證
啟用 TAP 原則之後,您可以在 Microsoft Entra ID 中為使用者建立 TAP。 下列角色可以執行與 TAP 相關的各種動作。
- 全域 管理員 istrators 可以建立、刪除及檢視任何使用者的 TAP(但本身除外)。
- 特殊許可權驗證 管理員 istrators 可以建立、刪除及檢視管理員和成員的 TAP(但本身除外)。
- 驗證 管理員 istrators 可以建立、刪除和檢視成員的 TAP(但本身除外)。
- 全域讀取者可以檢視使用者的 TAP 詳細數據(不需要讀取程式代碼本身)。
以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別>使用者]。
選取您想要為其建立 TAP 的使用者。
選取 [ 驗證方法 ],然後按兩下 [ 新增驗證方法]。
選取 [暫時存取傳遞]。
定義自定義啟用時間或持續時間,然後選取 [ 新增]。
新增之後,會顯示 TAP 的詳細數據。
重要
記下實際的 TAP 值,因為您將提供此值給使用者。 選取 [ 確定] 之後,即無法檢視此值。
當您完成時,選取 [確定]。
下列命令示範如何使用PowerShell建立和取得TAP。
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
如需詳細資訊,請參閱 New-MgUserAuthenticationTemporaryAccessPassMethod 和 Get-MgUserAuthenticationTemporaryAccessPassMethod。
使用暫時存取通行證
TAP 最常見的用途是讓使用者在第一次登入或裝置設定期間註冊驗證詳細數據,而不需要完成額外的安全性提示。 驗證方法會在 註冊。https://aka.ms/mysecurityinfo 使用者也可以在這裡更新現有的驗證方法。
開啟網頁瀏覽器至 https://aka.ms/mysecurityinfo。
輸入您要建立 TAP 帳戶的 UPN, 例如 tapuser@contoso.com。
如果使用者包含在 TAP 原則中,他們會看到一個畫面來輸入他們的 TAP。
輸入 MICROSOFT Entra 系統管理中心中顯示的 TAP。
注意
對於同盟網域,TAP 優先於同盟。 TAP 的使用者會在 Microsoft Entra ID 中完成驗證,且不會重新導向至同盟識別提供者 (IdP)。
用戶現在已登入,而且可以更新或註冊 FIDO2 安全性密鑰等方法。
因遺失認證或裝置而更新其驗證方法的使用者,應確定他們移除舊的驗證方法。
使用者也可以使用其密碼繼續登入;TAP 不會取代用戶的密碼。
暫時存取傳遞的使用者管理
管理其安全性信息的使用者, https://aka.ms/mysecurityinfo 請參閱暫時存取通行證的專案。 如果用戶沒有任何其他已註冊的方法,則會在畫面頂端取得橫幅,指出要新增登入方法。 使用者也可以看到 TAP 到期時間,如果不再需要,請刪除 TAP。
Windows 裝置設定
具有 TAP 的使用者可以在 Windows 10 和 11 上瀏覽安裝程式,以執行裝置加入作業並設定 Windows Hello 企業版。 設定 Windows Hello 企業版的 TAP 使用量會根據已加入裝置的狀態而有所不同。
針對已加入的裝置到 Microsoft Entra 識別碼:
- 在加入網域設定程式期間,使用者可以使用 TAP 進行驗證(不需要密碼),以加入裝置並註冊 Windows Hello 企業版。
- 在已加入的裝置上,用戶必須先使用其他方法進行驗證,例如密碼、智慧卡或 FIDO2 金鑰,才能使用 TAP 來設定 Windows Hello 企業版。
- 如果 Windows 上的 Web 登入功能也已啟用,使用者可以使用 TAP 登入裝置。 這隻適用於完成初始裝置設定,或當使用者不知道或有密碼時復原。
針對已加入混合式裝置,用戶必須先使用其他方法進行驗證,例如密碼、智慧卡或 FIDO2 金鑰,才能使用 TAP 來設定 Windows Hello 企業版。
無密碼手機登入
使用者也可以使用其 TAP 直接從 Authenticator 應用程式註冊無密碼手機登入。
如需詳細資訊,請參閱 將公司或學校帳戶新增至 Microsoft Authenticator 應用程式。
來賓存取權
如果 TAP 符合主租用戶驗證需求,來賓使用者可以使用 TAP 來登入資源租使用者。
如果資源租使用者需要多重要素驗證 (MFA),來賓用戶必須執行 MFA 才能取得資源的存取權。
到期
過期或刪除的 TAP 無法用於互動式或非互動式驗證。
用戶必須在 TAP 過期或刪除之後,使用不同的驗證方法重新驗證。
使用 TAP 登入取得的令牌存留期(會話令牌、重新整理令牌、存取令牌等)僅限於 TAP 存留期。 TAP 到期時,會導致相關聯的令牌到期。
刪除過期的暫時存取通行證
在使用者的 [驗證方法] 下,[詳細數據] 資料行會顯示 TAP 過期時。 您可以使用下列步驟刪除過期的 TAP:
- 以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別使用者],選取使用者,例如點選 [使用者],然後選擇 [驗證方法]。
- 在清單中顯示的暫時存取傳遞驗證方法右側,選取 [刪除]。
您也可以使用 PowerShell:
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38
如需詳細資訊,請參閱 Remove-MgUserAuthenticationTemporaryAccessPassMethod。
取代暫時存取傳遞
- 每個使用者只能有一個 TAP。 密碼可以在 TAP 的開始和結束期間使用。
- 如果使用者需要新的 TAP:
- 如果現有的 TAP 有效,系統管理員可以建立新的 TAP 來覆寫現有的有效 TAP。
- 如果現有的 TAP 已過期,新的 TAP 將會覆寫現有的 TAP。
如需 NIST 標準上線和復原的詳細資訊,請參閱 NIST 特殊發行集 800-63A。
限制
請記住下列限制:
- 使用單次 TAP 註冊無密碼方法時,例如 FIDO2 或 電話 登入,用戶必須在使用一次性 TAP 登入的 10 分鐘內完成註冊。 這項限制不適用於可多次使用的 TAP。
- 自助密碼重設 (SSPR) 註冊原則 或Identity Protection 多重要素驗證註冊原則 中的用戶必須在使用瀏覽器使用 TAP 登入之後註冊驗證方法。 這些原則範圍內的使用者會重新導向至 合併註冊的中斷模式。 此體驗目前不支援 FIDO2 和 電話 登入註冊。
- TAP 無法與網路原則伺服器 (NPS) 擴充功能和 Active Directory 同盟服務 (AD FS) 配接器搭配使用。
- 變更可能需要幾分鐘的時間才能復寫。 因此,在 TAP 新增至帳戶之後,可能需要一段時間,提示才會出現。 基於相同的原因,在 TAP 到期之後,使用者可能仍會看到 TAP 的提示。
疑難排解
- 如果在登入期間未向使用者提供 TAP:
- 請確定用戶位於 TAP 驗證方法原則的範圍內。
- 請確定使用者具有有效的 TAP,如果是一次性使用,則尚未使用。
- 如果 暫時存取傳遞登入因使用者認證原則 而遭到封鎖,請在使用 TAP 登入期間出現:
- 請確定用戶沒有多用途 TAP,而驗證方法原則需要一次性 TAP。
- 檢查是否已使用一次性 TAP。
- 如果 TAP 登入因使用者認證原則而遭到封鎖,請檢查該使用者是否在 TAP 原則的範圍內。