設定臨時存取密碼以註冊無密碼驗證方法
無密碼驗證方法 (例如 FIDO2 和透過 Microsoft Authenticator 應用程式的無密碼手機登入) 可讓使用者無需密碼即可安全登入。
使用者可以透過下列兩種方式的其中一個來啟動無密碼方法:
- 使用現有的 Microsoft Entra 多重要素驗證方法
- 使用臨時存取密碼
臨時存取密碼 (TAP) 是有時效性的密碼,可以設定單次使用或多次使用。 使用者可以使用 TAP 登入,以將其他無密碼驗證方法上線,例如 Microsoft Authenticator、FIDO2 和 Windows Hello 企業版。
當使用者遺失或忘記其增強式驗證因素 (例如 FIDO2 安全性金鑰或 Microsoft Authenticator 應用程式),但需要登入以註冊新的增強式驗證方法時,TAP 也可讓您更輕鬆地進行復原。
本文說明如何使用 Microsoft Entra 系統管理中心來啟用和使用 TAP。 您也可以使用 REST API 來執行這些動作。
啟用臨時存取密碼原則
TAP 原則會定義設定,例如租用戶中所建立密碼的存留期,或可使用 TAP 登入的使用者和群組。
在讓使用者使用 TAP 登入之前,您必須先在驗證方法原則中啟用此方法,並選擇哪些使用者和群組可以使用 TAP 來登入。
雖然您可以為任何使用者建立 TAP,但只有包含在原則中的使用者可以使用此方法來登入。 至少具有驗證原則管理員角色的使用者可以更新 TAP 驗證方法原則。
若要設定 TAP 驗證方法原則:
至少以驗證原則系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [資料保護]>[驗證方法]>[原則]。
從可用驗證方法的清單中,選取 [臨時存取密碼]。
按一下 [啟用],然後選取原則要包含或排除的使用者。
(選擇性) 選取 [設定] 以修改預設「臨時存取密碼」設定,例如存留期上限或長度設定,然後按一下 [更新]。
選取 [儲存] 以套用變更。
下表說明預設值和允許值的範圍。
設定 預設值 允許的值 註解 最短存留期 1 小時 10 – 43,200 分鐘 (30 天) TAP 有效的最短分鐘數。 最長存留期 8 小時 10 – 43,200 分鐘 (30 天) TAP 有效的最長分鐘數。 預設存留期 1 小時 10 – 43,200 分鐘 (30 天) 在原則設定的最短和最長存留期內,可使用個別密碼覆寫預設值。 單次使用 False True/False 當原則設定為 False 時,租用戶中的密碼可在其有效時間 (最長存留期) 內使用一次或超過一次。 若在 TAP 原則中強制執行單次使用,則在租用戶中建立的所有密碼均為單次使用。 長度 8 8-48 個字元 定義密碼的長度。
建立臨時存取密碼
啟用 TAP 原則之後,您可以在 Microsoft Entra ID 中為使用者建立 TAP。 下列角色可以執行與 TAP 相關的各種動作。
- 全域系統管理員可以建立、刪除及檢視任何使用者的 TAP (但本身的臨時存取密碼除外)。
- 特殊權限驗證系統管理員可以建立、刪除及檢視管理員和成員的 TAP (但本身的臨時存取密碼除外)。
- 驗證系統管理員可以建立、刪除及檢視成員的 TAP (但本身的臨時存取密碼除外)。
- 全域讀取者可以檢視使用者的 TAP 詳細資料 (不需要讀取程式碼本身)。
至少以驗證系統管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[使用者]。
選取您想要為其建立 TAP 的使用者。
選取 [驗證方法],然後按一下 [新增驗證方法]。
選取 [臨時存取密碼]。
定義自訂啟用時間或持續時間,然後選取 [新增]。
新增後,即會顯示 TAP 的詳細資料。
重要
記下確實的 TAP 值,因為您要將此值提供給使用者。 選取 [確定] 之後,您就無法再檢視此值。
當您完成時,選取 [確定]。
下列命令示範如何使用 PowerShell 建立和取得 TAP。
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
如需詳細資訊,請參閱 New-MgUserAuthenticationTemporaryAccessPassMethod 和 Get-MgUserAuthenticationTemporaryAccessPassMethod。
使用臨時存取密碼
TAP 最常見的用途是讓使用者在第一次登入或裝置設定時註冊驗證詳細資料,而不需要完成額外的安全性提示。 驗證方法可在 https://aka.ms/mysecurityinfo 中註冊。 使用者也可以在這裡更新現有的驗證方法。
開啟網頁瀏覽器並前往 https://aka.ms/mysecurityinfo。
輸入您要為其建立 TAP 的帳戶 UPN,例如 tapuser@contoso.com。
如果使用者包含在 TAP 原則中,則會看到一個畫面來輸入其 TAP。
輸入 Microsoft Entra 系統管理中心所顯示的 TAP。
注意
若為同盟網域,應優先使用 TAP 而不是同盟。 有 TAP 的使用者會在 Microsoft Entra ID 中完成驗證,且不會重新導向至同盟識別提供者 (IdP)。
使用者現在已登入,並且可以更新或註冊 FIDO2 安全性金鑰之類的方法。
因為遺失認證或裝置而更新其驗證方法的使用者,應該確保他們會移除舊的驗證方法。
使用者也可以使用其密碼繼續登入;TAP 不會取代使用者的密碼。
臨時存取密碼的使用者管理
在 https://aka.ms/mysecurityinfo 管理其安全性資訊的使用者,會看到臨時存取密碼的項目。 如果使用者沒有任何其他已註冊的方法,則會在畫面頂端看到橫幅,表示要新增登入方法。 使用者也會看到 TAP 到期時間,如果不再需要 TAP,可加以刪除。
![螢幕擷取畫面:顯示使用者如何在 [我的安全性資訊] 中管理臨時存取密碼。](media/how-to-authentication-temporary-access-pass/tap-my-security-info.png)
Windows 裝置設定
有 TAP 的使用者可以在 Windows 10 和 11 上巡覽設定程序,以執行裝置加入作業並設定 Windows Hello 企業版。 設定 Windows Hello 企業版的 TAP 使用方式會隨加入裝置的狀態而異。
對於已在 Microsoft Entra ID 中加入的裝置:
- 在網域加入設定程序中,使用者可以使用 TAP (不需要密碼) 驗證,以加入裝置並註冊 Windows Hello 企業版。
- 在已加入的裝置上,使用者必須先使用其他方法進行驗證,例如密碼、智慧卡或 FIDO2 金鑰,再使用 TAP 來設定 Windows Hello 企業版。
- 如果 Windows 上的 Web 登入 功能也已啟用,使用者即可使用 TAP 登入裝置。 這只適用於完成初始裝置設定,或在使用者不知道或沒有密碼時的復原作業。
對於混合式加入的裝置,使用者必須先使用其他方法進行驗證,例如密碼、智慧卡或 FIDO2 金鑰,再使用 TAP 來設定 Windows Hello 企業版。
手機無密碼登入
使用者也可以使用其 TAP,直接從 Authenticator 應用程式註冊無密碼手機登入。
如需詳細資訊,請參閱將您的公司或學校帳戶新增至 Microsoft Authenticator 應用程式。
來賓存取權
如果 TAP 符合主租用戶驗證需求,則來賓使用者可以使用其主租用戶所發出的臨 TAP 來登入資源租用戶。
如果資源租用戶需要多重要素驗證 (MFA),則來賓使用者必須執行 MFA,才能取得資源的存取權。
到期
已過期或刪除的 TAP 無法用於互動式或非互動式驗證。
當 TAP 過期或刪除後,使用者必須使用不同的驗證方法來重新驗證。
使用 TAP 登入取得的權杖存留期 (工作階段權杖、重新整理權杖、存取權杖等) 受限於 TAP 存留期。 TAP 過期時,會導致相關聯的權杖逾期。
刪除過期的臨時存取密碼
在使用者的 [驗證方法] 底下,[詳細資料] 資料行會顯示 TAP 到期的時間。 您可以使用下列步驟來刪除過期的 TAP:
- 至少以驗證系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[使用者],選取使用者 (例如 [Tap 使用者]),然後選擇 [驗證方法]。
- 在清單中顯示的 [臨時存取密碼] 驗證方法右側,選取 [刪除]。
您也可以使用 PowerShell:
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
如需詳細資訊,請參閱 Remove-MgUserAuthenticationTemporaryAccessPassMethod。
取代臨時存取密碼
- 每個使用者只能有一個 TAP。 密碼可以在 TAP 的開始和結束時間內使用。
- 如果使用者需要新的 TAP:
- 如果現有的 TAP 有效,系統管理員可以建立新的 TAP 來覆寫現有的有效 TAP。
- 如果現有的 TAP 已過期,則新的 TAP 將覆寫現有的 TAP。
如需用於上線和復原的 NIST 標準詳細資訊,請參閱 NIST 特殊出版品 800-63A。
限制
請記住下列限制:
- 使用單次 TAP 來註冊無密碼方法 (例如 FIDO2 安全性金鑰或手機登入) 時,使用者必須在使用單次 TAP 登入的 10 分鐘內完成註冊。 這項限制不適用於可使用多次的 TAP。
- 自助密碼重設 (SSPR) 註冊原則 或 Identity Protection 多重要素驗證註冊原則 中的用戶必須在使用瀏覽器使用 TAP 登入之後註冊驗證方法。 這些原則範圍內的使用者將會重新導向至合併註冊的中斷模式。 這項體驗目前不支援 FIDO2 和手機登入註冊。
- TAP 不可與網路原則伺服器 (NPS) 延伸模組和 Active Directory 同盟服務 (AD FS) 配接器搭配使用。
- 複製變更可能需要幾分鐘的時間。 因此,將 TAP 新增至帳戶之後,可能需要一段時間才會顯示提示。 基於相同的原因,在 TAP 過期之後,使用者可能仍會看到 TAP 的提示。
疑難排解
- 如果在登入期間未提供 TAP 給使用者:
- 請確定使用者是否在 TAP 驗證方法原則的範圍內。
- 請確定使用者是否有有效的 TAP,且如果是單次使用,應確保其尚未使用。
- 如果使用 TAP 登入期間出現臨時存取密碼登入因使用者認證原則而遭到封鎖:
- 請確定使用者沒有多次使用 TAP,而驗證方法原則需要單次 TAP。
- 檢查單次 TAP 是否已使用。
- 如果 TAP 登入因使用者認證原則而遭到封鎖,請檢查使用者是否在 TAP 原則的範圍內。